Tabla de contenido
Configuración de red: Filtros de paquetes, rutas y nateo
Los siguientes ficheros configuran el manejo que este firewall hace del tráfico de red. Por ahora, se trata sobre todo del filtro de paquetes y nateo
Creación de Grupos IPSET
Este fichero no necesita configuración alguna. Se limita a crear los grupos que usted ha configurado en /root/fws/infraestructura.sh
cat << "MAFI" > /etc/fws/grupos_ipset.sh
#!/bin/bash -x
## grupos_ipset.sh ##
## El presente archivo configurará los grupos IPSET en el sistema
# Leemos el archivo de configuración
source /etc/fws/infraestructura.sh
echo -e "\n\n GRUPOS_IPSET.SH\n\n"
#### Operaciones para la creación de grupos IPSET #####
## Grupos con IP para listas varias
for grupo in ${!listados[*]}
do
ipset -exist create $grupo hash:ip
for ipa in ${listados[$grupo]}
do
ipset -exist add $grupo $(echo $ipa | cut -d '/' -f 1)
done
done
for grupo in ${!listados_red[*]}
do
ipset -exist create $grupo hash:net
for red in ${listados_red[$grupo]}
do
ipset -exist add $grupo $red
done
done
MAFIConfiguración del Filtrado de Paquetes de Red
Las reglas que se configuran en este script pretenden ser didácticas; su intención es que pueda llegar a comprender su funcionamiento, lo cual le hará estar mejor preparado frente a posibles eventualidades.
No modifique su contenido. El fichero podría ser sustituido por un administrador de forma remota en cualquier momento. Para agregar reglas, eche mano del script /etc/fws/establecimiento.sh
cat << "MAFI" > /etc/fws/firewall.sh
#!/bin/bash -x
## firewall.sh ##
## El presente archivo configurará la tabla filter del Firewall.
# Leemos el archivo de configuración
source /etc/fws/infraestructura.sh
echo -e "\n\n FIREWALL.SH\n\n"
# Borramos las reglas de filtrado, reinicializamos los contadores y borramos las cadenas personalizadas que existan al momento de ejecutar el script
iptables -t filter -F
iptables -t filter -Z
iptables -t filter -X
# Configuramos las reglas por defecto en DROP
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
### OUTPUT ###
## Salida desde $INL
iptables -t filter -A OUTPUT -m set --match-set SRV src -m set --match-set SRV dst -m comment --comment "Permisivo hacia IP de interfaz LAN" -j ACCEPT
OUTPUTL="iptables -t filter -A OUTPUT -o $INL -m set --match-set LAN dst"
$OUTPUTL -p tcp -m multiport --sport 3128,22,80 -m conntrack --ctstate ESTABLISHED,RELATED -m comment --comment "Respuesta a tráfico originado en LAN" -j ACCEPT
$OUTPUTL -p udp -m multiport --sport 67,68 -m conntrack --ctstate ESTABLISHED,RELATED -m comment --comment "Respuesta a tráfico originado en LAN" -j ACCEPT
$OUTPUTL -p tcp -m multiport --dport 22,80 -m comment --comment "Servicios permitidos hacia LAN" -j ACCEPT
$OUTPUTL -p icmp -m comment --comment "Sondeo desde Firewall hacia si mismo" -j ACCEPT
## Salida desde $INW
OUTPUTW="iptables -t filter -A OUTPUT -o $INW"
$OUTPUTW -m set --match-set admins dst -m multiport -p tcp --sport 80,22 -m conntrack --ctstate ESTABLISHED,RELATED -m comment --comment "Puertos abiertos para WAN" -j ACCEPT
$OUTPUTW -d 0.0.0.0/0 -m multiport -p tcp --dport 53,80,443,22,20,21,389,465,8080 -m comment --comment "Servicios permitidos hacia WAN" -j ACCEPT
$OUTPUTW -d 0.0.0.0/0 -m multiport -p tcp --dport 5044,8086,9200 -m comment --comment "Servicios de administración hacia WAN" -j ACCEPT
$OUTPUTW -d 0.0.0.0/0 -m multiport -p udp --dport 53,123,33434:33523 -m comment --comment "Servicios permitidos hacia WAN" -j ACCEPT
$OUTPUTW -p tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT -m comment --comment "Tráfico FTP Pasivo"
$OUTPUTW -p icmp -m comment --comment "Sondeo a exteriores desde interfaz WAN" -j ACCEPT
### INPUT ###
## Entrada hacia $SRV
iptables -t filter -A INPUT -m set --match-set LANBLOCK src -m set --match-set SRV dst -m comment --comment "IP LAN Bloqueadas" -j DROP
iptables -t filter -A INPUT -m set --match-set SRV src -m set --match-set SRV dst -m comment --comment "Permisivo hacia IP de interfaz LAN" -j ACCEPT
INPUTL="iptables -t filter -A INPUT -i $INL -m set --match-set LAN src -m set --match-set SRV dst"
$INPUTL -p tcp -m multiport --dport 3128,22,80 -m conntrack --ctstate ESTABLISHED,RELATED -m comment --comment "Respuesta a tráfico desde LAN" -j ACCEPT
$INPUTL -p tcp -m multiport --sport 22 -m conntrack --ctstate ESTABLISHED,RELATED -m comment --comment "Respuesta a tráfico originado en Firewall" -j ACCEPT
$INPUTL -p tcp -m multiport --dport 3128,22,80 -m conntrack --ctstate NEW -m comment --comment "Tráfico entrante permitido desde LAN" -j ACCEPT
$INPUTL -p icmp -j ACCEPT
## Reglas adicionales para servicios que el firewall pueda ofrecer a LAN o DMZ
iptables -t filter -N SRVADD
$INPUTL -j SRVADD -m comment --comment "Enviamos a las reglas INPUT personalizadas"
## Entrada hacia $INW
INPUTW="iptables -t filter -A INPUT -i $INW"
$INPUTW -m set --match-set admins src -m multiport -p tcp --dport 80,22 -m conntrack --ctstate ESTABLISHED,RELATED -m comment --comment "Respuestas para #admins" -j ACCEPT
$INPUTW -m set --match-set admins src -p icmp -m conntrack --ctstate ESTABLISHED,RELATED -m comment --comment "Respuesta ICMP para #admins" -j ACCEPT
$INPUTW -s 0.0.0.0/0 -m multiport -p tcp --sport 53,80,443,22,20,21,389,465,8080 -m conntrack --ctstate ESTABLISHED,RELATED -m comment --comment "Respuestas de tráfico originado en Firewall" -j ACCEPT
$INPUTW -s 0.0.0.0/0 -m multiport -p tcp --sport 5044,8086,9200 -m conntrack --ctstate ESTABLISHED,RELATED -m comment --comment "Respuesta de servicios de administración hacia WAN"
$INPUTW -s 0.0.0.0/0 -m multiport -p udp --sport 53,123,33434:33523 -m conntrack --ctstate ESTABLISHED,RELATED -m comment --comment "Respuestas de tráfico originado en Firewall" -j ACCEPT
$INPUTW -m conntrack --ctstate ESTABLISHED -j ACCEPT -m comment --comment "Tráfico FTP Pasivo"
$INPUTW -m set --match-set admins src -m multiport -p tcp --dport 80,22 -m conntrack --ctstate NEW -m comment --comment "Sarg y SSH entrante para #admins" -j ACCEPT
$INPUTW -m set --match-set admins src -p icmp -m conntrack --ctstate NEW -m comment --comment "ICMP para #admins" -j ACCEPT
$INPUTW -p icmp -m conntrack --ctstate ESTABLISHED,RELATED -m comment --comment "ICMP iniciado por Firewall" -j ACCEPT
### FORWARD ###
## Habilitamos todo el tráfico de respuesta
iptables -t filter -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -i $INL -m set --match-set LAN src -o $INW -p icmp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
## Administración y monitoreo remoto para grupo admins
FWDW="iptables -t filter -A FORWARD -i $INW -m set --match-set"
$FWDW admins src -o $INL -m set --match-set LAN dst -p icmp -m comment --comment "Monitoreo remoto" -j ACCEPT
$FWDW admins src -o $INL -m set --match-set LAN dst -p tcp -m multiport --dport 22,80,443,3389,5800,5900,5901,5902,33434:33523 -m conntrack --ctstate NEW -m comment --comment "Administración remota" -j ACCEPT
## Tráfico de servicios básicos
FWDL="iptables -t filter -A FORWARD -i $INL -m set --match-set LAN src -o $INW"
$FWDL -p udp -m multiport --dport 53,123 -m conntrack --ctstate NEW -j ACCEPT
$FWDL -p tcp -m multiport --dport 80,443 -m set --match-set RWA dst -m conntrack --ctstate NEW -m comment --comment "Cliente WEB para Redes Alternas" -j ACCEPT
$FWDL -p tcp -m multiport --dport 53,587,465 -m conntrack --ctstate NEW -m comment --comment "Cliente SMTP" -j ACCEPT
$FWDL -p tcp -m multiport --dport 110,995 -m conntrack --ctstate NEW -m comment --comment "Cliente POP3" -j ACCEPT
$FWDL -p tcp -m multiport --dport 20,21 -m conntrack --ctstate NEW -m comment --comment "Cliente FTP" -j ACCEPT
## Reglas personalizadas
# Servicios personalizados
iptables -t filter -N FWD_LOCAL
iptables -t filter -A FORWARD -j FWD_LOCAL -m comment --comment "Enviamos a las reglas FORWARD personalizadas"
## Reglas DMZ
iptables -t filter -N FWD_DMZ
iptables -t filter -A FORWARD -j FWD_DMZ -m comment --comment "Enviamos a las reglas de DMZ"
## LOGGING - No dude en desactivarlo si el registro es inmenso
iptables -t filter -A FORWARD -j LOG --log-prefix "IPTABLES FWD: "
iptables -t filter -A INPUT -i $INL -j LOG --log-prefix "IPTABLES IN LAN: "
iptables -t filter -A INPUT -i $INW -j LOG --log-prefix "IPTABLES IN WAN: "
iptables -t filter -A OUTPUT -o $INL -j LOG --log-prefix "IPTABLES OUT LAN: "
iptables -t filter -A OUTPUT -o $INW -j LOG --log-prefix "IPTABLES OUT WAN: "
MAFIConfiguración de Tablas Nat y rutas en general
El siguiente script tampoco necesita configuración, y es poco probable que tenga que cambiarlo ya que siempre puede hechar mano del script /etc/fws/establecimiento.sh.
cat << "MAFI" > /etc/fws/rutas.sh
#!/bin/bash -x
## rutas.sh ##
## El presente archivo configurará la tabla NAT de iptables
# Leemos el archivo de configuración
source /etc/fws/infraestructura.sh
echo -e "\n\n RUTAS.SH\n\n"
# Borramos las reglas de filtrado, reinicializamos los contadores y borramos las cadenas personalizadas que existan al momento de ejecutar el script
iptables -t nat -F
iptables -t nat -Z
iptables -t nat -X
### PREROUTING
NATPR="iptables -t nat -A PREROUTING -i $INL -m set --match-set LAN src"
$NATPR -m set --match-set LAN dst -m multiport -p tcp --dport 80,443 -j ACCEPT -m comment --comment "Excluimos equipos de la misma red del Nateo"
$NATPR -m set --match-set RWA dst -m multiport -p tcp --dport 80,443 -j ACCEPT -m comment --comment "Paso directo hacia Red WAN Alterna"
## Creamos las reglas personalizadas SERVICIOS en PREROUTING de NAT, que tienen a bien ocurrir antes de un nateo de tráfico web
iptables -t nat -N SERVICIOS
iptables -t nat -A PREROUTING -j SERVICIOS -m comment --comment "Enviamos a las reglas PREROUTING personalizadas"
## Mandamos todo el tráfico web hacia squid para proxy transparente, o al menos para evitar todo intento de traspasar el firewall
$NATPR -d 0.0.0.0/0 -p tcp --dport 443 -j REDIRECT --to-port 3128
$NATPR -d 0.0.0.0/0 -p tcp --dport 80 -j REDIRECT --to-port 3128
### POSTROUTING
NATPO="iptables -t nat -A POSTROUTING -m set --match-set LAN src"
$NATPO -m set --match-set MH dst -o $INW -j MASQUERADE -m comment --comment "Vamos hacia MH"
$NATPO -m set --match-set RWA dst -o $INW -j ACCEPT -m comment --comment "Vamos hacia RWA"
$NATPO -d 0.0.0.0/0 -o $INW -j MASQUERADE -m comment --comment "Vamos hacia Internet"
MAFIConfiguración de DMZ
** Si usted no tiene una red de servidores como tal, la forma más sencilla es comentarizar las variables bajo la sección DMZ em /etc/fws/infraestructura.sh **
La DMZ puede ser un trabajo realmente complicado. No hay una formula mágica: Aún con el mejor asistente gráfico de configuración, se requiere que usted realmente entienda la red que esta configurando.
El presente fichero habilita a una red de servidores web para ser alcanzados desde la LAN. Un ejemplo de la publicación de los mismos puede hallarse hacia el final del script ~/fws/establecimiento.sh.
cat << "MAFI" > /etc/fws/dmz.sh
#!/bin/bash -x
## dmz.sh ##
## El presente archivo configurará la tabla filter del Firewall.
# Leemos el archivo de configuración
source /etc/fws/infraestructura.sh
echo -e "\n\n DMZ.SH\n\n"
#### FILTER ####
### OUTPUT ###
## Salida desde $IND
OUTPUTD="iptables -t filter -A OUTPUT -o $IND -d $DMZ"
$OUTPUTD -p tcp -m multiport --sport 22 -m conntrack --ctstate ESTABLISHED,RELATED -m comment --comment "Respuesta a tráfico originado en LAN" -j ACCEPT
$OUTPUTD -p tcp -m multiport --dport 22 -m comment --comment "Servicios permitidos hacia LAN" -j ACCEPT
$OUTPUTD -p icmp -m comment --comment "Sondeo de Red DMZ" -j ACCEPT
### INPUT ###
## Entrada hacia $IND
INPUTD="iptables -t filter -A INPUT -i $IND -s $DMZ -d $SRD"
$INPUTD -p tcp -m multiport --dport 22 -m conntrack --ctstate ESTABLISHED,RELATED -m comment --comment "Respuesta a tráfico originado en LAN" -j ACCEPT
$INPUTD -p tcp -m multiport --sport 22 -m conntrack --ctstate ESTABLISHED,RELATED -m comment --comment "Respuesta a Servicios permitidos hacia LAN" -j ACCEPT
$INPUTD -p tcp -m multiport --dport 22 -m conntrack --ctstate NEW -m comment --comment "Tráfico originado en LAN" -j ACCEPT
$INPUTD -p icmp -m comment --comment "Sondeo hacia la interfaz DMZ" -j ACCEPT
iptables -t filter -A INPUT -i $IND -j LOG --log-prefix "IPTABLES IN DMZ: "
iptables -t filter -A OUTPUT -o $IND -j LOG --log-prefix "IPTABLES OUT DMZ: "
### DMZ ###
## Servicios para administración/monitoreo para #admins
FWDA="iptables -t filter -A FWD_DMZ -i $INW -o $IND -d $DMZ -m set --match-set admins src"
$FWDA -p tcp -m multiport --dport 22,3389,5800,5900,5901,5902 -m conntrack --ctstate NEW -m comment --comment "Administración remota" -j ACCEPT
$FWDA -p icmp -m comment --comment "Monitoreo Remoto" -j ACCEPT
## Servicios permitidos a servidores DMZ
FWDD="iptables -t filter -A FWD_DMZ -i $IND -s $DMZ -o $INW"
$FWDD -p tcp -m multiport --dport 80,443,22 -d 10.10.20.0/24 -m conntrack --ctstate NEW -m comment --comment "Servicios permitidos hacia DMZ MINSAL para DMZ" -j ACCEPT
$FWDD -p tcp -m multiport --dport 587,465 -m conntrack --ctstate NEW -m comment --comment "Cliente de correo SMTP para DMZ" -j ACCEPT
$FWDD -p tcp -m multiport --dport 110,995 -m conntrack --ctstate NEW -m comment --comment "Cliente de correo POP3 para DMZ" -j ACCEPT
$FWDD -p udp -m multiport --dport 53,123 -m conntrack --ctstate NEW -m comment --comment "DNS y NTP para DMZ" -j ACCEPT
## Servicios permitidos de Red LAN a Servidores
FWDD="iptables -t filter -A FWD_DMZ -i $INL -m set --match-set LAN src -o $IND"
$FWDD -p tcp -m multiport --dport 80,443,22 -m comment --comment "Servicios básicos a RED LAN" -j ACCEPT
$FWDD -p icmp -m comment --comment "Sondeo de LAN a DMZ" -j ACCEPT
#### NAT ####
### PREROUTING mediante SERVICIOS
iptables -t nat -A SERVICIOS -i $INL -m set --match-set LAN src -d $DMZ -m multiport -p tcp --dport 80,443 -j ACCEPT -m comment --comment "Paso directo de LAN hacia DMZ LOCAL"
### POSTROUTING ###
FWPO="iptables -t nat -A POSTROUTING"
$FWPO -s $DMZ -d 10.10.20.20/0 -o $INW -j MASQUERADE -m comment --comment "Salida de DMZ "
$FWPO -s $DMZ -d 10.10.20.20/0 -o $INW -j ACCEPT -m comment --comment "Salida de DMZ "
$FWPO -m set --match-set LAN src -d $DMZ -o $IND -j ACCEPT -m comment --comment "Vamos de LAN hacia DMZ LOCAL"
$FWPO -s $DMZ -d 0.0.0.0/0 -o $INW -j MASQUERADE -m comment --comment "Vamos hacia internet desde DMZ"
MAFIConfiguración de reglas específicas para el establecimiento
En el fichero /etc/fws/establecimiento.sh, se configuran las reglas que desea agregar a las que ya han sido configuradas en los ficheros anteriores. Ya que el Firewall es restrictivo por defecto, se supone que debiera configurar sólo reglas para aceptar algún servicio en particular, usualmente a usuarios particulares.
Un ejemplo del fichero /etc/fws/establecimiento.sh, con algunos ejemplos listos para usar y útiles para muchos establecimientos, es mostrada a continuación
cat << "MAFI" > /etc/fws/establecimiento.sh
#!/bin/bash -x
## establecimiento.sh ####
## El presente archivo configurará debería limitarse a configurar las tablas del tipo FWD_*
# Leemos el archivo de configuración
source /etc/fws/infraestructura.sh
echo -e "\n\n ESTABLECIMIENTO.SH\n\n"
## Servicios adicionales en el servidor
# Aún cuando lo desaconsejemos rotundamente, es posible habilitar un par de servicios adicionales en el Firewall
# No especificar el estado con conntrack
# Para habilitar un servidor hacia INL, es decir, como publicando un DHCP hacia redes LAN
# iptables -t filter -A SRVADD -i $INL -m set --match-set SRV dst -p udp -m multiport --dport 67,68 -j ACCEPT
# Para habilitar servicios hacia FWD_DMZ, es decir, publicando un servicio como http hacia internet
# iptables -t filter -A SRVADD -i $IND -d $SRD -p udp -m multiport --dport 53,123 -m comment --comment "Servicios básicos a RED LAN" -j ACCEPT
### Creación de interfaces adicionales para servicios publicados
## Recuerde empezar las interfaces adicionales desde :1
## Asegurése de la IP que esta configurando acá sea la misma del servicio que esta publicando
# ifconfig eth0:1 192.168.2.3/27
# ifconfig eth0:2 192.168.2.5/27
## Se presentan algunas pautas sobre la manera de configurar nuevos permisos en su red
# Acceso a toda su red LAN hacia lo que sea que halla después de WAN. Podría especificar con -d un destino especifico
FWD_SLAN="iptables -t filter -A FWD_LOCAL -i $INL -m set --match-set LAN src -o $INW"
# Acceso desde el con entrada en interfaz LAN y salida en WAN, se recomienda que use un grupo ipset
FWD_SSET="iptables -t filter -A FWD_LOCAL -i $INL -o $INW"
# Acceso especial para un permiso, usualmente desde DMZ Minsal, hacia dentro de LAN
FWD_SWAN="iptables -t filter -A FWD_LOCAL -i $INW"
# Acceso de toda la Red DMZ a un nuevo servicios
FWD_SDMZ="iptables -t filter -A FWD_DMZ -i $IND -s $DMZ -o $INW"
## Configura reglas especificas del establecimiento en la cadena FWD_DMZ referenciada en la cadena FORWARD
FWD_DDMZ="iptables -t filter -A FWD_DMZ -i $INL -m set --match-set LAN src -o $IND"
## Trafico de servicios avanzados
# Revise cuales son verdaderamente necesarios para su establecimiento
# HACIENDA: Acceso al escritorio remoto y a servidor SFTP
$FWD_SLAN -m set --match-set RWA dst -m multiport -p tcp --dport 22,63231 -m conntrack --ctstate NEW -j ACCEPT
# PBX: Acceso remoto para monitoreo y administración de telefonía IP
# $FWD_SWAN -m set --match-set admins src -d $LBX -p tcp -m multiport --dport 22,80,443 -m conntrack --ctstate NEW -m comment --comment "Administración remota para PBX" -j ACCEPT
# $FWD_SWAN -m set --match-set admins src -d $LBX -p icmp -m comment --comment "Monitoreo remoto para PBX" -j ACCEPT
# KASPERSKY: Configuración necesaria para Comunicarse con Antivirus Kaspersky
#$FWD_SLAN -d 10.10.20.5 -p tcp -m multiport --dport 13000,13111,14000 -m conntrack --ctstate NEW -j ACCEPT
#$FWD_SLAN -d 10.10.20.5 -p udp -m multiport --dport 7,67,69,13000,1500,1501 -j ACCEPT
#$FWD_SLAN -d 10.10.20.5 -p icmp -j ACCEPT
#$FWD_SWAN -s 10.10.20.5 -p udp -m multiport --dport 15000,15001 -j ACCEPT
#$FWD_SWAN -s 10.10.20.5 -p tcp -m multiport --dport 13000,13111,14000 -j ACCEPT
# OTROS SERVICIOS:
# Ejemplo 1: Impresora con Hacienda mediante una IP "Pública"
#iptables -t nat -A SERVICIOS -d 192.168.2.5 -j DNAT --to-destination 10.20.20.10
#iptables -t filter -A FWD_LOCAL -d 10.20.20.10 -p tcp -m multiport --dport 9100 -j ACCEPT
# Ejemplo 2: Servidor web mediante una IP "Pública"
#iptables -t nat -A SERVICIOS -d 192.168.2.6 -j DNAT --to-destination 10.30.20.5
#iptables -t filter -A FWD_DMZ -d 10.30.20.5 -p tcp -m multiport --dport 80,443 -j ACCEPT
# Ejemplo 3: Comunicación entre un teléfono IP dentro de LAN y un servidor PBX externo.
# Esta es la exacta configuración de permisos, no son necesarios cambios en nateo
# $FWD_SSET -s <<telefono>> -d <<pbx>> -p udp -j ACCEPT
# $FWD_SSET -s <<pbx>> -d <<telefono>> -p udp -m multiport --dport 5004,5005,5060 -j ACCEPT
## Otros casos de uso
## Caso 1: No contamos con DMZ. Servidor HTTP se encuentra dentro de la misma red LAN
#iptables -t filter -A FWD_LOCAL -i $INL -m set --match-set LAN src -o $INL -m set --match-set servidor_siap dst -p tcp -m multiport --dport 80,443 -m conntrack --ctstate NEW -m comment --comment "Toda #LAN accede a #servidores_siap disponibles" -j ACCEPT
### Empiece sus reglas a partir de este punto
MAFIPersonalización de la configuración
En definitiva, la mayoría de estos ficheros pueden recibir actualizaciones, por lo que es conveniente que se limite a usar el fichero /etc/fws/establecimiento.sh para las reglas propias de sus establecimiento.
Si usted tiene alguna sugerencia para el cambio de estos ficheros, comuníquese con el nivel central, que estará agradecido por sus sugerencias.
/etc/fws/firewall.sh- Esta prohibido de forma terminante modificar este fichero. Todas las reglas adicionales que usted deba crear deben ser agregada en el fichero
/etc/fws/establecimiento.sh, o en/etc/fws/dmz.shsi aplica en la infraestructura de red a su cargo /etc/fws/rutas.sh- Al igual que con el archivo
/etc/fws/firewall.sh, salvos contadas excepciones que debe decidir con el técnico enlace en el Nivel Central, no debería cambiar este fichero.
Para todo lo demás, desde infraestructura.sh puede agregar modificaciones, tal como en la sección de dicho fichero (Y en el fichero mismo) se observa. /etc/fws/dmz.sh- Tampoco lo vaya a cambiar. Parece que ya hemos explicado nuestras razones,
establecimiento.shtiene lo suficiente para poder modificar los permisos relacionados con su red DMZ /etc/fws/establecimiento.sh- Hay algunos ejemplos dentro del fichero Este lo puede cambiar todo lo que quiera. Lea en el manual Extendiendo las ACL de red para su Firewall y vea las opciones que tiene para cambiar este fichero.
Despliegue de la configuración
Habiendo configurado los archivos anteriores, reinicie el servicio iptables para aplicar los cambios:
systemctl restart iptables.servicePrueba de configuración
Desde alguno de los cliente en la red interna pruebe acceder a los servicios del MINSAL, y los servidores de HACIENDA. Algunos ejemplos que puede hacer:
nslookup debian.salud.gob.sv
Server: 10.10.20.20
Address: 10.10.20.20#53
debian.salud.gob.sv canonical name = mirror.salud.gob.sv.
Name: mirror.salud.gob.sv
Address: 10.10.20.7
ftp -n <<MAFI
open 192.168.87.2
user anonymous anonymous
cd pub
ls
bye
MAFI
drwxrwxr-x 3 0 503 4096 Jan 29 17:48 DESAREPO
drwxrwsr-x 3 0 503 4096 Jul 14 2014 GD_PRUEBAS
drwxrwsr-x 3 0 503 4096 Dec 22 2006 GOBAID
drwxrwsr-x 3 0 503 4096 Nov 13 2013 GOBC
drwxrwsr-x 3 0 503 4096 Aug 25 2004 GOBD
drwxrwsr-x 3 0 503 4096 Jan 09 2008 GOBSAFIC
drwxrwsr-x 3 0 503 4096 Nov 13 2013 GOBSAFICUTNORCL
drwxrwsr-x 3 0 503 4096 Jun 29 2009 GOBSAFIC_OLD
drwxrwsr-x 3 0 503 4096 Nov 13 2013 GOBSAFII
[...]Desde el Firewall, comprueba la conectividad en general. Note como este par de pruebas implican la mayoría de permisos con los que el Firewall cuenta:
ping -c 2 www.google.com.sv
PING www.google.com.sv (74.125.137.94) 56(84) bytes of data.
64 bytes from yh-in-f94.1e100.net (74.125.137.94): icmp_req=1 ttl=43 time=74.5 ms
64 bytes from yh-in-f94.1e100.net (74.125.137.94): icmp_req=2 ttl=43 time=74.7 ms
telnet www.google.com.sv 443
Trying 74.125.137.94...
Connected to www.google.com.sv.
Escape character is '^]'.