Es un conjunto de herramientas o comando que le permite al usuario enviar mensajes por el kernel o por el sistemas operativo, también tiene todo el manejo de paquete TCP/IP; por lo tanto todos los paquetes a un mismo propietario, el iptables es una forma de establecer reglas o indicarle al sistemas que hacer con cada paquete y cual es su destino de llegada de enviada filtrados o será denegada a cualquier tipo de protocolo.
¿Cómo se pone en marcha? Realmente lo que se hace es aplicar reglas. Para ellos se ejecuta el comando iptables, con el que añadimos, borramos, o creamos reglas. Por ello un firewall de iptables no es sino un simple script de shell en el que se van ejecutando las reglas de firewall.
CADENAS PREDETERMINADAS
TABLA FILTER: (tabla de filtrado):esta tabla es la responsable de filtrado es decir de bloquear o permitir que un paquete continúe su recorrido- INPUT: (CADENA DE ENTRADA) todos lo paquetes destinados a este destinado a este sistema atraviesa esta cadena
- OUTPUT: (CADENA DE SALIDA) todos lo paquetes creados por el sistema atraviesa esta cadena
- FORWARD: (CADENA DE REDIRECCION)todos lo paquetes que pasa por este sistema que nos son transmitidos por la maquina local y que no pasan por mí.
- TABLA DE NAT:(tabla de traducción de direcciones de red) esta tabla es la responsable de configurar las reglas de reescritura de direcciones o de un puerto de los paquetes.
- PRE_ROUTING: (CADENA DE PRERUTEO"antes") los paquetes entrantes pasan a través de esta cadena antes de que se consulte con la tabla del ruteo
- POST_ROUTING:(CADENA DE POSTRUTEO"despues")los paquetes saliente pasan por esta cadena después de haberse tomado la decisión del ruteo
- OUTPUT: (CADE DE SALIDA) permite hacer un DNAT limitado en paquetes generados localmente.
Ejemplo para ejecutar las políticas de firewall por entorno grafico
crear reglas de iptables por como de consola seria lo siguiente:- ejecutamos un ssh
COMO DENEGAR LAS ENTRADAS
iptables -A INPUT "entrada local" -p "tipo de protocolo TCP/UDP/ICMP" tcp --dport "el tipo de puerto que se va a denegar" 22 -j "destino" DROP "destruir el paquete" *denegar todas las entradas del puerto 22 que ingresen a la red
FILTRAR LA RED
*Acceso a toda al rediptables -A INPUT -s 192.168.0.0/24 -eth1 -j ACCEPT
*El localhost se deja así (ejemplo para la conexión la MYSQL)
iptables --A INPUT -i lo -j ACCEPT
*Para nuestra IP la dejamos así
iptables -A INPUT -s 192.168.2.? -j ACCEPT
*El acceso al FTP
iptables -A INPUT -p TCP -dport 21:22 -j ACCEPT "ESTOS ES PARA TODA LA RED"
*Para el servidor apache por el puerto 80:8080
iptables -A INPUT -p TCP --dport 80:8080 -j ACCEPT
*Damos reglas para la conexión de mysql
iptables -A INPUT -p TCP --dport 3306 -j ACCEPT
* Aceptamos que consulten por el DNS
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 53 -j ACCEPT
*Ahora hacemos un enmascaramiento ala red local
iptables -A POST_ROUNTIGN -s 192.168.0.0/24 -i eth0 -j MASQUERADE
*para la DMZ desde la lan
iptables -A FORDWARD -s 192.168.0.0/24 -d 192.168.3.2 -p TCP --sport 1024:65535 -dport 3389 -j ACCEPT
verificamos si se están aplicando con iptables
iptables -L n " y nos muestre todas las reglas establecidas para la red"
Ahora este es un manual de Iptables completo con ejercicios clic
No hay comentarios:
Publicar un comentario