Aesoria

Solo disponible en BuenasTareas
  • Páginas : 12 (2890 palabras )
  • Descarga(s) : 0
  • Publicado : 27 de febrero de 2011
Leer documento completo
Vista previa del texto
Iptables por SoulLost
¿Qué es Iptables? Sirve para filtrar paquetes tcp/ip mediante reglas estrictamente establecidas (es pocas palabras es un cortafuegos o firewall). ¿Para qué me demonios me sirve un firewall? Para controlar el tráfico de información o paquetes que pasan por nuestro ordenador e Internet (incluyendo redes locales). Bien, ¿cómo obtengo un firewall en Linux? Fácil, solo debescargar los "módulos" necesarios que te permitirán realizar cierta actividad con los paquetes que especifiques (Para información sobre los módulos consultar google.com o la ayuda del kernel), en conjunto con el kernel y el programa "Iptables" ( http://www.iptables.org/ http://www.linuximq.net/ http://l7-filter.sf.net/ ). Para descargar iptables se puede usar nuestro gestor de paquetes, algunos de losque conozco: Debian: apt-get install iptables Gentoo: emerge iptables Claro también puede optar por compilar el programa a mano o usar paquetes precompilados de ciertas distros. ¡Demonios!, pero ¿cómo levanto esos mentados módulos? Básicamente estos módulos están ya disponibles en la mayoría de las distribuciones GNU/Linux que existen en la actualidad.. Para darlos de alta utilizamos laherramienta modprobe, primero antes que nada hay que mirar que módulos tenemos disponibles con modprobe -l | grep netfilter : UnderHouse linux # modprobe -l | grep netfilter /lib/modules/2.6.14-gentoo-r5/kernel/net/ipv4/netfilter/ip_conntrack.ko /lib/modules/2.6.14-gentoo-r5/kernel/net/ipv4/netfilter/iptable_nat.ko /lib/modules/2.6.14-gentoo-r5/kernel/net/ipv4/netfilter/iptable_mangle.ko/lib/modules/2.6.14-gentoo-r5/kernel/net/ipv4/netfilter/iptable_filter.ko /lib/modules/2.6.14-gentoo-r5/kernel/net/ipv4/netfilter/ipt_state.ko /lib/modules/2.6.14-gentoo-r5/kernel/net/ipv4/netfilter/ipt_limit.ko /lib/modules/2.6.14-gentoo-r5/kernel/net/ipv4/netfilter/ipt_REDIRECT.ko /lib/modules/2.6.14-gentoo-r5/kernel/net/ipv4/netfilter/ipt_MASQUERADE.ko/lib/modules/2.6.14-gentoo-r5/kernel/net/ipv4/netfilter/ipt_LOG.ko /lib/modules/2.6.14-gentoo-r5/kernel/net/ipv4/netfilter/ip_tables.ko /lib/modules/2.6.14-gentoo-r5/kernel/net/ipv4/netfilter/ip_nat.ko Se preguntaran qué módulos necesito. Para esto les recomiendo levantar los módulos principales para el funcionamiento: modprobe ip_tables iptable_filter iptable_nat Conforme estemos asignando nuestras reglas de iptables puede que pida algún modulo y mandealgún error, solo quedaría montar dicho módulo que nos pida. ¿Y si no tengo los módulos? Buena pregunta, pues habrá que modificar el kernel (tema que no nos corresponde en este momento). Solo como nota hay que entrar a la carpeta del kernel, modificar el kernel y hacer los cambios correspondientes en nuestro gestor de arranque si es necesario, sería algo como esto:

cd /usr/src/linux make menuconfig##Dejar la siguiente configuración (es la que recomiendo):

-22

Networking ---> Networking options ---> [*] TCP/IP networking [*] IP: multicasting [*] IP: advanced router [*] Network packet filtering (replaces ipchains) ---> IP: Netfilter Configuration ---> Connection tracking (required for masq/NAT) IP tables support (required for filtering/masq/NAT) limit match support Connectionstate match support Packet filtering LOG target support Full NAT MASQUERADE target support REDIRECT target support Packet mangling ------------------------------------------------------------------------------############################################ make && make modules_install && make install

Conceptos básicos
En primera necesitamos saber las políticas que iptables usa por defecto:UnderHouse soullost # iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Por así definirlas, tenemos tres secciones: INPUT (entrada), OUTPUT (salida) y FORWARD (Redireccionamiento). Estas por defecto están puestas para aceptar todo el trafico...
tracking img