Iptables - Historial de revisiones

Eugenio A. González Benito: erratas

2012-05-06T20:07:52Z

erratas

Mostrar cambios

Arrow123 en 15:34 22 abr 2011

2011-04-22T15:34:25Z

Arrow123: /* Editar iptables */

2011-04-22T14:51:22Z

Editar iptables

Glaxeanf: /* Bloquear trafico */

2010-02-25T22:01:41Z

Bloquear trafico

Oricardo61: /* Editar iptables */

2008-05-07T13:04:33Z

Editar iptables

Zirconio en 19:18 6 mar 2008

2008-03-06T19:18:28Z

Mostrar cambios

Kelp: editar iptables

2008-02-19T19:56:56Z

editar iptables

Kelp: /* Herramientas */ negritas

2008-02-19T19:45:21Z

Herramientas: negritas

Kelp: bloquear tráfico

2008-02-19T19:20:47Z

bloquear tráfico

Kelp: permitir tráfico entrante en puertos específicos

2008-02-19T19:15:00Z

permitir tráfico entrante en puertos específicos

← Revisión anterior		Revisión de 15:34 22 abr 2011
Línea 386:		Línea 386:

	El registro anterior también aparecerá en <tt>/var/log/messages</tt>, <tt>/var/log/syslog</tt> y <tt>/var/log/kern.log</tt>. Este comportamiento se puede cambiar editando apropiadamente el archivo <tt>/etc/syslog.conf</tt>, o instalando y configurando <tt>ulogd</tt> y utilizando el objetivo ULOG en lugar del LOG. El demonio ulogd es un servidor en espacio de usuario, que escucha las instrucciones de registro que provienen del núcleo y que sean específicamente para firewalls, y puede registrar cualquier archivo que desee, o incluso a una base de datos [[PostgreSQL]] o [[MySQL]]. Se puede simplificar la interpretación del significado de los registros del firewall usando una herramienta de análisis de registros como fwanalog, fwlogwatch o lire.		El registro anterior también aparecerá en <tt>/var/log/messages</tt>, <tt>/var/log/syslog</tt> y <tt>/var/log/kern.log</tt>. Este comportamiento se puede cambiar editando apropiadamente el archivo <tt>/etc/syslog.conf</tt>, o instalando y configurando <tt>ulogd</tt> y utilizando el objetivo ULOG en lugar del LOG. El demonio ulogd es un servidor en espacio de usuario, que escucha las instrucciones de registro que provienen del núcleo y que sean específicamente para firewalls, y puede registrar cualquier archivo que desee, o incluso a una base de datos [[PostgreSQL]] o [[MySQL]]. Se puede simplificar la interpretación del significado de los registros del firewall usando una herramienta de análisis de registros como fwanalog, fwlogwatch o lire.
		+
		+	== Guardar los cambios realizados a iptables ==
		+
		+	Si reiniciara el sistema luego de haber aplicado estas reglas los cambios se perderían. Más que volver a escribir esto cada vez que reinicias, lo lógico es guardar la configuración y hacer que se aplique automáticamente. Para guardar la configuración puedes usar <tt>iptables-save</tt> y <tt>iptables-restore</tt>.
		+

	[[Categoría:Servidores]][[Categoría:Seguridad]]		[[Categoría:Servidores]][[Categoría:Seguridad]]

@@ Línea 346: / Línea 346: @@
      0 DROP       all  --  any    any     anywhere     anywhere
-Ahora puedes ver más información. Esta regla es actualmente muy importante, dado que muchos programas utilizan la interfaz loopback para comunicarse con otras. Si no permites la comunicación, podrías romper esos programas.
+Ahora puedes ver más información. Esta regla es de hecho muy importante, dado que muchos programas utilizan la interfaz loopback para comunicarse con otras. Si no permites la comunicación, podrías romper esos programas.
 == Enmascaramiento IP ==

@@ Línea 299: / Línea 299: @@
 == Bloquear trafico ==
-Una vez que se toma la decisión de aceptar un paquete, ninguna regla más le afecta. Como las reglas que permiten el tráfico web y ssh vienen de antes, ya que nuestra regla de bloquear el tráfico viene después, podemos aun aceptar el tráfico que queramos. Todo lo que necesitamos hacer es poner la rela para bloquear todo el tráfico.
+Una vez que se toma la decisión de aceptar un paquete, ninguna regla más le afecta. Como las reglas que permiten el tráfico web y ssh vienen de antes, ya que nuestra regla de bloquear el tráfico viene después, podemos aun aceptar el tráfico que queramos. Todo lo que necesitamos hacer es poner la regla para bloquear todo el tráfico.
   sudo iptables -A INPUT -j DROP
@@ Línea 313: / Línea 313: @@
 Como no hemos especificado un interfaz o protocolo, cualquier tráfico de cualquier puerto en cualquier interfaz está bloqueado, excepto para web y ssh.
 == Editar iptables ==

@@ Línea 339: / Línea 339: @@
 Y obtenemos
   Chain INPUT (policy ALLOW 0 packets, 0 bytes)
-  pkts bytes target     prot opt in     out     source               destination
+  pkts bytes target     prot opt in     out     source       destination
-     0 ACCEPT     all  --  lo     any     anywhere             anywhere
+     0 ACCEPT     all  --  lo     any     anywhere     anywhere
-     0 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
+     0 ACCEPT     all  --  any    any     anywhere     anywhere          state
-     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:ssh
+    RELATED,ESTABLISHED
-     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:www
+     0 ACCEPT     tcp  --  any    any     anywhere     anywhere          tcp dpt:ssh
-     0 DROP       all  --  any    any     anywhere             anywhere
+     0 ACCEPT     tcp  --  any    any     anywhere     anywhere          tcp dpt:www
 Ahora puedes ver más información. Esta regla es actualmente muy importante, dado que muchos programas utilizan la interfaz loopback para comunicarse con otras. Si no permites la comunicación, podrías romper esos programas.

@@ Línea 103: / Línea 103: @@
   sudo iptables -A INPUT -j DROP
   sudo iptables -L
   Chain INPUT (policy ACCEPT)
   target     prot opt source               destination
   ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
   ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
@@ Línea 112: / Línea 135: @@
   DROP       all  --  anywhere             anywhere
-Como no hemos espeficificado un interfaz o protocolo, cualquier tráfico de cualquier puerto en cualquier interfaz está bloqueado, excepto para web y ssh.
+La primera y última linea parecen lo mismo, así que listaremos iptables con más detalle con la opción -v.
 == Enmascaramiento IP ==

@@ Línea 139: / Línea 139: @@
 == Herramientas ==
-Hay muchas herramientas disponibles que pueden ayudarle a construir un completo firewall sin necesidad de conocer iptables en profundidad. Para los que se inclinan por una solución gráfica, [[Firestarter]] es muy popular y fácil de usar, y fwbuilder es muy potente y tiene un aspecto familiar para aquellos administradores que hayan usado herramientas comerciales de firewall como Checkpoint FireWall-1. Si prefiere una utilidad de línea de órdenes con archivos de configuración en texto plano, Shorewall es una solución muy potente para ayudarle a configurar un firewall avanzado para cualquier red. Si su red es relativamente simple, o no dispone de red, ipkungfu le proporcionará un firewall funcional con desde el principio sin necesidad de configuración, y le permitirá crear fácilmente un firewall más avanzado editando archivos de configuración sencillos y bien documentados. Otra herramienta interesante es fireflier, diseñado para ser una aplicación firewall de escritorio. Está formada por un servidor (fireflier-server) y una selección de clientes GUI (GTK o QT), y se comporta de manera muy similar a muchas aplicaciones interactivas de firewall para Windows.
+Hay muchas herramientas disponibles que pueden ayudarle a construir un completo firewall sin necesidad de conocer iptables en profundidad. Para los que se inclinan por una solución gráfica, '''[[Firestarter]]''' es muy popular y fácil de usar, y '''fwbuilder''' es muy potente y tiene un aspecto familiar para aquellos administradores que hayan usado herramientas comerciales de firewall como Checkpoint FireWall-1. Si prefiere una utilidad de línea de órdenes con archivos de configuración en texto plano, '''Shorewall''' es una solución muy potente para ayudarle a configurar un firewall avanzado para cualquier red. Si su red es relativamente simple, o no dispone de red, '''ipkungfu''' le proporcionará un firewall funcional con desde el principio sin necesidad de configuración, y le permitirá crear fácilmente un firewall más avanzado editando archivos de configuración sencillos y bien documentados. Otra herramienta interesante es '''fireflier''', diseñado para ser una aplicación firewall de escritorio. Está formada por un servidor (fireflier-server) y una selección de clientes GUI (GTK o QT), y se comporta de manera muy similar a muchas aplicaciones interactivas de firewall para Windows.
 == Logs ==

← Revisión anterior		Revisión de 19:20 19 feb 2008
Línea 96:		Línea 96:

	Tenemos permitido específicamente el tráfico tcp en los puertos ssh y web, pero como no tenemos bloqueado nada, todo el tráfico puede aun entrar.		Tenemos permitido específicamente el tráfico tcp en los puertos ssh y web, pero como no tenemos bloqueado nada, todo el tráfico puede aun entrar.
		+
		+
		+	== Bloquear trafico ==
		+
		+	Una vez que se toma la decisión de aceptar un paquete, ninguna regla más le afecta. Como las reglas que permiten el tráfico web y ssh vienen de antes, ya que nuestra regla de bloquear el tráfico viene después, podemos aun aceptar el tráfico que queramos. Todo lo que necesitamos hacer es poner la rela para bloquear todo el tráfico.
		+
		+	sudo iptables -A INPUT -j DROP
		+	sudo iptables -L
		+
		+	Chain INPUT (policy ACCEPT)
		+	target prot opt source destination
		+	ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
		+	ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
		+	ACCEPT tcp -- anywhere anywhere tcp dpt:www
		+	DROP all -- anywhere anywhere
		+
		+	Como no hemos espeficificado un interfaz o protocolo, cualquier tráfico de cualquier puerto en cualquier interfaz está bloqueado, excepto para web y ssh.

	== Enmascaramiento IP ==		== Enmascaramiento IP ==

← Revisión anterior		Revisión de 19:15 19 feb 2008
Línea 48:		Línea 48:
	* '''<tt>-v</tt>''' - Muestra más información en la salida. Útil por si tienes reglas que parecen similares sin usar <tt>-v</tt>.		* '''<tt>-v</tt>''' - Muestra más información en la salida. Útil por si tienes reglas que parecen similares sin usar <tt>-v</tt>.

		+
		+	== Permitir sesiones establecidas ==
		+
		+	Podemos también permitir sesiones establecidas para recibir el tráfico:
		+
		+	sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
		+
		+
		+	== Permitir tráfico entrante de puertos específicos ==
		+
		+
		+	Se podría empezar por el bloqueo de tráfico, pero deberías estar trabajando a través de SSH, por lo que necesitas permitir SSH antes de bloquear todo lo demás.
		+
		+	Para permitir el tráfico SSH por el puerto por defecto (22), puedes decirle a iptables que permita a todo el tráfico TCP entrante por ese puerto.
		+
		+	sudo iptables -A INPUT -p tcp --dport ssh -j ACCEPT
		+
		+	Refiéndonos a la lista anterior, puedes ver que ésto le dice a iptables:
		+
		+	* Añadir esta regla a la cadena input (-A INPUT), de manera que nos fijamos en el tráfico
		+	* Comprueba si el tráfico es TCP (-p tcp).
		+	* Si lo es, comprueba que la entrada va al puerto SSH (--dport ssh).
		+	* Si es así, acepta la entrada (-j ACCEPT).
		+
		+	Vamos comprobar las reglas: (solo se muestra la primera linea, tu verás más)
		+
		+	sudo iptables -L
		+
		+	Chain INPUT (policy ACCEPT)
		+	target prot opt source destination
		+	ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
		+	ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
		+
		+	Ahora, vamos a permitir todo el tráfico entrante
		+
		+	sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
		+
		+	Comprobando nuestras reglas, tenemos:
		+
		+	sudo iptables -L
		+
		+	Chain INPUT (policy ACCEPT)
		+	target prot opt source destination
		+	ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
		+	ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
		+	ACCEPT tcp -- anywhere anywhere tcp dpt:www
		+
		+	Tenemos permitido específicamente el tráfico tcp en los puertos ssh y web, pero como no tenemos bloqueado nada, todo el tráfico puede aun entrar.

	== Enmascaramiento IP ==		== Enmascaramiento IP ==