IPTABLES

IPTABLES
1. Qué es un firewall
Un firewall es un dispositivo que filtra el tráfico entre redes, como mínimo dos. El firewall
puede ser un dispositivo físico o un software sobre un sistema operativo. En general
debemos verlo como una caja con DOS o mas interfaces de red en la que se establecen
una reglas de filtrado con las que se decide si una conexión determinada puede
establecerse ono. Incluso puede ir más allá y realizar modificaciones sobre las
comunicaciones, como el NAT.
Esa sería la definición genérica, hoy en dia un firewall es un hardware especifico con un
sistema operativo o una IOS que filtra el tráfico TCP/UDP/ICMP/../IP y decide si un
paquete pasa, se modifica, se convierte o se descarta. Para que un firewall entre redes
funcione como tal debe tener al menos dos tarjetas de red. Esta sería la tipología clásica
de un firewall:
Figura 1: esquema de firewall típico entre red local e internet

Esquema típico de firewall para proteger una red local conectada a internet a través de un
router. El firewall debe
colocarse entre el router (con un único cable) y la red local (conectado al switch o al hub
de la LAN)
Dependiendo de las necesidades de cada red, puede ponerse uno o más firewalls para
establecer distintos perímetros de
seguridad en torno a un sistema. Es frecuente también que se necesite exponer algún
servidor a internet (como es el caso
de un servidor web, un servidor de correo, etc..), y en esos casos obviamente en principio
se debe aceptar cualquier
conexión a ellos. Lo que se recomienda en esa situación es situar ese servidor en lugar
aparte de la red, el que denominamos DMZ o zona desmilitarizada. El firewall tiene
entonces tres entradas:
En la zona desmilitarizada se pueden poner tantos servidores como se necesiten. Con
esta arquitectura, permitimos que el
servidor sea accesible desde internet de tal forma que si es atacado y se gana acceso a
él, la red local sigue protegida por
el firewall. Esta estructura de DMZ puede hacerse también con un doble firewall (aunque
como se ve se puede usar un
único dispositivo con al menos tres interfaces de red). Sería un esquema como este:
Figura 3: esquema de firewall entre red local e internet con zona DMZ para servidores
expuestos creado con doble
firewall(perímetro)
Los firewalls se pueden usar en cualquier red. Es habitual tenerlos como protección de
internet en las empresas, aunque
ahí también suelen tener una doble función: controlar los accesos externos hacia dentro y
también los internos hacia el
exterior; esto último se hace con el firewall o frecuentemente con un proxy (que también
utilizan reglas, aunque de más
alto nivel).
También, en empresas de hosting con muchos servidores alojados lo normal es
encontrarnos uno o más firewalls ya sea
filtrando toda la instalación o parte de ella:
Figura 4: esquema de firewall entre redes, en la que solo se filtra y no se hace NAT
Sea el tipo de firewall que sea, generalmente no tendrá mas que un conjunto de reglas en
las que se examina el origen y
destino de los paquetes del protocolo tcp/ip. En cuanto a protocolos es probable que sean
capaces de filtrar muchos tipos
de ellos, no solo los tcp, también los udp, los icmp, los gre y otros protocolos vinculados a
vpns. Este podría ser (en
pseudo−lenguaje) un el conjunto de reglas de un firewall del primer gráfico:
Politica por defecto ACEPTAR.
Todo lo que venga de la red local al firewall ACEPTAR
Todo lo que venga de la ip de mi casa al puerto tcp 22 ACEPTAR
Todo lo que venga de la ip de casa del jefe al puerto tcp 1723 ACEPTAR
Todo lo que venga de hora.rediris.es al puerto udo 123 ACEPTAR
Todo lo que venga de la red local y vaya al exterior ENMASCARAR
Todo lo que venga del exterior al puerto tcp 1 al 1024 DENEGAR
Todo lo que venga del exterior al puerto tcp 3389 DENEGAR
Todo lo que venga del exterior al puerto udp 1 al 1024 DENEGAR
En definitiva lo que se hace es:
− Habilita el acceso a puertos de administración a determinadas IPs privilegiadas
− Enmascara el trafico de la red local hacia el exterior (NAT, una petición de un pc de la
LAN sale al exterior con la ip
pública), para poder salir a internet
− Deniega el acceso desde el exterior a puertos de administración y a todo lo que este
entre 1 y 1024.
Hay dos maneras de implementar un firewall:
1) Política por defecto ACEPTAR: en principio todo lo que entra y sale por el firewall
se acepta y solo se denegará lo que se diga explícitamente.
2) Política por defecto DENEGAR: todo esta denegado, y solo se permitirá pasar por
el firewall aquellos que se permita explícitamente.
Como es obvio imaginar, la primera política facilita mucho la gestión del firewall, ya que
simplemente nos tenemos que preocupar de proteger aquellos puertos o direcciones que
sabemos que nos interesa; el resto no importa tanto y se deja pasar.
Por ejemplo, si queremos proteger una máquina linux, podemos hacer un netstat −ln (o
netstat −an, , saber que puertos están abiertos, poner reglas para proteger esos puertos y
ya está. ¿Para qué vamos a proteger un puerto que realmente nunca se va a abrir?
El único problema que podemos tener es que no controlemos que es lo que esta abierto,
o que en un momento dado se instale un software nuevo que abra un puerto determinado,
o que no sepamos que determinados paquetes ICMP son peligrosos. Si la política por
defecto es ACEPTAR y no se protege explícitamente, nos la estamos jugando un poco.
En cambio, si la política por defecto es DENEGAR, a no ser que lo permitamos
explícitamente, el firewall se convierte en un auténtico MURO infranqueable. El problema
es que es mucho más difícil preparar un firewall así, y hay que tener muy claro como
funciona el sistema (sea iptables o el que sea) y que es lo que se tiene que abrir sin caer
en la tentación de empezar a meter reglas super−permisivas.
Esta configuración de firewall es la recomendada, aunque no es aconsejable usarla si no
se domina mínimamente el sistema. Uno de los objetos principales de este documento es
mostrar la forma de crear este tipo de firewalls.
IMPORTANTE
El orden en el que se ponen las reglas de firewall es determinante. Normalmente cuando
hay que decidir que se hace con un paquete se va comparando con cada regla del firewall
hasta que se encuentra una que le afecta (match), y se hace lo que dicte esta regla
(aceptar o denegar); después de eso NO SE MIRARÁN MÁS REGLAS para ese paquete.
¿Cuál es el peligro? Si ponemos reglas muy permisivas entre las primeras del firewall,
puede que las siguientes no se apliquen y no sirvan de nada.
2. Qué es iptables
IPtables es un sistema de firewall vinculado al kernel de linux que se ha extendido

enormemente a partir del kernel 2.4 de este sistema operativo. Al igual que el anterior
sistema ipchains, un firewall de iptables no es como un servidor que lo
iniciamos o detenemos o que se pueda caer por un error de programación(esto es una
pequeña mentira, ha tenido alguna vulnerabilidad que permite DoS, pero nunca tendrá
tanto peligro como las aplicaciones que escuchan en determinado puerto TCP): iptables
esta integrado con el kernel, es parte del sistema operativo. ¿Cómo se pone en marcha?
Realmente lo que se hace es aplicar reglas. Para ellos se ejecuta el comando iptables,
con el que añadimos, borramos, o creamos reglas. Por ello un firewall de iptables no es
sino un simple script de shell en el que se van ejecutando las reglas de firewall.
El filtro de red kernel 2.4 tiene tres tablas internas o listas de reglas. Son las siguientes:
• filtro — ésta es la tabla por defecto para manejar paquetes de red.
• nat — ésta tabla se usa para alterar paquetes que crean una nueva conexión.
• mangle — Esta tabla se usa tipos específicos de alteración de paquetes.
Las cadenas internas para la tabla filtro son las siguientes:

• INPUT — Esta cadena sirve solo para paquetes recibidos por medio de una interfaz de red.
• OUTPUT — Esta cadena sirve para paquetes enviados por medio de la misma interfaz de
red que recibió los paquetes.
• FORWARD — Esta cadena sirve para paquetes recibidos en una interfaz de red y enviados
en otra.
Las cadenas internas para la tabla nat son las siguientes:

• PREROUTING — Esta cadena altera paquetes recibidos por medio de una interfaz de red
cuando llegan.
• OUTPUT — Esta cadena altera paquetes generados localmente antes de que sean dirigidos
por medio de una interfaz de red.
• POSTROUTING — Esta cadena altera paquetes antes de que sean enviados por medio de
una interfaz de red.
Las cadenas internas para la tabla mangle son las siguientes:

• PREROUTING — Esta cadena altera paquetes recibidos por medio de una interfaz de red
antes de que sean dirigidos.
• OUTPUT — Esta cadena altera paquetes generados localmente antes de que sean dirigidos
por medio de una interfaz de red.
Cada cadena tiene una política ACCEPT, DROP, o REJECT sobre el paquete, o si no, puede
enviarlo al espacio de usuario con QUEUE. Si ninguna de las reglas de la cadena se aplican al
paquete, entonces el paquete se trata de acuerdo a la política por defecto de las cadenas.
Los comandos de iptables son los siguientes:
• -A — Añade la regla iptables al final de la cadena especificada. Este es el comando
utilizado para simplemente añadir una regla cuando el orden de las reglas en la cadena no
importa.
• -C — Verifica una regla en particular antes de añadirla en la cadena especificada por el
usuario. Este comando puede ser de ayuda para construir reglas iptables complejas
pidiéndole que introduzca parámetros y opciones adicionales.
• -D — Borra una regla de una cadena en particular por número (como el 5 para la quinta
regla de una cadena). Puede también teclear la regla entera e iptables borrará la regla en
la cadena que corresponda.
• -E — Renombra una cadena definida por el usuario. Esto no afecta a la estructura de la
tabla. Tan solo le evita el problema de borrar la cadena, creándola bajo un nuevo nombre, y
reconfigurando todas las reglas de dicha cadena.
• -F — Libera la cadena seleccionada, que borra cada regla de la cadena. Si no se especifica
ninguna cadena, este comando libera cada regla de cada cadena,
• -h — Proporciona una lista de estructuras de comandos útiles, así como una resumen rápido
de parámetros de comandos y opciones.
• -I — Inserta una regla en una cadena en un punto determinado. Asigne un número a la
regla a insertar e iptables lo pondrá allí. Si no especifica ningún número, iptables
posicionará su comando al principio de la lista de reglas.
• -L — Lista todas las reglas de la cadena especificada tras el comando. Para ver una lista de
todas las cadenas en la tabla filter por defecto. La sintaxis siguiente deberá utilizarse
para ver todas la lsita de todas las reglas de una cadena específica en una tabla en particular:
iptables -L <chain-name> -t <table-name>
Opciones más potentes para el comando -L, que proporcionan números a las reglas y
permiten más descripciones en las reglas.
• -N — Crea una nueva cadena con un nombre especificado por el usuario.
• -P — Configura la política por defecto para una cadena en particular de tal forma que
cuando los paquetes atravieses la cadena completa sin cumplir ninguna regla, serán enviados
a un objetivo en particular, como puedan ser ACCEPT o DROP.
• -R — Reemplaza una regla en una cadena en particular. Deberá utilizar un número de regla
detrás del nombre de la cadena para reemplazar esta cadena. La primera regla de una cadena
se refiere a la regla número 1.
• -X — Borra una cadena especificada por el usuario. No se permite borrar ninguna de las
cadenas predefinidas para cualquier tabla.
• -Z — Pone ceros en los contadores de byte y de paquete en todas las cadenas de una tabla
en particular.
Parámetros
Una vez que se hayan especificado algunos comandos de iptables , incluyendo aquellos para
crear, añadir, borrar, insertar, o reemplazar reglas de una cadena en particular, se necesitan
parámetros para comenzar la construcción de la regla de filtrado de paquetes.
• -c Resetea los contadores de una regla en particular. Este parámetro acepta las opciones
PKTS y BYTES para especificar qué contador hay que resetear.
• -d Configura el nombre de la máquina destino, dirección IP o red de un paquete que
cumplirá la regla. Cuando se especifique una red, puede utilizar dos métodos diferentes para
describir la máscara de red, como 192.168.0.0/255.255.255.0 o
192.168.0.0/24.
• -f Aplica esta regla solo a los paquetes fragmentados.
Usando la opción ! después de este parámetros, únicamente los paquetes no fragmentados
se tendrán en cuenta.
• -i Configura las interfaces de entrada de red, como eth0 o ppp0, para ser usadas por una
regla en partículas. Con iptables, este parámetro opcional solo debería de ser usado por
las cadenas INPUT y FORWARD cuando se utilice junto con la tabla filter y la cadena
PREROUTING con las tablas nat y mangle.
Este parámetro proporciona varias opciones útiles que pueden ser usadas antes de especificar
el nombre de una interfaz:
• ! — Dice a este parámetro que no concuerde, queriendo decir esto que las interfaces
especificadas se excluirán de esta regla.
• + — Caracter comodín usado para hacer coincidir todas las interfaces que
concuerden con una cadena en particular. Por ejemplo, el parámetro -i eth+
aplicará esta regla a todas las interfaces Ethernet de su sistema excluyendo cualquier
otro tipo de interfaces, como pueda ser la ppp0.
Si el parámetro -i se utiliza sin especificar ninguna interfaz, todas las interfaces estarán
afectadas por la regla.
• -j Dice a iptables que salte a un objetivo en particular cuando un paquete cumple una
regla en particular. Los objetivos válidos que se usarán tras la opción -j incluyen opciones
estándard, ACCEPT, DROP, QUEUE, y RETURN, así como opciones extendidas que están
disponibles a través de módulos que se cargan por defectos con el paquete RPM de
iptables de Red Hat Linux, como LOG, MARK, y REJECT, así como otras. Mire la
página del manual de iptables para obtener más información sobre este y otros muchos
objetivos, incluyendo reglas de ejemplo que los utilizan, así como objetivos que pueden ser
usados sólamente en una tabla en particular.
En lugar de especificar la acción objetivo, puede también dirigir un paquete que cumpla la
regla hacia una cadena definida por el usuario fuera de la cadena actual. Esto le permitirá
aplicar otras reglas contra este paquete, y filtrarlo mejor con respecto a otros criterios.
Si no especifica ningún objetivo, el paquete se mueve hacia atrás en la regla sin llevar a cabo
ninguna acción. A pesar de todo, el contador para esta regla se sigue incrementando en uno,
a partir del momento en el que el paquete se adecua a la regla especificada.
• -o Configura la interfaz de red de salida para una regla en particular, y solo puede ser usada
con las cadenas OUTPUT y FORWARD en la tabla filter y la cadena POSTROUTING
en las tablas nat y mangle. Estas opciones de los parámetros son los mismos que para los
de la interfaz de red de entrada (opción -i).
• -p Configura el protocolo IP para la regla, que puede ser icmp, tcp, udp, o all(todos),
para usar cualquier protocolo. Además, se pueden usar otros protocolos menos usados de los
que aparecen en /etc/protocols. Si esta opción se omite al crear una regla, la opción
all es la que se selecciona por defecto.
• -s Configura el origen de un paquete en particularm usando la misma sintaxis que en el
parámetro de destino (opción -d).
Opciones de identificación de paquetes

Los diferentes protocolos de red proporcionan opciones especializadas de conconrdancia que
pueden ser configurados de forma específica para identificar un paquete en particular usando dicho
protocolo. Por supuesto el protocolo deberá ser especificado en un primer momento en el comando
iptables, como con la opción -p tcp <noñbre-protocolo>, para hacer que las opciones
de dicho protocolo estén disponibles.
Protocolo TCP
Estas opciones de identificación están disponibles en el protocolo TCP (opción -p tcp):

• --dport Configura el puerto de destino para el paquete. Puede utilizar o bien un nombre
de servicio de red (como www o smtp), un número de puerto, o bien un rango de números
de puertos para configurar esta opción. Para ver los nombres o alias de los servicios de red y
los números de puertos que usan mire el fichero /etc/services. Puede usar la opción
--destination-port para especificar esta opción de identificación de paquete.
Para especificar un rango de números de puertos separe los dos números de puertos con dos
puntos (:), como en -p tcp --dport 3000:3200. El rango válido más grande es
0:65535.
También puede usar el carácter de punto de exclamación (!) como flag tras la opción
--dport para decirle a iptables que seleccione los paquetes que no usen ese servicio o
puerto.
• --sport Configura el puerto de origen del paquete, usando las mismas opciones que
--dport. También puede usar --source-port para especificar esta opción.
• --syn Provoca que todos los paquetes designados de TCP, comunmente llamados paquetes
SYN, cumplan esta regla. Cualquier paquete que esté llevando un payload de datos no será
tocado. Si se sitúa un punto de exclamación (!) como flag tras la opción --syn se provoca
que todos los paquetes no-SYN sean seleccionados.
• --tcp-flags Permite que los paquetes TCP con conjuntos de bits específicos, o flags,
sean seleccionados para una regla. La opción de selección --tcp-flags acepta dos
parámetros, que son los flags para los diferentes bits ordenados en una lista separada por
comas. El primer parámetro es la máscara, que configura los flags que serán examinados en
el paquete. El segundo parámetro se refiere a los flags que se deben configurar en el paquete
para ser seleccionado. Los flags posibles son ACK, FIN, PSH, RST, SYN, y URG.
Adicionalmete, se pueden usar ALL y NONE para seleccionar todos los flags o ninguno de
ellos.
Por ejemplo, una regla iptables que contiene -p tcp --tcp-flags
ACK,FIN,SYN SYN tan solo seleccionará los paquetes TCP que tengan el flag SYN activo
y los flags ACK y FIN sin activar.
Como en otras opciones, al usar el punto de exclamación (!) tras --tcp-flags invierte el
efecto de la opción, de tal forma que los flags del parámetro no tendrán que estar presentes
para poder ser seleccionados.
• --tcp-option Intenta seleccionar con opciones específicas de TCP que pueden estar
activas en un paquete en particular. Esta opción se puede revertir con el punto de
exclamación (!).
Protocolo UDP
Estas opciones de selección están disponibles para el protocolo UDP (-p udp):
• --dport Especifica el puerto destino del paquete UDP usando el nombre del servicio, el
número del puerto, o un rango de puertos. La opción de selección de paquetes
--destination-port se puede utilizar en lugar de --dport. Mire la opción
--dport en la la sección de nombre Protocolo TCP para ver diferentes formas de utilizar
esta opción.
• --sport Especifica el puerto origen del paquete UDPm usando el nombre del servicio
número de puerto, o rango de puertos. La opción --source-port puede ser usada en
lugar de --sport. Mire la opción en --dport en la la sección de nombre Protocolo TCP
para ver diferentes formas de utilizar esta opción.
Protocolo ICMP
Los paquetes que usan el protocolo de control de mensajes de internet (Internet Control Message
Protocol, ICMP) pueden ser seleccionados usando la siguiente opción cuando se especifique -p
icmp:
• --icmp-type Selecciona el nombre o el número del tipo ICMP que concuerde con la
regla. Se puede obtener una lista de nombres válidos ICMP tecleando el comando
iptables -p icmp -h.
Módulos con opciones de selección adicionales
Las opciones de selección adicionales, que no son específicas de ningún protocolo en particularm
están también disponibles a través de módulos que se cargan cuando el comando iptables los
necesite. Para usar una de estas opciones deberá cargar el módulo por su nombre incluyendo -m
<nombre-modulo> en el comando iptables que crea la regla.
Un gran número de módulos, cada uno de ellos con sus diferentes opciones de selección de
paquetes están disponibles por defecto. También es posible crear sus propios módulos que
proporcionen funcionalidades de selección adicionales, puede que para requisitos específicos de su
red. Existen muchos módulos, pero tan solo los más populares serán vistos aquí.
El módulo limit le permite poner un límite en el número de paquetes que podrán ser
seleccionados por una regla en particular. Esto es especialmente beneficioso cuando se usa la regla
de logging ya que hace que el flujo de paquetes seleccionados no llene nuestros ficheros log con
mensajes repetitivos ni utilice demasiados recursos del sistema.
• --limit — Configura el número de coincidencias en un intervalo de tiempo, especificado
con un número y un modificador de tiempo ordenados en el formato
<número>/<tiempo>. Por ejemplo, si usamos --limit 5/hour solo dejareños que
una regla sea efectiva cinco veces a la hora,
Si no se utiliza ningún número ni modificador de tiempo, se asume el siguiente valor por
defecto: 3/hour.
• --limit-burst — Configura un límite en el número de paquetes capaces de cumplir una
regla en un determinado tiempo. Esta opción deberá ser usada junto con la opción
--limit, y acepta un número para configurar el intervalo de tiempo (threshold).
Si no se especifica ningún número, tan solo cinco paquetes serán capaces inicialmente de
cumplir la regla.
El módulo state, aue utiliza la opción --state, puede seleccionar un paquete con los siguientes
estados de conexión particulares:
• ESTABLISHED El paquete seleccionado se asocia con otros paquetes en una conexión
establecida.
• INVALID El paquete seleccionado no puede ser asociado a una conexión conocida.
• NEW El paquete seleccionado o bien está creando una nueva conexión o bien forma parte de
una conexión de dos caminos que antes no había sido vista.
• RELATED El paquete seleccionado está iniciando una nueva conexión en algún punto de la
conexión existente.
Estos estados de conexión se pueden utilizar en combinación con otros separándolos mediante
comas como en -m state --state INVALID,NEW.
Para seleccionar una dirección MAC hardware de un dispositivo Ethernet en particularm utilice el
módulo mac, que acepta --mac-source con una dirección MAC como opción. Para excluir una
dirección MAC de una regla, ponga un punto de exclamación (!) tras la opción --mac-source.
Para ver otras opciones disponibles a través de módulos, mire la página del manual de iptables.
Opciones del objetivo

Una vez que un paquete cumple una regla en particular, la regla puede dirigir el paquete a un
número de objetivos (destinos) diferentes que decidirán cuál será su destino y, posiblemente, las
acciones adicionales que se tomarán, como el guardar un registro de lo que está ocurriendo.
Adicionalmente, cada cadena tiene un objetivo por defecto que será el que se utilice si ninguna de
las reglas disponibles en dicha cadena se pueden aplicar a dicho paquete, o si ninguna de las reglas
que se aplican al mismo especifican un objetivo concreto.
Existen pocos objetivos standard disponibles para decidir qué ocurrirá con el paquete:
• <user-defined-chain> — El nombre de una cadena que ya ha sido creada y definida
con anterioridad junto con esta tabla con reglas que serán verificadas contra este paquete,
además de cualquier otra regla en otras cadenas que se deban verificar contra este paquete.
Este tipo de objetivo resulta útil para escrutinar un paquete antes de decidir qué ocurrirá con
él o guardar información sobre el paquete.
• ACCEPT — Permite que el paquete se mueva hacia su destino (o hacia otra cadena, si no ha
sido configurado ningún destino ha sido configurado para seguir a esta cadena).
• DROP — Deja caer el paquete al suelo. El sistema que envió el paquete no es informado del
fallo. El paquete simplemente se borra de la regla que está verificando la cadena y se
descarta.
• QUEUE — El paquete se pone en una cola para ser manejado por una aplicación en el
espacio de usuario.
• RETURN — Para la verificación del paquete contra las reglas de la cadena actual. Si el
paquete con un destino RETURN cumple una regla de una cadena llamada desde otra cadena,
el paquete es devuelto a la primera cadena para retomar la verificación de la regla allí donde
se dejó. Si la regla RETURN se utiliza en una cadena predefinida, y el paquete no puede
moverse hacia la cadena anterior, el objetivo por defecto de la cadena actual decide qué
acción llevar a cabo.
Además de estos objetivos standard, se pueden usar otros más con extensiones llamadas módulos de
objetivos (target modules), que trabajan de forma similar a como los hacían los módulos de las
opciones de selección. Para obtener más información sobre estos módulos, mirar en la la sección de
nombre Módulos con opciones de selección adicionales.
Existen varios módulos extendidos de objetivos, la mayoría de los cuales tan solo se aplicarán a
tablas o situaciones específicas. Un par de estos módulos de los más populares e incluidos por
defecto en Linux serían:
• LOG Guarda un registro de todos los paquetes que cumplen esta regla. Como estos paquetes
son monitorizados por el kernel, el fichero /etc/syslog.conf determina dónde se
escribirán esas entradas en el fichero de registro (log). Por defecto, se sitúan en el fichero
/var/log/messages.
Se pueden usar varias opciones tras el objetivo LOG para especificar la manera en la que
tendrá lugar el registro:
• --log-level Configura un nivel de prioridad al evento de registro del sistema. Se
puede encontrar una lista de los eventos del sistema en la página del manual de
syslog.conf, y sus nombres se pueden usar como opciones tras la opción
--log-level.
• --log-ip-options Cualquier opción en la cabecera de un paquete IP se guarda
en el registro.
• --log-prefix Pone una cadena de texto antes de la línea de registro cuando ésta
sea escrita. Acepta hasta 29 caracteres tras la opción --log-prefix. Esto puede
ser útil para escribir filtros del registro del sistema para ser usados conjuntamente
junto con el registro de paquetes.
• --log-tcp-options Cualquier opción en la cabecera de un paquete TCP se
guarda en el registro.
• --log-tcp-sequence Escribe le número de secuencia TCP del paquete en el
registro del sistema.
• REJECT Envía un paquete de error de vuelta al sistema que envió el paquete, y lo deja caer
(DROP). Este objetivo puede ser útil si queremos notificar al sistema que envió el paquete
del problema.
El objetivo REJECT acepta una opción --reject-with <type> que permite que
información más detallada sea enviada junto con el paquete de error. El mensaje port-
unreachable es el error <type> que se envía por defecto cuando no se utiliza junto con
otra opción. Para obtener una lista completa de todas las opciones <type> que se pueden
utilizar, vea la página del manual de iptables.
Podrá encontrar otras extensiones de objetivos incluyendo algunas muy útiles con masquerading
usando la tabla nat o con alteración de paquetes usando la tabla mangle, en la página del manual
de iptables.
Opciones de listado
El comando de listado por defecto, iptables -L, proporciona una visión básica de las cadenas
actuales de la tabla de filtros por defecto. . Existen opciones adicionales que proporcionan más
información y la ordenan de diferentes formas:
• -v Muestra la salida por pantalla, como el número de paquetes y bytes que cada cadena ha
visto, el número de paquetes y bytes que cada regla ha encontrado, y qué interfaces se
aplican a una regla en particular.
• -x Expande los números en sus valores exactos. En un sistema ocupado, el número de
paquetes y bytes vistos por una cadena en concreto o por una regla puede estar abreviado
usando K (miles), M (millones), y G (billones) detrás del número. Esta opción fuerza a que se
muestre el número completo.
• -n Muestra las direcciones IP y los números de puertos en formato numérico, en lugar de
utilizar el nombre del servidor y la red tal y como se hace por defecto.
• --line-numbers Proporciona una lista de cada cadena junto con su orden numérico en
la cadena. Esta opción puede ser útil cuando esté intentando borrar una regla específica en
una cadena, o localizar dónde insertar una regla en una cadena.
uardar información de iptables

Las reglas creadas con el comando iptables se almacenan solamente en RAM. Si tiene que
reiniciar su sistema tras haber configurado reglas de iptables, éstas se perderán. Si quiere que
determinadas reglas de filtro de red tengan efecto en cualquier momento que inicie su sistema,
necesita guardarlas en el fichero /etc/sysconfig/iptables.
Para hacer esto teclee el comando /sbin/service iptables save como usuario root. Esto
hace que el script de inicio de iptables ejecute el programa /sbin/iptables-save y
escriba la configuración actual de iptables en el fichero /etc/sysconfig/iptables. Este
fichero debería ser de solo lectura para el usuario root, para que las reglas de filtrado de paquetes no
sean visibles por el resto de los usuarios.
La próxima vez que se inicie el sistema, el script de inicio de iptables volverá a aplicar las
reglas guardadas en /etc/sysconfig/iptables usando el comando /sbin/iptables-
restore.
Mientras que siempre es una buena idea el verificar cada nueva regla de iptables antes de que se
escriba en el fichero /etc/sysconfig/iptables, es posible copiar las reglas de iptables
en este fichero a partir de otra versión del sistema de este fichero. Esto le permitirá distribuir
rápidamente conjuntos de reglas iptables a diferentes máquinas.
Importante
Si distribuye el fichero /etc/sysconfig/iptables a otras máquinas, debe escribir
/sbin/service iptables restart para que las nuevas reglas tengan efecto
EJEMPLOS
#!/bin/sh
echo -n Aplicando Reglas de Firewall...

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
## Empezamos a filtrar
# El localhost se deja (por ejemplo conexiones locales a mysql)
/sbin/iptables -A INPUT -i lo -j ACCEPT
# A nuestra IP le dejamos todo
iptables -A INPUT -s 195.65.34.234 -j ACCEPT
# A un colega le dejamos entrar al mysql para que mantenga la BBDD
iptables -A INPUT -s 231.45.134.23 -p tcp --dport 3306 -j ACCEPT
# A un diseñador le dejamos usar el FTP
iptables -A INPUT -s 80.37.45.194 -p tcp -dport 20:21 -j ACCEPT
# El puerto 80 de www debe estar abierto, es un servidor web.
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# Y el resto, lo cerramos
iptables -A INPUT -p tcp --dport 20:21 -j DROP
iptables -A INPUT -p tcp --dport 3306 -j DROP
echo " OK . Verifique que lo que se aplica con: iptables -L -n"
# Fin del script
#!/bin/sh

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
# A un colega le dejamos entrar al mysql para que mantenga la BBDD
# A un diseñador le dejamos usar el FTP
iptables -A INPUT -s 80.37.45.194 -p tcp -dport 20:21 -j ACCEPT
# El puerto 80 de www debe estar abierto, es un servidor web.
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# Cerramos rango de los puertos privilegiados. Cuidado con este tipo de
# barreras, antes hay que abrir a los que si tienen acceso.
iptables -A INPUT -p tcp --dport 1:1024 -j DROP
iptables -A INPUT -p udp --dport 1:1024 -j DROP
# Cerramos otros puertos que estan abiertos
iptables -A INPUT -p udp --dport 10000 -j DROP
# Fin del script
!/bin/sh

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Establecemos politica por defecto: DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
## Empezamos a filtrar? no! empezamos a abrir! porque ahora esta TODO denegado.
## Debemos decir de manera explicita qué es lo que queremos abrir
# Operar en localhost sin limitaciones
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -d 195.65.34.234 -j ACCEPT
# Este es el servicio que DA la maquina a internet, por tanto todo paquete entrante se acepta para
# ese puerto y los salientes vinculados se aceptan.
/sbin/iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j
ACCEPT
# Permitimos que la maquina pueda salir a la web
/sbin/iptables -A INPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j
ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
# Ya tambien a webs seguras
/sbin/iptables -A INPUT -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j
ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
# Reglas necesarias para FTP pasivo y activo. Se permiten conexiones entrantes YA establecidas
/sbin/iptables -A INPUT -p tcp -m tcp --sport 20:21 -m state --state RELATED,ESTABLISHED -j
ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 20:21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state
ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 1024:65535 -m state --state
NEW,RELATED,ESTABLISHED -j ACCEPT
# Permitimos la consulta a un primer DNS
/sbin/iptables -A INPUT -s 211.95.64.39 -p udp -m udp --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -d 211.95.64.39 -p udp -m udp --dport 53 -j ACCEPT
# Permitimos la consulta a un segundo DNS
/sbin/iptables -A INPUT -s 211.95.79.109 -p udp -m udp --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -d 211.95.79.109 -p udp -m udp --dport 53 -j ACCEPT
# Permitimos consultar el reloj de hora.rediris.es (un pentium166) para sincronizarse
/sbin/iptables -A INPUT -s 130.206.3.166 -p udp -m udp --dport 123 -j ACCEPT
/sbin/iptables -A OUTPUT -d 130.206.3.166 -p udp -m udp --sport 123 -j ACCEPT
# Barrera de backup por si cambiamos a modo ACCEPT temporalmente
# Con esto protegemos los puertos reservados y otros well-known
/sbin/iptables -A INPUT -p tcp -m tcp --dport 1:1024 -j DROP
/sbin/iptables -A INPUT -p udp -m udp --dport 1:1024 -j DROP
/sbin/iptables -A INPUT -p tcp -m tcp --dport 1723 -j DROP
# Fin del script
Ahora vamos a ver una configuración de firewall iptables para el típico caso de red local que
necesita salida a internet.
#!/bin/sh
## SCRIPT de IPTABLES - ejemplo del manual de iptables

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Nota: eth0 es el interfaz conectado al router y eth1 a la LAN
# Al firewall tenemos acceso desde la red local
iptables -A INPUT -s 192.168.10.0/24 -i eth1 -j ACCEPT
# Ahora hacemos enmascaramiento de la red local
# y activamos el BIT DE FORWARDING (imprescindible!!!!!)
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
# Con esto permitimos hacer forward de paquetes en el firewall, o sea
# que otras máquinas puedan salir a traves del firewall.
echo 1 > /proc/sys/net/ipv4/ip_forward
## Y ahora cerramos los accesos indeseados del exterior:
# Nota: 0.0.0.0/0 significa: cualquier red
# Cerramos el rango de puerto bien conocido
iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p udp -dport 1:1024 -j DROP
# Cerramos un puerto de gestión: webmin
iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 10000 -j DROP
# Fin del script
#!/bin/sh

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Ahora con regla FORWARD filtramos el acceso de la red local
## al exterior. Como se explica antes, a los paquetes que no van dirigidos al
## propio firewall se les aplican reglas de FORWARD
# Aceptamos que vayan a puertos 80
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
# Aceptamos que vayan a puertos https
# Aceptamos que consulten los DNS
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
# Y denegamos el resto. Si se necesita alguno, ya avisaran
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -j DROP
# Fin del script
#!/bin/sh

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -A INPUT -i lo -j ACCEPT
## Abrimos el acceso a puertos de correo
# Abrimos el puerto 25, hay que configurar bien el relay del servidor SMTP
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT
# Abrimos el pop3
# Y abrimos el puerto pptpd para la ip del adsl de casa del jefe
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p tcp -dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p udp -dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p tcp --dport 10000 -j DROP
# Y cerramos el puerto del servicio PPTPD, solo abierto para el jefe.
# Fin del script
#!/bin/sh
## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## REDIRECCIONES
# Todo lo que venga por el exterior y vaya al puerto 80 lo redirigimos
# a una maquina interna
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.10.12:80
# Los accesos de un ip determinada a Terminal server se redirigen e esa
# maquina
iptables -t nat -A PREROUTING -s 221.23.124.181 -i eth0 -p tcp --dport 3389 -j DNAT --to
192.168.10.12:3389

## Abrimos el acceso a puertos de correo
# Abrimos el puerto 25, hay que configurar bien el relay del servidor SMTP
# Abrimos el pop3
# Y abrimos el puerto pptpd para la ip del adsl de casa del jefe
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p tcp -dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p udp -dport 1:1024 -j DROP
# Y cerramos el puerto del servicio PPTPD, solo abierto para el jefe.
# Fin del script
En este tipo de firewall hay que permitir:

- Acceso de la red local a internet.
- Acceso público al puerto tcp/80 y tcp/443 del servidor de la DMZ
- Acceso del servidor de la DMZ a una BBDD de la LAN
- Obviamente bloquear el resto de acceso de la DMZ hacia la LAN.
¿Qué tipo de reglas son las que hay que usar para filtrar el tráfico entre la DMZ y la LAN?
Solo pueden ser las FORWARD, ya que estamos filtrando entre distintas redes, no son
paquetes destinados al propio firewall.
#!/bin/sh

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
# a una maquina interna
# Los accesos de un ip determinada HTTPS se redirigen e esa
# maquina
# Ahora hacemos enmascaramiento de la red local y de la DMZ
# para que puedan salir haca fuera
## Permitimos el paso de la DMZ a una BBDD de la LAN:
iptables -A FORWARD -s 192.168.3.2 -d 192.168.10.5 -p tcp --dport 5432 -j ACCEPT
iptables -A FORWARD -s 192.168.10.5 -d 192.168.3.2 -p tcp --sport 5432 -j ACCEPT
## permitimos abrir el Terminal server de la DMZ desde la LAN
iptables -A FORWARD -s 192.168.10.0/24 -d 192.168.3.2 -p tcp --sport 1024:65535 --dport 3389 -j
ACCEPT
# … hay que hacerlo en uno y otro sentido …
iptables -A FORWARD -s 192.168.3.2 -d 192.168.10.0/24 -p tcp --sport 3389 --dport 1024:65535 -j
ACCEPT
# … por que luego:
# Cerramos el acceso de la DMZ a la LAN
iptables -A FORWARD -s 192.168.3.0/24 -d 192.168.10.0/24 -j DROP
## Cerramos el acceso de la DMZ al propio firewall
iptables -A INPUT -s 192.168.3.0/24 -i eth2 -j DROP
# Fin del script
Supongamos que entre los routers ya se ha establecido un tunel (con Ciscos se haria creando
un interfaz Tunnel), y que si el firewall nos deja podríamos llegar de la central a las
delegaciones y viceversa usando las IPs privadas. Vaya que se puede hacer un ping desde la
central a 192.168.30.x y nos responde. Para ello es imprescindible que el router de la central
tenga una ruta metida para llegar a 192.168.10.0/24 y por supuesto cada una ruta para cada
delegación. Antes de meterse en el firewall hay que asegurar la visibilidad entre los routers y
poder llegar a sus IPs privadas haciendo ping.
Supongamos también que en la central esta el servidor de correo que lógicamente debe tener el
puerto 25 accesible desde internet, y debe ser accesible desde las delegaciones para puerto 25, 110
(pop3) o 143(imap). La salida a internet (web, ftp, etc..) cada uno la hace por su lado.
Veamos una posible configuración para este caso.
#!/bin/sh

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
# a la maquina de la DMZ
iptables -t nat -A PREROUTING -i eth0 \
-p tcp --dport 25 -j DNAT --to 192.168.3.2:25
# Todo lo que venga por el interfaz del router(eth0) y vaya al 110
# siempre que sea una delegacion se acepta y redirije
iptables -t nat -A PREROUTING -s 192.168.20.0/24 -i eth0 \
# Todo lo que venga por el interfaz del router(eth0) y vaya al 110
# siempre que sea una delegacion se acepta y redirije

# Ahora hacemos enmascaramiento de la red local y de la DMZ
# para que puedan salir haca fuera
# Cuidado con este enmascaramiento.
# Para que desde la red local se salga hacia fuera hay que ENMASCARAR
# pero que pasa con las delegaciones tambien estan fuera Y NO HAY QUE
# ENMASCARAR, debemos meter una regla FORWARD explicita para que no enmascare
# porque si no una petición de la LAN a otra delegacion no se meteria
# en el tunel.
iptables -A FORWARD -s 192.168.10.0/24 -d 192.168.20.0/24 -j ACCEPT
# Abrimos el acceso para que se pueda aceder a la DMZ desde la LAN

# a puertos de correo
# En principio lo que va de LAN -> DMZ se acepta
# Luedo desde la DMZ a la LAN solo se acepta 25,110,143
iptables -A FORWARD -s 192.168.3.0/24 -p tcp --sport 25 \
-d 192.168.10.0/24 -j ACCEPT
-d 192.168.10.0/24 -j ACCEPT
-d 192.168.10.0/24 -j ACCEPT
# Cerramos el acceso de la DMZ a la LAN
iptables -A FORWARD -s 192.168.3.0/24 -d 192.168.10.0/24 -j DROP
## Cerramos el acceso de la DMZ al propio firewall
iptables -A INPUT -s 192.168.3.0/24 -i eth2 -j DROP
# Fin del script
En este caso olvidémonos de redes locales y de NAT. Aquí solo tendremos reglas de filtrado
INPUT y FORWARD. Pongamos que tenemos el siguiente escenario:
En el firewall debemos indicar una serie de reglas para proteger los equipos que están al otro lado
de este dispositivo, todos ellos de la red 211.34.149.0/24
Cada uno de ellos da un servicio determinado, y puede estar gestionado desde distintas IPs, lo que
significa que habrá que dar acceso a determinados puertos de gestión (22, 3389, etc..).
Este podría ser el aspecto del script del firewall:
#!/bin/sh
## Ejemplo de script para firewall entre redes.

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
# A nuestro firewall tenemos acceso total desde la nuestra IP
# Para el resto no hay acceso al firewall
iptables -A INPUT -s 0.0.0.0/0 -j DROP
## Ahora podemos ir metiendo las reglas para cada servidor
## Como serán paquetes con destino a otras máquinas se aplica FORWARD
## Servidor WEB 211.34.149.2
# Acceso a puerto 80
iptables -A FORWARD -d 211.34.149.2 -p tcp --dport 80 -j ACCEPT
# Acceso a nuestra ip para gestionarlo
# El resto, cerrar
iptables -A FORWARD -d 211.34.149.2 -j DROP
## Servidor MAIL 211.34.149.3

# Acceso a puerto 25, 110 y 143
# Acceso a gestion SNMP
iptables -A FORWARD -s 210.195.55.15 -d 211.34.149.3 -p udp --dport 169 -j ACCEPT
# El resto, cerrar
## Servidor IRC 211.34.149.4

# Acceso a puertos IRC
iptables -A FORWARD -d 211.34.149.4 -p tcp --dport 6666:6668 -j ACCEPT
# El resto, cerrar
## Servidor NEWS 211.34.149.5

# Acceso a puerto news
iptables -A FORWARD -d 211.34.149.5 -p tcp --dport news -j ACCEPT
# El resto, cerrar
## Servidor B2B 211.34.149.6

# Acceso a una ip para gestionarlo
# El resto, cerrar
## Servidor CITRIX 211.34.149.7

# acceso a otro puerto quiza de BBDD
# El resto, cerrar
# Fin del script
3.6 Firewall con política por defecto DROP

Aquí llega la sección para los auténticos administradores de pelo en pecho.
¿Qué supone el hecho de establecer como política por defecto la denegación?
" Se debe explicitar cada conexión permitida en los dos sentidos.
" Se debe conocer perfectamente qué debe estar abierto y qué no.
" Es muchos más difícil de mantener y si se hace conviene hacerlo desde el principio.
" No todo es más trabajo: también supone un firewall mucho más seguro.
En el ejemplo de la DMZ ya se presentaba esta situación en las reglas forward de una a otra red.
Para ilustrar el DROP por defecto, vamos a mostrar la configuración del ejemplo anterior de
firewall entre redes pero con política por defecto DROP.
#!/bin/sh
## Ejemplo de script para firewall entre redes con DROP por defecto

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Establecemos politica por defecto: DROP!!!
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# A nuestro firewall tenemos acceso total desde la nuestra IP
iptables -A OUTPUT -d 210.195.55.15 -j ACCEPT
# Para el resto no hay acceso al firewall
# En principio esta de más, pero si rebajamos los permisos temporalmente
# nos cubre las espaldas
iptables -A INPUT -s 0.0.0.0/0 -j DROP
## Ahora podemos ir metiendo las reglas para cada servidor
## Como serán paquetes con destino a otras máquinas se aplica FORWARD
## Servidor WEB 211.34.149.2
iptables -A FORWARD -s 211.34.149.2 -p tcp --sport 80 -j ACCEPT
## Servidor MAIL 211.34.149.3
# Acceso a puerto 25, 110 y 143
# Acceso a gestion SNMP
iptables -A FORWARD -s 211.34.149.3 -d 210.195.55.15 -p udp --sport 169 -j ACCEPT
## Servidor IRC 211.34.149.4

# Acceso a puertos IRC
iptables -A FORWARD -d 211.34.149.4 -p tcp --dport 6666:6668 -j ACCEPT
iptables -A FORWARD -s 211.34.149.4 -p tcp --sport 6666:6668 -j ACCEPT
## Servidor NEWS 211.34.149.5

# Acceso a puerto news
iptables -A FORWARD -d 211.34.149.5 -p tcp --dport news -j ACCEPT
iptables -A FORWARD -s 211.34.149.5 -p tcp --sport news -j ACCEPT
# El resto, cerrar
## Servidor B2B 211.34.149.6

## Servidor CITRIX 211.34.149.7

iptables -A FORWARD -s 211.34.149.7 -d 195.55.234.2 -p udp --sport 1433 -j ACCEPT
# Fin del script
4. Cómo depurar el funcionamiento del firewall

Programas útiles
IPTRAF. Sin duda alguna uno de los programas más prácticos para depurar el firewall es iptables,
ya que con el podemos observar si la conexiones se establecen o no; es un programa de consola que
es aconsejable controlar ya que muestra en tiempo real el tráfico que atraviesa nuestra máquina con
todo lujo de detalles: origen/destino de ips y puertos, tráfico total o tráfico total según el interfaz de
red, etc… Si vemos muchas conexiones simultaneas y nos perdemos, existe la posibilidad de aplicar
filtros para captar solo aquello que nos interesa.
NMAP. La herramienta para escanear puertos por excelencia, rechace imitaciones. Es una
herramienta de consola rápida, efectiva y con multitud de opciones. Podemos usarla desde
máquinas ajenas a nuestra red para comprobar si realmente el firewall esta filtrando correctamente y
en cierta manera para hacernos una idea de que "visión" pueden tener los hackers de nuestro
sistema.
SHELL. En el propio script del firewall podemos añadir algunas opciones para descubrir fallos de
sintaxis en las reglas. Claro, imaginemos que tenemos un firewall de 40 lineas y una de ellas falla
cuando ejecutamos el script. ¿Cuál es? Es probable que el mensaje de error no aclare lo suficiente,
por eso se puede añadir algo así al final de cada regla:
...
iptables -A INPUT -s 195.55.234.2 -j ACCEPT && echo " regla-21 ok"
iptables -A INPUT -s 213.62.89.145 -j ACCEPT && echo " regla-22 ok"
...
Si la regla se ejecuta bien mostrará el mensajito de ok.
Otra opción algo mas cutre sería ir eliminando o comentando reglas hasta dar con la regla que tiene
la sintaxis incorrecta. Cabe reseñar que puede fallar una regla, pero a partir de ella el resto se
ejecutan con normalidad.

IPTABLES

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

IPTABLES

Transféré par

Droits d'auteur :

Formats disponibles

IPTABLES

Figura 1: esquema de firewall típico entre red local e internet

IPtables es un sistema de firewall vinculado al kernel de linux que se ha extendido

Las cadenas internas para la tabla filtro son las siguientes:

Las cadenas internas para la tabla nat son las siguientes:

Las cadenas internas para la tabla mangle son las siguientes:

Opciones de identificación de paquetes

Estas opciones de identificación están disponibles en el protocolo TCP (opción -p tcp):

Módulos con opciones de selección adicionales

Opciones del objetivo

uardar información de iptables

echo -n Aplicando Reglas de Firewall...

echo -n Aplicando Reglas de Firewall...

echo -n Aplicando Reglas de Firewall...

echo -n Aplicando Reglas de Firewall...

echo -n Aplicando Reglas de Firewall...

echo -n Aplicando Reglas de Firewall...

## Nota: eth0 es el interfaz conectado al router y eth1 a la LAN

En este tipo de firewall hay que permitir:

echo -n Aplicando Reglas de Firewall...

echo -n Aplicando Reglas de Firewall...

# El localhost se deja (por ejemplo conexiones locales a mysql)

# Abrimos el acceso para que se pueda aceder a la DMZ desde la LAN

echo -n Aplicando Reglas de Firewall...

## Servidor MAIL 211.34.149.3

## Servidor IRC 211.34.149.4

## Servidor NEWS 211.34.149.5

## Servidor B2B 211.34.149.6

## Servidor CITRIX 211.34.149.7

3.6 Firewall con política por defecto DROP

echo -n Aplicando Reglas de Firewall...

## Servidor IRC 211.34.149.4

## Servidor NEWS 211.34.149.5

## Servidor B2B 211.34.149.6

## Servidor CITRIX 211.34.149.7

4. Cómo depurar el funcionamiento del firewall

Vous aimerez peut-être aussi