Forums:
este es mi scrip
eth1 internet
eth2 lan
## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Politica por defecto: DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
# Bit forward
echo 2 > /proc/sys/net/ipv4/ip_forward
# Guardar los accesos con paquetes fragmentados, recurso utilizado para tirar
# servidores y otras maldades (bug en Apache por ejemplo)
iptables -A INPUT -i eth1 -f -j LOG --log-prefix "Fragmento! "
iptables -A INPUT -i eth1 -f -j DROP
# Operar en localhost sin limitaciones
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
# Enmascaramiento
iptables -t nat -A POSTROUTING -s 10.1.1.0/24 -o eth1 -j MASQUERADE
# Navegacion desde el firewall
/sbin/iptables -A INPUT -p tcp -m tcp --sport 80 -m state --state
RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
# Navegacion del proxy
/sbin/iptables -A INPUT -p tcp -m tcp --sport 8080 -m state --state
RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 8080 -j ACCEPT
# Y tambien a webs seguras
/sbin/iptables -A INPUT -p tcp -m tcp --sport 443 -m state --state
RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
# Forward puerto 80
iptables -t filter -A FORWARD -i eth2 -o eth1 -s 10.1.1.0/24 -d 0/0 -p udp
--dport 80 -j ACCEPT
iptables -t filter -A FORWARD -i eth1 -o eth2 -d 10.1.1.0/24 -s 0/0 -p udp
--sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
# Forward puerto 53
iptables -t filter -A FORWARD -i eth2 -o eth1 -s 10.1.1.0/24 -d 0/0 -p udp
--dport 53 -j ACCEPT
iptables -t filter -A FORWARD -i eth1 -o eth2 -d 1.1.1.0/24 -s 0/0 -p udp
--sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT
# Forward puerto 443
iptables -t filter -A FORWARD -i eth1 -o eth1 -s 192.168.10.0/24 -d 0/0 -p udp
--dport 443 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth2 -d 192.168.10.0/24 -s 0/0 -p udp
--sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
# Squid transparente
iptables -t nat -A PREROUTING -s 10.1.1.0/24 -p tcp --dport 80 -j REDIRECT
--to-port 3128
# Permitir el proxy, necesario despues del reenvío.
iptables -t filter -A INPUT -p tcp --dport 3128 -i eth2 -s 10.1.1.0/24 -j
ACCEPT
iptables -t filter -A OUTPUT -p tcp --sport 3128 -o eth2 -d 10.1.1.0/24 -m
state --state RELATED,ESTABLISHED -j ACCEPT
# Bloquear p2p
iptables -A FORWARD -m ipp2p --ipp2p -j DROP
iptables -t mangle -A FORWARD -m ipp2p --ipp2p -j DROP
iptables -t nat -A PREROUTING -p tcp -i eth2 -m ipp2p --ipp2p -j DROP
iptables -t nat -A POSTROUTING -p tcp -o eth1 -m ipp2p --ipp2p -j DROP
COMMIT
al poner esto service iptables start
[root@cpe-00e04cb0532c ~]# service iptables start
Aplicando reglas del cortafuegos iptables:iptables-restore: line 2 failed
[FALLÓ]
alguien me puede decir que esta mal
de ante mano gracias
se supone q primero debes
se supone q primero debes parar iptables, luego ejecutar el script y luego si grabar las reglas luego si arrancar enuevamente el iptables, como lo estas haciendo?
Como dice Falcom ... service
Como dice Falcom ...
service iptables stop
luego ejecuta el script que tienes, por ejemplo grábalo en un archivo /root/firewall.sh y ejecútalo
bash /root/firewall.sh
luego graba las reglas con iptables-save y re-arranca el servicio
iptables-save > /etc/sysconfig/iptables
service iptables restart
Eso debe ser suficiente, por cierto el comentario del echo 2>... es muy válido, reemplazalo por echo 1> ...
bye
;)
comentario
crea un script y lo apuntas desde el rc.local, para que no tengas que hacer el service iptables restart, o copia directamente las reglas en el rc.local, porque pones echo 2, siempre pongo echo 1 por alli esta el problema
luis eduardo parrales g.
Si el Script esta tal cual y
Si el Script esta tal cual y esta en un archivo cualquiera, se supone que debes iniciar el mismo escribiendo al principio:
#!/bin/sh
Tampoco veo declarada la ruta de iptables en algunas lineas.
hola porfa me podrian dar
hola porfa me podrian dar corrigiendo los errores que crean pertinentes en el scrip por que ya ice lo que me dijeron pero no inicia creo que algo esta mal
porfa ayuda
"El que se enorgullece de sus conocimientos es como si estuviera ciego en plena luz."
ayuda
wilson muestra el script del squid o agregame necio_mar@hotmail.com para ayudarte
luis eduardo parrales g.
revisa este link es muy
revisa este link es muy explicativo
http://www.pello.info/filez/firewall/iptables.html