Iptables
Páginas: 12 (2971 palabras)
Publicado: 7 de mayo de 2013
Iptables
El kernel Linux incluye el subsistema Netfilter, que es usado para manipular o decidir el destino del tráfico de red entre
o a través de su red. Todas las soluciones firewall Linux modernas utilizan este sistema para el filtrado de paquetes.
El sistema de filtrado de paquetes del núcleo resulta de poca ayuda a los administradores si no se tiene una interfaz de
usuario paragestionarlo. Éste es el proposito de Iptables. Cuando un paquete llega a su servidor, éste es gestionado
por el subsistema Netfilter para aceptarlo, manipularlo o rechazarlo basándose en las reglas suministradas a éste via
iptables. Así, iptables es todo lo que necesita para manejar su cortafuegos si está familiarizado con él, pero existen
muchos interfaces de usuario disponibles para simplificar estatarea., por ejemplo Firestarter
Aclaramos que en versiones anteriores al kernal 2.4.* se llamaba ipchain, pero a partir de esta versión se cambió a
Iptables, mucho mas potente.
Iptables está basado en el uso de TABLAS dentro de las tablas, CADENAS, formadas por agrupación de REGLAS,
parámetros que relativizan las reglas y finalmente una ACCION, que es la encargada de decir qué destino tiene elpaquete.
Describimos los elementos y luego vemos un sencillo script básico.
Tabla de contenidos
1 Las Tablas
2 Comandos de Iptables
3 Parámetros
4 Acciones
5 Modelo de Cadena de Reglas
6 Permitir sesiones establecidas
7 Permitir tráfico entrante de puertos específicos
8 Bloquear trafico
9 Editar iptables
10 Enmascaramiento IP
11 Herramientas12 Logs
13 Fuentes
Las Tablas
FILTER (filtrado)Permite generar las reglas de filtrado o sea, que paquetes aceptar, cuales rechazar o cuales
omitir.Es la tabla por defecto. Las cadenas serán: INPUT OUTPUT y FORWARD.
NAT (Network Address Translation) Desde esta tabla es posible el enmascaramiento de IP, se usa para
redireccionar puertos o cambiar las :IPs de origen y destino a través deinterface de red. Las cadenas
serán :PREROUTING y POSTROUTING
MANGLE (Modificado de paquetes)Permite la modificación de paquetes como ToS (Type of Service), TTL (Time
to live)o mark, marcar el paquete.
RAW Esta tabla se usa para configurar principalmente excepciones en el seguimiento de paquetes en
combinación con la acción o target NOTRACK. Trabaja sobre la cadena PREROUTING Y OUTPUT y su únicaacción es Notrack. Puede evitar que iptables haga un seguimiento de los paquetes.
Describimos los elementos y luego vemos un sencillo script básico.
1
CORRESPONDENCIA de TABLAS, CADENAS y FUNCION
TABLA
FUNCION
CADENA
FUNCION de la CADENA
INPUT
NAT
MANGLE
Modificación
de las
cabeceras de
TCP
RAW
Acción
NOTRACK
Permite el paso de paquetes a otra direccióndel firewall
Chequea la dirección de red antes de reenviarla.
Facilita la modificación de la información para facilitar el enrutado
Se usa también como DESTINATION NAT o DNAT
POSTROUTING
Tratamiento de la dirección IP después del enrutado.Esto hace
que no sea necesario la modificación del destino de la dirección IP
del paquete como en pre-routing.Se usa como SOURCE NAT o SNAT
OUTPUTEnrutamiento
de
direcciones
de red
Filtrado de los paquetes de salida
PREROUTING
Filtrado de
paquetes
OUTPUT
FORWARD
FILTER
Filtrado de paquetes que llegan al firewall
Interpretación de las direcciones de Red de los paquetes
que salen del firewall.Escasamente usado.
PREROUTING
POSTROUTING
INPUT
OUTPUT
FORWARD
Permite la modificación del paquete como puedeser TOS
(type of Service), marcado de los mismos para
QOS o calidad de servicio
PREROUTING
OUTPUT
Esta tabla se usa para configurar principalmente excepciones
en el seguimiento de paquetes en combinación
con la acción o target NOTRACK.
A partir de aquí, dividiremos las opciones en algunos grupos
Comandos de Iptables
Como hacíamos referencia mas arriba, dentro de las tablas hay...
El kernel Linux incluye el subsistema Netfilter, que es usado para manipular o decidir el destino del tráfico de red entre
o a través de su red. Todas las soluciones firewall Linux modernas utilizan este sistema para el filtrado de paquetes.
El sistema de filtrado de paquetes del núcleo resulta de poca ayuda a los administradores si no se tiene una interfaz de
usuario paragestionarlo. Éste es el proposito de Iptables. Cuando un paquete llega a su servidor, éste es gestionado
por el subsistema Netfilter para aceptarlo, manipularlo o rechazarlo basándose en las reglas suministradas a éste via
iptables. Así, iptables es todo lo que necesita para manejar su cortafuegos si está familiarizado con él, pero existen
muchos interfaces de usuario disponibles para simplificar estatarea., por ejemplo Firestarter
Aclaramos que en versiones anteriores al kernal 2.4.* se llamaba ipchain, pero a partir de esta versión se cambió a
Iptables, mucho mas potente.
Iptables está basado en el uso de TABLAS dentro de las tablas, CADENAS, formadas por agrupación de REGLAS,
parámetros que relativizan las reglas y finalmente una ACCION, que es la encargada de decir qué destino tiene elpaquete.
Describimos los elementos y luego vemos un sencillo script básico.
Tabla de contenidos
1 Las Tablas
2 Comandos de Iptables
3 Parámetros
4 Acciones
5 Modelo de Cadena de Reglas
6 Permitir sesiones establecidas
7 Permitir tráfico entrante de puertos específicos
8 Bloquear trafico
9 Editar iptables
10 Enmascaramiento IP
11 Herramientas12 Logs
13 Fuentes
Las Tablas
FILTER (filtrado)Permite generar las reglas de filtrado o sea, que paquetes aceptar, cuales rechazar o cuales
omitir.Es la tabla por defecto. Las cadenas serán: INPUT OUTPUT y FORWARD.
NAT (Network Address Translation) Desde esta tabla es posible el enmascaramiento de IP, se usa para
redireccionar puertos o cambiar las :IPs de origen y destino a través deinterface de red. Las cadenas
serán :PREROUTING y POSTROUTING
MANGLE (Modificado de paquetes)Permite la modificación de paquetes como ToS (Type of Service), TTL (Time
to live)o mark, marcar el paquete.
RAW Esta tabla se usa para configurar principalmente excepciones en el seguimiento de paquetes en
combinación con la acción o target NOTRACK. Trabaja sobre la cadena PREROUTING Y OUTPUT y su únicaacción es Notrack. Puede evitar que iptables haga un seguimiento de los paquetes.
Describimos los elementos y luego vemos un sencillo script básico.
1
CORRESPONDENCIA de TABLAS, CADENAS y FUNCION
TABLA
FUNCION
CADENA
FUNCION de la CADENA
INPUT
NAT
MANGLE
Modificación
de las
cabeceras de
TCP
RAW
Acción
NOTRACK
Permite el paso de paquetes a otra direccióndel firewall
Chequea la dirección de red antes de reenviarla.
Facilita la modificación de la información para facilitar el enrutado
Se usa también como DESTINATION NAT o DNAT
POSTROUTING
Tratamiento de la dirección IP después del enrutado.Esto hace
que no sea necesario la modificación del destino de la dirección IP
del paquete como en pre-routing.Se usa como SOURCE NAT o SNAT
OUTPUTEnrutamiento
de
direcciones
de red
Filtrado de los paquetes de salida
PREROUTING
Filtrado de
paquetes
OUTPUT
FORWARD
FILTER
Filtrado de paquetes que llegan al firewall
Interpretación de las direcciones de Red de los paquetes
que salen del firewall.Escasamente usado.
PREROUTING
POSTROUTING
INPUT
OUTPUT
FORWARD
Permite la modificación del paquete como puedeser TOS
(type of Service), marcado de los mismos para
QOS o calidad de servicio
PREROUTING
OUTPUT
Esta tabla se usa para configurar principalmente excepciones
en el seguimiento de paquetes en combinación
con la acción o target NOTRACK.
A partir de aquí, dividiremos las opciones en algunos grupos
Comandos de Iptables
Como hacíamos referencia mas arriba, dentro de las tablas hay...
Leer documento completo
Regístrate para leer el documento completo.