investigacion
Páginas: 15 (3634 palabras)
Publicado: 11 de mayo de 2014
Configuración de un Firewall (Iptables)
Iptables es el nombre de la herramienta por medio de la cual el administrador crea reglas para filtrado de paquetes (Firewall). Iptables es una parte standard de todas las distribuciones Linux actuales. El Archivo donde se deben definir las reglas del Firewall es /etc/sysconfig/iptables si no existe se los debe crear. Debe tener solo permisos deescritura (w) y lectura (r) para el usuario root, y el archivo también debe pertenecer al grupo root. Para arrancar el servicio del Firewall se ejecuta service iptables start. Para grabar las reglas que están en memoria a un archivo se utiliza la instrucción iptables-save > archivo.txt. Para restaurar las reglas grabadas en un archivo a memoria se utiliza la instrucción iptables-restore < archivo.txt.Para ver las reglas que están cargadas en memoria se utiliza la instrucción iptables –L.
Un Ejemplo de Archivo de Configuración sería:
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT-A FORWARD -j RH-Firewall-1-INPUT
#Acepta conexiones localmente y desde eth0 y eth1
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth1 -j ACCEPT
# PROTECCION CONTRA PORT SCANNERS (nmap, etc...)
-A RH-Firewall-1-INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -j REJECT--reject-with icmp-port-unreachable --syn
-A RH-Firewall-1-INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
# PROTECCION CONTRA WORMS
-A RH-Firewall-1-INPUT -p tcp --dport 135:139 -j REJECT
-A RH-Firewall-1-INPUT -p udp --dport 135:139 -j REJECT
# PROTECCION CONTRA SYN-FLOODS
-A RH-Firewall-1-INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
# PROTECCION CONTRA PING DE LA MUERTE
-ARH-Firewall-1-INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Acepta conexiones http,https,ftp,smtp,ssh,proxy,pop,dns,webmin
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --stateNEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state-m tcp --dport 8080 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 110 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 53 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state -m udp --dport 53 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 10000 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -jACCEPT --source-port 53
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
Los comandos de iptables son:
Las cadenas internas para la tabla filtro son las siguientes:
INPUT — Aplica a los paquetes recibidos a través de una interfaz de red.
OUTPUT — Esta cadena sirve para paquetes enviados por medio de la misma interfaz de red que recibió los paquetes.FORWARD — Esta cadena sirve para paquetes recibidos en una interfaz de red y enviados en otra.
Las cadenas internas para la tabla nat son las siguientes:
PREROUTING — Altera los paquetes de red cuando estos llegan.
POSTROUTING — Esta cadena altera paquetes antes de que sean enviados por medio de una interfaz de red.
POSTROUTING — Altera los paquetes de red cuando estos son...
Iptables es el nombre de la herramienta por medio de la cual el administrador crea reglas para filtrado de paquetes (Firewall). Iptables es una parte standard de todas las distribuciones Linux actuales. El Archivo donde se deben definir las reglas del Firewall es /etc/sysconfig/iptables si no existe se los debe crear. Debe tener solo permisos deescritura (w) y lectura (r) para el usuario root, y el archivo también debe pertenecer al grupo root. Para arrancar el servicio del Firewall se ejecuta service iptables start. Para grabar las reglas que están en memoria a un archivo se utiliza la instrucción iptables-save > archivo.txt. Para restaurar las reglas grabadas en un archivo a memoria se utiliza la instrucción iptables-restore < archivo.txt.Para ver las reglas que están cargadas en memoria se utiliza la instrucción iptables –L.
Un Ejemplo de Archivo de Configuración sería:
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT-A FORWARD -j RH-Firewall-1-INPUT
#Acepta conexiones localmente y desde eth0 y eth1
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth1 -j ACCEPT
# PROTECCION CONTRA PORT SCANNERS (nmap, etc...)
-A RH-Firewall-1-INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -j REJECT--reject-with icmp-port-unreachable --syn
-A RH-Firewall-1-INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
# PROTECCION CONTRA WORMS
-A RH-Firewall-1-INPUT -p tcp --dport 135:139 -j REJECT
-A RH-Firewall-1-INPUT -p udp --dport 135:139 -j REJECT
# PROTECCION CONTRA SYN-FLOODS
-A RH-Firewall-1-INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
# PROTECCION CONTRA PING DE LA MUERTE
-ARH-Firewall-1-INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Acepta conexiones http,https,ftp,smtp,ssh,proxy,pop,dns,webmin
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --stateNEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state-m tcp --dport 8080 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 110 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 53 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state -m udp --dport 53 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 10000 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -jACCEPT --source-port 53
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
Los comandos de iptables son:
Las cadenas internas para la tabla filtro son las siguientes:
INPUT — Aplica a los paquetes recibidos a través de una interfaz de red.
OUTPUT — Esta cadena sirve para paquetes enviados por medio de la misma interfaz de red que recibió los paquetes.FORWARD — Esta cadena sirve para paquetes recibidos en una interfaz de red y enviados en otra.
Las cadenas internas para la tabla nat son las siguientes:
PREROUTING — Altera los paquetes de red cuando estos llegan.
POSTROUTING — Esta cadena altera paquetes antes de que sean enviados por medio de una interfaz de red.
POSTROUTING — Altera los paquetes de red cuando estos son...
Leer documento completo
Regístrate para leer el documento completo.