La mayoria de los usuarios que recien se está iniciando en linux y quiere hacer uso del firewall tiende a usar asistentes gráficos, ya que IPTABLES a simple vista parece demasiado complicado, esto es debido a que las reglas hay que meterlas en modo consola y hay que saber aplicarlas. De los asistentes gráficos que he visto, ninguno aprovecha bien el verdadero poder que IPTABLES tiene.
Hay bastantes manuales y tutoriales en internet para aprender a usar IPTABLES, pero la mayoria viene hecho y solo explica la regla completa.
Si quieren montar un filtro con IPTABLES en una maquina casera, pueden hacer lo siguiente:
(No explicaré el detalle de cada regla, ya que lo haré mas adelante en otro topico)
Paso 1º Creamos un archivo donde Escribiremos las reglas:
#!/bin/sh
iptables -F
# Reglas de Entrada
#Solo permitiremos trafico hacia nuestro PC desde los puertos
#1024 hacia arribaiptables -A INPUT -d tcp --dport 1024:65535 -j ACCEPT
iptables -A INPUT -d udp --dport 1024:65535 -j ACCEPT
#Permitiremos el trafico entrante DNS, importante para
#resolver URL'S y navegar
iptables -A INPUT -d tcp --dport 53 -j ACCEPT
iptables -A INPUT -d udp --dport 53 -j ACCEPT
# Cualquiera otra que quieran habilitar debe ser agregado antes de RDT# RDT = Regla de denegacion total (Todo lo que no coincida con
#las reglas anteriores será rechazado).iptables -A INPUT -j DROP
#Reglas Salientes
#Con esto deberiamos poder ir a cualquier lugar sin problemas
iptables -A OUTPUT -d tcp --dport 1:65535 -j ACCEPT
iptables -A OUTPUT -d udp --dport 1:65535 -j ACCEPT
Asi de simple, guarden el archivo como iptables.sh y ejecutenlo con permisos de super usuario
sh iptables.sh
Ahoran en la consola podrán ver las reglas cargadas con el comando iptables -L o iptables -L -n
Prueben como anda el filtro y de estar todo OK, copienlo (en el caso de debian o ubuntu) en el directorio /etc/init.d/ y lo hacen arrancar al inicion con una herramienta como sysvconfig XD .
Con eso ya deben tener las reglas cargadas desde el inicio. Si algo anda mal con el firewall, la forma de borrar las reglas y dejar el firewall muerto es
iptables -F
NOTA. Las reglas se aplican en forma descendente, si se encuentra una coinsidencia en una de las reglas, inmediatamente se aplicará la accion ACCEPT o DROP (Rechazar en forma silenciosa). REJECT tambien puede ser usadoo como acción de rechazo, pero a diferencia de DROP, REJECT envia un mensaje ICMP al origen, que dice “Destino Inalcanzable”
Simple y Bonito XD
acces-list son listas de acceso de los router cisco, esto es similar, pero mucho mas flexible, capaz de filtrar hasta por olores XD
es parecido a access-list y wea?
El script que puse es lo mas basico que se me ocurrio para no tener problemas con conexiones y bloquear cualquier ingreso a puertos entre 1-1024. Si tienes un servidor ltsp supongo que debes habrir el puerto que ocupa em las sentencias de entrada. Con respecto a firestarter, no lo he testeado, pero sea como sea, ningun manejador gráfico de iptables es capaz de manejar todo lo que IPTABLES hace por medio de comandos. Corrigeme si estoy equivocado XD. Ademas, hay que ponerse en el caso de hacer soporte a un servidor remoto ¿Voy a usar firestarter para configurarle el… Read more »
Esta bueno el script pero que pasa si quiero compartir internet con un segundo adaptador o tengo un servidor ltsp? Cual es tu opinion de firestarter?