FIREWALL EN CENTOS
Páginas: 7 (1538 palabras)
Publicado: 27 de enero de 2014
TUTORIAL FIREWALL BY AARON
Empezamos el trabajo de Iptables desde la línea de comando, en donde debemos tener los privilegios root, tomar en cuenta que los privilegios de root se usan para la mayoría de cosas que estaremos haciendo durante la implementación del firewall.
Iptables debe estar instalado por defecto en todas las instalaciones de CentOS. Podemos comprobar si Iptables estáinstalado en nuestros sistemas con:
Para ver si realmente iptables está ejecutándose, lo hacemos comprobando que los propios módulos estén cargados y usamos la opción –L para inspeccionar las reglas que están cargadas actualmente:
En las capturas anteriores vemos el conjunto de reglas predeterminadas además del acceso al servicio SSH.
Si iptables no está corriendo, lo podemoshabilitar ejecutando la línea de comando:
# system-config-securitylevel
CREANDO UN CONJUNTO DE REGLAS SIMPLES
Haremos un ejemplo que nos permitirá examinar los comandos de iptables. En este primer ejemplo crearemos un conjunto de reglas muy simples para configurar un cortafuegos del tipo Stateful Packet Inspection (SPI) que permite todas las conexiones salientes pero bloquea todas las conexionesentrantes indeseadas.
Lo cual nos da la siguiente salida:
Ahora vamos a ver cada uno de los siete comandos de arriba y comprender exactamente lo que acabamos de hacer:
iptables -F: Lo primero que hemos hecho es usar la opción -F para eliminar las reglas una por una, de forma tal que comencemos con un estado limpio en el cual comenzar a adicionar reglas nuevas.
iptables -P INPUTDROP: La opción -P fija la política por defecto en la cadena especificada. Así que aquí estamos fijando a DROP como la política por defecto en la cadena INPUT. Esto quiere decir que si un paquete entrante no coincide una de las reglas siguientes será descartado.
iptables -P FORWARD DROP : De la misma forma, aquí estamos fijando a DROP la política por defecto para la cadena FORWARD porque noestamos usando nuestra computadora como un enrutador así que no deberían estar pasando paquetes a través de nuestra computadora.
iptables -P OUTPUT ACCEPT: y finalmente fijamos a ACCEPT la política por defecto para la cadena OUTPUT porque queremos permitir todo el tráfico saliente (porque confiamos en nuestros usuarios).
iptables -A INPUT -i lo -j ACCEPT: Ahora es el momento de comenzar aadicionar algunas reglas. Usamos la opción -A para anexar (o adicionar) una regla a la cadena específica, en este caso la cadena INPUT. Luego usamos la opción -i (interface) para especificar los paquetes que coinciden o están destinados a la interface lo (localhost, 127.0.0.1) y finalmente -j (jump) para saltar al objetivo de acción para el paquete que coincide con la regla, en este caso ACCEPT. Así,esta regla permitirá que todos los paquetes entrantes con destino a la interface localhost sean aceptados. Esto generalmente requiere que las aplicaciones de software sean capaces de comunicarse con el adaptador localhost.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT: Esta es la regla que hace la mayor parte del trabajo y nuevamente estamos adicionando (-A) a la cadena INPUT.Aquí estamos usando la opción -m para cargar un módulo (state). El módulo estado está disponible para examinar el estado de un paquete y determinar si este es nuevo (NEW), establecido (ESTABLISHED) o relacionado (RELATED). NEW se refiere a los paquetes entrantes que son conexiones entrantes nuevas que fueron iniciadas por el sistema anfitrión. ESTABLISHED y RELATED se refieren a los paquetesentrantes que son parte de una conexión ya establecida o relacionada a la conexión ya establecida.
iptables -L -v: Listar (-L) las reglas que acabamos de adicionar para comprobar que han sido cargadas correctamente.
Finalmente, lo último que necesitamos hacer es salvar las reglas para que la próxima vez que reiniciemos la computadora nuestras reglas sean recargadas automáticamente:
Esto...
Empezamos el trabajo de Iptables desde la línea de comando, en donde debemos tener los privilegios root, tomar en cuenta que los privilegios de root se usan para la mayoría de cosas que estaremos haciendo durante la implementación del firewall.
Iptables debe estar instalado por defecto en todas las instalaciones de CentOS. Podemos comprobar si Iptables estáinstalado en nuestros sistemas con:
Para ver si realmente iptables está ejecutándose, lo hacemos comprobando que los propios módulos estén cargados y usamos la opción –L para inspeccionar las reglas que están cargadas actualmente:
En las capturas anteriores vemos el conjunto de reglas predeterminadas además del acceso al servicio SSH.
Si iptables no está corriendo, lo podemoshabilitar ejecutando la línea de comando:
# system-config-securitylevel
CREANDO UN CONJUNTO DE REGLAS SIMPLES
Haremos un ejemplo que nos permitirá examinar los comandos de iptables. En este primer ejemplo crearemos un conjunto de reglas muy simples para configurar un cortafuegos del tipo Stateful Packet Inspection (SPI) que permite todas las conexiones salientes pero bloquea todas las conexionesentrantes indeseadas.
Lo cual nos da la siguiente salida:
Ahora vamos a ver cada uno de los siete comandos de arriba y comprender exactamente lo que acabamos de hacer:
iptables -F: Lo primero que hemos hecho es usar la opción -F para eliminar las reglas una por una, de forma tal que comencemos con un estado limpio en el cual comenzar a adicionar reglas nuevas.
iptables -P INPUTDROP: La opción -P fija la política por defecto en la cadena especificada. Así que aquí estamos fijando a DROP como la política por defecto en la cadena INPUT. Esto quiere decir que si un paquete entrante no coincide una de las reglas siguientes será descartado.
iptables -P FORWARD DROP : De la misma forma, aquí estamos fijando a DROP la política por defecto para la cadena FORWARD porque noestamos usando nuestra computadora como un enrutador así que no deberían estar pasando paquetes a través de nuestra computadora.
iptables -P OUTPUT ACCEPT: y finalmente fijamos a ACCEPT la política por defecto para la cadena OUTPUT porque queremos permitir todo el tráfico saliente (porque confiamos en nuestros usuarios).
iptables -A INPUT -i lo -j ACCEPT: Ahora es el momento de comenzar aadicionar algunas reglas. Usamos la opción -A para anexar (o adicionar) una regla a la cadena específica, en este caso la cadena INPUT. Luego usamos la opción -i (interface) para especificar los paquetes que coinciden o están destinados a la interface lo (localhost, 127.0.0.1) y finalmente -j (jump) para saltar al objetivo de acción para el paquete que coincide con la regla, en este caso ACCEPT. Así,esta regla permitirá que todos los paquetes entrantes con destino a la interface localhost sean aceptados. Esto generalmente requiere que las aplicaciones de software sean capaces de comunicarse con el adaptador localhost.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT: Esta es la regla que hace la mayor parte del trabajo y nuevamente estamos adicionando (-A) a la cadena INPUT.Aquí estamos usando la opción -m para cargar un módulo (state). El módulo estado está disponible para examinar el estado de un paquete y determinar si este es nuevo (NEW), establecido (ESTABLISHED) o relacionado (RELATED). NEW se refiere a los paquetes entrantes que son conexiones entrantes nuevas que fueron iniciadas por el sistema anfitrión. ESTABLISHED y RELATED se refieren a los paquetesentrantes que son parte de una conexión ya establecida o relacionada a la conexión ya establecida.
iptables -L -v: Listar (-L) las reglas que acabamos de adicionar para comprobar que han sido cargadas correctamente.
Finalmente, lo último que necesitamos hacer es salvar las reglas para que la próxima vez que reiniciemos la computadora nuestras reglas sean recargadas automáticamente:
Esto...
Leer documento completo
Regístrate para leer el documento completo.