El documento describe cómo configurar un firewall básico y NAT con iptables en Linux. Para el firewall básico, el script elimina reglas existentes, establece políticas de entrada, salida y enrutamiento como DROP, y agrega reglas para permitir conexiones establecidas y relacionadas mientras bloquea ping y ataques DoS. Para NAT, el script habilita enrutamiento, elimina reglas, establece políticas de entrada, salida y NAT como ACCEPT, y agrega reglas para aceptar tráfico de loopback, la LAN, y masquerade para la

1. 1. FIREWALL BASICO
Desarrollo del Script
El script con tiene las siguientes líneas:
 Iptables –F (Elimina cualquier tipo de regla existente)
 Iptables –X (Elimina las reglas definidas por el usuario)
 Iptables -P INPUT DROP (Si un paquete entra a la computadora y no coincide con las
reglas del firewall será descartado)
 Iptables -P OUTPUT DROP (Si un paquete sale de la computadora y no coincide con las
reglas del firewall será descartado)
 Iptables -P FORWARD DROP (Si un paquete pasa por computadora y no coincide con
las reglas del firewall será descartado)
 Iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 4 –j DROP (Se elimina
la posibilidad de un ataque de DOS, limitando la cantidad de paquetes a recibir por
segundo)
 Iptables -A INPUT -p icmp -j DROP (No se permita el ingreso de solicitudes de Ping)
 Iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT (Permite
salir del equipo nuevas conexiones que la computadora solicite, estén establecidas y están
realicionadas)
 Iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
(Permite entrar del equipo conexiones establecidas y relacionadas)
A este script se le deben asignar permisos de ejecución y correrlo para que funcione como se
muestra en las siguientes imágenes

2. Acontinuacion se muestra imágenes de que antes de correr el script se puede realizar comunicación
mediante ping y despues de correr el script ya no se permite

4. 2. NAT CON IPTABLES
El servidor c centos tiene dos interfaces como se muestra a continuación la ETH0 es la WAN y
la eth1 es la LAN.
En primera instancia se desarrolla el script con las siguientes líneas
 echo 1 > /proc/sys/net/ipv4/ip_forward (Activacion del soporte rara reenvio de paquetes
de una interface a otra, enrrutamiento)
 iptables –F (Deshabilita todas las reglas existentes en el equipo )
 iptables –X (Deshabilita todas las reglas establecidas por el usuario en la computadora )
 iptables -t nat –F (Desabilita todas las reglas de NAT existentes en la computadora)
 iptables -P INPUT ACCEPT (Acepta todos los paquetes que entran a la computadora)

5.  iptables -P OUTPUT ACCEPT (Acepta todos los paquetes que salen de la computadora)
 iptables -P FORWARD ACCEPT (Acepta todos los paquetes que pasan por
computadora, paquetes enrrutados)
 iptables -t nat -P PREROUTING ACCEPT (Permite que sean alterados todos los
paquetes antes de salir de la computadora)
 iptables -t nat -P POSTROUTING ACCEPT (Permite que sean alterados todos los
paquetes que llegan a la computadora)
 /sbin/iptables -A INPUT -i lo -j ACCEPT (Todos los paquetes entrantes serán aceptados
y todos los paquetes provenientes de la misma computadora también será aceptado)
 iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j ACCEPT (Establece que todo paquete
entrante proveniente de la red WAN cuya IP pertenezca a la red LAN sea aceptado)
 iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE ()
Establece que todo paquete de la red LAN que se dirija a la WAN sea enmascarado con
la dirección IP de la RED WAN).
El script se le debe dar permios de ejecucion

6. La comunicación entre el servidor y el clinte se prueba con un ping desde el cliente
En el cliente se ingreso a la pagina de www.google.com.co para confirmar el uso del NAT