Foros del Web » Administración de Sistemas » Unix / Linux »

iptables + contabilidad ip + firewall

 Estas en el tema de iptables + contabilidad ip + firewall en el foro de Unix / Linux en Foros del Web. Hola a tod@s....... Tengo una confucion estoy haciendo contabilidad ip con iptables + mrtg, con lo que estoy viendo el ancho de banda de salida ...
  #1 (permalink)  
Antiguo 28/04/2004, 14:43
 
Fecha de Ingreso: octubre-2003
Ubicación: Babahoyo - Los Rios
Mensajes: 31
Antigüedad: 20 años, 6 meses
Puntos: 0
Pregunta iptables + contabilidad ip + firewall
Hola a tod@s.......

Tengo una confucion estoy haciendo contabilidad ip con iptables + mrtg, con lo que estoy viendo el ancho de banda de salida y entrada en mi router linux...; pero al mismo tiempo estoy haciendo un firewall en este router mi confuncion es sis al estar haciendo contabilidad ip y firewall las reglas no se me estarán enredando y estara haciendo lo que realmente quiero??????... les dejo el script a ver si me pueden ayudar

Posdata : la contabilidad ip me funciona pero me parece el filtrado no lo está haciendo correctamente....

Gracias de antemano.....

SCRIPT:

#!/bin/sh

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

## reglas de contabilidad para http
iptables -N WWWentrada
iptables -N WWWsalida
iptables -A WWWentrada -j ACCEPT
iptables -A WWWsalida -j ACCEPT
iptables -A FORWARD -i eth0 -m tcp -p tcp --sport 80 -j WWWentrada
iptables -A FORWARD -o eth0 -m tcp -p tcp --dport 80 -j WWWsalida

## reglas de contabilidad para ftp
iptables -N FTPentrada
iptables -N FTPsalida
iptables -A FTPentrada -j ACCEPT
iptables -A FTPsalida -j ACCEPT
iptables -A FORWARD -i eth0 -m tcp -p tcp --sport 20:21 -j FTPentrada
iptables -A FORWARD -o eth0 -m tcp -p tcp --dport 20:21 -j FTPsalida

## reglas de contabilidad para smtp
iptables -N SMTPentrada
iptables -N SMTPsalida
iptables -A SMTPentrada -j ACCEPT
iptables -A SMTPsalida -j ACCEPT
iptables -A FORWARD -i eth0 -m tcp -p tcp --sport 25 -j SMTPentrada
iptables -A FORWARD -o eth0 -m tcp -p tcp --dport 25 -j SMTPsalida

## reglas de contabilidad para dns
iptables -N DNSentrada
iptables -N DNSsalida
iptables -A DNSentrada -j ACCEPT
iptables -A DNSsalida -j ACCEPT
iptables -A FORWARD -i eth0 -m tcp -p tcp --sport 53 -j DNSentrada
iptables -A FORWARD -o eth0 -m tcp -p tcp --dport 53 -j DNSsalida

## reglas de contabilidad para cualquiera de los demas puertos
iptables -N Oentrada
iptables -N Osalida
iptables -A Oentrada -j ACCEPT
iptables -A Osalida -j ACCEPT
iptables -A FORWARD -j Oentrada
iptables -A FORWARD -j Osalida

## reglas de contabilidad para www cache
iptables -N CACHEentrada
iptables -A CACHEentrada -j ACCEPT
iptables -A FORWARD -i eth0 -m tcp -p tcp --sport 8080 -j CACHEentrada

####Filtrado ###########

## Empezamos a filtrar
## Nota: eth0 es el interfaz conectado al router y eth1 a la LAN

#Aceptamos de la pc de los jefes (que lata!!!!)
iptables -A FORWARD -s 172.30.60.24 -p tcp --dport 1:1024 -j ACCEPT
iptables -A FORWARD -s 172.30.60.27 -p tcp --dport 1:1024 -j ACCEPT

# Al firewall tenemos acceso desde la red local
iptables -A INPUT -s 172.30.60.0/24 -i eth1 -j ACCEPT

## Ahora con regla FORWARD filtramos el acceso de la red local
## al exterior. Como se explica antes, a los paquetes que no van dirigidos al
## propio firewall se les aplican reglas de FORWARD

# Aceptamos que vayan a puertos http
iptables -A FORWARD -s 172.30.60.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 172.30.60.0/24 -o eth1 -p tcp --dport 80 -j ACCEPT


# Aceptamos que consulten los DNS
iptables -A FORWARD -s 172.30.60.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 172.30.60.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s 172.30.60.0/24 -o eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 172.30.60.0/24 -o eth1 -p udp --dport 53 -j ACCEPT

# Aceptamos que consulten los smtp
iptables -A FORWARD -s 172.30.60.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 172.30.60.0/24 -o eth1 -p tcp --dport 25 -j ACCEPT


# Aceptamos que consulten los cache web
iptables -A FORWARD -s 172.30.60.0/24 -i eth1 -p tcp --dport 8080 -j ACCEPT
iptables -A FORWARD -s 172.30.60.0/24 -o eth1 -p tcp --dport 8080 -j ACCEPT

# Aceptamos que consulten los mail
iptables -A FORWARD -s 172.30.60.0/24 -i eth1 -p tcp --dport 8100 -j ACCEPT
iptables -A FORWARD -s 172.30.60.0/24 -o eth1 -p tcp --dport 8100 -j ACCEPT

#Aceptamos el trafico ftp
iptables -A FORWARD -s 172.30.60.0/24 -i eth1 -p tcp --dport 20:21 -j ACCEPT
iptables -A FORWARD -s 172.30.60.0/24 -o eth1 -p tcp --dport 20:21 -j ACCEPT

# Y denegamos el resto. Si se necesita alguno, ya avisaran
iptables -A FORWARD -s 172.30.60.0/24 -p tcp --dport 1:1024 -j DROP

# Ahora hacemos enmascaramiento de la red local
iptables -t nat -A POSTROUTING -s 172.30.60.0/24 -o eth0 -j MASQUERADE

# Con esto permitimos hacer forward de paquetes en el firewall, o sea
# que otras m?quinas puedan salir a traves del firewall.
echo 1 > /proc/sys/net/ipv4/ip_forward

#Fin


Muchas gracias de antemano..........




__________________
DOOM
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta


« Tema Anterior | Próximo Tema »


La zona horaria es GMT -6. Ahora son las 10:47.