Buenos días.

Estoy intentando configurar un firewall para una lan, en el mismo servidor corre un proxy y un dhcp.
El dhcp sirve por la eth1 que es la red lan, funciona perfecto.
El proxy todavía no está funcionando, en el script está comentado el reenvió al puerto 3128.

Con las reglas como están a continuación, no puedo navegar, si abro un puerto tampoco funciona.
Tengo configurado un enmascaramiento, si la política por defecto del firewall es ACCEPT el enmascaramiento funciona.

Tengo que configurar un enmascaramiento inverso al ya configurado?
Si activo el reenvió de puerto al proxy, debo configurar el reenvío inverso?

Necesitaría que me dijeran que puede ser lo que está mal en el script.

La idea principal es dejar todo cerrado, poder navegar (se reenvía al puerto del proxy para que sea transparente, después se limita con el proxy) y abrir determinados puertos, 110, 25 y 22.

Muchas gracias.


El script está echo en base a seguridad/iptables-perfecto-t19400.html

eth1 -- Firewall -- etho -- router

Reglas aplicadas

#!/bin/sh

# Flush de reglas
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

# Políticas por defecto
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Bit forward
echo 1 > /proc/sys/net/ipv4/ip_forward

# Enmascaro de lan a wan
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE

# Redireccionar puerto Squid
# iptables -t nat -A PREROUTING -p tcp -s 0.0.0.0/0 --dport 80 -j REDIRECT --to 3128

# Acceso ilimitado al localhost
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Permitimos que la maquina pueda salir a la web
/sbin/iptables -A INPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

# Y tambien a webs seguras
/sbin/iptables -A INPUT -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT

# Abrir puerto 25
/sbin/iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --sport 25 -j ACCEPT

# Abrir puerto 110
/sbin/iptables -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --sport 110 -j ACCEPT

Hola a ver lo que ya tiene es muy probable que el sitio que te voy a sugerir ya lo hayas leido, de todos modos aquí te dejo el link

Salu2.

1 Tip: usa iptraf para depurar

2 Uso politica por defecto DROP, checa un config file(solo que esta modular)
http://blog.mbrenes.com/?p=12

Ese caso bloquea el acceso a servicio desde la WAN, pero para la LAN permite algunos servicios que provee el mismo server(impresion, ssh, web). Ademas permite solicitudes de las estaciones de la LAN hacia la WAN(dns, web, ...)

Hola, soy bastante nuevo en esto de Linux, y mas aun en este tema de iptables. El problema es que estoy tratando de configurar mi iptables para que mi servidor brinde servicios solamente en un horario que yo establezca. Estuve buscando un poco y encontre en un documento que me ofreció un colega que mas o menos se podria poner algo como esto:
-m time --timestart 8:00:00 --timestop 17:00:00
la cosa es que no se si esto funciona, al poner esto y arrancar el script me dice que existe un error en la linea donde se encuentra esta sentencia, me dice que -m no es un comando... Si alguien me puede ayudar con este problema???

Utiliza cron.
Activa el servicio que quieras a las 8:00 y desactívalo a las 17:00 o cuando quieras.

Y no repitas posts, hombre, mírate las reglas y sé un forero respetable.