[CentOS-es] [IPTables] Opinion sobre un Firewall con DROP por defecto ?

[angel jauregui]

Buen dia lista :D

Quiero montar un firewall configurado por defecto en DROP y abrir solo los
puertos que quiero, pero como el servidor esta EN LINEA, no quiero cagarla
y quedarme sin conexion jejejej :D

Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto, de modo
que *hice las siguientes reglas* las cuales quiero ver si pueden checarlas
y me den sus criticas:

iptables -F
iptables -X
iptables -Z
iptables -t nat -F

# denegamos todo
iptables -P INPUT ACCEPT                                # cancelamos entrada
iptables -P OUTPUT ACCEPT                               # cancelamos salidas
iptables -P FORWARD ACCEPT                      # cancelamos reencios
iptables -t nat -P PREROUTING ACCEPT            #iptables -F
iptables -X
iptables -Z
iptables -t nat -F

# denegamos todo
iptables -P INPUT ACCEPT                                # cancelamos entrada
iptables -P OUTPUT ACCEPT                               # cancelamos salidas
iptables -P FORWARD ACCEPT                      # cancelamos reencios
iptables -t nat -P PREROUTING ACCEPT            # cancelamos nat prerouting
iptables -t nat -P POSTROUTING ACCEPT           # cancelamos nat postrouting

echo 1 > /proc/sys/net/ipv4/ip_forward          # activamos bit de reenvio

iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
80 -j ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

Saludos !

-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.cantu en sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.