Seguramente sea buena idea configurar el firewall iptables de cada máquina, desde cero, para una vez limpio, ir introduciendo reglas que permitan o denieguen determinadas acciones. De esta manera, se tendrá un control total sobre la configuración del firewall, que se habrá rellenado únicamente con las reglas que se le hayan introducido.
Una primera tarea, por lo tanto, sería limpiar las reglas del firewall que vienen por defecto, y a partir de ahí, empezar a crear las nuestras, sabiendo que podría ser una buena política la de denegar cualquier paquete, por defecto.
Para ello, pararemos el firewall (eliminando así cualquier regla). También se podría haber ejecutado «iptables –flush» con el firewall iniciado, para vaciarlo de reglas.
/etc/init.d/iptables stop
Con el firewall parado (y por tanto, sin reglas cargadas) podremos ir creando las reglas que necesitemos:
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 80.81.82.83 -p tcp –dport 22 -j ACCEPT
Una vez cargadas las reglas de entrada, se deberá colocar la regla por defecto (en el ejemplo, «Denegar todo»).
iptables -A INPUT -j DROP
iptables -A FORWARD -j DROP
iptables -A OUTPUT -j ACCEPT
service iptables save
/etc/init.d/iptables restart
iptables -L
chkconfig iptables on
Si se quiere añadir una regla a en una determinada posición, se deberá usar la opción «-I» en lugar de «-A» (-A añade al final de la lista), indicándole además la posición a la que irá (si desplazando el resto de reglas, incluída la que anteriormente ocupaba esa posición, un lugar hacia abajo).
iptables -I INPUT 4 -p tcp –dport 80 -j ACCEPT
NOTA: con «/etc/init.d/iptables status» se podrá ver la lista de reglas actuales, con la posición que ocupa cada regla.
Finalmente, las reglas de iptables son fácilmente importables/exportables, tanto como para almacenar un backup de las mismas, como para realizar configuraciones similares en diferentes máquinas.
iptables-save > iptables.conf
iptables-restore < iptables.conf
Fuente: http://linux.byexamples.com/archives/66/iptables-rules-can-be-easily-import-and-export/
Foto por Creap