script Iptables

Imagen de Elknti
0 puntos

Hola, este es mi primera consulta, soy muy nuevo con respecto a linux, tengo el siguinte enunciado, alguien me podría explicar exactamente que es lo que hace y segundo como puedo modificarlo ya que esto funcionaba en debian 5.0 y ahora tengo debian 6.0, a la espera de sus gentiles respuestas.

$IPTABLES -A INPUT -i $ETH_WAN -s 0.0.0.0/0 -d ! $IP_INT -j DROP
$IPTABLES -A OUTPUT -o $ETH_WAN -s ! $IP_INT -d 0.0.0.0/0 -j DROP

Imagen de Gabriel_M
+1
0
-1

¿Qué son $IPTABLES $ETH_WAN $IP_INT?

+1
0
-1
Imagen de Elknti
+1
0
-1

ETH_WAN es una variable definida para mi eth1 y IP_INT es la direccion ip de mi eth1.

+1
0
-1
Imagen de firecold
+1
0
-1

postea el script completo para poderte ayudar

+1
0
-1

Imagen de Elknti
+1
0
-1

! /bin/sh
echo ......
RED_LOCAL=10.7.2.0/255.255.255.0
RED_SERVIDORES=10.7.1.0/255.255.0.0
IP_MAILSERVER=200.24.176.227/0
RED_TOTAL=10.7.0.0/0
IP_INT=10.7.1.248
IP_PROT=10.7.2.24/0
IP_ADMIN=10.7.2.97
IP_SUPLADB=10.7.1.251/255.255.0.0
IP_CARTODB=10.7.1.252/255.255.0.0
IP_CENTRAL=10.7.1.253/0
IP_SUPLAWEB=10.7.1.250/255.255.0.0
ETH_LAN=eth2
ETH_WAN=eth1
IPTABLES=/sbin/iptables
IP_EMUSA="10.7.2.193"

IPS_CARTOPAC="10.7.2.210 10.7.2.211 10.7.2.212 10.7.2.213 10.7.2.214 10.7.2.215 10.7.2.216 10.7.2.217 10.7.2.218 10.7.2.219 10.7.2.220 10.7.2.221 10.7.2.222 10.7.2.223 10.7.2.224 10.7.2.225 10.7.2.139"
IPS_CARTOPAC_ORACLE="10.7.2.210 10.7.2.211 10.7.2.212 10.7.2.213 10.7.2.214 10.7.2.215 10.7.2.216 10.7.2.217 10.7.2.218 10.7.2.219 10.7.2.220 10.7.2.221 10.7.2.222 10.7.2.223 10.7.2.224 10.7.2.225 10.7.2.139"

IPS_8101="10.7.2.85 10.7.2.139 10.7.2.170"
#IPS_8101="10.7.2.85 10.7.2.139 10.7.2.170"

FTP_HP="10.7.2.135 10.7.2.137 10.7.2.138 10.7.2.139"
IPS_SQL="10.7.2.176 10.7.2.177 10.7.2.178 10.7.2.135 10.7.2.138 10.7.2.175 10.7.2.172 10.7.2.186 10.7.2.187 10.7.2.93 10.7.2.139 10.7.2.201 10.7.2.202 10.7.2.203 10.7.2.204 10.7.2.205 10.7.2.206 10.7.2.207 10.7.2.208 10.7.2.209 10.7.2.210 10.7.2.211 10.7.2.212 10.7.2.213 10.7.2.214 10.7.2.215 10.7.2.216 10.7.2.217 10.7.2.218 10.7.2.219 10.7.2.220 "

echo Variables definidas OK...

# Borrar las reglas anteriores
#$IPTABLES -F
#$IPTABLES -F -t nat
#$IPTABLES -X
#$IPTABLES -X -t nat
iptables -F
iptables -X
iptables -Z
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
iptables -F -t mangle
iptables -X -t mangle
iptables -Z -t mangle
iptables -F -t filter
iptables -X -t filter
iptables -Z -t filter
echo Reglas anteriores ELIMINADAS...

# Establecer las POLITICAS por DEFECTO (DROP)
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
echo Politicas por Defecto DROP OK...

# Permitir el acceso al dispositivo localhost
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
echo Acceso LOCALHOST OK

# Habilitamos trafico sobre eth1 a la red INTERNET
$IPTABLES -A INPUT -i $ETH_WAN -j ACCEPT
$IPTABLES -A OUTPUT -o $ETH_WAN -j ACCEPT
#echo Trafico Internet sobre eth1 OK...

# Habilitamos trafico sobre eth2 a la RED LOCAL
$IPTABLES -A INPUT -i $ETH_LAN -j ACCEPT
$IPTABLES -A OUTPUT -o $ETH_LAN -j ACCEPT
#echo trafico Red Local sobre eth2 OK...

# Habilitando trafico sobre una maquina de administradora
#$IPTABLES -A INPUT -i $ETH_WAN -s $IP_ADMIN -j ACCEPT
#$IPTABLES -A OUTPUT -o $ETH_WAN -d $IP_ADMIN -j ACCEPT
#echo trafico de pc administradora a servidor OK...

# Protegiendo el firewall desde el Exterior (REGLA MUY IMPORTANTE)
$IPTABLES -A INPUT -i $ETH_WAN -s 0.0.0.0/0 -d ! $IP_INT -j DROP
$IPTABLES -A OUTPUT -o $ETH_WAN -s ! $IP_INT -d 0.0.0.0/0 -j DROP
echo FIREWALL PROTEGIDO OK...

#BLOQUEANDO PUERTO HTTPS 443 y ULTRASURF 9666
#/sbin/iptables -A FORWARD -p tcp --dport 9666 -j DROP
#/sbin/iptables -A FORWARD -p tcp --dport 443 -j DROP

+1
0
-1
Imagen de donatelo26
+1
0
-1

$IPTABLES -A INPUT -i $ETH_WAN -s 0.0.0.0/0 -d ! $IP_INT -j DROP
con eso bloqueas todo el trafico que entra de $ETH_WAN hacia la red interna
$IPTABLES -A OUTPUT -o $ETH_WAN -s ! $IP_INT -d 0.0.0.0/0 -j DROP
con este bloqueas las peticiones internas hacia a fuera de la red

+1
0
-1
Imagen de Elknti
+1
-1
-1

hay alguna diferencia si quito el signo de " ! ", ya que cuando ejecuto el script me da el siguiente mensaje:

Using intrapositioned negation (`--option ! this`) is deprecated in favor of extrapositioned (`! --option this`).

Gracias por su ayuda.

+1
-1
-1
Imagen de donatelo26
+1
0
-1

te dejo mi script, con esto bloqueo algunas cosas y doy internet a mi red.

#! /bin/sh
iptables -F

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080
#iptables -A FORWARD -i eth1 --source 69.0.0.0 --destination 192.168.2.0/24 -j DROP
#iptables -A FORWARD -p tcp --dport 9666 -j DROP

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

+1
0
-1