Informatica
Páginas: 5 (1164 palabras)
Publicado: 22 de enero de 2013
onfiguracion de Iptables (Firewall en Linux)
Que es un firewall
Lo primero que hay que tener en cuenta a la hora de configurar un firewall, es si verdaderamente es necesario, muchas personas, en la actualidad se conectan a Internet, de una u otra manera, desde las empresas, sus hogares o desde algún cybercafe, sin embargo, pocas de estas personas entienden realmente las consecuencias quetiene el abrir sus sistemas informáticos a Internet.
Un firewall es, por lo general, un software o hardware, a través del cual nos conectamos a una red como Internet, y que sirve como filtro sobre el tráfico que por él pasa, en ambas direcciones, y que en un momento dado puede rechazar cierto tráfico en alguna de las direcciones.
Eso quiere decir que, mediante un firewall, podemos detectarel tráfico no deseado hacia nuestros sistemas, y en general, los posibles ataques de que seamos objeto. De esta manera podremos aislar nuestros equipos del exterior, permitiendo nuestro uso de Internet de manera absolutamente normal pero minimizando en lo posible la probabilidad de padecer las consecuencias de un ataque.
Es frecuente también que se necesite exponer algún servidor a Internet(como es el caso de un servidor web, un servidor de correo, etc...), y en esos casos obviamente en principio se debe aceptar cualquier conexión a ellos.
Iptables (Software Libre)
Iptables es la herramienta que nos permite configurar las reglas del sistema de filtrado de paquetes del kernel de Linux, desde su versión 2.4 (en 2.2 era ipchains). Con esta herramienta, podremos crearnos unfirewall adaptado a nuestras necesidades.
El funcionamiento es simple: a iptables se le proporcionan unas reglas, especificando cada una de ellas unas determinadas características que debe cumplir un paquete. Además, se especifica para esa regla una acción o target. Las reglas tienen un orden, y cuando se recibe o se envía un paquete, las reglas se recorren en orden hasta que las condiciones que pideuna de ellas se cumplen en el paquete, y la regla se activa realizando la acción que se le ha especificado.
Estas acciones se plasman en los que se denominan targets, que indican lo que se debe hacer con el paquete. Los más usados son bastante explícitos: ACCEPT, DROP y REJECT. En cuanto a los paquetes, el total del sistema de filtrado de paquetes del kernel se divide en tres tablas, cada unacon varias cadenas (chains) a las que puede pertenecer un paquete, de la siguiente manera.
FILTER: Tabla por defecto, para los paquetes que se refieran a nuestra máquina
INPUT: Paquetes recibidos para nuestro sistema
FORWARD: Paquetes enrutados a través de nuestro sistema
OUTPUT: Paquetes generados en nuestro sistema y que son enviados
NAT: Tabla referida a los paquetes enrutados en unsistema con Masquerading
PREROUTING: Para alterar los paquetes según entren
OUTPUT: Para alterar paquetes generados localmente antes de ser enrutados
POSTROUTING: Para alterar los paquetes cuando están a punto para salir
MANGLE: Alteraciones más especiales de paquetes
PREROUTING: Para alterar los paquetes entrantes antes de ser enrutados
OUTPUT: Para alterar los paquetes generados localmenteantes de enrutar
Especificación de reglas
Se hace con los siguientes parámetros (especificando aquellos que se necesite):
-p [protocolo]: Protocolo al que pertenece el paquete.
-s [origen]: dirección de origen del paquete, puede ser un nombre de host, una dirección IP normal, o una dirección de red (con máscara, de forma dirección/máscara).
-d [destino]: Al igual que el anterior, puede serun nombre de host, dirección de red o dirección IP singular.
-i [interfaz-entrada]: Especificación del interfaz por el que se recibe el paquete.
-o [interfaz-salida]: Interfaz por el que se va a enviar el paquete.
[!] -f: Especifica que la regla se refiere al segundo y siguientes fragmentos de un paquete fragmentado. Si se antepone !, se refiere sólo al primer paquete, o a los paquetes no...
Que es un firewall
Lo primero que hay que tener en cuenta a la hora de configurar un firewall, es si verdaderamente es necesario, muchas personas, en la actualidad se conectan a Internet, de una u otra manera, desde las empresas, sus hogares o desde algún cybercafe, sin embargo, pocas de estas personas entienden realmente las consecuencias quetiene el abrir sus sistemas informáticos a Internet.
Un firewall es, por lo general, un software o hardware, a través del cual nos conectamos a una red como Internet, y que sirve como filtro sobre el tráfico que por él pasa, en ambas direcciones, y que en un momento dado puede rechazar cierto tráfico en alguna de las direcciones.
Eso quiere decir que, mediante un firewall, podemos detectarel tráfico no deseado hacia nuestros sistemas, y en general, los posibles ataques de que seamos objeto. De esta manera podremos aislar nuestros equipos del exterior, permitiendo nuestro uso de Internet de manera absolutamente normal pero minimizando en lo posible la probabilidad de padecer las consecuencias de un ataque.
Es frecuente también que se necesite exponer algún servidor a Internet(como es el caso de un servidor web, un servidor de correo, etc...), y en esos casos obviamente en principio se debe aceptar cualquier conexión a ellos.
Iptables (Software Libre)
Iptables es la herramienta que nos permite configurar las reglas del sistema de filtrado de paquetes del kernel de Linux, desde su versión 2.4 (en 2.2 era ipchains). Con esta herramienta, podremos crearnos unfirewall adaptado a nuestras necesidades.
El funcionamiento es simple: a iptables se le proporcionan unas reglas, especificando cada una de ellas unas determinadas características que debe cumplir un paquete. Además, se especifica para esa regla una acción o target. Las reglas tienen un orden, y cuando se recibe o se envía un paquete, las reglas se recorren en orden hasta que las condiciones que pideuna de ellas se cumplen en el paquete, y la regla se activa realizando la acción que se le ha especificado.
Estas acciones se plasman en los que se denominan targets, que indican lo que se debe hacer con el paquete. Los más usados son bastante explícitos: ACCEPT, DROP y REJECT. En cuanto a los paquetes, el total del sistema de filtrado de paquetes del kernel se divide en tres tablas, cada unacon varias cadenas (chains) a las que puede pertenecer un paquete, de la siguiente manera.
FILTER: Tabla por defecto, para los paquetes que se refieran a nuestra máquina
INPUT: Paquetes recibidos para nuestro sistema
FORWARD: Paquetes enrutados a través de nuestro sistema
OUTPUT: Paquetes generados en nuestro sistema y que son enviados
NAT: Tabla referida a los paquetes enrutados en unsistema con Masquerading
PREROUTING: Para alterar los paquetes según entren
OUTPUT: Para alterar paquetes generados localmente antes de ser enrutados
POSTROUTING: Para alterar los paquetes cuando están a punto para salir
MANGLE: Alteraciones más especiales de paquetes
PREROUTING: Para alterar los paquetes entrantes antes de ser enrutados
OUTPUT: Para alterar los paquetes generados localmenteantes de enrutar
Especificación de reglas
Se hace con los siguientes parámetros (especificando aquellos que se necesite):
-p [protocolo]: Protocolo al que pertenece el paquete.
-s [origen]: dirección de origen del paquete, puede ser un nombre de host, una dirección IP normal, o una dirección de red (con máscara, de forma dirección/máscara).
-d [destino]: Al igual que el anterior, puede serun nombre de host, dirección de red o dirección IP singular.
-i [interfaz-entrada]: Especificación del interfaz por el que se recibe el paquete.
-o [interfaz-salida]: Interfaz por el que se va a enviar el paquete.
[!] -f: Especifica que la regla se refiere al segundo y siguientes fragmentos de un paquete fragmentado. Si se antepone !, se refiere sólo al primer paquete, o a los paquetes no...
Leer documento completo
Regístrate para leer el documento completo.