2) Borrado de todas las reglas: -F o script. 3) Aadir una regla a la cadena INPUT para aceptar todos los paquetes que se originan desde la direccin 192.168.18.155. iptables -A INPUT -s 192.168.18.155 -j ACCEPT 4) Eliminar todos los paquetes que entren. -A INPUT -j DROP 5) Permitir la salida de paquetes. -A OUTPUT -j ACCEPT 6) Aadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la direccin 192.168.18.155. -A INPUT -s 192.168.18.155 -j DROP 7) Aadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la direccin de red 192.168.18.0. -A INPUT -s 192.168.18.0 -j DROP 8) Aadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la direccin 192.168.18.155 y enviar un mensaje de error icmp. -A INPUT -s 192.168.18.155 -j REJECT 9) Permitir conexiones locales (al localhost), por ejemplo a mysql. -A INPUT -s 127.0.0.1 -p tcp -dport 3306 -j ACCEPT 10) Permitir el acceso a nuestro servidor web (puerto TCP 80). -A INPUT -p tcp -dport 80 -j ACCEPT 11) Permitir el acceso a nuestro servidor ftp (puerto TCP 20 y 21). -A INPUT -p tcp -dport 20:21 -j ACCEPT 12) Permitimos a la mquina con IP 192.168.18.10 conectarse a nuestro equipo a travs de SSH. -A INPUT -s 192.168.18.10 -p tcp -dport 21 -j ACCEPT 13) Rechazamos a la mquina con IP 192.168.0.10 conectarse a nuestro equipo a travs de Telnet. -A INPUT -s 192.168.0.10 -p dport 23 -j ACCEPT 14) Rechazamos las conexiones que se originen de la mquina con la direccin fsica 00:db:f0:34:ab:78. -A INPUT -M 00:db:f0:34:ab:78. 15) Rechazamos todo el trfico que ingrese a nuestra red LAN 192.168.0.0 /24 desde una red remota, como Internet, a travs de la interfaz eth0. (forward). -A FORWARD -s 0.0.0.0 -i eth0 -d 192.168.0.0/24 -j DROP 16) Cerramos el rango de puerto bien conocido desde cualquier origen. -A INPUT -p tcp --dport 1:1024 -j DROP 17) Aceptamos que vayan de nuestra red 192.168.0.0/24 a un servidor web (puerto 80) (forward) -A FORWARD -s 192.168.0.0/24 -p tcp --dport 80 -i eth0 -j ACCEPT 18) Aceptamos que nuestra LAN 192.168.0.0/24 vayan a puertos https: (forward) -A FORWARD s 192.168.0.0/24 -p tcp --dport 443 -i eth0 -j ACCEPT 19) Aceptamos que los equipos de nuestra red LAN 192.168.0.0/24 consulten los DNS, y denegamos todo el resto a nuestra red: (forward) -A FORWARD -s 192.168.0.0/24 -p udp -i eth0 dport 53 -j ACCEPT -A FORWARD -s 192.168.0.0/24 -p tcp -i eth0 dport 53 -j ACCEPT 20) Permitimos enviar y recibir e-mail a todos: -A INPUT -p tcp dport 25:110 -j ACCEPT 21) Cerramos el acceso de una red definida 192.168.3.0/24 a nuestra red LAN 192.168.2.0/24. -A ACCEPT -s 192.168.3.0 -d 192.168.2.0/24 -j DROP
22) Permitimos el paso de un equipo especfico 192.168.3.5 a un servicio (puerto
5432) que ofrece un equipo especfico (192.168.0.5) y su respuesta: (forward) -A FORWARD -s 192.168.3.5 -p dport 5432 -d 192.168.0.5 -j ACCEPT