EJERCICIOS CORTAFUEGOS - IPTABLES

1) Ver la vesin de Iptables: v1.4.21.

2) Borrado de todas las reglas: -F o script.
3) Aadir una regla a la cadena INPUT para aceptar todos los paquetes que se
originan desde la direccin 192.168.18.155. iptables -A INPUT -s 192.168.18.155
-j ACCEPT
4) Eliminar todos los paquetes que entren. -A INPUT -j DROP
5) Permitir la salida de paquetes. -A OUTPUT -j ACCEPT
6) Aadir una regla a la cadena INPUT para rechazar todos los paquetes que se
originan desde la direccin 192.168.18.155. -A INPUT -s 192.168.18.155 -j DROP
7) Aadir una regla a la cadena INPUT para rechazar todos los paquetes que se
originan desde la direccin de red 192.168.18.0. -A INPUT -s 192.168.18.0 -j DROP
8) Aadir una regla a la cadena INPUT para rechazar todos los paquetes que se
originan desde la direccin 192.168.18.155 y enviar un mensaje de error icmp.
-A INPUT -s 192.168.18.155 -j REJECT
9) Permitir conexiones locales (al localhost), por ejemplo a mysql. -A INPUT -s
127.0.0.1 -p tcp -dport 3306 -j ACCEPT
10) Permitir el acceso a nuestro servidor web (puerto TCP 80).
-A INPUT -p tcp -dport 80 -j ACCEPT
11) Permitir el acceso a nuestro servidor ftp (puerto TCP 20 y 21).
-A INPUT -p tcp -dport 20:21 -j ACCEPT
12) Permitimos a la mquina con IP 192.168.18.10 conectarse a nuestro equipo a
travs de SSH. -A INPUT -s 192.168.18.10 -p tcp -dport 21 -j ACCEPT
13) Rechazamos a la mquina con IP 192.168.0.10 conectarse a nuestro equipo a
travs de Telnet.
-A INPUT -s 192.168.0.10 -p dport 23 -j ACCEPT
14) Rechazamos las conexiones que se originen de la mquina con la direccin fsica
00:db:f0:34:ab:78.
-A INPUT -M 00:db:f0:34:ab:78.
15) Rechazamos todo el trfico que ingrese a nuestra red LAN 192.168.0.0 /24 desde
una red remota, como Internet, a travs de la interfaz eth0. (forward).
-A FORWARD -s 0.0.0.0 -i eth0 -d 192.168.0.0/24 -j DROP
16) Cerramos el rango de puerto bien conocido desde cualquier origen.
-A INPUT -p tcp --dport 1:1024 -j DROP
17) Aceptamos que vayan de nuestra red 192.168.0.0/24 a un servidor web (puerto
80) (forward)
-A FORWARD -s 192.168.0.0/24 -p tcp --dport 80 -i eth0 -j ACCEPT
18) Aceptamos que nuestra LAN 192.168.0.0/24 vayan a puertos https: (forward)
-A FORWARD s 192.168.0.0/24 -p tcp --dport 443 -i eth0 -j ACCEPT
19) Aceptamos que los equipos de nuestra red LAN 192.168.0.0/24 consulten los
DNS, y denegamos todo el resto a nuestra red: (forward)
-A FORWARD -s 192.168.0.0/24 -p udp -i eth0 dport 53 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -p tcp -i eth0 dport 53 -j ACCEPT
20) Permitimos enviar y recibir e-mail a todos:
-A INPUT -p tcp dport 25:110 -j ACCEPT
21) Cerramos el acceso de una red definida 192.168.3.0/24 a nuestra red LAN
192.168.2.0/24.
-A ACCEPT -s 192.168.3.0 -d 192.168.2.0/24 -j DROP

22) Permitimos el paso de un equipo especfico 192.168.3.5 a un servicio (puerto

5432) que ofrece un equipo especfico (192.168.0.5) y su respuesta: (forward)
-A FORWARD -s 192.168.3.5 -p dport 5432 -d 192.168.0.5 -j ACCEPT