Ejemplo IPTABLES
Limpieza inicial de las tablas
iptables -t filter -Fiptables -t nat -F Política por defecto
iptables -t filter -P FORWARD DROPiptables -t filter -P INPUT DROPiptables -t filter -P OUTPUT DROPPermitir TELNET
Permitir TELNET (puerto 23) desde PC-ADMIN hacia FW
iptables -t filter -A INPUT -i eth0 -p tcp --dport 23 -s 10.0.0.1 -d 10.0.0.252 -j ACCEPTiptables -t filter -A OUTPUT -o eth0 -p tcp --sport 23 -s 10.0.0.252 -d 10.0.0.1 -m state --state RELATED,ESTABLISHED -j ACCEPTPrevención de suplantaciones
IP de origen 192.168.100.0/24
Rechazar tráfico que venga por eth1 con direcciones IP de origen 192.168.100.0/24
iptables -t filter -A INPUT -i eth1 -s 192.168.100.0/24 -j DROPIP de origen 10.0.0.0/8
Rechazar tráfico que venga por eth1 con direcciones IP de origen 10.0.0.0/8
iptables -t filter -A INPUT -i eth1 -s 10.0.0.0/8 -j DROPDNS de la DMZ
Permitir las conexiones DNS
Permitir las conexiones desde la red LAN al DNS de la DMZ
iptables -t filter -A FORWARD -i eth0 -o eth2 -p udp --dport 53 -d 192.168.100.1 -j ACCEPTiptables -t filter -A FORWARD -i eth2 -o eth0 -p udp --sport 53 -s 192.168.100.1 -m state --state RELATED,ESTABLISHED -j ACCEPTTráfico entre la LAN y la DMZ
Permitir ICMP (ping)
Permitir hacer ping desde la LAN hasta la DMZ.
iptables -t filter -A FORWARD -i eth0 -o eth2 -p icmp -j ACCEPTiptables -t filter -A FORWARD -i eth2 -o eth0 -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPTPermitir SSH de PC-ADMIN a DMZ
Permitir todo el tráfico desde PC-ADMIN en la LAN hasta cualquier sistema de la DMZ para labores de mantenimiento por SSH
iptables -t nat -A PREROUTING -i eth1 -p tcp -dport 443 -j DNAT --to 192.168.100.2iptables -t filter -A FORWARD -i eth0 -o eth2 -s 10.0.0.1 -p tcp -dport 22 -j ACCEPTiptables -t filter -A FORWARD -i eth2 -o eth0 -d 10.0.0.1 -p tcp -sport 22 -m state --state RELATED,ESTABLISHED -j ACCEPTTráfico entre INTERNET y DMZ
Permitir tráfico tcp https de WAN al servidor web
Permitir el tráfico tcp para que puedan acceder desde la WAN a nuestro servidor web de forma segura.
iptables -t nat -A PREROUTING -i eth1 -p tcp -dport 443 -j DNAT --to 192.168.100.2iptables -t filter -A FORWARD -i eth1 -o eth2 -d 192.168.100.2 -p tcp -dport 443 -j ACCEPTiptables -t filter -A FORWARD -i eth2 -o eth1 -s 192.168.100.2 -p tcp -sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPTTráfico entre la LAN y WAN
Permitir http y https de LAN a WAN
Permitir que los usuarios de la LAN puedan navegar por internet mediante http y https.
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADEiptables -t filter -A FORWARD -i eth0 -o eth1 -p tcp -m multiport --dports 80,443 -j ACCEPTiptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp -m multiport --sports 80,443 -m state --state RELATED,ESTABLISHED -j ACCEPTCreador
