Seguridad Perimetral, Firewall Y DMZ en Linux (IPTABLES)

A continuación voy a dar solución  a un ejemplo básico. Analizar muy bien la imagen.

IMAGEN:

DIRECCIONAMIENTO.

LAN 192.168.30.2/24

DMZ 192.168.20.2/24

PERMITIDO

1. De internet pueden entrar a HTTP y FTP del DMZ.

2. La LAN puede ingresar al HTTP y navegar por internet.

NEGADO

1. El DMZ no puede ingresar al SSH de la LAN ni hacerle PING a ella y tampoco NAVEGAR por INTERNET.


----------------------------------------
//Código o script de IPTABLES. (va en el firewall)
#!/bin/bash
iptables -t nat -F
iptables -F

#MODULOS PARA EL FTP PUBLICO
/sbin/modprobe -a ip_tables
/sbin/modprobe -a ip_conntrack
/sbin/modprobe -a ip_conntrack_ftp
/sbin/modprobe -a ip_nat_ftp
/sbin/modprobe -a ipt_state
/sbin/modprobe -a iptable_nat

#Ponemos como enrutador nuestro Firewall
echo "1" > /proc/sys/net/ipv4/ip_forward

#enmascaramos la ip privada por publica para que tenga salida a internet. (LAN)
iptables -t nat -A POSTROUTING -s 192.168.30.2 -o eth0 -j MASQUERADE

#que todas las peticiones se redirijan al DMZ
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1:1024 -j DNAT --to 192.168.20.2:1-1024

#Aceptamos las peticiones LAN to DMZ
iptables -t nat -A PREROUTING -i eth2 -s 192.168.30.0/24 -p tcp --dport 1:1024 -j DNAT --to 192.168.20.2

#Denegamos las peticiones DMZ to LAN
iptables -A FORWARD -s 192.168.20.2 -d 192.168.30.2 -p tcp --dport 1:1024 -j DROP

#DENEGAR PING
iptables -A FORWARD -p icmp -s 192.168.30.2 -d 192.168.20.2 -j ACCEPT
iptables -A FORWARD -p icmp -s 192.168.20.2 -d 192.168.30.2 -j DROP

FIN - COMPARTE :)