La poltica por defecto para el reenvo de paquetes es la de descartarlos. Sin embargo: Se permite el reenvo para el trfico TCP por el puerto 80 desde la red interna. Se permite el reenvo para poder acceder al servicio DNS desde la red interna. Se permite el reenvo para el trfico por el puerto 443 solamente para una IP concreta desde la red interna.
La configuracin de IPTABLES se basa en la aplicacin de las reglas que declaremos en un script.
Lo primero que debe incluir nuestro script SIEMPRE es la eliminacin de las reglas anteriores para evitar conflictos : iptables -F iptables -X iptables -Z iptables -t nat -F Lo siguiente que debemos incluir en nuestro script, es la poltica por defecto de nuestro cortafuegos. En este caso, ser restrictiva, es decir, se denegar todo el trfico, exceptuando el que definamos claramente. iptables -p INPUT DROP iptables -P OUTPUT DROP iptables -p FORWARD DROP Permitimos el trfico en la red local, para evitar errores y no denegarnos a nosotros mismos el trfico a nuestros servicios locales. /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A OUTPUT -o lo -j ACCEPT *Con '' -i lo '' indicamos input lo, es decir, entrada por local, y con '' -o lo '' salida por la red local Permitir el trfico por el puerto 80. iptables -A FORWARD -i eth1 -s 192.168.100.0/24 -p tcp dport 80 -j ACCEPT iptables -A FORWARD -o eth1 -d 192.168.100.0/24 -p tcp dport 80 j ACCEPT *Permitiendo el trfico por el puerto 80, permitimos navegar por http, si adems queremos permitir navegar por https, habilitamos el puerto 443:
iptables -A FORWARD -o eth1 -d 192.168.100.0/24 -p tcp dport 443 j ACCEPT Permitir puerto 53, consultas DNS: Como sabemos, el servicio DNS opera con el protocolo UPD y TCP, por lo que es necesario habilitar el trfico para los dos protocolos iptables -A FORWARD -i eth1 -s 192.168.100.0/24 -p udp dport 53 -j ACCEPT iptables -A FORWARD -o eth1 -d 192.168.100.0/24 -p udp dport 53 j ACCEPT iptables -A FORWARD -i eth1 -s 192.168.100.0/24 -p tcp dport 53 -j ACCEPT iptables -A FORWARD -o eth1 -d 192.168.100.0/24 -p tcp dport 53 j ACCEPT Habilitar el servicio ssh, para toa la red. El servicio SSH opera por ell puerto 22, si queremos habilitar las conexines ssh tanto para la red interna como la pblica, no definimos la interfaz en la declaracin: iptables -A INPUT -p tcp dport 22 -j ACCEPT iptables -A OUTPUT -p tcp sport 22 -j ACCEPT Por ltimo, habilitamos el enmascaramiento, permitiendo la salida al exterior de nuestros clientes a travs de nuestra red pblica: echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE Guardamos nuestro script, le damos permiso de ejecucin, y lo ejecutamos. Para comprobar que las reglas son aplicadas, ejecutamos: iptables -L -n