Reglas Corregido

## Seguridad del equipo FW
# FLUSH de reglas (limpia todas las cadenas,
# borra cadenas vacías y pone a 0 los
# contadores de paquetes y bytes)

iptables -F
iptables -X
iptables -Z
iptables -t nat-F
#1. Poner por defecto la regla “Denegar todo”.

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#2. Permitir el tráfico de entrada hacia el FW
# por la interfaz eth1 (LAN)iptables -t nat -A PREROUTING -i eth1 –j ACCEPT
# 3. Evitar intentos de IP Spoofing.

iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j DROP
#4. Firewall como router
echo “1” >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
#5. Permitir tráfico de Lan a DNS
#Conexiones LAN-DMZ
echo “1” > /proc/sys/net/ipv4/ip_forward
# Permitir el tráfico desalida por eth2 (DMZ)
iptables -t nat -A POSTROUTING -o eth2 -j ACCEPT
# Permitir a todos los equipos de la LAN hacer consultas
# UDP al servidor DNS de la DMZ.
iptables -A FORWARD -s 192.168.0.0/24 -d172.168.0.2 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s 172.168.0.2 -d 192.168.0.0/24 -p udp --sport 53 -j ACCEPT
# Permitir hacer PING a los equipos de la DMZ desde la LAN.
iptables -AFORWARD -s 192.168.0.0/24 -d 172.168.0.0/24 -p icmp -j ACCEPT
iptables -A FORWARD -s 172.168.0.0/24 -d 192.168.0.0/24 -p icmp -j ACCEPT
# 6. Permitir la conexión al servidor WWW de la DMZ
# desde la LAN porHTTP (puerto 80).
iptables -A FORWARD -p tcp -i eth1 -o eth2 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -i eth2 -o eth1 --sport 80 -j ACCEPT
# Permitir la conexión al servidor WWW de la DMZ
#desde la LAN por HTTPS (puerto 443).
iptables -A FORWARD -p tcp -i eth1 -o eth2 --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp -i eth2 -o eth1 --sport 443 -j ACCEPT
# Permitir la conexión alservidor DNS de la DMZ
# desde la LAN por el puerto 53 (udp).
iptables -A FORWARD -p udp -i eth1 -o eth2 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -i eth2 -o eth1 --sport 53 -j ACCEPT
## 7....