FIREWALL IPTABLES DROP

Imagen de skypower

Hola, publicare aqui la manera mas sencilla de montar un firewall con regla por defecto drop, ya que me han escrito muchos colegas, pues aqui esta para todos...


#!/bin/sh
# FIREWALL-IPTABLES-SKY ###
############################
EXTIF=eth0
INTIF=192.168.0/24
#---------------------------------------------------------------------------------
## Flush de reglas
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F
#
## Establecemos predeterminada
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
#
## Permitimos el trafico loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#
## BIT de FORWARDING - Enmascaramiento
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
#
## Configuramos los accesos de Red
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -s $INTIF -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i $EXTIF -p udp --dport 53 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --sport 1:1024 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 1025:65535 ! --syn -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --sport 1:1024 -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A OUTPUT -d $INTIF -j ACCEPT
iptables -A OUTPUT -o $EXTIF -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -o $EXTIF -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -o $EXTIF -p tcp --sport 53 -j ACCEPT
iptables -A OUTPUT -o $EXTIF -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -d 0/0 -p tcp --sport 1025:65535 -j ACCEPT
iptables -A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j DROP
iptables -A FORWARD -p tcp --dport 3128 -j DROP
#
### Salva
iptables-save > /var/log/firewall
tail /var/log/firewall
exit
#---------------------------------------------------------------------------------

Suerte seguidores de Linux...