Firewall

IPTABLES Es la herramienta que nos permite configurar las reglas del sistema de filtrado de paquetes del kernel de Linux, desde su versión 2.4 (en 2.2 era ipchains). Con esta herramienta, podremos crearnos un firewall adaptado a nuestras necesidades.

IPTABLES PAQUETES IPTABLES REGLAS ACCIONES REGLA-1 REGLA-2 REGLA-N CONTINUA ACEPTAR ELIMINAR RECHAZAR ACCIONES BASICAS

REGLAS Se aplican reglas, especificando cada una de ellas unas determinadas características que debe cumplir un paquete. Para cada regla se especifica una acción o “ target” . Cuando se recibe o se envía un paquete, las reglas se recorren en orden, hasta que las condiciones que pide una de ellas se cumplen , se realiza acción que le haya sido especificada.

IPTABLES TABLAS FILTER NAT MANGLE PAQUETES QUE SE REFIEREN A NUESTRO EQUIPO INPUT OUTPUT FORWARD CHAINS Paquetes recibidos Paquetes enviados(generados) Paquetes enrutados por nuestro equipo

CHAINS INPUT OUTPUT FORWARD CHAINS TARGETS ACCEPT DROP REJECT POLITICA POR DEFECTO

CONSIDERACIONES Permitir realizar conexiones TCP hacia afuera (realizar peticiones) NO permitir conexiones TCP desde fuera Permitir el tráfico de paquetes TCP en ambas direcciones. (que no establezcan conexiones) Prohibir el tráfico UDP desde afuera de nuestra máquina (solo DNS UDP 53) NO aplicar restricciones a la red local .(para usar SSH por ej.)

SINTAXIS BASICA iptables # CHAIN -opcion -j ACCION iptables # INPUT -A -j ACCEPT Con –A se agrega una regla que acepta todos los paquetes que llegan al host.Generalmente esta es la politica por defecto.-

SINTAXIS BASICA iptables # CHAIN -opcion -j ACCION -A -L -I -D AGREGA LISTA INSERTA ELIMINA INPUT OUTPUT FORWARD CREADAS -F FLUSH

SINTAXIS BASICA iptables # CHAIN -opcion -j ACCION DROP REJECT ACCEPT ELIMINA RECHAZA ELIMINA EXISTEN MAS ACCIONES,COMO LOG,MIRROR ETC.

AFINANDO.... -p Protocolo al que pertenece el paquete. -s dirección de origen del -d dirección destino -i Especificación del interfaz por el que se recibe el paquete. -o Interfaz por el que se va a enviar el paquete.

REJECT icmp-net-unreachable icmp-host-unreachable icmp-port-unreachable icmp-proto-unreachable icmp-net-prohibited icmp-host-prohibited .

AHORA A LA PRACTICA ARMANDO UN FIREWALL CON IPTABLES

PASO UNO Permitir culaquier trafico desde la direccion de loopback local(lo): iptables -A INPUT -i lo -j ACCEPT

PASO DOS Permitiremos todo el tráfico que provenga de nuestro interfaz de red interna . iptables -A INPUT -i eth0 -j ACCEPT

PASO TRES Los paquetes que intentan establecer una conexión se reconocen por las flags SYN y ACK y FIN iptables -A INPUT -p tcp --syn -j REJECT --reject-with icmp-port-unreachable No permitir paquetes TCP del exterior que intenten establecer una conexión

PASO CUATRO Permitir recibir las respuestas DNS . Las respuestas provienen del puerto 53,y son paquetes UDP. ¿Lo piensan? iptables -A INPUT -p udp --source-port 53 -j ACCEPT

No permitir el resto del trafico UDP.- PASO CINCO iptables -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable

VERIFICAR: PASO SEIS iptables -L -v Chain INPUT (policy ACCEPT 3444 packets, 1549K bytes) pkts bytes target prot opt in out source destination 11312 3413K ACCEPT all -- lo any anywhere anywhere 0 0 ACCEPT all -- eth0 any anywhere anywhere 0 0 REJECT tcp -- any any anywhere anywhere tcp flags:SYN,RST,ACK/SYN reject-with icmp-port-unreachable 0 0 ACCEPT udp -- any any anywhere anywhere udp spt:domain 0 0 REJECT udp -- any any anywhere anywhere reject-with icmp-port-unreachable

CONFIGURACION PERSISTENTE La politica por defecto de las “chain” INPUT es ACCEPT iptables-save –c > “nombre archivo” iptables-restore –c < “nombre archivo” Se debe colocar en las scripts de inicalizacion del sistema

TAREA Investigue acerca de FIREWALL+PROXY

Firewall

Más contenido relacionado

La actualidad más candente (16)

Destacado (20)

Similar a Firewall (20)

Último (20)

Firewall