Académique Documents
Professionnel Documents
Culture Documents
2.
3.
Cdigo
/sbin/iptables -L
Cdigo
/etc/services
Cdigo
iptables [-t tabletype] COMMAND
tabletype=>
Cdigo
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Ejemplo:
Cdigo
iptables -A INPUT -m state --state ESTABLISHED,RELATED -m comment
--comment "Permitir conexiones existentes" -j ACCEPT
XX:XX:XX:XX:XX:XX
Ejemplo:
Cdigo
iptables -A INPUT -p TCP --dport 80 -m mac --mac-source FE:54:00:FC:4F:CC -j
ACCEPT
Cdigo
iptables -A INPUT -m state --state NEW -p tcp --dport 25 -m limit --limit
1/second --limit-burst 2 -j ACCEPT
<TARGET>=>
Cdigo
#!/bin/bash
#flush de todas las reglas y todos los chains
iptables -F
#trafico entrante
iptables -A INPUT -m state --state ESTABLISHED,RELATED -m comment
--comment "Aceptar conexiones existentes" -j ACCEPT
iptables -A INPUT -p icmp -m comment --comment "Aceptar ping" -j ACCEPT
iptables -A INPUT -i lo -m comment --comment "Aceptar conexiones internas" -j
ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 22 -m comment
--comment "Aceptar puerto 22" -j ACCEPT
iptables -A INPUT -p TCP --dport 80 -m mac --mac-source FE:54:00:FC:4F:CC -m
comment --comment "Aceptar peticiones al puerto 80 por una MAC" -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -m comment
--comment "Logar intentos accesos puerto 80" -j LOG --log-prefix
"denegado_puerto_80"
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -m comment
--comment "Eliminar accesos puerto 80" -j DROP
Cdigo
[root@tester1 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED /* Aceptar
conexiones existentes */
ACCEPT icmp -- anywhere anywhere /* Aceptar ping */
ACCEPT all -- anywhere anywhere /* Aceptar conexiones internas */
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh /* Aceptar puerto 22
*/
Cdigo
[jcmolinos@ppcjuancmolinos ~]$ telnet 192.168.122.150 25
Trying 192.168.122.150...
telnet: connect to address 192.168.122.150: Connection refused
Cdigo
8.122.150 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=1351 DF PROTO=TCP
SPT=46644 DPT=25 WINDOW=14600 RES=0x00 SYN URGP=0
Mar 7 20:38:03 tester1 yum: Installed: wget-1.12-1.4.el6.i686
Cdigo
[root@tester1 ~]# chkconfig --list iptables
iptables 0:desactivado 1:desactivado 2:activo 3:activo 4:activo 5:activo
6:desactivado
Cdigo
/etc/sysconfig/iptables
Contenido ejemplo:
Cdigo
[root@tester1 sysconfig]# cat iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
Cdigo
/etc/init.d/iptables save
Cdigo
/etc/sysconfig/iptables
Con las reglas que tenamos en memoria hasta ahora, nos asegurarnos que el
servicio de iptables est con arranque automtico para que se apliquen las reglas
en el siguiente arranque.
Cdigo
[root@tester1 ~]# chkconfig iptables on
Hay que tener en cuenta que las utilidades system-config-firewall-tui y systemconfig-firewall sobreescriben todas estas configuraciones, yo prefiero no usarlas.