Cuando administradores de sistemas siempre debemos estar al pendiente de los puerto y servicios que se acceden desde el exterior o interior de la red local. Por los cual explicaremos como crear reglas sencilla para nuestro firewall por medio de la herramienta iptables.Todos estos ejemplos funcionan para cualquier distribución GNU/Linux. Esta configuración se encuentra dentro de un script llamado firewall.sh

#!/bin/bash

#Fecha 28-09-2009
#Autor: Rodrigo Mendoza Martinez
#Alias: Ascariote
#Correo: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
#Licencia: GPL V.3
#Descripción: Script que permite configurar reglas del firewall por medio de iptables en distribuciones debian, Ubuntu y CentOS.


#### LIMPIEANDO REGLA ####
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

#### ESTABLECEMOS POLITICAS ####
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

#### REDIRECCIONAMIENTOS DE CORREOS ####
## Correo 1
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8082 -j DNAT --to 192.168.0.3:80
## Correo 2
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 445 -j DNAT --to 192.168.0.6:445
## Correo 3
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 -j DNAT --to 192.168.0.8:81

#### REDIRECCIONAMIENTOS DE IIS ####
## WEB 1
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8081 -j DNAT --to 192.168.0.1:8081
## WEB 2
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 5550 -j DNAT --to 192.168.0.4:5550

#### CONEXION TUN EN OPENVPN ####
iptables -A INPUT -i tun+ -p icmp -j ACCEPT
iptables -A OUTPUT -o tun+ -p icmp -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -o tun+ -j ACCEPT

#### TUNEL PPTPD ####
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT
iptables -A OUTPUT -p gre -j ACCEPT

#### ACCESO A LA RED LOCAL ####
iptables -A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT

#### MASQUERAMIENTO DE LA RED LOCAL ####
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

#### REDIRECCIONAMIENTO DEL SERVICIO HTTP A SQUID
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

#### ACEPTAMOS CONEXIONES LOCALES ####
iptables -A INPUT -i lo -j ACCEPT

#### BLOQUEAMOS LOS PING ####
iptables -A INPUT -p icmp -s 0.0.0.0/0 -j DROP

#### SERVICIO APACHE ####
iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
#### SERVICIO SSH ####
iptables -A INPUT -i ppp0 -p tcp --dport 58797 -j ACCEPT

#### RECHAZAMOS LOS DE MAS DEMÁS PUERTOS ####
iptables -A INPUT -i ppp0 -p tcp --dport 1:1024 -j REJECT
iptables -A INPUT -i ppp0 -p udp --dport 1:1024 -j REJECT
iptables -A INPUT -i ppp0 -p tcp --syn --dport 1025:65535 -j REJECT

#### Guardamos la configuración del firewall
iptables-save > /root/iptables

Fuente: Linuxparatodos.net