[eside-ghost] iptables

Vie Ago 8 19:03:37 CEST 2008

eagle [08/08/08 16:28 +0200] escribiÃ³:
> Hola,
> Tengo una dutilla con iptables, a ver si alguien puede echarme un cable.
> La idea es bloquear (DROP) todo el trÃ¡fico IN, OUT y FORWARD de un
> equipo. Permitiendo Ãºnicamente el trafico saliente que podrÃa
> generarse al usar un navegador web (80 y 443) y que en el trÃ¡fico ICMP
> sÃ³lo se permitan pings.

# PolÃticas
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Reglas de entrada
iptables -A INPUT -p tcp -m state --state ESTABLISHED --sport 80 --dport 1024: -j ACCEPT
iptables -A INPUT -p tcp -m state --state ESTABLISHED --sport 443 --dport 1024: -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

# Reglas de salida
iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED --sport 1024: --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED --sport 1024: --dport 443 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

FaltarÃa aÃ±adir unas reglas de entrada y salida para la comunicaciÃ³n con
el servidor de nombres.

> Eskerrik,
> eagle

Saludos,
  Alvaro.
------------ próxima parte ------------
Se ha borrado un mensaje que no estÃ¡ en formato texto plano...
Nombre     : no disponible
Tipo       : application/pgp-signature
TamaÃ±o     : 197 bytes
DescripciÃ³n: Digital signature
Url        : https://listas.deusto.es/mailman/private/eside-ghost/attachments/20080808/3e8cf5d4/attachment.pgp 