Ayuda con firewall

AdjuntoTamaño
Image icon Escr.JPG76.63 KB

Forums: 

Saludos a todos, tengo un pequeño inconveniente, configure un firewall segun un tema que encontre aqui en el foro de ecualug, pero claro que es muy basico, ahora el caso es el siguiente, que no me permite navegar en paginas como elchat.com o latinchat y asi algunas, aqui les dejo la imagen para que la revisen, y queria pedirles de favor que me ayuden a resolver esto, y disculpen que los moleste pero es que no se mucho de iptables que digamos, ya le e puesto algunas reglas pero esta es la que mejor me queda, pero me da este inconveniente, y trato de navegar con el Windows no por mi si no por los equipos que estan conectados a mi linux el cual es un CentOS 4.3, lo que queria es denegar el acceso al servidor y solo darle acceso a una ip para poder ingresar con el ssh, y poder configurar algunas cosas, claro que con estas reglas si se puede pero lo puede hacer todo el mundo, y eso es lo que no quiero, mejor dicho quiero cerrar el ingreso al servidor, darle acceso por medio del puerto 22 (ssh) y darle salida a todas partes a las maquinas de mi red local, por favor si alguna buena alma me puede dar una mano les estaria muy agradecido, me olvidaba, de esta forma como no se abren algunas paginas es que en el rato menos pensado se abre la seción pero despues si otro equipo qiere abrir no lo puede hacer.

Gracias por el tiempo dedicado a este inexperto.

Nota: Recien estoy aprendiendo algunas cosas del maravilloso mundo de Linux.

Al parecer tienes una Lan a

Imagen de damage

Al parecer tienes una Lan a la cual le quieres dar acceso a internet por medio de un server Linux, eso es bueno :cool:, pero dime ademàs del firewall de iptables, tienes puesto un proxy o todo el trafico sale solo por el firewall?, de ser asì entonces te recomiendo le pongan squid como servidor proxy màs en iptables, si necesitas un script te puedo facilitar uno bien sencillo y que funciona muy bien.
Keep The Fire Burning.....
Stryper 1988

Muchas gracias por responder

Muchas gracias por responder damage, la verdad es la siguiente, Tengo configurado el proxy Squid como transparente con las reglas del firewall que puse el link, tambien esta bien configurado porque no me da el mas minimo error, en otro equipo tenia configurado algunas cosas pero lo haci funcionando con el firestarter pero la verdad digo que no me gusta este firewall grafico porque tiene muchas limitaciones, y mejor lo veo hacerlo con iptables mismo, lo que necesito es cerrar el acceso o mejor dicho establecer politicas DROP en mi linux para que sea mas seguro y darle acceso solo a una maquina por el puerto 22 (ssh) y darle salida a mi red local por medio del squid transparente y poder navegar a todos lados, y despues segun lo que necesite despues ir abriendo algunos servicios poco a poco, pero bueno, y muchas gracias por quererme dar el script, con eso me voy a guiar bien y poder poner las reglas que necesito.

Saludos a todos nuevamente,

Saludos a todos nuevamente, les comento que e puesto unas reglas basicas pero me parece que son seguras:

iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 3128 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -s 192.168.1.1 -j ACCEPT
iptables -A OUTPUT -d 192.168.1.1 -j ACCEPT
/sbin/iptables -A INPUT -s xxx.xxx.xxx.xxx -p udp -m udp --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -d xxx.xxx.xxx.xxx -p udp -m udp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -s xxx.xxx.xxx.xx -p udp -m udp --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -d xxx.xxx.xxx.xx -p udp -m udp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -s xxx.xxx.xxx.xx -p udp -m udp --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -d xxx.xxx.xxx.xx -p udp -m udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 4 -j DROP
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

funcionan bien, pero sigo con el mismo problema, no se quiere abrir las paginas de el chat y algunas mas, no se en que estoy fallando. Alguien de buen corazon que me de una mano por favor.

Segun Lo que veo, te falta

Imagen de damage

Segun Lo que veo, te falta hacer Forward de algunos puertos, mira probando haciendolo con todos los puertos que necesites 80,8080,3128,1863,53,443,etc, anda poco a poco y despues mira cuales necesitas hacer forward y cuales no.

Tip:
$IPT -A FORWARD -s $IF_RED -i $IF_LAN -p tcp --dport 443 -j ACCEPT
Donde IF_RED es mi red
Donde IF_LAN es mi interfaz conectada al la LAN

Keep The Fire Burning.....
Stryper 1988

No funciona, me sale

No funciona, me sale esto:

iptables v1.2.11: host/network `eth1' not found
Try `iptables -h' or 'iptables --help' for more information.

y no funciona esa regla, no me permite ingresarla.

Debes modificarla deacuerdo

Imagen de damage

Debes modificarla deacuerdo a la sintaxis de tu script, si no tienes declaradas las variables nunca va a funcionar.
/sbin/iptables -A FORWARD -s Direccion_de_tu_red/Lan -i IP_de_intrefaz_LAN -p tcp --dport 443 -j ACCEPT
Keep The Fire Burning.....
Stryper 1988