miércoles, 20 de febrero de 2019

Ejemplos de iptables

Añadimos los scripts que hemos empleado para:

Denegar todo el tráfico

Permitir todo el tráfico

Permitir navegar por internet (http, https y dns)

Configurar un equipo como enrutador para permitir cualquier tráfico hacia internet mediante nat.



Aceptar todo


#Inicializar eliminamos reglas y política por defecto ACEPTAR
modprobe ip_conntrack
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

#Habilitamos enrutamiento
echo 1 > /proc/sys/net/ipv4/ip_forward


#Comprobar el resultado
clear
iptables -L -vn

 

 

Permitir salir a internet (ojo a las interfaces de entrada y salida, así como a la configuración ip a la que hace nat

 

#Inicializar eliminamos reglas y política por defecto RECHAZAR
#modprobe ip_conntrack
iptables -F
iptables -F -t nat
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#Habilitamos enrutamiento
echo 1 > /proc/sys/net/ipv4/ip_forward

#Habilitar tráfico relacionado
#iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Permitir tráfico interno
iptables -A INPUT -i lo -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -o lo -d 127.0.0.1 -j ACCEPT

#Permitir enrutar (todo el tráfico)
iptables -A FORWARD -i enp0s9 -o enp0s8 -j ACCEPT

#Nat de origen (snat)
iptables -t nat -A POSTROUTING -o enp0s8 -j SNAT --to 10.10.32.61





#Comprobar el resultado
clear
iptables -L -vn 

 

 

Permitir la navegación web al equipo (incluyendo peticiones dns)



#Inicializar eliminamos reglas y política por defecto RECHAZAR
modprobe ip_conntrack
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#Habilitar tráfico relacionado
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Permitir tráfico interno
iptables -A INPUT -i lo -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -o lo -d 127.0.0.1 -j ACCEPT

#Habilitamos enrutamiento
echo 1 > /proc/sys/net/ipv4/ip_forward

#Permitir tráfico icmp (ping)
iptables -A OUTPUT -p icmp -m state --state NEW -j ACCEPT

#Permitir consultas DNS
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT

#Tráfico web 80, 443 tcp
iptables -A OUTPUT -p tcp --sport 1024:65525 -m multiport --dports 80,443 -j ACCEPT


#Comprobar el resultado
#clear
iptables -L -vn


Denegar (casi todo) . script "base"

 

#Inicializar eliminamos reglas y política por defecto RECHAZAR
modprobe ip_conntrack
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#Habilitar tráfico relacionado
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Permitir tráfico interno
iptables -A INPUT -i lo -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -o lo -d 127.0.0.1 -j ACCEPT

#Habilitamos enrutamiento
echo 1 > /proc/sys/net/ipv4/ip_forward


#Comprobar el resultado
clear
iptables -L -vn

 

.. 

No hay comentarios: