Iptable
Páginas: 18 (4326 palabras)
Publicado: 25 de abril de 2015
Netfilter es un framework disponible en el núcleo Linux que permite interceptar y manipular paquetes de red. Dicho frameworkpermite realizar el manejo de paquetes en diferentes estados del procesamiento. Netfilter es también el nombre que recibe el proyecto que se encarga de ofrecer herramientas libres para cortafuegos basados en Linux.
El componente más popular construidosobre Netfilter es iptables, una herramienta de cortafuegos que permite no solamentefiltrar paquetes, sino también realizar traducción de direcciones de red (NAT) para IPv4 o mantener registros de log. El proyecto Netfilter no sólo ofrece componentes disponibles como módulos del núcleo sino que también ofrece herramientas de espacio de usuario y librerías.
iptables es el nombre de la herramienta de espacio deusuario mediante la cual el administrador puede definir políticas de filtrado del tráfico que circula por la red. El nombre iptables se utiliza frecuentemente de forma errónea para referirse a toda la infraestructura ofrecida por el proyecto Netfilter. Sin embargo, el proyecto ofrece otros subsistemas independientes de iptables tales como el connection tracking system o sistema de seguimiento de conexiones,que permite encolar paquetes para que sean tratados desde espacio de usuario. iptables es un software disponible en prácticamente todas las distribuciones de Linuxactuales.
Iptables permite filtración de paquetes, traducción de direcciones de red y modificación del encabezado de los paquetes.
Dos de los más comunes usos de iptables son dar soporte para cortafuegos y NAT.
Configurar iptablesmanualmente es un reto para los que están iniciando. Afortunadamente, existen algunas herramientas de configuración (asistentes) disponibles para ayudarse, por ejemplo, fwbuilder, bastille, ferm (wiki page), ufw (Uncomplicated Firewall, from Ubuntu).
Ver la configuración actual
Para ver qué reglas ya están configuradas, utilice este comando:
iptables -L
La salida será similar a la siguiente:
ChainINPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Esto permite a cualquiera el acceso de lo que sea a donde sea.
Almacenar las reglas en un archivo
Nota: Existe un paquete que le puede ayudar a haceresto: iptables-persistent
Vamos hacer unas pruebas, el comportamiento será similar al que se detalla en la siguiente imagen:
Para ello edite el archivo:
vim /etc/iptables.test.rules
Vamos a ingresar algunas reglas básicas:
*filter
# Permitir todo el tráfico de loopback (lo0) y denegar todo el tráfico de 127/8 que no utiliza lo0
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
#Aceptar todas la conexiones entrantes previamente establecidas
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Aceptar todo el tráfico saliente
# Puede modificar esto para aceptar cierto tráfico únicamente
-A OUTPUT -j ACCEPT
# Permitir HTTP y HTTPS desde cualquier lugar
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
# Permitir las conexiones de SSH
# EL NUMERO-dport ES EL MISMO QUE CONFIGURÓ EN EL ARCHIVO SSHD_CONFIG
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
# Por favor lea la documentación de iptables y considere si el acceso ssh
# para cualquiera es lo mejor. Por ejemplo puede permitir el acceso únicamente desde ciertas IPs
# Permitir ping
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
# Registrar todas las llamadas denegadas poriptables (accesar vía el comando 'dmesg')
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
# Rechazar todo el otro tráfico de entrada - de manera predetermianda a menos de que exista una política que lo permita:
-A INPUT -j REJECT
-A FORWARD -j REJECT
COMMIT
Esto parece un poco complicado, pero observe cada sección a la vez. Verá que simplemente...
El componente más popular construidosobre Netfilter es iptables, una herramienta de cortafuegos que permite no solamentefiltrar paquetes, sino también realizar traducción de direcciones de red (NAT) para IPv4 o mantener registros de log. El proyecto Netfilter no sólo ofrece componentes disponibles como módulos del núcleo sino que también ofrece herramientas de espacio de usuario y librerías.
iptables es el nombre de la herramienta de espacio deusuario mediante la cual el administrador puede definir políticas de filtrado del tráfico que circula por la red. El nombre iptables se utiliza frecuentemente de forma errónea para referirse a toda la infraestructura ofrecida por el proyecto Netfilter. Sin embargo, el proyecto ofrece otros subsistemas independientes de iptables tales como el connection tracking system o sistema de seguimiento de conexiones,que permite encolar paquetes para que sean tratados desde espacio de usuario. iptables es un software disponible en prácticamente todas las distribuciones de Linuxactuales.
Iptables permite filtración de paquetes, traducción de direcciones de red y modificación del encabezado de los paquetes.
Dos de los más comunes usos de iptables son dar soporte para cortafuegos y NAT.
Configurar iptablesmanualmente es un reto para los que están iniciando. Afortunadamente, existen algunas herramientas de configuración (asistentes) disponibles para ayudarse, por ejemplo, fwbuilder, bastille, ferm (wiki page), ufw (Uncomplicated Firewall, from Ubuntu).
Ver la configuración actual
Para ver qué reglas ya están configuradas, utilice este comando:
iptables -L
La salida será similar a la siguiente:
ChainINPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Esto permite a cualquiera el acceso de lo que sea a donde sea.
Almacenar las reglas en un archivo
Nota: Existe un paquete que le puede ayudar a haceresto: iptables-persistent
Vamos hacer unas pruebas, el comportamiento será similar al que se detalla en la siguiente imagen:
Para ello edite el archivo:
vim /etc/iptables.test.rules
Vamos a ingresar algunas reglas básicas:
*filter
# Permitir todo el tráfico de loopback (lo0) y denegar todo el tráfico de 127/8 que no utiliza lo0
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
#Aceptar todas la conexiones entrantes previamente establecidas
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Aceptar todo el tráfico saliente
# Puede modificar esto para aceptar cierto tráfico únicamente
-A OUTPUT -j ACCEPT
# Permitir HTTP y HTTPS desde cualquier lugar
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
# Permitir las conexiones de SSH
# EL NUMERO-dport ES EL MISMO QUE CONFIGURÓ EN EL ARCHIVO SSHD_CONFIG
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
# Por favor lea la documentación de iptables y considere si el acceso ssh
# para cualquiera es lo mejor. Por ejemplo puede permitir el acceso únicamente desde ciertas IPs
# Permitir ping
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
# Registrar todas las llamadas denegadas poriptables (accesar vía el comando 'dmesg')
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
# Rechazar todo el otro tráfico de entrada - de manera predetermianda a menos de que exista una política que lo permita:
-A INPUT -j REJECT
-A FORWARD -j REJECT
COMMIT
Esto parece un poco complicado, pero observe cada sección a la vez. Verá que simplemente...
Leer documento completo
Regístrate para leer el documento completo.