Añadimos los scripts que hemos empleado para:
Denegar todo el tráfico
Permitir todo el tráfico
Permitir navegar por internet (http, https y dns)
Configurar un equipo como enrutador para permitir cualquier tráfico hacia internet mediante nat.
Aceptar todo
#Inicializar eliminamos reglas y política por defecto ACEPTAR
modprobe ip_conntrack
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
#Habilitamos enrutamiento
echo 1 > /proc/sys/net/ipv4/ip_forward
#Comprobar el resultado
clear
iptables -L -vn
Permitir salir a internet (ojo a las interfaces de entrada y salida, así como a la configuración ip a la que hace nat
#Inicializar eliminamos reglas y política por defecto RECHAZAR
#modprobe ip_conntrack
iptables -F
iptables -F -t nat
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#Habilitamos enrutamiento
echo 1 > /proc/sys/net/ipv4/ip_forward
#Habilitar tráfico relacionado
#iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# Permitir tráfico interno
iptables -A INPUT -i lo -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -o lo -d 127.0.0.1 -j ACCEPT
#Permitir enrutar (todo el tráfico)
iptables -A FORWARD -i enp0s9 -o enp0s8 -j ACCEPT
#Nat de origen (snat)
iptables -t nat -A POSTROUTING -o enp0s8 -j SNAT --to 10.10.32.61
#Comprobar el resultado
clear
iptables -L -vn
Permitir la navegación web al equipo (incluyendo peticiones dns)
#Inicializar eliminamos reglas y política por defecto RECHAZAR
modprobe ip_conntrack
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#Habilitar tráfico relacionado
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Permitir tráfico interno
iptables -A INPUT -i lo -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -o lo -d 127.0.0.1 -j ACCEPT
#Habilitamos enrutamiento
echo 1 > /proc/sys/net/ipv4/ip_forward
#Permitir tráfico icmp (ping)
iptables -A OUTPUT -p icmp -m state --state NEW -j ACCEPT
#Permitir consultas DNS
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
#Tráfico web 80, 443 tcp
iptables -A OUTPUT -p tcp --sport 1024:65525 -m multiport --dports 80,443 -j ACCEPT
#Comprobar el resultado
#clear
iptables -L -vn
Denegar (casi todo) . script "base"
#Inicializar eliminamos reglas y política por defecto RECHAZAR
modprobe ip_conntrack
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#Habilitar tráfico relacionado
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Permitir tráfico interno
iptables -A INPUT -i lo -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -o lo -d 127.0.0.1 -j ACCEPT
#Habilitamos enrutamiento
echo 1 > /proc/sys/net/ipv4/ip_forward
#Comprobar el resultado
clear
iptables -L -vn
..
No hay comentarios:
Publicar un comentario