Como hacer un firewall en linux 1era parte página 2

Añadiendo un poco de información:

Es recomendable antes de empezar a realizar reglas tener una estrategia de seguridad, como lo son:
-Establecer solamente lo que se permite
-Establecer sólo lo que se prohibe

En aqui lo importante de la opción: -P
Para establecer reglas por defecto de negar todo (por default todo se permite):

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Lo anterior es como si no tuvieramos tarjeta de red o la desconectaramos, intente haciendo un ping a localhost o a su dirección de red o IP

..
Vamos a empezar a permitir lo que nos interesa.

Reglas para la comunicación entre HOSTS (primordialmente para la seguridad de tu maquina en una red local):

Aceptamos paquetes ICMP
iptables -A INPUT -p icmp -s ip -d ip -j ACCEPT Donde ip es: nuestra dirección de la tarjeta de red
iptables -A OUTPUT -p icmp -s ip -d ip -j ACCEPT

Aceptamos paquetes ICMP a la dirección local
iptables -A INPUT -p icmp -s localhost -d localhost -j ACCEPT
iptables -A OUTPUT -p icmp -s localhost -d localhost -j ACCEPT

Aceptamos poder hacer ping a hosts pero denegamos la respuesta a ellos de nuestra ip
iptables -A INPUT -p icmp -s ip -d 0/0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -s 0/0 -d ip -j ACCEPT

Permitir que conecten mediante TELNET (pueden usar all en vez de 1024:65535 xD)
iptables -A INPUT -s 0/0 -d ip -p tcp --sport 1024:65535 --dport 23 -j ACCEPT
iptables -A OUTPUT -s ip -d 0/0 -p tcp --sport 23 --dport 1024:65535 -j ACCEPT

Permitir a nuestra maquina hacer TELNET a un HOST
iptables -A INPUT -s 0/0 -d ip -p tcp --sport 23 --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -s ip -d 0/0 -p tcp --sport 1024:65535 --dport 23 -j ACCEPT

Nota: Ha este punto ya se imaginaran como hacer una regla para permitir que nosotros hagamos telnet pero no permitir que conecten a nostros mediante tal, o solo a ciertas ip's dar acceso (tanto para icmp y telnet)

Para aquellos que tenga una distro que no contenga un script para las reglas de firewall pueden seguir este:

Citar

### Reglas Iptables
case $1 in

start)
##Reglas de iptables
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

##Aceptamos paquetes ICMP
iptables -A INPUT -p icmp -s ip -d ip -j ACCEPT ##Donde ip es: nuestra dirección de la tarjeta de red
iptables -A OUTPUT -p icmp -s ip -d ip -j ACCEPT

##Aceptamos paquetes ICMP a la dirección local
iptables -A INPUT -p icmp -s localhost -d localhost -j ACCEPT
iptables -A OUTPUT -p icmp -s localhost -d localhost -j ACCEPT

##Aceptamos poder hacer ping a hosts pero denegamos la respuesta a ellos de nuestra ip
iptables -A INPUT -p icmp -s ip -d 0/0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -s 0/0 -d ip -j ACCEPT

##Permitir que conecten mediante TELNET (pueden usar all en vez de 1024:65535 xD)
iptables -A INPUT -s 0/0 -d ip -p tcp --sport 1024:65535 --dport 23 -j ACCEPT
iptables -A OUTPUT -s ip -d 0/0 -p tcp --sport 23 --dport 1024:65535 -j ACCEPT

##Permitir a nuestra maquina hacer TELNET a un HOST
iptables -A INPUT -s 0/0 -d ip -p tcp --sport 23 --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -s ip -d 0/0 -p tcp --sport 1024:65535 --dport 23 -j ACCEPT

;;

stop)

iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

;;

*)

echo "MAL! Opciones: start o stop"

esac

Espero que sea de utilidad...

Un saludo enygma

(me extraña que no mencionaste reglas de salida)