Check the new version here

Popular channels

Configurar IPTABLES Gnu/Linux Debian

Hola antes de comenzar con la configuración de nuestro firewall (Cortafuegos) vamos a instalarlo
Las reglas aquí aplicadas son referencias para la configuración de un servidor web.

# apt-get install iptables-persistent
una ves instalado vamos a comprobar las reglas por defecto
# iptables -L ( va arrojar el siguiente resultado)
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
esto quiere decir que esta permitiendo cualquier acceso
Lo primero que haremos, es ingresar al directorio /etc/ipatebles y buscaremos el archivo rules.v4 que seria el scritp por defecto para la configuración de reglas primero que haremos es guarda un original de dicho script con el editor nano (nano rules.v4.orig) asi guardaremos el scritp ,luego modificaremos con los sguientes parametros eliminando toda regla creada por defecto ubicandonos debajo de *filter

# Permitir todo el tráfico de loopback (lo0) y denegar todo el tráfico de 127/8 que no utiliza lo0
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT

# Aceptar todas la conexiones entrantes previamente establecidas
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Aceptar todo el tráfico saliente
# Puede modificar esto para aceptar cierto tráfico únicamente
-A OUTPUT -j ACCEPT

# Permitir HTTP y HTTPS desde cualquier lugar
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
-A INPUT -p tcp --dport 81 -j ACCEPT

# Permitir las conexiones de SSH
# EL NUMERO -dport ES EL MISMO QUE CONFIGURÓ EN EL ARCHIVO SSHD_CONFIG (cambiar el puerto para mayor seguridad)
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

# Por favor lea la documentación de iptables y considere si el acceso ssh
# para cualquiera es lo mejor. Por ejemplo puede permitir el acceso únicamente desde ciertas IPs

# Permitir ping
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

# Registrar todas las llamadas denegadas por iptables (accesar vía el comando 'dmesg')
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

# Rechazar todo el otro tráfico de entrada - de manera predetermianda a menos de que exista una política que lo permita:
-A INPUT -j REJECT
-A FORWARD -j REJECT
COMMIT
con ctrl + x guardaremos el archivo con el nombre mencionado arriba (rules.v4)
ahora activaremos la nueva regla creada
# iptables-restore < /etc/iptables/rules.v4
ahora nuevamente comprobaremos las reglas
# iptables -L
nos tendria que tirar un resultado muy parecido a eso..



si te arrojo el resultado creado vamos a proceder a guardar dichas reglas
#iptables-save > /etc/iptables.up.rules
ahora crearemos un script para que las dichas reglas creadas inicien con nuestro sistema con este contenido
#nano /etc/network/if-pre-up.d/iptables
#!/bin/bash
/sbin/iptables-restore < /etc/iptables.up.rules

luego guardamos y le damos permisos de ejecución

#chmod +x /etc/network/if-pre-up.d/iptables
0
0
0
0No comments yet