IPTables
Páginas: 13 (3037 palabras)
Publicado: 8 de mayo de 2015
IPTables
En este documento trataremos brevemente algunas de las cosas que podemos realizar con
iptables. Además, brindaremos una buena idea de los aspectos básicos de iptables que nos
permitirán construir conjuntos de reglas más complejas.
Contenido
1.
2.
3.
4.
5.
6.
7.
8.
Introducción
Comenzando
Escribiendo un conjunto de reglas simples
Interfaces
Direcciones IP
Puertos y Protocolos
Poniendotodo junto
Enlaces
1. Introducción
CentOS tiene una estructura interna de cortafuegos extremadamente poderosa, comúnmente
nos referimos a ella como iptables pero más correctamente es iptables/netfilter. Iptables es el
módulo para el espacio de usuario, la parte con la cual usted, el usuario, interactúa en la línea
de comandos para entrar las reglas del cortafuegos en las tablas predefinidas.Netfilter es el
módulo del núcleo, construido dentro del núcleo. Actualmente este es el que se encarga del
filtrado.
Existen varias presentaciones GUI para iptables que le permiten a los usuarios adicionar o
definir reglas basadas en un punto y con el clic del usuarios en la interface, pero estos a
menudo carecen de la flexibilidad de usar la línea de comando y limitan la comprensión de los
usuarios delo que está pasando realmente. Vamos a aprender la interface de línea de
comando de iptables.
Antes de que podamos enfrentarnos a iptables necesitamos tener al menos una comprensión
básica de su forma de trabajo. Iptables usa el concepto de direcciones ip, protocolos (tcp, udp,
icmp) y puertos. No necesitamos ser expertos en estos temas para comenzar (ya que
podemos buscar cualquier informaciónque necesitemos), pero ayuda tener una comprensión
general.
Iptables ubica las reglas dentro de cadenas predefinidas (INPUT, OUTPUT y FORWARD) que
son comprobadas contra cualquier tráfico de red (paquetes IP) relevantes para esas cadenas
y una decisión es tomada sobre que hacer con cada paquete basado en el significado de esas
reglas, por ejemplo aceptar o rechazar el paquete. Estas acciones sonreferidas como
objetivos (targets), de las cuales las dos más usadas son DROP para rechazar un paquete o
ACCEPT para permitir el paquete.
Cadenas
Existen tres cadenas predefinidas en la tabla de filtrado para las cuales podemos adicionar
reglas para procesar los paquetes IP que pasan a través de las cadenas. Estas cadenas son:
INPUT - Todos los paquetes dirigidos a la computadoraanfitrión.
OUTPUT - Todos los paquetes originados en la computadora anfitrión.
FORWARD - Todos los paquetes que no son originados o dirigidos a la computadora
anfitrión, pero pasan a través (enrutados) de la computadora anfitrión. Esta cadena es
usada si usted está usando su computadora como un enrutador.
La mayor parte del tiempo, estaremos tratando con la cadena INPUT para filtrar los paquetes
que entrana nuestra computadora - y así mantener fuera a los muchachos malos.
Las reglas son adicionadas a la lista de cada cadena. Un paquete es comprobado contra cada
regla en turno, comenzando por arriba. Si el paquete coincide con esa regla, entonces una
acción es realizada, ej. aceptar (ACCEPT), o rechazar (DROP) el paquete. Una vez que la
regla ha coincidido y una acción realizada, entonces el paquetees procesado de acuerdo al
resultado de la regla y no es procesada por reglas posteriores en la cadena. Si un paquete
pasa todas las reglas en la cadena hasta abajo y llega al final sin haber coincidido con regla
alguna, entonces es utilizada la acción por defecto para esa cadena. Esto se refiere a la
política por defecto y puede estar fijada en aceptar o en rechazar el paquete.
El concepto de lapolítica predeterminada dentro de las cadenas permite dos
posibilidades fundamentales que debemos considerar primero, antes de decidir cómo
vamos a organizar el cortafuegos.
1. Podemos fijar una política predeterminada para rechazar todos los paquetes y entonces
adicionar reglas para permitir (ACCEPT) paquetes específicos que pueden venir de
direcciones IP confiables o para algunos puertos en...
En este documento trataremos brevemente algunas de las cosas que podemos realizar con
iptables. Además, brindaremos una buena idea de los aspectos básicos de iptables que nos
permitirán construir conjuntos de reglas más complejas.
Contenido
1.
2.
3.
4.
5.
6.
7.
8.
Introducción
Comenzando
Escribiendo un conjunto de reglas simples
Interfaces
Direcciones IP
Puertos y Protocolos
Poniendotodo junto
Enlaces
1. Introducción
CentOS tiene una estructura interna de cortafuegos extremadamente poderosa, comúnmente
nos referimos a ella como iptables pero más correctamente es iptables/netfilter. Iptables es el
módulo para el espacio de usuario, la parte con la cual usted, el usuario, interactúa en la línea
de comandos para entrar las reglas del cortafuegos en las tablas predefinidas.Netfilter es el
módulo del núcleo, construido dentro del núcleo. Actualmente este es el que se encarga del
filtrado.
Existen varias presentaciones GUI para iptables que le permiten a los usuarios adicionar o
definir reglas basadas en un punto y con el clic del usuarios en la interface, pero estos a
menudo carecen de la flexibilidad de usar la línea de comando y limitan la comprensión de los
usuarios delo que está pasando realmente. Vamos a aprender la interface de línea de
comando de iptables.
Antes de que podamos enfrentarnos a iptables necesitamos tener al menos una comprensión
básica de su forma de trabajo. Iptables usa el concepto de direcciones ip, protocolos (tcp, udp,
icmp) y puertos. No necesitamos ser expertos en estos temas para comenzar (ya que
podemos buscar cualquier informaciónque necesitemos), pero ayuda tener una comprensión
general.
Iptables ubica las reglas dentro de cadenas predefinidas (INPUT, OUTPUT y FORWARD) que
son comprobadas contra cualquier tráfico de red (paquetes IP) relevantes para esas cadenas
y una decisión es tomada sobre que hacer con cada paquete basado en el significado de esas
reglas, por ejemplo aceptar o rechazar el paquete. Estas acciones sonreferidas como
objetivos (targets), de las cuales las dos más usadas son DROP para rechazar un paquete o
ACCEPT para permitir el paquete.
Cadenas
Existen tres cadenas predefinidas en la tabla de filtrado para las cuales podemos adicionar
reglas para procesar los paquetes IP que pasan a través de las cadenas. Estas cadenas son:
INPUT - Todos los paquetes dirigidos a la computadoraanfitrión.
OUTPUT - Todos los paquetes originados en la computadora anfitrión.
FORWARD - Todos los paquetes que no son originados o dirigidos a la computadora
anfitrión, pero pasan a través (enrutados) de la computadora anfitrión. Esta cadena es
usada si usted está usando su computadora como un enrutador.
La mayor parte del tiempo, estaremos tratando con la cadena INPUT para filtrar los paquetes
que entrana nuestra computadora - y así mantener fuera a los muchachos malos.
Las reglas son adicionadas a la lista de cada cadena. Un paquete es comprobado contra cada
regla en turno, comenzando por arriba. Si el paquete coincide con esa regla, entonces una
acción es realizada, ej. aceptar (ACCEPT), o rechazar (DROP) el paquete. Una vez que la
regla ha coincidido y una acción realizada, entonces el paquetees procesado de acuerdo al
resultado de la regla y no es procesada por reglas posteriores en la cadena. Si un paquete
pasa todas las reglas en la cadena hasta abajo y llega al final sin haber coincidido con regla
alguna, entonces es utilizada la acción por defecto para esa cadena. Esto se refiere a la
política por defecto y puede estar fijada en aceptar o en rechazar el paquete.
El concepto de lapolítica predeterminada dentro de las cadenas permite dos
posibilidades fundamentales que debemos considerar primero, antes de decidir cómo
vamos a organizar el cortafuegos.
1. Podemos fijar una política predeterminada para rechazar todos los paquetes y entonces
adicionar reglas para permitir (ACCEPT) paquetes específicos que pueden venir de
direcciones IP confiables o para algunos puertos en...
Leer documento completo
Regístrate para leer el documento completo.