Vous êtes sur la page 1sur 2

Que las peticiones a ciertos puertos de la interfaz eth0, sean redirigidos a

eth1 (DMZ).
Que el tráfico que venga desde la interfaz eth0 hacia la interfaz eth3, pase
sin ningún problema.
Que el tráfico que vaya desde la interfaz eth3 a eth0, sea únicamente el
tráfico de respuesta a las peticiones que hayan realizado a los servidores de la
DMZ.
Que el tráfico que provenga desde la interfaz eth1 hacia al interfaz eth3, pase
también sin ningún problema.
Que el único tráfico que puede venir desde la DMZ (eth3) hasta la red local,
sea el originado por respuestas a las peticiones realizadas desde la red local
(eth2).

eth0 = internet
eth1= dmz = eth3
eth2 = LAN = eth1

#!/bin/bash
#PREPARAMOS LAS REGLAS BASICAS
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -t nat -F
iptables -A INPUT -j DROP
iptables -A FORWARD -j DROP
iptables -A OUTPUT -j ACCEPT
#PREPARAMOS LAS REGLAS DE FORWARD
#DE ETH0 A ETH1 DEJAMOS QUE PASE TODO EL TRAFICO
iptables -A FORWARD -i eth0 -o eth3 -s state --state NEW,ESTABLISHED,RELATED -j
ACCEPT
#DE ETH1 A ETH0 DEJAMOS QUE SOLAMENTE PASEN LAS RESPUESTAS A LAS PETICIONES
iptables -A FORWARD -i eth3 -o eth0 -s state --state ESTABLISHED,RELATED -j
ACCEPT
#DE ETH2 A ETH1 DEJAMOS QUE PASE TODO EL TRAFICO
iptables -A FORWARD -i eth1 -o eth3 -s state --state NEW,ESTABLISHED,RELATED -j
ACCEPT
#DE ETH1 A ETH2 DEJAMOS QUE SOLAMENTE PASEN LAS RESPUESTAS A LAS PETICIONES
iptables -A FORWARD -i eth3 -o eth1 -s state --state ESTABLISHED,RELATED -j
ACCEPT
#PREPARAMOS LAS REDIRECCIONES DESDE EL EXTERIOR A LA DMZ
#PUERTOS REDIRIGIDOS 53 Y 80
#IPS FICTICIAS PERO QUE ESTAN DENTRO DEL RANGO DE ETH1
#PUERTO 53, TCP Y UDP
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 53 -j DNAT --to
192.168.10.10:53
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 53 -j DNAT --to
192.168.10.10:53
#PUERTO 80 TCP: WEB
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to
192.168.10.10:80
#PUERTO 21 TCP: FTP
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to
192.168.10.11:21
#PUERTO 67 TCP: DHCP
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 67 -j DNAT --to
192.168.10.10:67
#PUERTO 587 TCP: SMTP
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 587 -j DNAT --to
192.168.10.10:587
#PUERTO 110 TCP: POP3
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 110 -j DNAT --to
192.168.10.10:110
#PUERTO 143 TCP: IMAP
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 143 -j DNAT --to
192.168.10.10:143
#PUERTO 10000 TCP: WEBMIN
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 10000 -j DNAT --to
192.168.10.10:10000
#PUERTO 22 TCP: SSH
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to
192.168.10.10:22