6
Introducción a IPTABLES Introducción. Acerca de Iptables y Netfilter. Netfilter es un conjunto de ganchos (Hooks, es decir, técnicas de programación que se emplean para crear cadenas de procedimientos como manejador) dentro del núcleo de GNU/Linux y que son utilizados para interceptar y manipular paquetes de red. El componente mejor conocido es el cortafuegos, el cual realiza procesos de filtración de paquetes. Los ganchos son también utilizados por un componente que se encarga del NAT (acrónimo de Network Address Translation o Traducción de dirección de red). Estos componentes son cargados como módulos del núcleo. Iptables es el nombre de la herramienta de espacio de usuario (User Space, es decir, área de memoria donde todas las aplicaciones, en modo de usuario, pueden ser intercambiadas hacia memoria virtual cuando sea necesario) a través de la cual los administradores crean reglas para cada filtrado de paquetes y módulos de NAT. Iptables es la herramienta estándar de todas las distribuciones modernas de GNU/Linux. URL: http://www.netfilter.org/ Equipamiento lógico necesario. Instalación a través de yum. Si utiliza CentOS 5 y 6, Red Hat Enterprise Linux 5 o 6, solo se necesita realizar lo siguiente para instalar o actualizar el equipamiento lógico necesario: yum -y install iptables Procedimientos. Cadenas. Las cadenas pueden ser para tráfico entrante (INPUT), tráfico saliente (OUTPUT) o tráfico reenviado (FORWARD). Reglas de destino. Las reglas de destino pueden ser aceptar conexiones (ACCEPT), descartar conexiones (DROP), rechazar conexiones (REJECT), encaminamiento posterior (POSTROUTING), encaminamiento previo (PREROUTING), SNAT, NAT, entre otras.

Introducción a IPTABLES

Embed Size (px)

DESCRIPTION

iptables en linux

Citation preview

Introduccin a IPTABLESIntroduccin.Acerca de Iptables y Netfilter.Netfilteres un conjunto deganchos(Hooks, es decir, tcnicas de programacin que se emplean para crear cadenas de procedimientos como manejador) dentro del ncleo de GNU/Linux y que son utilizados para interceptar y manipular paquetes de red. El componente mejor conocido es el cortafuegos, el cual realiza procesos de filtracin de paquetes. Losganchosson tambin utilizados por un componente que se encarga delNAT(acrnimo deNetworkAddressTranslation o Traduccin de direccin de red). Estos componentes son cargados como mdulos del ncleo.Iptableses el nombre de la herramienta de espacio de usuario (User Space, es decir, rea de memoria donde todas las aplicaciones, en modo de usuario, pueden ser intercambiadas hacia memoria virtual cuando sea necesario) a travs de la cual los administradores crean reglas para cada filtrado de paquetes y mdulos deNAT.Iptableses la herramienta estndar de todas las distribuciones modernas de GNU/Linux.URL:http://www.netfilter.org/Equipamiento lgico necesario.Instalacin a travs de yum.Si utilizaCentOS 5y6,Red Hat Enterprise Linux 5o6, solo se necesita realizar lo siguiente para instalar o actualizar el equipamiento lgico necesario:yum -y install iptables

Procedimientos.Cadenas.Las cadenas pueden ser para trfico entrante (INPUT), trfico saliente (OUTPUT) o trfico reenviado (FORWARD).Reglas de destino.Las reglas de destino pueden ser aceptar conexiones (ACCEPT), descartar conexiones (DROP), rechazar conexiones (REJECT), encaminamiento posterior (POSTROUTING), encaminamiento previo (PREROUTING),SNAT,NAT, entre otras.Polticas por defecto.Establecen cual es la accin a tomar por defecto ante cualquier tipo de conexin. La opcin -P cambia una poltica para una cadena. En el siguiente ejemplo se descartan (DROP) todas las conexiones que ingresen (INPUT), todas las conexiones que se reenven (FORWARD) y todas las conexiones que salgan (OUTPUT), es decir, se descarta todo el trfico que entre desde una red pblica y el que trate de salir desde la red local.iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT ACCEPT

Limpieza de reglas especficas.A fin de poder crear nuevas reglas, se deben borrar las existentes, para el trfico entrante, trfico reenviado y trfico saliente as como el NAT.iptables -F INPUT iptables -F FORWARD iptables -F OUTPUT iptables -F -t nat

Reglas especficas.Las opciones ms comunes son: -A aade una cadena, la opcin -i define una interfaz de trfico entrante -o define una interfaz para trafico saliente -j establece una regla de destino del trfico, que puede serACCEPT,DROPoREJECT. La -m define que se aplica la regla si hay una coincidencia especfica --state define una lista separada por comas de distinto tipos de estados de las conexiones (INVALID, ESTABLISHED, NEW, RELATED). --to-source define que IP reportar al trfico externo -s define trafico de origen -d define trfico de destino --source-port define el puerto desde el que se origina la conexin --destination-portdefine el puerto hacia el que se dirige la conexin -t tabla a utilizar, pueden ser nat, filter, mangle o raw.Ejemplos de reglas.Reenvo de paquetes desde una interfaz de red local (eth1) hacia una interfaz de red pblica (eth0):iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

Aceptar reenviar los paquetes que son parte de conexiones existentes (ESTABLISHED) o relacionadas de trfico entrante desde la interfaz eth1 para trfico saliente por la interfaz eth0:iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

Permitir paquetes en el propio muro cortafuegos para trfico saliente a travs de la interfaz eth0 que son parte de conexiones existentes o relacionadas:iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Permitir (ACCEPT) todo el trfico entrante (INPUT) desde (-s) cualquier direccin (0/0) la red local (eth1) y desde el retorno del sistema (lo) hacia (-d) cualquier destino (0/0):iptables -A INPUT -i eth1 -s 0/0 -d 0/0 -j ACCEPTiptables -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT

Hacer (-j) SNAT para el trfico saliente (-o) a trves de la interfaz eth0 proveniente desde (-s) la red local (192.168.0.0/24) utilizando (--to-source) la direccin IPw.x.y.z.iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -o eth0 -j SNAT --to-source x.y.z.c

Descartar (DROP) todo el trfico entrante (-i) desde la interfaz eth0 que trate de utilizar la direccin IP pblica del servidor (w.x.y.z), alguna direccin IP de la red local (192.168.0.0/24) o la direccin IP del retorno del sistema (127.0.01)iptables -A INPUT -i eth0 -s w.x.y.x/32 -j DROPiptables -A INPUT -i eth0 -s 192.168.0.0/24 -j DROPiptables -A INPUT -i eth0 -s 127.0.0.0/8 -j DROP

Aceptar (ACCEPT) todos los paquetes SYN (--syn) del protocolo TCP (-p tcp) para los puertos (--destination-port) de los protocolos SMTP (25), HTTP(80), HTTPS (443) y SSH (22):iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 25 --syn -j ACCEPTiptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 80 --syn -j ACCEPTiptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 443 --syn -j ACCEPTiptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 22 --syn -j ACCEPT

Aceptar (ACCEPT) todos los paquetes SYN (--syn) del protocolo TCP (-tcp) para los puertos (--destination-port) del protocolos SMTP (25) en el servidor (w.x.y.z/32), desde (-s) cualquier lugar (0/0) hacia (-d) cualquier lugar (0/0).iptables -A INPUT -p tcp -s 0/0 -d w.x.y.z/32 --destination-port 25 --syn -j ACCEPT

Aceptar (ACCEPT) todos los paquetes SYN (--syn) del protocolo TCP (-p tcp) para los puertos (--destination-port) de los protocolos POP3 (110), POP3S (995), IMAP (143) y IMAPS (993):iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 110 --syn -j ACCEPTiptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 995 --syn -j ACCEPTiptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 143 --syn -j ACCEPTiptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 993 --syn -j ACCEPT

Aceptar (ACCEPT) el trfico entrante (-i) proveniente desde la interfaz eth1 cuando las conexiones se establezcan desde el puerto (--sport) 67 por protocolos (-p) TCP y UDP.iptables -A INPUT -i eth1 -p tcp --sport 68 --dport 67 -j ACCEPTiptables -A INPUT -i eth1 -p udp --sport 68 --dport 67 -j ACCEPT

Aceptar (ACCEPT) conexiones de trfico entrante (INPUT) por protocolo (-p) UDP cuando se establezcan desde (-s) el servidor DNS 200.33.145.217 desde el puerto (--source-port) 53 hacia (-d) cualquier destino (0/0):iptables -A INPUT -p udp -s 200.33.146.217/32 --source-port 53 -d 0/0 -j ACCEPT

Cerrar accesos.Descartar (DROP) el trfico entrante (INPUT) para el protocolo (-p) TCP hacia los puerto (--destination-port) de SSH (22) y Telnet (23):iptables -A INPUT -p tcp --destination-port 22 -j DROPiptables -A INPUT -p tcp --destination-port 23 -j DROP

Descartar (DROP) todo tipo de conexiones de trfico entrante (INPUT) desde (-s) la direccin IP a.b.c.d:iptables -A INPUT -s a.b.c.d -j DROP

Rechazar (REJECT) conexiones hacia (OUTPUT) la direccin IP a.b.c.d desde la red local:iptables -A OUTPUT -d a.b.c.d -s 192.168.0.0/24 -j REJECT

Eliminar reglas.En general se utiliza la misma regla, pero en lugar de utilizar -A (append), se utiliza -D (delete).Eliminar la regla que descarta (DROP) todo tipo de conexiones de trfico entrante (INPUT) desde (-s) la direccin IP a.b.c.d:iptables -D INPUT -s a.b.c.d -j DROP

Mostrar la lista de cadenas y reglas.Una vez cargadas todas las cadenas y reglas deiptableses posible visualizar stas utilizando el mandatoiptablescon las opciones-n, para ver las listas en formato numrico y -L, para solicitar la lista de stas cadenas.iptables -nL

Cuando no hay reglas ni cadenas cargadas, la salidadebedevolver lo siguiente:Chain INPUT (policy ACCEPT)target prot opt source destination

Chain FORWARD (policy ACCEPT)target prot opt source destination

Chain OUTPUT (policy ACCEPT)target prot opt source destination

Cuando hay cadenas presentes, la salida, suponiendo que se utilizarn los ejemplos de este documento, debe devolver algo similar a lo siguiente:Chain INPUT (policy DROP)target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHEDACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 DROP all -- 192.168.1.64 0.0.0.0/0 DROP all -- 172.16.0.0/24 0.0.0.0/0 DROP all -- 127.0.0.0/8 0.0.0.0/0 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 flags:0x17/0x02ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 flags:0x17/0x02ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 flags:0x17/0x02ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 flags:0x17/0x02ACCEPT tcp -- 0.0.0.0/0 192.168.1.64 tcp dpt:25 flags:0x17/0x02ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 flags:0x17/0x02ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:995 flags:0x17/0x02ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:143 flags:0x17/0x02ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:993 flags:0x17/0x02ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:68 dpt:67ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:68 dpt:67ACCEPT udp -- 200.33.146.217 0.0.0.0/0 udp spt:53

Chain FORWARD (policy DROP)target prot opt source destinationACCEPT all -- 0.0.0.0/0 0.0.0.0/0ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)target prot opt source destination [root@m064 ~]# iptables -nLChain INPUT (policy DROP)target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHEDACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 DROP all -- 192.168.1.64 0.0.0.0/0 DROP all -- 172.16.0.0/24 0.0.0.0/0 DROP all -- 127.0.0.0/8 0.0.0.0/0 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 flags:0x17/0x02ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 flags:0x17/0x02ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 flags:0x17/0x02ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 flags:0x17/0x02ACCEPT tcp -- 0.0.0.0/0 192.168.1.64 tcp dpt:25 flags:0x17/0x02ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 flags:0x17/0x02ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:995 flags:0x17/0x02ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:143 flags:0x17/0x02ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:993 flags:0x17/0x02ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:68 dpt:67ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:68 dpt:67ACCEPT udp -- 200.33.146.217 0.0.0.0/0 udp spt:53

Chain FORWARD (policy DROP)target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)target prot opt source destination

Iniciar, detener y reiniciar el servicioiptables.Si est de acuerdo con las reglas generadas deiptables, utilice el siguiente mandato para guardar stas:service iptables save

Las reglas quedarn almacenadas en el archivo/etc/sysconfig/iptables.Para ejecutar por primera vez el servicioiptables, utilice:service iptables start

Para hacer que los cambios hechos tras modificar la configuracin surtan efecto, utilice:service iptables restart

Para detener el servicioiptablesy borrar todas las reglas utilice:service iptables stop

Agregar el servicioiptablesal arranque del sistema.Para hacer que el servicio deiptablesest activo con el siguiente inicio del sistema, en todos los niveles de ejecucin (2, 3, 4 y 5), se utiliza lo siguiente:chkconfig iptables on


IPTABLES y SQUID

IPTABLES y SQUID

Education
Iptables Introduccion Comandos Basicos Ejemplos. Iptables Que es un Firewall? Básicamente podríamos decir que un Firewall es un dispositivo, ya sea por

Iptables Introduccion Comandos Basicos Ejemplos. Iptables Que es un Firewall? Básicamente podríamos decir que un Firewall es un dispositivo, ya sea por

Documents
Firewall y La Forma de Montar Iptables Para Cada Caso

Firewall y La Forma de Montar Iptables Para Cada Caso

Documents
UNIVERSIDAD DE GUAYAQUIL Facultad de Ciencias …repositorio.ug.edu.ec/bitstream/redug/6963/1/Tesis Completa - 132... · IPTABLES) Se va a encriptar las peticiones Cliente – Servidor

UNIVERSIDAD DE GUAYAQUIL Facultad de Ciencias …repositorio.ug.edu.ec/bitstream/redug/6963/1/Tesis Completa - 132... · IPTABLES) Se va a encriptar las peticiones Cliente – Servidor

Documents
Control de acceso a los servicios II: Iptables Introducción

Control de acceso a los servicios II: Iptables Introducción

Documents
I P T A B L E S - Juanmi Taboada · 5/6/2017  · IPTABLES is a Firewall IPTABLES. FIRE WALL IPTABLES. It is NOT a security system IPTABLES. It is a prevention system IPTABLES. WWW

I P T A B L E S - Juanmi Taboada · 5/6/2017  · IPTABLES is a Firewall IPTABLES. FIRE WALL IPTABLES. It is NOT a security system IPTABLES. It is a prevention system IPTABLES. WWW

Documents
Linux ud12 - configuracion de iptables en linux

Linux ud12 - configuracion de iptables en linux

Documents
20 Ejemplos Iptables Para Administradores de Sistemas Linux - LinuxParty

20 Ejemplos Iptables Para Administradores de Sistemas Linux - LinuxParty

Documents
IPTABLES Manual práctico - pello.iopello.io/filez/firewall/IPTABLES.pdf3. Al grano: creando un firewall con iptables 3.1 Proteger la propia máquina 3.2 Firewall de una LAN con salida

IPTABLES Manual práctico - pello.iopello.io/filez/firewall/IPTABLES.pdf3. Al grano: creando un firewall con iptables 3.1 Proteger la propia máquina 3.2 Firewall de una LAN con salida

Documents
Control de acceso a los servicios II: Iptables

Control de acceso a los servicios II: Iptables

Documents
Práctica 2 parte 1 a casa · 2011-09-04 · Firewall similar en funciones a iptables pero para control de tráfico de ... con otros comandos o scripts. ... 107 iptables Herramienta

Práctica 2 parte 1 a casa · 2011-09-04 · Firewall similar en funciones a iptables pero para control de tráfico de ... con otros comandos o scripts. ... 107 iptables Herramienta

Documents
Contrucción de Cortafuego (Firewall) con IPTABLES

Contrucción de Cortafuego (Firewall) con IPTABLES

Education
Ejemplos Practicos de iptables

Ejemplos Practicos de iptables

Documents
Cortafuegos y Linux. Iptables - Universidad de Murcia · I Ser´a bueno crear otro script para borrar todas las reglas de ... # Primer script de iptables del curso de linux ... /sbin/iptables

Cortafuegos y Linux. Iptables - Universidad de Murcia · I Ser´a bueno crear otro script para borrar todas las reglas de ... # Primer script de iptables del curso de linux ... /sbin/iptables

Documents
IPTABLES ¿Que es? y ¿Como Funciona?

IPTABLES ¿Que es? y ¿Como Funciona?

Technology
Iptables (I)

Iptables (I)

Documents
Num 03 IPTables Logs Analyzer

Num 03 IPTables Logs Analyzer

Documents
Seguridad en Sistemas Informáticos (SSI) Seguridad …ocw.uv.es/ingenieria-y-arquitectura/seguridad/3Seguridad... · Ejemplo: Netfilter (iptables) Configuración de telnet entrante:

Seguridad en Sistemas Informáticos (SSI) Seguridad …ocw.uv.es/ingenieria-y-arquitectura/seguridad/3Seguridad... · Ejemplo: Netfilter (iptables) Configuración de telnet entrante:

Documents
Clase 4 Inodos Comandos Vim e Iptables en (1)

Clase 4 Inodos Comandos Vim e Iptables en (1)

Documents
Integración de iptables y snort

Integración de iptables y snort

Documents
Curso introductorio a la Administración de Sistemas GNU/Linux · 2017-12-04 · Firewall iptables ... Monitoreo avanzado con atop ... Tutorial básico de iptables en Linux

Curso introductorio a la Administración de Sistemas GNU/Linux · 2017-12-04 · Firewall iptables ... Monitoreo avanzado con atop ... Tutorial básico de iptables en Linux

Documents
Software de Comunicaciones Práctica 9 - Filtrado de ...jdiezfoto.es/wp-content/uploads/2013/07/IPTables-Shorewall... · cual usaremos IPTables como filtro de control para lo que

Software de Comunicaciones Práctica 9 - Filtrado de ...jdiezfoto.es/wp-content/uploads/2013/07/IPTables-Shorewall... · cual usaremos IPTables como filtro de control para lo que

Documents
FIREWALL IPTABLES - informaticamiguelservet.updog.co · Netfilter de Linux, que se gestiona a través de una utilidad que se denomina iptables, la cual se maneja desde el terminal

FIREWALL IPTABLES - informaticamiguelservet.updog.co · Netfilter de Linux, que se gestiona a través de una utilidad que se denomina iptables, la cual se maneja desde el terminal

Documents
UNIDAD DIDACTICA 12 CONFIGURACIÓN DE IPTABLES EN GNU/LINUXpersonals.ac.upc.edu/elara/documentacion/LINUX - UD12... · 3 1. INTRODUCCIÓN El comando iptables se utiliza en linux para

UNIDAD DIDACTICA 12 CONFIGURACIÓN DE IPTABLES EN GNU/LINUXpersonals.ac.upc.edu/elara/documentacion/LINUX - UD12... · 3 1. INTRODUCCIÓN El comando iptables se utiliza en linux para

Documents
IPTables: Filtrado de paquetes en Linux - cryptomex.orgcryptomex.org/SlidesSeguridad/Herra4-IPTables.pdf · – herramienta estándar actual de firewall de Linux ... tipos de tráficos

IPTables: Filtrado de paquetes en Linux - cryptomex.orgcryptomex.org/SlidesSeguridad/Herra4-IPTables.pdf · – herramienta estándar actual de firewall de Linux ... tipos de tráficos

Documents
PROYECTO FREEDONE - 41jaiio.sadio.org.ar41jaiio.sadio.org.ar/sites/default/files/10_EST_2012.pdf · Software libre - Procesos organizacionales - Ubuntu – Squid – Samba – Iptables

PROYECTO FREEDONE - 41jaiio.sadio.org.ar41jaiio.sadio.org.ar/sites/default/files/10_EST_2012.pdf · Software libre - Procesos organizacionales - Ubuntu – Squid – Samba – Iptables

Documents
Firewall Con Iptables

Firewall Con Iptables

Documents
Tutorial firewall IPTABLES

Tutorial firewall IPTABLES

Documents
PUESTA EN MARCHA DE UN IPS 1 Introducción · parche que se aplica al propio Snort. SnortSam, funciona junto con iptables para obtener SnortSam, funciona junto con iptables para obtener

PUESTA EN MARCHA DE UN IPS 1 Introducción · parche que se aplica al propio Snort. SnortSam, funciona junto con iptables para obtener SnortSam, funciona junto con iptables para obtener

Documents
Practica de Firewall Con Iptables Nat Pat

Practica de Firewall Con Iptables Nat Pat

Documents