IpTables es el firewall más popular en linux, es usual que esté disponible en todas las distribuciones, y este es otro recetario práctico para emplear esta herramienta :

Listado de las reglas para el filtro nat
iptables -t nat -n -L
Eliminar la regla 2 para el filtro nat de la cadena PREROUTING
iptables -t nat --delete PREROUTING 2
Hacer un proxy transparente con squid e iptables Asumiendo que la interfaz interna está en eth0
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Asegurarse que squid escucha en el puerto 3128 y que tiene las siguientes opciones habilitadas: 

 httpd_accel_host virtual
 httpd_accel_port 80
 httpd_accel_with_proxy on
 httpd_accel_uses_host_header on

No se puede hacer un proxy transparente de ssl, es decir de https, puesto que el protocolo exige que no haya man in the middle :-) , por lo tanto es indispensable configurar en el cliente el proxy para poder emplear https.

Adicionar una regla para evitar ser consultado por una dirección IP externa
iptables -A INPUT -i eth1 -s 200.75.79.172 -j DROP
Regla para evitar que envíen correos desde una IP dada
iptables -A INPUT -i eth1 -p TCP --dport 25 -s 200.75.79.172 -j REJECT
Regla para evitar que se consulte imap desde la interfaz eth0
iptables -A INPUT -i eth0 -j DROP -p tcp --destination-port 143
Regla para hacer port forwarding de una máquina interna del puerto 443 al firewall en 11443
iptables -t nat -A PREROUTING -i eth0 -p tcp -d 200.118.110.175 --dport 11443 -m state --state NEW,ESTABLISHED,RELATED -j DNAT --to 192.168.3.67:443
Si desea construir un gateway rapidísimo para una red sencilla
apt-get install ipmasq

NAT

Tenemos conexión vía ppp0 y queremos que nuestros amigos de la red 10.80.211.0/24 puedan navegar 

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -s 10.80.211.0/24 -j MASQUERADE

Limpiar tablas y abrir

iptables -F
iptables -t nat -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

Referentes

Hay centenas de howto que puede encontrar usando Google para descifrar estas líneas que en un principio podrían parecer crípticas.

CategoriaAyudas CategoriaDocumentosyExplicaciones

AyudaUsoIptables (last edited 2009-07-15 15:25:49 by localhost)