dassad
Páginas: 5 (1007 palabras)
Publicado: 26 de agosto de 2014
Sintaxis general:
La sintaxis para cualquier comando de IPTABLES es la siguiente:
iptables -t - {opciones} -j
Tablas:
Hay 3 tablas (o cadenas), que indican qué tipo de operación puede hacer el router con
los paquetes.
• FILTER: En esta tabla hay reglas que dicen qué hacer con los paquetes, pero sin
modificarlos. Esta es la tabla por defecto, si no se indica otra.
• NAT: Implica a lospaquetes que requieren crear nuevas conexiones. Normalmente
implica algún tipo de traducción de dirección, ya sea dirección o puerto (modifican el
paquete).
• MANGLE: Implica modificaciones más sofisticadas del paquete, que van más allá de
su dirección. Utilizada para realizar marcas de tráfico.
Comandos: (Los comandos son todos en mayúsculas)
A: Agrega una regla.
D: Borra una regla de unacadena.
F: Vacía una cadena (borra todas las reglas).
L: Lista todas las reglas.
P: Permite definir la política por defecto a aplicar.
Cadena:
Cadena
Paquetes analizados
Tabla donde
se utiliza
INPUT
Paquetes entrantes que están destinados a la PC
donde está operando el iptables.
FILTER , MANGLE
OUTPUT
Paquetes en el momento de ser recibidos por la
estación dondeestá operando el iptables.
Esta cadena analiza paquetes propios y enrutados.
FILTER, MANGLE, NAT
FORWARD
Paquetes que son enrutados por la PC donde está
operando iptables.
FILTER, MANGLE
PREROUTING
Paquetes en el momento de ser recibidos por la
estación donde está operando el iptables.
Esta cadena analiza paquetes propios y enrutados.
NAT, MANGLE
POSTROUTING
Paquetes enel momentos de ser enviados por la
estación donde está operando el iptables.
Esta cadena analiza los paquetes propios y
enrutados.
NAT, MANGLE
Opciones:
Opciones
Resultado
-i
Permite especificar la interface entrante.
Donde ethX debe reemplazarse por la interfaz correspondiente (eth0, eth1,
eth2, etc)
-o
Permite especificar la interface saliente.
-s
Permiteespecificar la dirección IP origen.
Donde X.X.X.X simboliza la IP y /Y simboliza la máscara de red.
-d
Permite especificar la dirección IP destino.
Donde X.X.X.X simboliza la IP y /Y simboliza la máscara de red.
-p
Permite especificar el protocolo [tcp, udp, icmp, etc].
Para protocolos TCP y UDP
-sport
Permite especificar el puerto de origen. Para especificar un rango válido
depuertos, separe ambos números del rango con dos puntos (:)
-dport
Permite especificar el puerto de destino. Para especificar un rango válido
de puertos, separe ambos números del rango con dos puntos (:)
Para TCP
--syn
Se aplica a todos los paquetes TCP diseñados para iniciar una comunicación,
comúnmente llamados paquetes SYN. Cualquier paquete que lleve datos no se
toca. Use unsigno de exclamación (!) después de --syn para que seleccione los
paquetes no-SYN.
--tcp-flags
Permite paquetes TCP que tengan ciertos bits (banderas) específicos puestos,
para que coincidan con la regla.
La opción de correspondencia --tcp-flags acepta dos parámetros. El primero es la
máscara; una lista separada por comas de las marcas a ser examinadas en el
paquete. El segundoparámetro es una lista separada por comas de las marcas
que deben ser definidas en la regla con la que se pretende concordar.
Por ejemplo, una regla iptables que contenga las siguientes especificaciones solo
se corresponderá con paquetes TCP que tengan definida la marca SYN, y que no
tengan definidas las marcas ACK ni FIN:
--tcp-flags ACK,FIN,SYN SYN
Use el signo de exclamación (!) después de--tcp-flags para revertir el efecto de
coincidencia de la opción.
Para ICMP
--icmp-type
Establece el nombre y número del tipo de ICMP a corresponderse con la regla.
Puede obtenerse una lista de nombres ICMP válidos al ingresar el
comando iptables -p icmp -h.
Opciones de módulos:
Utilización de modulos
-m
Módulo limit — Pone límites sobre cuántos paquetes se toman para una regla...
La sintaxis para cualquier comando de IPTABLES es la siguiente:
iptables -t - {opciones} -j
Tablas:
Hay 3 tablas (o cadenas), que indican qué tipo de operación puede hacer el router con
los paquetes.
• FILTER: En esta tabla hay reglas que dicen qué hacer con los paquetes, pero sin
modificarlos. Esta es la tabla por defecto, si no se indica otra.
• NAT: Implica a lospaquetes que requieren crear nuevas conexiones. Normalmente
implica algún tipo de traducción de dirección, ya sea dirección o puerto (modifican el
paquete).
• MANGLE: Implica modificaciones más sofisticadas del paquete, que van más allá de
su dirección. Utilizada para realizar marcas de tráfico.
Comandos: (Los comandos son todos en mayúsculas)
A: Agrega una regla.
D: Borra una regla de unacadena.
F: Vacía una cadena (borra todas las reglas).
L: Lista todas las reglas.
P: Permite definir la política por defecto a aplicar.
Cadena:
Cadena
Paquetes analizados
Tabla donde
se utiliza
INPUT
Paquetes entrantes que están destinados a la PC
donde está operando el iptables.
FILTER , MANGLE
OUTPUT
Paquetes en el momento de ser recibidos por la
estación dondeestá operando el iptables.
Esta cadena analiza paquetes propios y enrutados.
FILTER, MANGLE, NAT
FORWARD
Paquetes que son enrutados por la PC donde está
operando iptables.
FILTER, MANGLE
PREROUTING
Paquetes en el momento de ser recibidos por la
estación donde está operando el iptables.
Esta cadena analiza paquetes propios y enrutados.
NAT, MANGLE
POSTROUTING
Paquetes enel momentos de ser enviados por la
estación donde está operando el iptables.
Esta cadena analiza los paquetes propios y
enrutados.
NAT, MANGLE
Opciones:
Opciones
Resultado
-i
Permite especificar la interface entrante.
Donde ethX debe reemplazarse por la interfaz correspondiente (eth0, eth1,
eth2, etc)
-o
Permite especificar la interface saliente.
-s
Permiteespecificar la dirección IP origen.
Donde X.X.X.X simboliza la IP y /Y simboliza la máscara de red.
-d
Permite especificar la dirección IP destino.
Donde X.X.X.X simboliza la IP y /Y simboliza la máscara de red.
-p
Permite especificar el protocolo [tcp, udp, icmp, etc].
Para protocolos TCP y UDP
-sport
Permite especificar el puerto de origen. Para especificar un rango válido
depuertos, separe ambos números del rango con dos puntos (:)
-dport
Permite especificar el puerto de destino. Para especificar un rango válido
de puertos, separe ambos números del rango con dos puntos (:)
Para TCP
--syn
Se aplica a todos los paquetes TCP diseñados para iniciar una comunicación,
comúnmente llamados paquetes SYN. Cualquier paquete que lleve datos no se
toca. Use unsigno de exclamación (!) después de --syn para que seleccione los
paquetes no-SYN.
--tcp-flags
Permite paquetes TCP que tengan ciertos bits (banderas) específicos puestos,
para que coincidan con la regla.
La opción de correspondencia --tcp-flags acepta dos parámetros. El primero es la
máscara; una lista separada por comas de las marcas a ser examinadas en el
paquete. El segundoparámetro es una lista separada por comas de las marcas
que deben ser definidas en la regla con la que se pretende concordar.
Por ejemplo, una regla iptables que contenga las siguientes especificaciones solo
se corresponderá con paquetes TCP que tengan definida la marca SYN, y que no
tengan definidas las marcas ACK ni FIN:
--tcp-flags ACK,FIN,SYN SYN
Use el signo de exclamación (!) después de--tcp-flags para revertir el efecto de
coincidencia de la opción.
Para ICMP
--icmp-type
Establece el nombre y número del tipo de ICMP a corresponderse con la regla.
Puede obtenerse una lista de nombres ICMP válidos al ingresar el
comando iptables -p icmp -h.
Opciones de módulos:
Utilización de modulos
-m
Módulo limit — Pone límites sobre cuántos paquetes se toman para una regla...
Leer documento completo
Regístrate para leer el documento completo.