\n
![](\"http:\/\/static.flickr.com\/38\/101282474_36f59123dc.jpg?v=0\"\/)
\n<\/center><\/p>\n
Per comen\u00e7ar ens assegurem que no hi ha cap regla definida al firewall fent neteja de les 3 taules principals que disposa: filter (per defecte), nat (consultada quan un paquet crea una nova connexi\u00f3) i mangle (especifica per alteraci\u00f3 de paquets).<\/p>\n
\r\niptables -t filter -F\r\niptables -t nat -F\r\niptables -t mangle -F\r\n<\/pre>\nEstablim una pol\u00edtica per defecte, la qual pot ser REJECT, DROP (descarta paquet sense avisar l’altre extrem) o ACCEPT:
\n<\/p>\n\r\n# Politica general\r\niptables -t filter -P INPUT DROP\r\niptables -t filter -P OUTPUT DROP\r\niptables -t filter -P FORWARD DROP\r\n\r\n# Politica de las cadenas extendidas\r\niptables -t mangle -P INPUT ACCEPT\r\niptables -t mangle -P OUTPUT ACCEPT\r\niptables -t mangle -P PREROUTING ACCEPT\r\niptables -t mangle -P POSTROUTING ACCEPT\r\n\r\niptables -t nat -P OUTPUT ACCEPT\r\niptables -t nat -P PREROUTING ACCEPT\r\niptables -t nat -P POSTROUTING ACCEPT\r\n<\/pre>\nEn aquest cas descartem els paquets que arribin a la cadena INPUT, OUTPUT i FORWARD.<\/p>\n
Per compartir la connexi\u00f3, en primer lloc haurem d’activar el forward de trafic:<\/p>\n
\r\necho 1 > \/proc\/sys\/net\/ipv4\/ip_forward\r\n<\/pre>\nI a continuaci\u00f3 activem NAT per l’interficie “eth0”:<\/p>\n
\r\n# Habilito el NAT\r\niptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE\r\n<\/pre>\nAmb aquests 2 \u00faltims sentencies ja hem compartit l’acc\u00e9s a Internet (es poden obviar si no es desitja activar la compartici\u00f3).<\/p>\n
En general, \u00e9s recomanable permetre el trafic ICMP:<\/p>\n
\r\n# Dejo pasar los paquetes ICMP\r\niptables -t filter -A INPUT -i eth0 -p ICMP -j ACCEPT\r\n<\/pre>\nSi volem, com que per defecte descartem tots els paquets, ara es el moment a on podem obrir ports d’entrada com per exemple 80 (Web) y 22 (SSH):<\/p>\n
\r\n# Acepto conexiones al puerto 80 (HTTP)\r\niptables -t filter -A INPUT -i eth0 -p TCP --dport 80 -m state --state NEW -j ACCEPT\r\n\r\n# Acepto conexiones al puerto 22 (SSH)\r\niptables -t filter -A INPUT -i eth0 -p TCP --dport 22 -m state --state NEW -j ACCEPT\r\n<\/pre>\nSi volem permetre l’acc\u00e9s cap a servidors web:<\/p>\n
\r\niptables -t filter -A OUTPUT -o eth0 -p TCP --dport 80 -j ACCEPT\r\n<\/pre>\nEn general, lo m\u00e9s c\u00f2mode es permetre tots els paquets de sortida, tot i que les recomanacions de seguretat sempre s\u00f3n tancar per defecte i obrir nom\u00e9s lo que necessitem:<\/p>\n
\r\niptables -t filter -A OUTPUT -o eth0 -j ACCEPT\r\n<\/pre>\nFinalment, acceptem tots els paquets de connexions ja establertes (e.g. relacionats amb el port 80) i descartem noves connexions (tan directes com forwarded):<\/p>\n
\r\n# Acepto paquetes de conexiones ya establecidas\r\niptables -t filter -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT\r\n\r\n# Rechazo paquetes de conexiones nuevas\r\niptables -t filter -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP\r\n\r\n# Rechazo paquetes de forwarding de conexiones no establecidas\r\niptables -t filter -A FORWARD -i eth0 -m state --state NEW,INVALID -j DROP\r\n<\/pre>\nA m\u00e9s a m\u00e9s, es possible que ens interessi redirigir un port de la nostra m\u00e0quina a una altra m\u00e0quina de la xarxa local, per exemple redirigir el nostre port 80 a la IP 192.168.0.111<\/p>\n
\r\niptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.111:80\r\niptables -t filter -A FORWARD -i eth0 -p tcp -d 192.168.0.111 --dport 80 -j ACCEPT\r\n<\/pre>\n","protected":false},"excerpt":{"rendered":"Per compartir Internet i protegir el nostre equip utilitzarem el firewall “iptables” del kernel de Linux. Per comen\u00e7ar ens assegurem que no hi ha cap regla definida al firewall fent neteja de les 3 taules principals que disposa: filter (per defecte), nat (consultada quan un paquet crea una nova connexi\u00f3) i mangle (especifica per alteraci\u00f3 … Continue reading Firewall iptables en 10 minuts<\/span>