bin/bash #Este script es el firewall para el router configurado con rc ...

#!/bin/bash 

#Este script es el firewall para el router configurado con rc.confrouter 

#Es basicamente lo mismo de siempre solo que hace SNAT en las dos interfaces 

#externas y maneja el forwardeo entre las mismas de forma segura 

# Variables 

IPTABLES=/sbin/iptables 

IFI=eth0 

IFE=ppp0 

NWI=192.168.0.0 

NMI=24 

IPCAM=192.168.0.150 

fwStart() 

{ echo "ARRANCANDO EL FIREWALL..." 

# Limpio las reglas previas y establezco politica por defecto # 

echo "Limpiando reglas previas..." 

echo "Estableciendo la Politica por Defecto DENEGAR..." 

$IPTABLES -F INPUT 

$IPTABLES -P INPUT DROP 

$IPTABLES -F OUTPUT 

$IPTABLES -P OUTPUT ACCEPT 

$IPTABLES -F FORWARD 

$IPTABLES -P FORWARD DROP 

$IPTABLES -t nat -F 

############################ Reglas en INPUT ############################ 

echo "Aplicando reglas de INPUT..." 

#Permito todo lo entrante en Localhost 

$IPTABLES -A INPUT -i lo -j ACCEPT 

#Permito que solo entren las respuestas de conexiones creadas de adentro hacia 

#afuera y/o relativas a estas. 

$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 

#Permito los request de DNS (udp) 

$IPTABLES -A INPUT -i $IFI -p udp --dport 53 -j ACCEPT 

#Permito los request de DNS (tcp) 

$IPTABLES -A INPUT -i $IFI -p tcp --dport 53 -j ACCEPT 

#Permito los request de DHCP 

$IPTABLES -A INPUT -i $IFI -p udp --dport 67 -j ACCEPT 

#Permito conexiones ssh 

$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT 

#Permito conexiones icmp de cualquier tipo que vengan del lado de adentro 

$IPTABLES -A INPUT -i $IFI --src $NWI/$NMI -p icmp -j ACCEPT

#################### Reglas generales de FORWARD ######################### 

echo "Aplicando reglas generales de FORWARD..." 

#Permito conexiones salientes de la LAN hacia INTERNET 

$IPTABLES -A FORWARD -i $IFI -o $IFE -j ACCEPT 

#Permito que entren paquetes de internet a la LAN que sean de conexiones es- 

#tablecidas y/o relativas 

$IPTABLES -A FORWARD -i $IFE -o $IFI -m state --state RELATED,ESTABLISHED -j 

ACCEPT 

##################### Reglas generales de SNAT ########################## 

echo "Aplicando reglas generales SNAT..." 

#Hacemos NAT con los paquetes que salen a Internet (le cambiamos el campo ip 

#origen) 

#$IPTABLES -t nat -A POSTROUTING --src $NWI/$NMI -o $IFE -j SNAT --to-source $IPE 

#Cuando nuestro ISP nos da ip dinámico debemos hacer MASQUERADE en lugar de SNAT 

$IPTABLES -t nat -A POSTROUTING --src $NWI/$NMI -o $IFE -j MASQUERADE 

#Ejemplo: Camara Ip en la LAN con ip privado 

echo "Permitiendo el paso a Camara Ip por ADSL" 

$IPTABLES -t nat -A PREROUTING -i $IFE -p tcp --dport 80 -j DNAT --todestination 

$IPCAM:80 

#$IPTABLES -A FORWARD --dst $IPCAM -p tcp --dport 80 -j ACCEPT 

} 

fwStop() 

{ echo "APAGANDO EL FIREWALL..." 

} 

$IPTABLES -P INPUT ACCEPT 

$IPTABLES -F INPUT 

$IPTABLES -P OUTPUT ACCEPT 

$IPTABLES -F OUTPUT 

$IPTABLES -P FORWARD ACCEPT 

$IPTABLES -F FORWARD 

$IPTABLES -t nat -F 

case $1 in 

start) 

fwStart 

;; 

stop) 

fwStop 

;; 

restart) 

fwStop 

fwStart 

;; 

*) 

echo "Uso: {start | stop | restart}" 

;; 

esac

bin/bash #Este script es el firewall para el router configurado con rc ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?