#!/bin/sh clear echo -n Aplicando Reglas de Firewall.. echo . ## IPS IPSERVER= la que toque IPCHUCHI=172.28.2.66 IPNACHO=172.28.2.15 IPJAVI=172.28.2.44 IPVICTOR=172.28.2.

198 IPRED=172.28.0.0/24 ## FLUSH iptables iptables iptables iptables de reglas -F -X -Z -t nat -F

## Establecemos politica por defecto: DROP para INPUT, ACCEPT para las demas iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT ############################# #### Empezamos a filtrar #### ############################# ## Permitir localhost siempre iptables -A INPUT -i lo -j ACCEPT ## permitir conexiones ya establecidas iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # Permitir el acceso por ssh a nuestra ip y cortamos al resto registrandolo: iptables -A INPUT -p TCP --dport 22 -s $IPRED -d $IPSERVER -j ACCEPT iptables -A INPUT -p TCP --dport 22 -j LOG --log-prefix "Intento_SSH: " #iptables -A INPUT -p TCP --dport 22 -j DROP ## permitir puerto 80, solo local iptables -A INPUT -p tcp -s $IPRED --dport 80 -j ACCEPT ## permitir puerto 443, httpS, solo local iptables -A INPUT -p tcp -s $IPRED --dport 443 -j ACCEPT ## Permitir el acceso al puerto 10000 a nuestra ip y cortamos al resto registran dolo: iptables -A INPUT -p tcp -s $IPCHUCHI --dport 10000 -j ACCEPT iptables -A INPUT -p TCP --dport 10000 -j LOG --log-prefix "Intento_webmin: " ##permitir puertos cliente netbackup iptables -A INPUT -p tcp -s 172.28.1.55 -j ACCEPT ## Aceptar ping limitando paquetes para evitar ataques iptables -A INPUT -p ICMP -s $IPRED --icmp-type 8 -m limit --limit 1/s -j ACCEPT

############################# #### Reglas comentadas #### #############################

#Log de todo lo que no se permite: #iptables -A INPUT -j LOG --log-prefix "Default_Drop: " echo -n completado!! echo . --------------------------------------------------------------------------este script se guarda y se le dan permisos de ejecucion: iptables -L -n -v para un listado pormenorizado de todas las reglas para que se ejecuten con el servidor y no se pongan por defecto: Las reglas creadas con el comando iptables son almacenadas en memoria. Si el sis tema es reiniciado antes de guardar el conjunto de reglas iptables, se perdern to das las reglas. Para que las reglas de filtrado de red persistan despues de un r einicio del sistema, estas necesitan ser guardadas. Para hacerlo,como root y esc ribir: /sbin/service iptables save (al menos en centos) cuando des service iptables reload o resatart se cargaran l as reglas del archivo que esta ubicado en /etc/sysconfig/iptables y no las del script a no ser que lo modifiques. para redirigir del 8080 al 80 iptables -t nat --append PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080