IPTABLES ¿Que es? y ¿Como Funciona?
1 recomendación17,350 vistas
El documento detalla el avance de un proyecto sobre la implementación de un firewall utilizando iptables en la Universidad Austral de Chile. Se explican conceptos clave como la estructura de iptables, las tablas y cadenas que gestionan el tráfico de red, así como las políticas y reglas para el manejo de paquetes. Además, se aborda el seguimiento de conexiones y la configuración del reenvío de paquetes en el sistema.
![Reglas
Cada regla especifica qu´ paquetes la cumplen y un destino que
e
indica qu´ hacer con el paquete si ´ste cumple la regla.
e e
iptables -t [tabla] -o [operacion] [cadena][coincidencia] -j
[ACCION]
Operaciones:
A (add) Agrega la regla al final
I (insert) Agrega la regla al principio
R (replace) Reemplaza una regla
D (delete) Borra una regla
F (flush) Borra todas las reglas de una cadena
L (list) Muestra las reglas de una cadena
15/21](https://image.slidesharecdn.com/avance3-130130213141-phpapp01/85/IPTABLES-Que-es-y-Como-Funciona-17-320.jpg)
![Reglas
iptables -t [tabla] -o [operacion] [cadena][coincidencia] -j
[ACCION]
Coincidencias:
-p [protocolo]: puede ser tcp, udp, icmp, all. o alguno de los
indicados en /etc/protocols.
-s [ip/mascara]: direccion de origen o grupo de hosts.
-d [ip/mascara]: direccion de destino o grupo de hosts.
-i [interfaz]: interfaz desde donde se recive el paquete. ( solo
INPUT,FORWARD, PREROUTING)
-o [interfaz]: interfaz de salida. (solo OUTPUT,FORWARD,
POSTROUTING)
- -sport: puerto de origen de la transaccion. (solo para protocolo
tcp o udp)
- -dport: puerto de destino de la transaccion. (solo para
protocolo tcp o udp)
16/21](https://image.slidesharecdn.com/avance3-130130213141-phpapp01/85/IPTABLES-Que-es-y-Como-Funciona-18-320.jpg)
![Reglas
iptables -t [tabla] -o [operacion] [cadena][coincidencia] -j
[ACCION]
Acciones:
ACCEPT : Acepta la transaccion.
DROP : Rechaza la transaccion.
REJECT : Rechaza la transaccion, y notifica al emisor.
QUEUE : Encola el paquete, para ser alterado con la biblioteca
libipq.
RETURN : El paquete deja de circular por la cadena.
LOG : Crea una bitacora de los paquetes. ( ejemplo: verificar
que paquetes estan siendo rechazados)
DNAT : Permite modficar la direccion y el puerto de destino.
SNAT: Permite modificar la direccion y el puerto de origen.
MASQUERADE: Forma especial y restringida de SNAT.
17/21](https://image.slidesharecdn.com/avance3-130130213141-phpapp01/85/IPTABLES-Que-es-y-Como-Funciona-19-320.jpg)
IPTABLES ¿Que es? y ¿Como Funciona?
- 1. Avance de Proyecto Problema 1 UOAC Alfredo Fiebig C. afiebig@ic.uach.cl Esc. Ingenier´ en Computaci´n. ıa o Universidad Austral de Chile. Sede Puerto Montt.
- 2. Agenda Mapa de la Red Listado de Tareas Desarollo de las Tareas Firewall Que es iptables? Mis Reglas Tablas Politicas por Defecto Como crear Reglas Seguimiento de Conexiones 2/21
- 3. Agenda Desarollo de las Tareas Firewall Mapa de la Red Que es iptables? Tablas Listado de Tareas Politicas por Defecto Como crear Reglas Seguimiento de Conexiones 3/21
- 4. Mapa de Red 4/21
- 5. Agenda Desarollo de las Tareas Firewall Mapa de la Red Que es iptables? Tablas Listado de Tareas Politicas por Defecto Como crear Reglas Seguimiento de Conexiones 5/21
- 6. Tareas Respaldos Rsync. 6/21
- 8. Tareas Respaldos Rsync. Active Directory. Implementacion Firewall. 6/21
- 9. Agenda Desarollo de las Tareas Firewall Mapa de la Red Que es iptables? Tablas Listado de Tareas Politicas por Defecto Como crear Reglas Seguimiento de Conexiones 7/21
- 10. Que es iptables? IPTABLES Es una herramientas de cortafuegos que permite no solamente filtrar paquetes, sino tambi´n realizar traducci´n de direcciones de red e o (NAT) o mantener registros de log. NETFILTER Esta construido sobre Netfilter, el cual es un framework disponible en el n´cleo Linux que permite interceptar y manipular paquetes de u red. Dicho framework permite realizar el manejo de paquetes en diferentes estados del procesamiento. 8/21
- 11. Reglas,Cadenas,Tablas Iptables permite definir reglas acerca de qu´ hacer con los e paquetes de red. Las reglas se agrupan en cadenas. Cada cadena es una lista ordenada de reglas. Las cadenas se agrupan en tablas. Cada tabla est´ asociada con un tipo diferente de a procesamiento de paquetes. 9/21
- 12. Tablas 10/21
- 13. Tablas FILTER Filtrado de paquetes, contiene las siguientes cadenas predefinidas: INPUT - Todos los paquetes destinados a este sistema. OUTPUT - Todos los paquetes creados por este sistema. FORWARD - Todos los paquetes que pasan por este sistema. 11/21
- 14. Tablas NAT Reenvio de paquetes, contiene las siguientes cadenas predefinidas: PREROUTING - Los paquetes entrantes pasan a travs de esta cadena antes de que se consulte la tabla de ruteo local. (DNAT, destination-NAT) POSTROUTING - Los paquetes salientes pasan por esta cadena despus de haberse tomado la decisin del ruteo. (SNAT, source-NAT) OUTPUT - Permite hacer un DNAT limitado en paquetes generados localmente. 12/21
- 15. Tablas MANGLE Diseada para efectos avanzados, Permite la alteracion de paquetes y tramas, Contiene las siguientes adenas predefinidas: PREROUTING - Todos los paquetes que logran entrar a este sistema, antes de que el ruteo decida si el paquete debe ser reenviado o si tiene destino local INPUT - Todos los paquetes destinados para este sistema. FORWARD - Todos los paquetes que pasan por este sistema. OUTPUT - Todos los paquetes creados en este sistema. POSTROUTING - Todos los paquetes que abandonan este sistema. 13/21
- 16. Politicas por Defecto iptables -P INPUT DROP iptables -P FORWARD DROP iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT 14/21
- 17. Reglas Cada regla especifica qu´ paquetes la cumplen y un destino que e indica qu´ hacer con el paquete si ´ste cumple la regla. e e iptables -t [tabla] -o [operacion] [cadena][coincidencia] -j [ACCION] Operaciones: A (add) Agrega la regla al final I (insert) Agrega la regla al principio R (replace) Reemplaza una regla D (delete) Borra una regla F (flush) Borra todas las reglas de una cadena L (list) Muestra las reglas de una cadena 15/21
- 18. Reglas iptables -t [tabla] -o [operacion] [cadena][coincidencia] -j [ACCION] Coincidencias: -p [protocolo]: puede ser tcp, udp, icmp, all. o alguno de los indicados en /etc/protocols. -s [ip/mascara]: direccion de origen o grupo de hosts. -d [ip/mascara]: direccion de destino o grupo de hosts. -i [interfaz]: interfaz desde donde se recive el paquete. ( solo INPUT,FORWARD, PREROUTING) -o [interfaz]: interfaz de salida. (solo OUTPUT,FORWARD, POSTROUTING) - -sport: puerto de origen de la transaccion. (solo para protocolo tcp o udp) - -dport: puerto de destino de la transaccion. (solo para protocolo tcp o udp) 16/21
- 19. Reglas iptables -t [tabla] -o [operacion] [cadena][coincidencia] -j [ACCION] Acciones: ACCEPT : Acepta la transaccion. DROP : Rechaza la transaccion. REJECT : Rechaza la transaccion, y notifica al emisor. QUEUE : Encola el paquete, para ser alterado con la biblioteca libipq. RETURN : El paquete deja de circular por la cadena. LOG : Crea una bitacora de los paquetes. ( ejemplo: verificar que paquetes estan siendo rechazados) DNAT : Permite modficar la direccion y el puerto de destino. SNAT: Permite modificar la direccion y el puerto de origen. MASQUERADE: Forma especial y restringida de SNAT. 17/21
- 20. Seguimiento de Conexiones El seguimento de conexiones le permite al n´cleo llevar cuenta de u todas las conexiones y relacionar todos los paquetes que forman parte de una conexion. Clasificacion: NEW -Intentando crear una conexi´n nueva. o ESTABLISHED - Parte de una conexi´n ya existente. o RELATED - Relacionada, aunque no realmente parte de una conexi´n existente. o INVALID - No es parte de una conexi´n existente e incapaz de o crear una conexi´n nueva. o 18/21
- 21. Paquet Fordwarding Forma Fea Escribir un 1 en el archivo /proc/sys/net/ipv4/ip forward Forma Pro Editar la linea net.ipv4.ip forward=0 del archivo /etc/sysctl.conf por net.ipv4.ip forward=1 19/21
- 22. Agenda Desarollo de las Tareas Firewall Mapa de la Red Que es iptables? Tablas Listado de Tareas Politicas por Defecto Como crear Reglas Seguimiento de Conexiones 20/21
- 23. MI FIREWALL MIS REGLAS 21/21