Redes

Solo disponible en BuenasTareas
  • Páginas : 9 (2111 palabras )
  • Descarga(s) : 4
  • Publicado : 12 de julio de 2010
Leer documento completo
Vista previa del texto
ipchains es un cortafuegos libre para Linux. Es el código reescrito del código fuente del cortafuego IPv4 anterior de Linux. En Linux 2.2, ipchains es requerido para administrar los filtros de paquetes IP. ipchains fue escrito porque el cortefuegos IPv4 anterior utilizado en Linux 2.0 no functionaba con fragmentos IP y no permitía que se especifiquen otros protocolos que no sean TCP, UDP o ICMP.ipchains ha sido reemplazado por iptables en Linux 2.4 y superior.
Linux ipchains
En Linux, el filtrado de paquetes es manejado en el kernel. ipchains es el código de
filtrado de paquetes que ofrece el kernel de las series 2.0 de Linux. ipchains permite ver el
encabezado de los paquetes que pasan por el sistema y decide qué hacer basándose en las
políticas de seguridad. ipchains puede tomarcualquiera de las siguientes decisiones:
¬ Denegar los paquetes, es decir, descartarlos como si nunca los hubiera
recibido.
¬ Aceptar los paquetes, es decir, dejar que pasen a través del firewall.
¬ Rechazar los paquetes, es como denegarlos pero se le informa al origen del
paquete lo que ocurrió.
Como instalar ipchains.
Para poder utilizar ipchains en Linux, el kernel debe contener IPfirewall chains.
Una manera de verificar si el kernel actual tiene esta opción instalada, es cerciorándose de
que exista el archivo ‘/proc/net/ip_fwchains’.
Las opciones de configuración que deben habilitarse en el kernel de las series 2.0 de
Linux son:
CONFIG_EXPERIMENTAL=y
CONFIG_FIREWALL=y
CONFIG_IP_FIREWALL=y
CONFIG_IP_FIREWALL_CHAINS=y
Para el kernel de las series 2.1 y 2.2:CONFIG_FIREWALL=y
CONFIG_IP_FIREWALL=y
Para poder manejar el filtrado de paquete que ofrece el kernel de linux, existe una
herramienta llamada ‘ipchains’. Esta herramienta además de utilizarse para filtrado de
paquetes, sirve para controlar el enmascaramiento (masquerading) y la sustitución
transparente (transparent proxying). Estas dos capacidades adicionales al filtrado que posee
ipchains no seráncubiertas en esta práctica.
Cadenas para filtrado
El kernel de Linux contiene tres listas de reglas de filtrado, estas listas son llamadas
cadenas (chains). Estas listas son llamadas input, output y forward. Cuando un paquete
llega a la máquina que funciona como firewall por una de sus interfaces, el kernel utiliza la
cadena input para decidir su destino. Si el paquete supera este paso, elkernel decide adónde
enviar el paquete basándose en la tabla de enrutamiento. Si el paquete está destinado a otra
máquina, el kernel consulta la cadena forward. Por último antes de enviar el paquete, el
kernel consulta la cadena output.
Una cadena es una lista de reglas. Cada regla dice: si el paquete cumple con “esto”,
entonces haga “aquello” con el paquete. Si la regla no corresponde al paquete,entonces se
consulta la regla siguiente. Por último, si ninguna de las reglas es aplicable al paquete, el
kernel revisa la política por omisión de la cadena para decidir qué hacer. Esta política por
omisión puede ser cualquiera de las acciones; denegar, aceptar o rechazar.
La figura #6 muestra a grandes rasgos el camino de un paquete cuando pasa a través
de la máquina. En el grafico seomiten detalles tales como el enmascaramiento.
Figura #6. Etapas del filtrado
Las etapas que se muestran en el gráfico son:
¬ En primer lugar el paquete es comprobado con la cadena input. Si la
decisión no es denegar o rechazar, el paquete continúa.
¬ Luego se realiza la decisión de enrutamiento basándose en el destino del
paquete. Con esto se decide si el paquete es para un proceso local o espara
otra máquina.
¬ Un proceso local puede recibir o enviar paquetes que pasan a través de la
etapa de decisión de enrutamiento.
¬ Si el paquete no fue creado por un proceso local, el paquete es enviado a la
cadena forward.
¬ La cadena forward se aplica a cada paquete que trata de pasar a través de
esta máquina hacia otra.
¬ Por último a todo paquete que sale de la máquina se le aplica la...
tracking img