una practicas de Iptables encontramos que son mas fáciles de realizar si los ejecutamos por medio de un script que regla por regla por consola, esto se debe a que si los realizamos uno por uno no podremos cambiar su orden y si debemos cambiar la posición de una regla nos tocaría borrar las que ya están anteriormente por eso al realizar el script puedes poner tus reglas en el orden que quieras ahora verán como cree los respectivos script uno en el cual la política por defecto es PERMITIR y otro en el que por defecto es DENEGAR.
Para crear el Script debes en la consola donde estas trabajando crear un archivo .sh con tu editor de textos preferidos, por ejemplo.
nano Permit.sh
Este te abrirá un fichero ahí deberás crear el script a continuación están los respectivos ejemplos "cabe decir que para cada script debes crear un archivo diferente" Este es el script que pueden implementar si lo que quieren es permitir todo por defecto y denegar algunas cosas. En este caso estamos denegando el ping, el SSH, el servicio de Internet o HTTP y el servicio de DNS por ambos protocolos.
#!/bin/bash
echo "..............................."
echo "..............................."
echo "Script permitir todo por defecto"
echo "..............................."
echo "Borrando reglas....."
fw=iptables
RLAN=192.168.10.0/24
ILAN=eth0
$fw -F
$fw -Z
$fw -P INPUT ACCEPT
$fw -P OUTPUT ACCEPT
$fw -P FORDWARD ACCEPT
$fw -A INPUT -i $ILAN -s $RLAN -p icmp -j DROP
$fw -A INPUT -i $ILAN -s $RLAN -p tcp --dport 22 -j DROP
$fw -A OUTPUT -s $RLAN -p tcp --dport 80 -j DROP
$fw -A OUTPUT -s $RLAN -p tcp --dport 53 -j DROP
$fw -A OUTPUT -s $RLAN -p udp --dport 53 -j DROP
$fw -L
echo ".................................."
echo "Gracias por su colaboracion"
echo ".................................."
Este es el script que pueden implementar si lo que quieren es denegar todo por defecto y permitir algunas cosas. En este caso estamos permitiendo el ping, el SSH, el servicio de Internet o HTTP y el servicio de DNS por ambos protocolos.
#!/bin/bash
echo "..............................."
echo "Script para denegar todo por defecto"
echo "..............................."
echo "Borrando reglas....."
fw=iptables
RLAN=192.168.10.0/24
ILAN=eth0
$fw -F
$fw -X
$fw -Z
$fw -P INPUT DROP
$fw -P OUTPUT DROP
$fw -P FORWARD DROP
$fw -A INPUT -i $ILAN -p icmp -j ACCEPT
######entrada respuestas ssh externas
$fw -A INPUT -i $ILAN -p tcp --sport 22 -j ACCEPT
#####entrada peticiones ssh externas
$fw -A INPUT -i $ILAN -p tcp --dport 22 -j ACCEPT
######entrada respuestas dns externos
$fw -A INPUT -i $ILAN -p udp --sport 53 -j ACCEPT
######entrada respuestas web externo
$fw -A INPUT -i $ILAN -p tcp --sport 80 -j ACCEPT
$fw -A OUTPUT -o $ILAN -p icmp -j ACCEPT
$fw -A OUTPUT -o $ILAN -p tcp --sport 53 -j ACCEPT
$fw -A OUTPUT -o $ILAN -p tcp --dport 80 -j ACCEPT
$fw -A OUTPUT -o $ILAN -p tcp --dport 22 -j ACCEPT
$fw -A OUTPUT -o $ILAN -p tcp --sport 22 -j ACCEPT
$fw -A OUTPUT -s $RLAN -o $ILAN -p udp --dport 53 -j ACCEPT
$fw -L
echo ".................................."
echo "Gracias por su colaboracion"
echo ".................................."
echo "..............................."
echo "Script para denegar todo por defecto"
echo "..............................."
echo "Borrando reglas....."
fw=iptables
RLAN=192.168.10.0/24
ILAN=eth0
$fw -F
$fw -X
$fw -Z
$fw -P INPUT DROP
$fw -P OUTPUT DROP
$fw -P FORWARD DROP
$fw -A INPUT -i $ILAN -p icmp -j ACCEPT
######entrada respuestas ssh externas
$fw -A INPUT -i $ILAN -p tcp --sport 22 -j ACCEPT
#####entrada peticiones ssh externas
$fw -A INPUT -i $ILAN -p tcp --dport 22 -j ACCEPT
######entrada respuestas dns externos
$fw -A INPUT -i $ILAN -p udp --sport 53 -j ACCEPT
######entrada respuestas web externo
$fw -A INPUT -i $ILAN -p tcp --sport 80 -j ACCEPT
$fw -A OUTPUT -o $ILAN -p icmp -j ACCEPT
$fw -A OUTPUT -o $ILAN -p tcp --sport 53 -j ACCEPT
$fw -A OUTPUT -o $ILAN -p tcp --dport 80 -j ACCEPT
$fw -A OUTPUT -o $ILAN -p tcp --dport 22 -j ACCEPT
$fw -A OUTPUT -o $ILAN -p tcp --sport 22 -j ACCEPT
$fw -A OUTPUT -s $RLAN -o $ILAN -p udp --dport 53 -j ACCEPT
$fw -L
echo ".................................."
echo "Gracias por su colaboracion"
echo ".................................."
Después de crear el script debes guardarlo y para poderlo ejecutar debes darle permisos de ejecución para eso ejecutas el siguiente comando
chmod 755 Permit.sh (nombre de archivo)
Y ya al darles permisos de ejecución debes ejecutarlo para eso solo debes ejecutar el siguiente comando.
./Permirt.sh (nombre de archivo a ejecutar)
Ya con esto tienes tu script listo y tu Iptables funcionando espero que les sea de ayuda este post.
No hay comentarios:
Publicar un comentario