Ejemplos IPtables (Lectura Exteeensa) - Taringa!

21/6/2014 Ejemplos IPtables (Lectura Exteeensa) - Taringa!
http://www.taringa.net/posts/linux/16293653/Ejemplos-IPtables-Lectura-Exteeensa.html 1/8
Lo ms destacado En ascenso Lo ms reciente Crear Post!
LINUX Y GNU | HACE MS DE 1 AO
Ejemplos IPtables (Lectura Exteeensa)

Lleg S4 League
yuisy.com/s4-league
Un elegante deporte de disparos. Juega gratis a S4 League!
Si sos fiaca para la lectura este no es tu post
netfilter es un conjunto de hooks dentro del kernel de Linux que permite a los mdulos del ncleo registrar las
funciones de devolucin de llamadas con la pila de red. Una funcin de devolucin de llamadas registradas
entonces se llam de nuevo para cada paquete que atraviese el hooks correspondiente dentro de la pila de red.
Este firewall basado en Linux est controlada por el programa llamado iptables para el filtrado para IPv4 e
ip6tables. Recomiendo que primero leas este tutorial rpido que explica cmo configurar un firewall basado en
host llamado Netfilter (iptables) en CentOS / RHEL / Fedora / Red Hat Enterprise Linux. Este post muestra las
listas ms comunes de iptables con las soluciones requeridas por un nuevo usuario de Linux que quiera asegurar
su sistema operativo Linux de intrusos.
#1 Iptables Las reglas de ejemplo:
La mayor parte de las acciones enumeradas en este post estn escritos con la suposicin de que ser
ejecutado por el usuario root o cualquier otro con usuario con privilegios. No escriba los comandos en un sistema
remoto, ya que desconecte el acceso.
Para propsito de la demostracin que he usado Red Hat Enterprise Linux 6.x, pero el siguiente comando
debera funcionar con cualquier distribucin de Linux moderna.
Esto no es un tutorial sobre cmo configurar iptables. Se trata de una hoja de trucos rpido a los comandos
comunes de iptables.

Escribe el siguiente comando como root:
iptables -L -n -v
Salidas de la muestra:
Por encima de la produccin indica que el firewall no est activa.
El siguiente ejemplo muestra un firewall activo:
xBienvenido a la nueva versin de Taringa! Para volver a la versin anterior, puedes hacer click en el link al pie de la columna derecha.
4 0 0
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
Silver
621
Seguidores
21.106
Puntos
69
Posts
NechuZ
Posts Relacionados
LINUX Y GNU
Uso Bsico de la Terminal de
Linux
LINUX Y GNU
Comandos basicos de linux en
espaol.
LINUX Y GNU
Fstab bajo control
LINUX Y GNU
Comandos basicos para redes
en linux
Avisos Taringa!
Lleg S4 League
yuisy.com/s4-league
Un elegante deporte de disparos.
Juega gratis a S4 League!
Minecraft a Tiros?
http://www.axeso5.com
Sumale adrenalina a tu Diversin Online con Brick
Force!
Juega GRATIS al S4 League
yuisy.com/s4-league
Disponible para Latinoamerica, Juega
GRATIS ahora!
w INGRESAR REGISTRARTE
Posts Mi T! Comunidades T! Msica Juegos Tops
Buscar
q

Escribe el siguiente comando como root:
iptables -L -n -v
Cuando,
-L: Lista de reglas.
-V: Muestra informacin detallada. Esta opcin hace que el comando de la lista muestra el nombre de la
interfaz, las opciones de la regla, y las mscaras TOS. Los contadores de bytes y de paquetes tambin estn en
la lista, con K el sufijo M o G para 1000, 1.000.000 y multiplicadores de 1,000,000,000, respectivamente.
-N: la direccin IP y el puerto de visualizacin en formato numrico. No utilizar DNS para resolver nombres.
Esto acelerar la lista.

Para inspeccionar firewall con los nmeros de lnea escribe:
Chain INPUT (policy DROP 0 packets, 0 bytes)
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
394 43586 ACCEPT all -
- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
93 17292 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0
1 142 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 TCPMSS tcp -
- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
0 0 ACCEPT all -
- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 wanin all -- vlan2 * 0.0.0.0/0 0.0.0.0/0
0 0 wanout all -- * vlan2 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 425 packets, 113K bytes)
Chain wanin (1 references)
Chain wanout (1 references)
iptables -n -L -v --line-numbers
Chain INPUT (policy DROP)
num target prot opt source destination
1 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP)
Puede utilizar los nmeros de lnea para eliminar o insertar nuevas reglas en el cortafuegos.

Para mostrar los datos o de reglas de salida de cadena, escribe:
# 2: Detener / iniciar / reiniciar el servidor de seguridad
Si utiliza CentOS / Linux Red Hat Enterprise Linux / Fedora, escriba:
Puede utilizar el comando iptables s mismo para detener el firewall y eliminar todas las reglas:
iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X iptables -P
INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPTCuando,
-F: La eliminacin (rubor) todas las reglas.
-X: Eliminar la cadena.
-T table_name: mesa de seleccin (llamado nat o mangle) y borrar / normas de descarga.
-P: Establece la poltica por defecto (como DROP, REJECT, o aceptar).
#3: Eliminar reglas de Firewall
Para mostrar el nmero de lnea junto con otra informacin por las normas existentes, entre:
Recibirs la lista de IP. Mira el nmero de la izquierda, a continuacin, utilizar el nmero para eliminarlo. Por
ejemplo, borrar el nmero de lnea 4, escribe:
y eliminar del dominio:
Cuando,
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
2 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
3 TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
5 wanin all -- 0.0.0.0/0 0.0.0.0/0
6 wanout all -- 0.0.0.0/0 0.0.0.0/0
7 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
Chain wanin (1 references)
Chain wanout (1 references)
iptables -L INPUT -n -viptables -L OUTPUT -n -v --line-numbers
service iptables stopservice iptables startservice iptables restart
iptables -L INPUT -n --line-numbers iptables -L OUTPUT -n --line-numbers iptables -L OUTPUT -
n --line-numbers | less iptables -L OUTPUT -n --line-numbers | grep 202.54.1.1
iptables -D INPUT 4O buscar IP de origen 202.54.1.1
iptables -D INPUT -s 202.54.1.1 -j DROP
-D: Eliminar una o ms reglas de la cadena seleccionada
# 4: Coloque las reglas del cortafuegos
Para insertar una o ms reglas en la cadena seleccionado como el nmero de la regla dada, utilice la siguiente
sintaxis. En primer lugar saber los nmeros de lnea, escriba:
Para insertar la regla entre el 1 y 2, escribe:
Para ver las reglas actualizadas, escribe:
# 5: Guardar las reglas del cortafuegos
Para guardar las reglas de firewall en CentOS / RHEL / Fedora Linux, escriba:
En este ejemplo, colocar un IP y guarda las reglas de firewall:
Para el resto de distros utilizar el comando iptables-save: iptables-save > /root/my.active.firewall.rules cat
/root/my.active.firewall.rules
# 6: Reglas de restaurar el cortafuegos
Para restaurar las reglas del cortafuegos formar un archivo llamado / root / my.active.firewall.rules, escriba:
Para restaurar las reglas del firewall en CentOS / RHEL / Fedora Linux, escriba:
Iptables-L INPUT-n - line-numbers
1 DROP all -- 202.54.1.1 0.0.0.0/0
2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW,ESTABLISHED
iptables -I INPUT 2 -s 202.54.1.2 -j DROP
iptables -L INPUT -n --line-numbers
1 DROP all -- 202.54.1.1 0.0.0.0/0
2 DROP all -- 202.54.1.2 0.0.0.0/0
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW,ESTABLISHED
service iptables save
iptables -A INPUT -s 202.5.4.1 -j DROP service iptables save
iptables-restore < /root/my.active.firewall.rules
service iptables restart
# 7: Establecer las polticas de firewall por defecto
Para eliminar todo el trfico:
Slo a bloquear el trfico entrante
Para eliminar todos los paquetes entrantes / enviado, pero permitir el trfico saliente, escriba:
# 8: Cada de direcciones de red privada En la interfaz
pblica
IP spoofing no es ms que para detener a los siguientes rangos de direcciones IPv4 para redes privadas en sus
interfaces pblicas. Los paquetes con direcciones de origen no se pueden enrutar debe ser rechazado con la
siguiente sintaxis:
Rangos de direcciones IPv4 para redes privadas (asegrese de que se bloquean en la interfaz pblica)
[quote]10.0.0.0/8 -j (A)
172.16.0.0/12 (B)
192.168.0.0/16 (C)
224.0.0.0/4 (MULTICAST D)
240.0.0.0/5 (E)
127.0.0.0/8 (LOOPBACK)[/quote]
# 9: El bloqueo de una direccin IP (direcciones IP
bloqueadas)
Para bloquear una direccin IP atacantes llamados 1.2.3.4, escriba:
# 10: bloquear las solicitudes de puertos entrantes
(BLOQUE DE PUERTO)
Para bloquear todas las solicitudes de servicio en el puerto 80, escriba:
Para bloquear el puerto 80 slo para una direccin IP 1.2.3.4, escriba:
# 11: Bloque de direcciones IP de salida
Para bloquear el trfico saliente a un host en particular o de dominio, como cyberciti.biz, escriba: # host -ta
cyberciti.biz
iptables -P INPUT DROP # iptables -P OUTPUT DROP iptables -P FORWARD DROPiptables -L -v
-n
#### you will not able to connect anywhere as all traffic is dropped ###
# ping cyberciti.biz wget http://www.kernel.org/pub/linux/kernel/v3.0/testing/linux-3.2-
rc5.tar.bz2
iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A
INPUT -m state --state NEW,ESTABLISHED -j ACCEPTiptables -L -v -n
### *** now ping and wget should work *** ###
# ping cyberciti.biz wget http://www.kernel.org/pub/linux/kernel/v3.0/testing/linux-3.2-rc5.tar.bz2
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j DROP iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j
DROP
iptables -A INPUT -s 1.2.3.4 -j DROP# iptables -A INPUT -s 192.168.0.0/24 -j DROP
iptables -A INPUT -p tcp --dport 80 -j DROP iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP
iptables -A INPUT -p tcp -s 1.2.3.4 --dport 80 -j DROP iptables -A INPUT -i eth1 -p tcp -s
192.168.1.0/24 --dport 80 -j DROP
cyberciti.biz tiene la direccin 75.126.153.206 Anota su direccin IP y escribe lo siguiente para bloquear todo el
trfico saliente a 75.126.153.206:
Puede utilizar una subred de la siguiente manera:
iptables -A OUTPUT -d 192.168.1.0/24 -j DROP iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j DROP
Ejemplo Bloque de dominio Facebook.com
En primer lugar, saber todas las direcciones ip de facebook.com, escriba:
Buscar CIDR para 69.171.228.40, escribe:
Para prevenir el acceso externo a www.facebook.com, escribe:
iptables -A OUTPUT -p tcp -d 69.171.224.0/19 -j DROP
Tambin puede usar el nombre de dominio, escribe:
# 12: Los paquetes de registro y soltar
Escriba lo siguiente para iniciar la sesin y bloquear el IP spoofing en la interfaz pblica denominada eth1
Por defecto todo lo que se registra en / var / log / messages.
# 13: registrar y descartar paquetes con un nmero
limitado de entradas de registro
El mdulo M-lmite puede limitar el nmero de entradas de registro creadas por el tiempo. Esto se utiliza para
prevenir la inundacin de su archivo de registro. Para registrar y descartar la suplantacin por 5 minutos, en
rfagas de ms de 7 entradas.
iptables -A OUTPUT -d 75.126.153.206 -j DROP
host -ta www.facebook.com
www.facebook.com tiene la direccin 69.171.228.40
whois 69.171.228.40 | grep CIDR
CIDR: 69.171.224.0/19
iptables -A OUTPUT -p tcp -d www.facebook.com -j DROP iptables -A OUTPUT -p tcp -d
facebook.com -j DROP
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix "IP_SPOOF A: " iptables -A INPUT -i
eth1 -s 10.0.0.0/8 -j DROP
tail -f /var/log/messages grep --color 'IP SPOOF' /var/log/messages
LINUX Y GNU
Comandos bsicos
de Debian y
derivados
LINUX Y GNU
Firewall bsico con
Iptables
LINUX Y GNU
Conociendo tu PC
desde la consola
INFO
Comandos Basico
Juniper - Flow Filter
Conclusin:
Este mensaje slo una lista de reglas bsicas para los nuevos usuarios de Linux. Puedes crear y construir reglas
ms complejas. Esto requiere una comprensin adecuada de TCP / IP, optimizacin del kernel de Linux a travs
de sysctl.conf, y un buen conocimiento de su propia configuracin.

iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix
"IP_SPOOF A: " iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
El contenido del post es de mi autora, y/o, es un recopilacin de distintas fuentes.
Fuentes de Informacin
Firewall comandos Basico iptables
Tags
Dar puntos 1 2 3 4 5 6 7 8 9 +10
74 Puntos
Compartir 4 0 0 0
Seguir A favoritos
0
Seguidores
1.105
Visitas
13
Favoritos
3 comentarios
LINUX Y GNU
recicle una notebook
, y mira como quedo.
LINUX Y GNU
10 skins para VLC
que lo harn lucir
mucho mejor
LINUX Y GNU
Instalar JDownloader
en Ubuntu 12.04
LINUX Y GNU
10 sitios para tomar
cursos de
programacin gratis
LINUX Y GNU
GrooveDown
descargar msica de
GrooveShark
LINUX Y GNU
5 Secretos que no
sabias de VLC Media
Player
@Harry_Porter hace 1 ao +1
gracias por avisar............saludos
@aries234 hace 1 ao
+10
@asalabra2 hace 1 ao
Genial!!
Ir al cielo Buscar...
Anunciar Ayuda Protocolo Desarrolladores Denuncias Report Abuse - DMCA Trminos y condiciones Privacidad de datos Reportar bug
Versin anterior

Ejemplos IPtables (Lectura Exteeensa) - Taringa!

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Ejemplos IPtables (Lectura Exteeensa) - Taringa!

Transféré par

Droits d'auteur :

Formats disponibles

21/6/2014 Ejemplos IPtables (Lectura Exteeensa) - Taringa!

Vous aimerez peut-être aussi