Ip Tables

20 ejemplos de iptables para SysAdmins novatos - El Ba...
http://elbauldelprogramador.com/internet/20-ejemplos-de...
El Bal del Programador (http://elbauldelprogramador.com/)

(http://elbauldelprogramador.com/feed) (http://www.twitter.com/elbaulp)
(https://www.facebook.com/elbauldelprogramador)
(https://plus.google.com
/b/108003822606696308728/108003822606696308728)
(https://github.com/algui91)
Portada (http://elbauldelprogramador.com) opensource (http://elbauldelprogramador.com /category/opensource/) aplicaciones (http://elbauldelprogramador.com/category/opensource /aplicaciones/) 20 ejemplos de iptables para SysAdmins novatos
20 ejemplos de iptables para SysAdmins novatos

ltima actualizacin: 23 marzo, 2013 (http://elbauldelprogramador.com/internet/20-ejemplosde-iptables-para-sysadmins/) by Alejandro Alcalde (http://elbauldelprogramador.com/author/algui91/) | 3 Replies (http://elbauldelprogramador.com/internet/20-ejemplosde-iptables-para-sysadmins/#comments)
Nueva gua Think Dierent: How to Build Your Own Hackintosh (http://elbauldelprogramador.com/so/nueva-guia-think-dierent-how-to-build/) Programacin Android: Insertando registros (http://elbauldelprogramador.com/opensource /programacion-android-insertando/)
Buscar en el blog
Suscrbete al blog por correo electrnico Introduce tu correo electrnico para suscribirte a este blog y recibir noticaciones de nuevas entradas. nete a otros 81 suscriptores Correo electrnico Subscribir
(http://bitacoras.com/anotaciones /elbauldelprogramador.com/internet/20-ejemplos-de-iptablespara-sysadmins/)
(http://3.bp.blogspot.com/-_5WvmCXMYjk
/TvTkTNhQPUI/AAAAAAAAB88/VP8jxCu5y3A/s1600/ApplicFirewall-icon.png) Linux por defecto trae un cortafuegos llamado NetFilter. Segn el sitio ocil de proyecto:
1 de 17
Te gusta el blog?
Ahora puedes donar mediante BitCoins
01/04/13 02:13
netltes es un conjunto de hooks (Ganchos) dentro del kernel de linux que permiten a los mdulos del kernel registrar funciones callbacks con la pila de red. Una funcin callback registrada se llama entonces para cada paquete que atraviesa el hook correspondiente dentro de la pila de red.
(/articulos/securitynow-articulos/comofunciona-el-bitcoinla-cripto-moneda/):
Este rewall lo controla un programa llamado iptables que gestiona el ltrado para IPv4, y ip6tables para IPv6.
Ejemplos de reglas IPTABLES

Muchas de las acciones que se listan abajo requieren ejecutarse como usuario root. Los siguientes comandos deberan funcionar en cualquier distro linux moderna. Esto NO es un tutorial de como congurar iptables. Puedes ver un tutorial aqu (http://www.cyberciti.biz/faq/rhel-fedorta-linuxiptables-rewall-conguration-tutorial/). Es ms bien una referencia rpida de los comandos ms comunes de iptables.
Categoras
Elegir categora
#1: Mostrando el estado de nuestro rewall

Teclea el siguiente comando como root:
iptables -L -n -v
Marcadores
internautas21 (http://internautas21.c om/) Picando Cdigo (http://picandocodigo. net) Webayunate destination (http://www.webayuna te.com)
destination destination
Ejemplos de salidas:
Chain pkts Chain pkts Chain pkts INPUT (policy ACCEPT 0 packets, 0 bytes) bytes target prot opt in out source FORWARD (policy ACCEPT 0 packets, 0 bytes) bytes target prot opt in out source OUTPUT (policy ACCEPT 0 packets, 0 bytes) bytes target prot opt in out source
El resultado de arriba indica que el rewall no est activo. La siguiente salida es la del rewall activado:
Usuarios en linea
(http://whos.amung.us /stats/6tp9kpzf0d4z/)
Licencia
2 de 17 01/04/13 02:13

Chain pkts 0 394 93 1 Chain pkts 0 0 0 0 0 0 0 Chain pkts Chain pkts Chain pkts
destination 0.0.0.0 0.0.0.0 (http://creativecommons.org 0.0.0.0 /licenses/by-nc-sa/3.0 0.0.0.0 /deed.es_ES) El Bal del Programador by destination Alejandro Alcalde 0.0.0.0 (http://www.elbauldelprogram 0.0.0.0 0.0.0.0 ador.com/) is licensed under a 0.0.0.0 Creative Commons 0.0.0.0 Reconocimiento-NoComercial0.0.0.0 CompartirIgual 3.0 Unported 0.0.0.0 License (http://creativecommons.org destination /licenses/by-nc-sa/3.0 destination /deed.es_ES). destination
INPUT (policy DROP 0 packets, 0 bytes) bytes target prot opt in out source 0 DROP all -- * * 0.0.0.0/0 43586 ACCEPT all -- * * 0.0.0.0/0 17292 ACCEPT all -- br0 * 0.0.0.0/0 142 ACCEPT all -- lo * 0.0.0.0/0 FORWARD (policy DROP 0 packets, 0 bytes) bytes target prot opt in out source 0 ACCEPT all -- br0 br0 0.0.0.0/0 0 DROP all -- * * 0.0.0.0/0 0 TCPMSS tcp -- * * 0.0.0.0/0 0 ACCEPT all -- * * 0.0.0.0/0 0 wanin all -- vlan2 * 0.0.0.0/0 0 wanout all -- * vlan2 0.0.0.0/0 0 ACCEPT all -- br0 * 0.0.0.0/0 OUTPUT (policy ACCEPT 425 packets, 113K bytes) bytes target prot opt in out source wanin (1 references) bytes target prot opt in out source wanout (1 references) bytes target prot opt in out source
Donde, -L : Muestra las reglas. -v : Muestra informacin detallada. -n : Muestra la direccin ip y puerto en formato numrico. No usa DNS para resolver nombres. Esto acelera la lista.
#1.1:Para Inspeccionar el rewall con nmero de lineas:

iptables -n -L -v --line-numbers
Salida:
Chain INPUT (policy DROP) num target prot opt source 1 DROP all -- 0.0.0.0/0 2 ACCEPT all -- 0.0.0.0/0 3 ACCEPT all -- 0.0.0.0/0 4 ACCEPT all -- 0.0.0.0/0 Chain FORWARD (policy DROP) num target prot opt source 1 ACCEPT all -- 0.0.0.0/0 2 DROP all -- 0.0.0.0/0 3 TCPMSS tcp -- 0.0.0.0/0 4 ACCEPT all -- 0.0.0.0/0 5 wanin all -- 0.0.0.0/0 6 wanout all -- 0.0.0.0/0 7 ACCEPT all -- 0.0.0.0/0 Chain OUTPUT (policy ACCEPT) num target prot opt source Chain wanin (1 references) num target prot opt source Chain wanout (1 references) num target prot opt source destination 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 destination 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 destination destination destination
state INVALID state RELATED,ES
state INVALID tcp flags:0x06 state RELATED,ES
Podemos usar los nmeros de lnea para borrar o aadir nuevas reglas al rewall.
3 de 17 01/04/13 02:13
#1.2: Mostrar las reglas de cadena de entrada y salida:

iptables -L INPUT -n -v iptables -L OUTPUT -n -v --line-numbers
#2: Parar / Iniciar / Reiniciar el rewall

Si usas CentOS / RHEL / Fedora linux:
service iptables stop service iptables start service iptables restart
Tambin se puede usar propio comando iptables para detenerlo y borrar todas las reglas.
iptables iptables iptables iptables iptables iptables iptables iptables iptables -F -X -t -t -t -t -P -P -P
nat -F nat -X mangle -F mangle -X INPUT ACCEPT OUTPUT ACCEPT FORWARD ACCEPT
Donde: -F : Borra todas las reglas. -X : Borra cadenas -t table_name : Selecciona una tabla y elimina reglas -P : Establece la poltica por defecto (como DROP , REJECT o ACCEPT)
#3: Borrar reglas del rewall

Para mostrar los nmeros de lnea junto a otra informacin para reglas existentes:
iptables iptables iptables iptables -L -L -L -L INPUT -n --line-numbers OUTPUT -n --line-numbers OUTPUT -n --line-numbers | less OUTPUT -n --line-numbers | grep 202.54.1.1
Obtendrendremos la lista de IPs. Miramos el nmero de la izquierda y lo usamos para borrarla. Por ejemplo para borrar la lnea 4:
iptables -D INPUT 4
O para encontrar una ip de origen y borrarla de la regla

iptables -D INPUT -s 202.54.1.1 -j DROP
4 de 17
01/04/13 02:13
Donde: -D : Elimina una o ms reglas de la cadena seleccionada.
#4: Insertar reglas:

Para insertar una o ms reglas en la cadena seleccionada como el nmero de cadena dada usamos la siguiente sintaxis. Primero encontramos el nmero de lnea:
iptables -L INPUT -n --line-numbers
Salida:
Chain INPUT (policy DROP) num target prot opt source 1 DROP all -- 202.54.1.1 2 ACCEPT all -- 0.0.0.0/0 destination 0.0.0.0/0 0.0.0.0/0
state NEW,ESTABL
Para insertar una regla entre 1 y 2;

iptables -I INPUT 2 -s 202.54.1.2 -j DROP
Para ver las reglas actualizadas

iptables -L INPUT -n --line-numbers
Salida:
Chain INPUT (policy DROP) num target prot opt source 1 DROP all -- 202.54.1.1 2 DROP all -- 202.54.1.2 3 ACCEPT all -- 0.0.0.0/0 destination 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0
state NEW,ESTABL
#5: Guardar reglas

Para guardar reglas en CentOS / RHEL / Fedora Linux:
service iptables save
En este ejemplo, eliminamos una ip y guardamos las reglas del rewall:

iptables -A INPUT -s 202.5.4.1 -j DROP service iptables save
Para todas las dems distros usamos:

iptables-save > /root/my.active.firewall.rules cat /root/my.active.firewall.rules
#6: Restaurar reglas

Para restaurar reglas desde un archivo llamado /root/my.active.rewall.rules:
iptables-restore < /root/my.active.firewall.rules
5 de 17
01/04/13 02:13
Bajo CentOS / RHEL / Fedora Linux:

service iptables restart
#7: Estableces polticas de rewall por defecto

Para borrar todo el trco:
iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -L -v -n ## you will not able to connect anywhere as all traffic is dropped ### ping cyberciti.biz wget http://www.kernel.org/pub/linux/kernel/v3.0/testing/linux-3.2
#7.1: Solo trco entrante bloqueado

Para borrar todos los paquetes entrantes / enviados pero permitir el trco saliente:
iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT iptables -L -v -n # *** now ping and wget should work *** ### ping cyberciti.biz wget http://www.kernel.org/pub/linux/kernel/v3.0/testing/linux-3.2
#8: Borrar direcciones de red privadas en la interfaz pblica

IP Spoong es nada ms que para detener los siguientes rangos de direcciones IPv4 para redes privadas en sus interfaces pblicas. Los paquetes con direcciones de origen no enrutables deben rechazarse mediante la siguiente sintaxis:
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j DROP iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
#9: Bloqueando una direcin IP (BLOCK IP)

PAra bloquear una ip atacante llamada 1.2.3.4:
iptables -A INPUT -s 1.2.3.4 -j DROP iptables -A INPUT -s 192.168.0.0/24 -j DROP
#10: Bloquear
6 de 17 01/04/13 02:13
peticiones entrantes de un puerto (BLOCK PORT)

iptables -A INPUT -p tcp --dport 80 -j DROP iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP
Para bloquear todas las solicitudes de servicio en el puerto 80:
Para bloquear el puerto 80 para una ip:

iptables -A INPUT -p tcp -s 1.2.3.4 --dport 80 -j DROP iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DROP
#11: Bloquear ips de salida

Para bloquear el trco saliente a un host o dominio en concreto como por ejemplo cyberciti.biz:
host -t a cyberciti.biz
Salida:
cyberciti.biz has address 75.126.153.206
Una vez conocida la direccin ip, bloqueamos todo el trco saliente para dicha ip as:
iptables -A OUTPUT -d 75.126.153.206 -j DROP
Se puede usar una subred como la siguiente:

iptables -A OUTPUT -d 192.168.1.0/24 -j DROP iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j DROP
#11.1: Ejemplo Bloquear el dominio facebook.com

Primero, encontrar la direccin ip de facebook.com
host -t a www.facebook.com
Salida:
www.facebook.com has address 69.171.228.40
Buscar el CIDR para 69.171.228.40:

whois 69.171.228.40 | grep CIDR
Salida:
CIDR: 69.171.224.0/19
Para prevenir el acceso externo a facebook.com:

7 de 17 01/04/13 02:13
iptables -A OUTPUT -p tcp -d 69.171.224.0/19 -j DROP
Podemos usar tambin nombres de dominio:

iptables -A OUTPUT -p tcp -d www.facebook.com -j DROP iptables -A OUTPUT -p tcp -d facebook.com -j DROP
De la pgina del man de iptables:

specifying any name to be resolved with a remote query such as DNS (e.g., facebook.com is a really bad idea), a network IP address (with /mask), or a plain IP address
#12: Log y borrar paquetes

Escribe lo siguiente para aadir al log y bloquear IP spoong en una interfaz pblica llamada eth1
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix "IP_SPOOF A: " iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
Por defecto el log est en el archivo /var/log/messages

tail -f /var/log/messages grep --color 'IP SPOOF' /var/log/messages
#13: Log y borrar paquetes con un nmero limitado de entradas al log

El mdulo -m limit puede limitar el nmero de entradas al log creadas por tiempo. Se usa para prevenir que el archivo de log se inunde. Para aadir al log y elminar spoong cada 5 minutos, en rfagas de 7 entradas:
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m limit --limit 5/m --limit-burst iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
#14: Aceptar o denegar trco desde direccin MAC

iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP ## *only accept traffic for TCP port # 8080 from mac 00:0F:EA:91:04:07 * ## iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source
#15: Bloquear o permitir peticiones

8 de 17 01/04/13 02:13
ping ICMP
Para bloquear peticiones ping ICMP

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP
Las respuestas al ping tambin se puede limitar a ciertas redes o hosts.

iptables -A INPUT -s 192.168.1.0/24 -p icmp --icmp-type echo-request
Lo siguiente solo acepta limitados tipos de peticiones ICMP:

### ** assumed that default INPUT policy set to DROP ** ############# iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT ## ** all our server to respond to pings ** ## iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
#16: Abrir un rango de puertos

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 7000
#17: Abrir un rango de direcciones ip

## only accept connection to tcp port 80 (Apache) if ip is between 192.168.1.100 a iptables -A INPUT -p tcp --destination-port 80 -m iprange --src-range ## nat example ## iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.1.20-192.168.1.25
#19: Bloquear o abrir puertos comunes
9 de 17
01/04/13 02:13
Replace ACCEPT with DROP to block port: ## open port ssh tcp port 22 ## iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport ## open cups (printing service) udp/tcp port 631 for LAN users ## iptables -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 631 -j ACCEPT iptables -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 631 -j ACCEPT ## allow time sync via NTP for lan users (open udp port 123) ## iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport ## open tcp port 25 (smtp) for all ## iptables -A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT # open dns server ports for all ## iptables -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT ## open http/https (Apache) server port to all ## iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT ## open tcp port 110 (pop3) for all ## iptables -A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT ## open tcp port 143 (imap) for all ## iptables -A INPUT -m state --state NEW -p tcp --dport 143 -j ACCEPT ## open access to iptables -A INPUT iptables -A INPUT iptables -A INPUT iptables -A INPUT Samba file server -s 192.168.1.0/24 -s 192.168.1.0/24 -s 192.168.1.0/24 -s 192.168.1.0/24 for lan users only ## -m state --state NEW -p -m state --state NEW -p -m state --state NEW -p -m state --state NEW -p
tcp tcp tcp tcp
--dport --dport --dport --dport
## open access to proxy server for lan users only ## iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport ## open access to mysql server for lan users only ## iptables -I INPUT -p tcp --dport 3306 -j ACCEPT
#20: Restringir el nmero de conexiones paralelas a un servidor por direccion Ip del cliente.
Se puede usar connlimit para crear algunas restricciones. Para permitir 3 conexiones ssh por cliente:
iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above
Establecer las peticiones HTTP a 20:

iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 20
donde:
10 de 17 01/04/13 02:13
connlimit-above 3 : Coincide si el nmero de conexiones existentes est por encima de 3. connlimit-mask 24 : Grupos de hosts usando el prejo de longitud. Para IPv4, debe ser un nmero entre 0 y 32 (incluyndolos.)
#21: HowTO: Use iptables Like a Pro

Para ms informacin sobre iptables, chale un vistazo al manual:
man iptables
Para ver la ayuda en general o de un comando especco:

iptables -h iptables -j DROP -h
#21.1: Probando nuestro rewall

Conocer si hay puertos abiertos o no:
netstat -tulpn
Es recomendable instalarse un snier (/2011/05/esnifando-la-redpruebas-de-seguridad.html) como tcpdupm y ngrep para probar la conguracin de nuestro rewall.
Conclusin
Esta entrada solo lista las reglas bsicas para los usuarios nuevos en linux. Se pueden crear reglas ms complejas. Requiere una buena comprensin de TCP/IP , tunning del kernel linux via sysctl.conf y un buen conocimiento de nuestra conguracin.
Fuente original: cyberciti (http://www.cyberciti.biz /tips/linux-iptables-examples.html)
Ms reglas cortesa de Jker

a)a. Reestablece las reglas por defecto.
sudo su iptables iptables iptables iptables -F -t nat -F -t mangle -F -X
IPtables -nL para ver que estan vacias b)b. Congura la mquina para que slo se pueda acceder desde ella a las webs http://www.google.es y http://www.iesgoya.com y a ninguna otra.
11 de 17 01/04/13 02:13
iptables -A OUTPUT -d http://www.google.es -j ACCEPT iptables -A OUTPUT -d http://www.iesgoya.com -j ACCEPT iptables -A OUTPUT -p tcp dport 80 -j DROP # Mas exigente > iptables -A OUTPUT -
##como google tiene muchas IPs puede que tengamos un problema para ello realizamos lo siguiente antes de la regla EXIGENTE:
iptables -I OUTPUT 1 -d 212.106.221.0/24 -j ACCEPT iptables -I OUTPUT 1 -d 173.194.0.0/16 -j ACCEPT
# MOstrar las reglas que llevamos hasta el momento:

iptables -nL line-numbers
#Si queremos borrar reglas:

iptables -D OUTPUT 5
c)c. Cierra todos los puertos bien conocidos menos los necesarios para acceder a estas dos webs.
iptables iptables iptables iptables -A -A -A -A OUTPUT OUTPUT OUTPUT OUTPUT -p -p -p -p TCP UDP TCP UDP dport dport dport dport 53 -j ACCEPT 53 -j ACCEPT 1:1024 -j DROP 1:1024 -j DROP
d)d. Investiga de qu forma podras hacer que las peticiones entrantes a tu mquina virtual al puerto 81 por http vayan mediante NAT al puerto 80 de la mquina local (arranca WAMP para comprobar que funciona). Arrancamos wamp en la maquina sica y comprobamos que accedemos a wamp desde localhost. Comprobamos que podemos acceder desde la maquina virtual y se encuentra cortado Miramos la IP de la maquina virtual. Ahora desde la maquina sica intentamos acceder desde el puerto 81 con la IP esa. Habilitamos el enrutamiento entre tarjetas de red de nuestro equipo:
echo 1 > /proc/sys/net/ipv4/ip_forward
#Ejecutamos las siguientes reglas

iptables -t nat -A PREROUTING -p tcp dport 81 -j DNAT to- destination 192.168.20 iptables -t nat -A POSTROUTING -s 192.168.203.0/24 -j MASQUERADE
#Para ver las reglas introducidas:

iptables -t nat -nL line-numbers
e)e. Permite slo los mensajes entrantes desde la IP del compaero de tu mquina fsica (prueba desde otro sitio para ver si funciona).
12 de 17 01/04/13 02:13

iptables -A INPUT -s 192.168.203.200 -j ACCEPT iptables -A INPUT -j DROP iptables -A FORWARD -s 192.168.203.200 -j ACCEPT iptables -A FORWARD -s -j DROP
f) #Activa el log sobre todas las reglas y verica que se anotan los mensajes. Insertamos en IPTABLEs las reglas para activar el log:
iptables -I FORWARD 1 -j LOG log-prefix IPTABLESFORWARD: iptables -I INPUT 1 -j LOG log-prefix IPTABLESINPUT: iptables -t nat -I PREROUTING 1 -j LOG log-prefix IPTABLESPREROUTING: iptables -t nat -I POSTROUTING 1 -j LOG log-prefix IPTABLESPREROUTING: iptables -I OUTPUT 1 -j LOG log-prefix IPTABLESOUTPUT:
NOTA: hay que ponerlas las primeras para que haga log antes de rechazarlo. #Ahora editamos el archivo:
gedit /etc/rsyslog.d/50-default.conf
#E incluimos al nal:
kern.warning /var/log/iptables.log
Eres curioso? sigue este enlace (/index.php?random=1) nete a la comunidad El Bal del Programador: RSS (/rssfeed/) | Twitter (http://twitter.com/elbaulp) (1061) | Facebook (https://www.facebook.com/elbauldelprogramador) (499) | Google+ (https://plus.google.com /b/108003822606696308728/108003822606696308728)
Comprtelo:
13 de 17
01/04/13 02:13

(htt p:// elb aul del pro gra ma dor. co m /int ern et /20eje mpl osde-i pta ble spar a-s ysa dmi ns /?s har e=f ace boo k) Me gusta: (htt p:// elb aul del pro gra ma dor. co m /int ern et /20eje mpl osde-i pta ble spar a-s ysa dmi ns /?s har e=t witt er) (htt p:// elb aul del pro gra ma dor. co m /int ern et /20eje mpl osde-i pta ble spar a-s ysa dmi ns /?s har e=g oog leplu s-1) (htt p:// elb aul del pro gra ma dor. co m /int ern et /20eje mpl osde-i pta ble spar a-s ysa dmi ns /?s har e=li nke din)
Cargando...
Quiz te interese...
Bloquear una IP atacando el servidor mediante iptables (http://elbauldelprogramador.com/internet/bloquear-una-ipatacanto-el-servidor-mediante-iptables/) SelfControl, aparta las distracciones de tu pc cuando ests trabajando (http://elbauldelprogramador.com/opensource /selfcontrol-aparta-las-distracciones-de-tu-pc-cuando-estastrabajando/) Por qu nuestro PC necesita un rewall activado (http://elbauldelprogramador.com/internet/por-que-nuestropc-necesita-un-rewall/) [Vdeo tutoriales] Ataque Man in the middle (http://elbauldelprogramador.com/internet/video-tutorialesataque-man-in-middle/) Esnifando la red (Pruebas de seguridad): Ettercap y Wireshark (Man in the middle) (http://elbauldelprogramador.com/internet /esnifando-la-red-pruebas-de-seguridad/) Algunos comandos tiles con iproute2 (http://elbauldelprogramador.com/opensource/aplicaciones /comandos-ss-iproute2-linux/) Unhide Forensic Tool: Encuentra puertos y procesos ocultos (http://elbauldelprogramador.com/hacking/unhide-forensictool-encuentra-puertos-y-procesos-ocultos/)
14 de 17 01/04/13 02:13
Logrando el anonimato con Tor (Parte 2) : Proxies y servidores de DNS (http://elbauldelprogramador.com/articulos/lograndoel-anonimato-con-tor-parte-2-proxies-y-servidores-de-dns/) Logrando el anonimato con Tor (Parte 1) (http://elbauldelprogramador.com/articulos/lograndoel-anonimato-con-tor-parte-1/) Cmo se almacenan tus contraseas en internet (y cuando la longitud de la misma no importa) (http://elbauldelprogramador.com/articulos/comose-almacenan-tus-contrasenas-en-internet-y-cuandola-longitud-de-la-misma-no-importa/) Posted in aplicaciones (http://elbauldelprogramador.com/category /opensource/aplicaciones/), internet (http://elbauldelprogramador.com/category/internet/), linux (http://elbauldelprogramador.com/category/linux/), seguridad (http://elbauldelprogramador.com/category/opensource /seguridad/). Tagged agregar regla de iptables (http://elbauldelprogramador.com/tag/agregar-regla-de-iptables/), bloquear acceso a ssh mediante iptables (http://elbauldelprogramador.com/tag/bloquear-acceso-a-sshmediante-iptables/), bloquear direccion iptables (http://elbauldelprogramador.com/tag/bloquear-direccioniptables/), comando iptables (http://elbauldelprogramador.com /tag/comando-iptables/), congurar iptables (http://elbauldelprogramador.com/tag/congurar-iptables/), ejemplos de rewall (http://elbauldelprogramador.com /tag/ejemplos-de-rewall/), ejemplos iptables (http://elbauldelprogramador.com/tag/ejemplos-iptables/), iptables (http://elbauldelprogramador.com/tag/iptables/), iptables con servidor debian (http://elbauldelprogramador.com/tag/iptablescon-servidor-debian/), iptables fedora 16 como (http://elbauldelprogramador.com/tag/iptables-fedora-16-como/), politicas con iptables rewall (http://elbauldelprogramador.com /tag/politicas-con-iptables-rewall/).
About Alejandro Alcalde

Tcnico Superior en Desarrollo de aplicaciones informticas y actualmente estudiante de Grado en Ingeniera informtica en Granada Twitter (http://www.twitter.com/elbaulp) | Facebook (http://www.facebook.com/elbauldelprogramador) | LinkedIn (http://www.linkedin.com/in/algui91) | G+ (https://plus.google.com/117030001562039350135) | Youtube (http://www.youtube.com/user/algui91) View all posts by Alejandro Alcalde (http://elbauldelprogramador.com/author/algui91/)
15 de 17
01/04/13 02:13
3 thoughts on 20 ejemplos de iptables para SysAdmins novatos

juanchiy2k said on julio at 2:44 pm (http://elbauldelprogramador.com/internet/20-ejemplosde-iptables-para-sysadmins/#comment-236): Hola Alejandro. Excelente tutorial. Mi deseo es bloquear las redes sociales en mi trabajo, lo hice con squid en modo transparente pero las saltean al entrar por https. Hice las pruebas en una virtual pc y me funcion bien. El asunto es que no me esta funcionando en el servidor de produccin. Este tiene dos placas de red, eth0 por donde entra el trco de internet y eth1 para conectarse a la red. Para el caso de Facebook hago lo siguiente: #Bloqueamos Facebook iptables -A OUTPUT -p tcp -d 69.63.176.0/20 dport 443 -j DROP iptables -A OUTPUT -p tcp -d 66.220.144.0/20 dport 443 -j DROP iptables -A OUTPUT -p tcp -d 69.171.224.0/19 dport 443 -j DROP iptables -A OUTPUT -p tcp -d http://www.facebook.com (http://www.facebook.com) dport 443 -j DROP iptables -A OUTPUT -p tcp -d facebook.com dport 443 -j DROP Alguna sugerencia?. Saludos. Reply (/internet/20-ejemplos-de-iptablespara-sysadmins/?replytocom=236#respond) Alejandro Alcalde (http://www.elbauldelprogramador.org) said on julio at 2:14 pm (http://elbauldelprogramador.com/internet /20-ejemplos-de-iptables-para-sysadmins /#comment-237): Hola Juanchiy2k, esta entrada la traduje de http://www.cyberciti.biz/tips/linux-iptablesexamples.html (http://www.cyberciti.biz /tips/linux-iptables-examples.html), como cito al nal de la entrada, no tengo gran conocimiento de iptables, aunque mi intencin es aprender en breve. Si quiere puede pasarse por la entrada original y preguntar all. Un saludo y disculpa.
16 de 17 01/04/13 02:13
Reply (/internet/20-ejemplos-de-iptablespara-sysadmins/?replytocom=237#respond)
Alejandro Alcalde (http://www.elbauldelprogramador.com) said on febrero at 1:27 pm (http://elbauldelprogramador.com/internet /20-ejemplos-de-iptables-para-sysadmins/#comment-495): Muchas gracias, las he aadido al artculo. Un saludo. Reply (/internet/20-ejemplos-de-iptablespara-sysadmins/?replytocom=495#respond)
Next Post (http://elbauldelprogramador.com/so/nuevaguia-think-dierent-how-to-build/) Previous Post (http://elbauldelprogramador.com/opensource /programacion-android-insertando/) 2013 El Bal del Programador (http://elbauldelprogramador.com/), all rights reserved. Proudly powered by WordPress (http://wordpress.org/)
17 de 17
01/04/13 02:13

Ip Tables

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Ip Tables

Transféré par

Droits d'auteur :

Formats disponibles

20 ejemplos de iptables para SysAdmins novatos - El Ba...

El Bal del Programador (http://elbauldelprogramador.com/)

20 ejemplos de iptables para SysAdmins novatos

20 ejemplos de iptables para SysAdmins novatos - El Ba...

Ejemplos de reglas IPTABLES

#1: Mostrando el estado de nuestro rewall

20 ejemplos de iptables para SysAdmins novatos - El Ba...

#1.1:Para Inspeccionar el rewall con nmero de lineas:

state INVALID state RELATED,ES

state INVALID tcp flags:0x06 state RELATED,ES

20 ejemplos de iptables para SysAdmins novatos - El Ba...

#1.2: Mostrar las reglas de cadena de entrada y salida:

#2: Parar / Iniciar / Reiniciar el rewall

#3: Borrar reglas del rewall

O para encontrar una ip de origen y borrarla de la regla

20 ejemplos de iptables para SysAdmins novatos - El Ba...

Donde: -D : Elimina una o ms reglas de la cadena seleccionada.

#4: Insertar reglas:

Para insertar una regla entre 1 y 2;

Para ver las reglas actualizadas

#5: Guardar reglas

En este ejemplo, eliminamos una ip y guardamos las reglas del rewall:

Para todas las dems distros usamos:

#6: Restaurar reglas

20 ejemplos de iptables para SysAdmins novatos - El Ba...

Bajo CentOS / RHEL / Fedora Linux:

#7: Estableces polticas de rewall por defecto

#7.1: Solo trco entrante bloqueado

#8: Borrar direcciones de red privadas en la interfaz pblica

#9: Bloqueando una direcin IP (BLOCK IP)

20 ejemplos de iptables para SysAdmins novatos - El Ba...

peticiones entrantes de un puerto (BLOCK PORT)

Para bloquear todas las solicitudes de servicio en el puerto 80:

Para bloquear el puerto 80 para una ip:

#11: Bloquear ips de salida

Se puede usar una subred como la siguiente:

#11.1: Ejemplo Bloquear el dominio facebook.com

Buscar el CIDR para 69.171.228.40:

Para prevenir el acceso externo a facebook.com:

20 ejemplos de iptables para SysAdmins novatos - El Ba...

iptables -A OUTPUT -p tcp -d 69.171.224.0/19 -j DROP

Podemos usar tambin nombres de dominio:

De la pgina del man de iptables:

#12: Log y borrar paquetes

Por defecto el log est en el archivo /var/log/messages

#13: Log y borrar paquetes con un nmero limitado de entradas al log

#14: Aceptar o denegar trco desde direccin MAC

#15: Bloquear o permitir peticiones

20 ejemplos de iptables para SysAdmins novatos - El Ba...

Para bloquear peticiones ping ICMP

Las respuestas al ping tambin se puede limitar a ciertas redes o hosts.

Lo siguiente solo acepta limitados tipos de peticiones ICMP:

#16: Abrir un rango de puertos

#17: Abrir un rango de direcciones ip

#19: Bloquear o abrir puertos comunes

20 ejemplos de iptables para SysAdmins novatos - El Ba...

tcp tcp tcp tcp

--dport --dport --dport --dport

Establecer las peticiones HTTP a 20:

20 ejemplos de iptables para SysAdmins novatos - El Ba...

#21: HowTO: Use iptables Like a Pro

Para ver la ayuda en general o de un comando especco:

#21.1: Probando nuestro rewall

Fuente original: cyberciti (http://www.cyberciti.biz /tips/linux-iptables-examples.html)