Académique Documents
Professionnel Documents
Culture Documents
Iptables
Unoomscolaboradoresestntrabajandoactualmenteenextenderestapgina. Es posible que, a
artculo causa deeditar
discusin ello, hayahistorial
lagunas de contenido, deficiencias de formato o texto en otros idiomas. Por favor, antes
derealizarcorreccionesmayoresoreescrituras,contactaconellosensupginadeusuariooenlapgina
dediscusindelartculoparapodercoordinarlaredaccin.
INPUT
Filtrado de paquetes que llegan al firewall
Filtrado de OUTPUT
FILTER Filtrado de los paquetes de salida
paquetes
FORWARD
Permiteelpasodepaquetesaotradireccindelfirewall
Chequealadireccinderedantesdereenviarla.
PREROUTING
Facilitalamodificacindelainformacinparafacilitarelenrutado
SeusatambincomoDESTINATIONNAToDNAT
Enrutamiento
de TratamientodeladireccinIPdespusdelenrutado.Estohace
NAT POSTROUTING
direcciones de quenoseanecesariolamodificacindeldestinodeladireccinIP
red del paquete como en pre-routing.Se usa como SOURCE NAT o SNAT
OUTPUT InterpretacindelasdireccionesdeReddelospaquetes
que salen del firewall.Escasamente usado.
PREROUTING
Modificacinde
POSTROUTING PermitelamodificacindelpaquetecomopuedeserTOS
las
MANGLE INPUT (type of Service), marcado de los mismos para
cabeceras de
OUTPUT QOS o calidad de servicio
TCP
FORWARD
PREROUTING
Esta tabla se usa para configurar principalmente excepciones
Accin
RAW enelseguimientodepaquetesencombinacin
NOTRACK
OUTPUT conlaaccinotargetNOTRACK.
Apartirdeaqu,dividiremoslasopcionesenalgunosgrupos
Comohacamosreferenciamasarriba,dentrodelastablas hay cadenas a su vez vez formadas por agrupaciones de reglas. Es importante
ver que, cada tabla tiene cadena por defecto, que no se pueden eliminar.
A las CADENAS por defecto podemos unir cadenas creadas por nosotros mismos para un mejor funcionamiento del filtrado o el
enrutamiento.
ElcomandoIPTABLEStieneasuvezparmetrosycomandosquepermitirndefinirelcomportamientodeunaovariasreglas.Estoes,
agregar una regla, modificar una regla existente, eliminar el nombre de una cadena
Describimos algunos de los comandos mas comunes.
FUNCION de COMANDOS
COMANDO FUNCION
-N Crearnuevacadenaasocindolaaunnombre.
-P Modificalaaccinpordefectodelacadenapreseleccionada.
-D Eliminarlaregla_nmero(rulenum)enlacadenaseleccionada.
Parmetros [editar]
Todaslasreglaseniptablestienendefinidasucondicinporlosparmetros,queconstituyensuparte primordial.
Algunos de estosparmetrosson:
PARAMETROS y su FUNCION
PARAMETRO FUNCION
Elprotocolodelpaqueteacomprobar,tcp,udp,icmpall.
-p
Por defecto es all
-j Estoespecificaelobjetivodelacadenadereglas,oseaunaaccin
Cuandolistamoslasreglas,agregaelnmeroqueocupacadaregla
--line-numbers
dentro de la cadena
Acciones [editar]
Yatenemosloscomponetesesencialesparaformarlasreglasquedeterminarnlaaceptacinodenegacindeentradaysalidadepaquetes
denuestramquina,tantoatravsdeInternet,comodenuestrapropiareddomstica.
Ahoraveremoscmoseconstruyenlasreglasycomohacerunscriptdeshellenelquesevanaplicando aquellas reglas que necesitemos.
Laestructuraoelesqueletodeunareglabasicamentesera:
Qunosdiceestacadenadereglas?
Que en la tabla filter, la cadena input filtra los paquetes con protocolo tcp que entran por el puerto 23(puertoasignadoatelnet)ystosson
rechazados (DROP)sinningunanotificacin.
Algunasconsideraciones.Deacuerdoconlohemoscomentadoantes,podramosescribirlomismodeotraforma,porej.quitando "-t filter", ya
queeslatablapordefecto,ademspodemoscambiarelnmerode puerto por"telnet" que en realidad es su puerto asignado. Queda:
Siporelcontrario,quisiramosaceptarestospaquetes:
Oaceptamostrficohttp:
dondetambinpodemosespecificarelinterfazdeentrada(-i etho)
tambin:
sudo iptables -L
selistanlasactualesreglaseniptables.Siacabasdeinstalarunservidor,aunnotendrsnormas,asquedeberasver:
Podemostambinpermitirsesionesestablecidaspararecibireltrfico:
Permitirtrficoentrantedepuertosespecficos [editar]
Sepodraempezarporelbloqueodetrfico,perodeberasestartrabajandoatravsdeSSH,porloquenecesitaspermitirSSHantesdebloquear
todolodems.
ParapermitireltrficoSSHporelpuertopordefecto(22),puedesdecirleaiptablesquepermitaatodoeltrficoTCPentranteporesepuerto.
Refindonosalalistaanterior,puedesverquestolediceaiptables:
Aadirestareglaalacadenainput(-AINPUT),demaneraquenosfijamoseneltrfico
CompruebasieltrficoesTCP(-p tcp).
Si lo es, comprueba que la entrada va al puerto SSH (--dport ssh).
Siesas,aceptalaentrada(-j ACCEPT).
Vamoscomprobarlasreglas:(solosemuestralaprimeralinea,tuversms)
sudo iptables -L
Ahora,vamosapermitirtodoeltrficoentrante
sudo iptables -L
Tenemospermitidoespecficamenteeltrficotcpenlospuertossshyweb,perocomonotenemosbloqueadonada,todoeltrficopuedeaun
entrar.
Unavezquesetomaladecisindeaceptarunpaquete,ningunareglamsleafecta.Comolasreglasquepermiteneltrficowebysshvienen
deantes,yaquenuestraregladebloqueareltrficovienedespus,podemosaunaceptareltrficoquequeramos.Todoloquenecesitamos
haceresponerlareglaparabloqueartodoeltrfico.
Y obtenemos
Comonohemosespecificadouninterfazoprotocolo,cualquiertrficodecualquierpuertoencualquierinterfazestbloqueado,exceptoparaweb
y ssh.
Elnicoproblemaconnuestraconfiguracindelejosesqueinclusoelpuertoloopbackestbloqueado.
Podramoshaberescritolareglasoloparaeth0especificando-ieth0,pero,perotambinpodramosaadirunareglaparaelloopback.Sise
agregaestaregla,estallegarmuytarde- despusdequetodoeltrficoseabloqueado.Necesitamosinsertarlareglaantesdesto.Dadoque
setratadeunagrancantidaddetrfico,lainsertaremoscomoprimerareglaparaqueseaprocesadaenprimerlugar
sudo iptables -L
Y obtenemos
Laprimerayltimalineaparecenlomismo,asquelistaremosiptablesconmsdetalleconlaopcin-v.
sudo iptables -L -v
Y obtenemos
Ahorapuedesvermsinformacin.Estareglaesdehechomuyimportante,dadoquemuchosprogramasutilizanlainterfazloopbackpara
comunicarseconotras.Sinopermiteslacomunicacin,podrasromperesosprogramas.
Enmascaramiento IP [editar]
ElpropsitodelEnmascaramientoIP(IPMasquerading)espermitirquemquinascondireccionesIPprivadasnoenrutablesdeunaredaccedan
aInternetatravsdelamquinaquerealizaelenmascaramiento.SedebemanipulareltrficoquevadesuredprivadacondestinoaInternet,
paraquelasrespuestaspuedanencaminarseadecuadamentealamquinaquehizolapeticin.Paraello,elncleodebemodificarladireccin
IPfuentedecadapaquetedeformaquelasrespuestasseencaminenhaciaella,enlugardeencaminarlahacialadireccinIPprivadaquehizola
peticin,loqueresultaimposibleenInternet.LinuxusaSeguimientodeConexin(ConnectionTracking,conntrack)parallevarlacuentadequ
conexionespertenencenaqumquinas,yreencaminaradecuadamentecadapaquetederetorno.Eltrficoquesaledesuredprivadaes,por
consiguiente, enmascaradadandolasensacindequesehaoriginadoenlamquinaUbuntuquehacedepasarela.Esteprocesose
denominaComparticindeConexionesdeInternet(InternetConnectionSharing)enladocumentacindeMicrosoft.
Estosepuedeconseguirconunaslaregladeiptables,quepuedevariarligeramenteenfuncindelaconfiguracindesured:
La orden anterior supone que su espacio de direcciones privadas es 192.168.0.0/16 y que el dispositivo que conecta con Internet es ppp0. La
sintaxis se descompone de la siguiente forma:
-t nat -- la regla es para ir a la tabla nat
-A POSTROUTING -- lareglaesparaaadir(-A) a la cadena POSTROUTING
-s 192.168.0.0/16 -- lareglaseaplicaaltrficooriginadodesdeladireccinespecfica
-o ppp0 -- lareglaseaplicaaltrficoprogramadoparaserenrutadoatravsdeldispositivoderedespecificado
-j MASQUERADE -- eltrficoqueseajusteaestareglasaltar(jump, -j) al destino MASQUERADE para ser manipulado como se
describianteriormente
Cadacadenaenlatabladefiltrado(latablapredeterminada,ydondeocurrenlamayoradelosfiltradosdepaquetes)tieneunapoltica
predeterminadadeACCEPT,perosiestcreandounfirewallademsdeundispositivodepasarela,deberaestablecerlaspolticasaDROPo
REJECT,encuyocasonecesitarhabilitarsutrficoenmascaradoatravsdelacadenaFORWARDparaquelareglaanteriorfuncione:
LasrdenesanteriorespermitirntodaslasconexionesquevayandesuredlocalaInternet,ascomoelretornoalamquinaquelasinicide
todoeltrficorelacionadoconesasconexiones.
Herramientas [editar]
Hay muchas herramientas disponibles que pueden ayudarle a construir un completo firewall sin necesidad de conocer iptables en profundidad.
Paralosqueseinclinanporunasolucingrfica,Firestarteresmuypopularyfcildeusar,yfwbuilder es muy potente y tiene un aspecto
familiar para aquellos administradores que hayan usado herramientas comerciales de firewall como Checkpoint FireWall-1. Si prefiere una utilidad
delneaderdenesconarchivosdeconfiguracinentextoplano,Shorewallesunasolucinmuypotenteparaayudarleaconfigurarunfirewall
avanzado para cualquier red. Si su red es relativamente simple, o no dispone de red, ipkungfuleproporcionarunfirewallfuncionalcondesdeel
principiosinnecesidaddeconfiguracin,ylepermitircrearfcilmenteunfirewallmsavanzadoeditandoarchivosdeconfiguracinsencillosy
bien documentados. Otra herramienta interesante es fireflier,diseadoparaserunaaplicacinfirewalldeescritorio.Estformadaporun
servidor (fireflier-server)yunaseleccindeclientesGUI(GTKoQT),ysecomportademaneramuysimilaramuchasaplicacionesinteractivasde
firewall para Windows.
Logs [editar]
Los registros del firewall son esenciales para reconocer ataques, corregir problemas en las reglas de su firewall, y observar actividades inusuales
en su red. Debe incluir reglas de registro en su firewall para poder activarlos, y las reglas de registro deben aparecer antes de cualquier otra regla
final aplicable (una regla con un objetivo que decide el destino del paquete, como ACCEPT, DROP o REJECT). Por ejemplo,
sudo iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j LOG --log-prefix "NEW_HTTP_CONN: "
Unapeticinalpuerto80desdelamquinalocal,portanto,podragenerarunregistroendmesgconelsiguienteaspecto:
Sireiniciaraelsistemaluegodehaberaplicadoestasreglasloscambiosseperderan.Msquevolveraescribirestocadavezquereinicias,lo
lgicoesguardarlaconfiguracinyhacerqueseapliqueautomticamente.Paraguardarlaconfiguracinpuedesusariptables-save y
iptables-restore.
Fuentes [editar]
https://help.ubuntu.com/community/IptablesHowTo
https://help.ubuntu.com/6.10/ubuntu/serverguide/es/firewall-configuration.html
Estapginafuemodificadaporltimavezel15:34,22abr2011. Estapginahasidovisitada45.255veces.
ElcontenidoestdisponiblebajolostrminosdelaAtribucin-Licenciar Igual 3.0 Polticadeproteccindedatos Acerca de doc.ubuntu-e s Aviso legal