Documento Iptables
Páginas: 26 (6385 palabras)
Publicado: 21 de noviembre de 2012
A2 – Filtrado y registro de paquetes con Iptables
Joaqu´n Garc´a Alfaro ı ı
c FUOC·
´ A2 – Filtrado y monitorizacion de paquetes con Iptables
´ Indice
2.1. Iptables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.1. Utilizaci´ n de la herramienta iptables . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . o 2.1.1.1. Comandos para la manipulaci´ n de cadenas . . . . . . . . . . . . . . . . . . . . . . . o 2.1.1.2. Filtrado por direcci´ n IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 2.1.1.3. Filtrado por interfaz de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.1.4. Filtrado porprotocolo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.2. Invirtiendo selecciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.3. Ejemplo de definici´ n y utilizaci´ n de cadenas . . . . . . . . . . . . . . . . . . . . . . . . . . . o o 2.1.4. Tratamiento adicional . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.5. Uso y obtenci´ n de guiones de filtrado mediante herramientas gr´ ficas . . . . o a Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bibliograf´a . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ı
3 4 5 7 7 8 8 9 10 11 20 21
c FUOC
·
3
A2 – Filtrado y monitorizaci´ n de paquetes con Iptables o
2.1. Iptables .
La herramienta iptables permite el filtrado y monitorizaci´ n de tr´ fico TCP/IP en sistemas o a GNU/Linux. De hecho, esta herramienta no es m´ s que una interfaz hacia el m´ dulo a o netfilter de laserie 2.4 o superior del kernel Linux, el cual proporciona los mecanismos de seguridad para la capa de red del kernel (como, por ejemplo, el filtrado de paquetes), as´ como otras funciones relacionadas con el tratamiento de paquetes TCP/IP como, por ı ejemplo, traduccion de direcciones de red (Network Address Translation, NAT). Como ya hemos avanzado, netfilter es un modulo para la serie 2.4 del kernelLinux y es el responsable del filtrado de paquetes TCP/IP. Observando las cabeceras de cada paquete que pasa por el equipo, decidir´ si ese paquete debe ser aceptado, descartado o si deber´ a a ´ realizarse alguna otra operaci´ n m´ s compleja con el. o a Para realizar filtrado de paquetes, Netfilter parte de lo que se conoce como tablas, cadenas y reglas. Las tablas m´ s conocidas de iptables sonfilter y nat, y cada una de ellas ofrece una a funcionalidad: la primera de filtrado de paquetes y la segunda de traducci´ n de direcciones. o Por otro lado, cadenas son los caminos que puede atravesar un paquete a la hora de ser procesado por el cortafuegos. Tablas diferentes contienen cadenas diferentes. INPUT, OUTPUT y FORWARD son cadenas de filtrado. La cadena INPUT s´ lo aplica a paquetes odestinados al host local, es decir, al host en el que se encuentra el cortafuegos. FORWARD s´ lo a aquellos paquetes con direcci´ n origen y destino diferentes a las del host local, es o o decir, para paquetes que el cortafuegos encamina pero de los cuales no es origen ni destino ´ final. Por ultimo, la cadena OUTPUT aplica s´ lo a paquetes generados por el host local. o POSTROUTING y PREROUTING soncadenas de la tabla nat. Como ejemplo simple de c´ mo los paquetes pasar´ n a trav´ s de estas cadenas b´ sicas, en o a e a la siguiente figura se muestran dos posibilidades: en el diagrama de la izquierda el caso en el que los paquetes son originados por el propio cortafuegos, y en el de la derecha los casos en los que los paquetes van dirigidos hacia el cortafuegos o son encaminados por ´ este...
Joaqu´n Garc´a Alfaro ı ı
c FUOC·
´ A2 – Filtrado y monitorizacion de paquetes con Iptables
´ Indice
2.1. Iptables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.1. Utilizaci´ n de la herramienta iptables . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . o 2.1.1.1. Comandos para la manipulaci´ n de cadenas . . . . . . . . . . . . . . . . . . . . . . . o 2.1.1.2. Filtrado por direcci´ n IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 2.1.1.3. Filtrado por interfaz de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.1.4. Filtrado porprotocolo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.2. Invirtiendo selecciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.3. Ejemplo de definici´ n y utilizaci´ n de cadenas . . . . . . . . . . . . . . . . . . . . . . . . . . . o o 2.1.4. Tratamiento adicional . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.5. Uso y obtenci´ n de guiones de filtrado mediante herramientas gr´ ficas . . . . o a Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bibliograf´a . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ı
3 4 5 7 7 8 8 9 10 11 20 21
c FUOC
·
3
A2 – Filtrado y monitorizaci´ n de paquetes con Iptables o
2.1. Iptables .
La herramienta iptables permite el filtrado y monitorizaci´ n de tr´ fico TCP/IP en sistemas o a GNU/Linux. De hecho, esta herramienta no es m´ s que una interfaz hacia el m´ dulo a o netfilter de laserie 2.4 o superior del kernel Linux, el cual proporciona los mecanismos de seguridad para la capa de red del kernel (como, por ejemplo, el filtrado de paquetes), as´ como otras funciones relacionadas con el tratamiento de paquetes TCP/IP como, por ı ejemplo, traduccion de direcciones de red (Network Address Translation, NAT). Como ya hemos avanzado, netfilter es un modulo para la serie 2.4 del kernelLinux y es el responsable del filtrado de paquetes TCP/IP. Observando las cabeceras de cada paquete que pasa por el equipo, decidir´ si ese paquete debe ser aceptado, descartado o si deber´ a a ´ realizarse alguna otra operaci´ n m´ s compleja con el. o a Para realizar filtrado de paquetes, Netfilter parte de lo que se conoce como tablas, cadenas y reglas. Las tablas m´ s conocidas de iptables sonfilter y nat, y cada una de ellas ofrece una a funcionalidad: la primera de filtrado de paquetes y la segunda de traducci´ n de direcciones. o Por otro lado, cadenas son los caminos que puede atravesar un paquete a la hora de ser procesado por el cortafuegos. Tablas diferentes contienen cadenas diferentes. INPUT, OUTPUT y FORWARD son cadenas de filtrado. La cadena INPUT s´ lo aplica a paquetes odestinados al host local, es decir, al host en el que se encuentra el cortafuegos. FORWARD s´ lo a aquellos paquetes con direcci´ n origen y destino diferentes a las del host local, es o o decir, para paquetes que el cortafuegos encamina pero de los cuales no es origen ni destino ´ final. Por ultimo, la cadena OUTPUT aplica s´ lo a paquetes generados por el host local. o POSTROUTING y PREROUTING soncadenas de la tabla nat. Como ejemplo simple de c´ mo los paquetes pasar´ n a trav´ s de estas cadenas b´ sicas, en o a e a la siguiente figura se muestran dos posibilidades: en el diagrama de la izquierda el caso en el que los paquetes son originados por el propio cortafuegos, y en el de la derecha los casos en los que los paquetes van dirigidos hacia el cortafuegos o son encaminados por ´ este...
Leer documento completo
Regístrate para leer el documento completo.