Iptables

Solo disponible en BuenasTareas
  • Páginas : 8 (1792 palabras )
  • Descarga(s) : 0
  • Publicado : 11 de agosto de 2010
Leer documento completo
Vista previa del texto
Firewall en GNU/Linux netfilter/iptables

´ SEGURIDAD EN SISTEMAS DE INFORMACION Libre Elecci´n o http://ccia.ei.uvigo.es/docencia/SSI 13 de mayo de 2008

– FJRP, FMBR 2008 ccia SSI –

1. Introducci´n a netfilter/iptables o

netfilter (http://www.netfilter.org) es un componente del n´cleo Linux (desde la versi´n 2.4) encargado de la manipulaci´n de u o o paquetes de red, que permite:
•filtrado de paquetes • traducci´n de direcciones (NAT) o • modificaci´n de paquetes o

iptables es una herramienta/aplicaci´n (forma parte del proyecto neto filter) que hace uso de la infraestructura que ofrece netfilter para construir y configurar firewalls • permite definir pol´ ıticas de filtrado, de NAT y realizar logs • remplaza a herramientas anteriores: ifwadmin, ipchains • puede usar lascapacidades de seguimiento de conexiones netfilter para definir firewalls con estado Las posibles tareas a realizar sobre los paquetes (filtrado, NAT, modificaci´n) se controlan mediante distintos conjuntos de reglas, o en funci´n de la situaci´n/momento en la que se encuentre un o o paquete durante su procesamiento dentro de netfilter. • Las listas de reglas y dem´s datos residen en el espacio de amemoria del kernel • La herramienta de nivel de usuario iptables permite al administrador configurar las listas de reglas que usa el kernel para decidir qu´ hacer con los paquetes de red que maneja. e • En la pr´ctica un ”firewall” iptables consistir´ en un script a a de shell conteniendo los comandos iptables para configurar convenientemente las listas de reglas.
◦ tipicamente ese script residir´ enel directorio ’/etc/init.d’ ´ en a o ’/etc/rc.d’ para que sea ejecutado cada vez que arranca el sistema

• Otras utilidades (guardar/recuperar reglas en memoria): iptables-save, iptable-restore

– FJRP, FMBR 2008 ccia SSI –

1

(a) Elementos TABLAS. Se corresponden con los distintos tipos de procesamiento que se pueden aplicar sobre los paquetes. Tablas disponibles: filter. Controladecisiones de filtrado de paquetes (aceptar/denegar) Cadenas: input, output, forward nat. Controla traducci´n de direcciones (NAT:network address translation) o Cadenas: prerouting, postrouting (opc. output) mangle. Controla los procesos de modificaci´n del contenido y las o opciones de los paquetes. Cadenas: input, output, forward, prerouting, postrouting Las reglas de cada tabla se organizan encadenas, que se consultar´n a en momentos concretos del flujo de los paquetes.. CADENAS. Contienen las listas de reglas a aplicar sobre los paquetes Cadenas predeterminadas: (asociadas a momentos concretos del flujo de los
paquetes) INPUT reglas a aplicar sobre los paquetes destinados a la propia m´quina, (justo a antes de pasarlos a las aplicaciones) Usada para controlar las entradas al propioequipo/cortafuegos OUTPUT reglas a aplicar sobre los paquetes originados en la propia m´quina, a (justo despu´s de recibirlas desde las aplicaciones) e Usada para controlar las salidas del propio equipo/cortafuegos FORWARD reglas a aplicar sobre los paquetes que atraviesan la m´quina con a destino a otras (paquetes en tr´nsito reenviados) a Usadas en Cortafuegos de borde (protecci´n red interna) oPRE-ROUTING reglas a aplicar sobre paquetes justo antes de enviarlos a la red Usada para DNAT (destination NAT ) [redirecci´n de puertos] o POST-ROUTING reglas aplicar sobre paquetes (propios o ajenos) recibidos de la red (antes de decidir a d´nde encaminarlos [local o reenv´ o ıo]) Usada para SNAT (source NAT ) [enmascaramiento]

Se pueden crear cadenas definidas por el usuario (comando ”iptables -Ncadena”), a las que se acceder´ desde reglas ina cluidas en alguna de las cadenas predeterminadas (≈ subrutinas)
– FJRP, FMBR 2008 ccia SSI – 2

(b) Flujo de paquetes a trav´s de netfilter e

(c) Funcionamiento Para cada paquete, en funci´n del procesamiento que vaya a sufrir, o se consulta la cadena que corresponda a su situci´n dentro de o netfilter. Dentro de cada cadena las reglas se...
tracking img