22
Nicolás Contador IPTABLES Firewall : La forma más segura de evitar daños consiste en impedir que las personas no autorizadas puedan obtener el acceso a un equipo o red. Es un dispositivo que filtra el tráfico entre redes. El firewall puede ser un dispositivo físico o un software sobre un sistema operativo. Permite establecer reglas de filtrado con las que se decide si una conexión determinada puede establecerse o no.

IPTABLES

Embed Size (px)

Citation preview

Page 1: IPTABLES

5/17/2018 IPTABLES - slidepdf.com

http://slidepdf.com/reader/full/iptables-55b07aef54974 1/22

 

Nicolás Contador

IPTABLESFirewall: La forma más segura de evitar dañosconsiste en impedir que las personas no

autorizadas puedan obtener el acceso a unequipo o red. Es un dispositivo que filtra el tráficoentre redes. El firewall puede ser un dispositivofísico o un software sobre un sistema operativo.Permite establecer reglas de filtrado con las quese decide si una conexión determinada puedeestablecerse o no.

Page 2: IPTABLES

5/17/2018 IPTABLES - slidepdf.com

http://slidepdf.com/reader/full/iptables-55b07aef54974 2/22

 

Nicolás Contador

IPTABLESUn firewall se ubica, por lo general, entre una redprivada y una pública. se configura con un conjunto dereglas que determinan a qué tráfico de red se le

permitirá pasar y cuál será bloqueado o rechazado.Decide si un paquete pasa, se modifica, se convierte ose descarta.

Page 3: IPTABLES

5/17/2018 IPTABLES - slidepdf.com

http://slidepdf.com/reader/full/iptables-55b07aef54974 3/22

 

Nicolás Contador

IPTABLESPosibles reglas de un firewall

Politica por defecto ACEPTAR.Todo lo que venga de la red local al firewall ACEPTAR

Todo lo que venga de la ip de mi casa al puerto tcp 22 ACEPTARTodo lo que venga de la ip de casa del jefe al puerto tcp 1723 ACEPTARTodo lo que venga de hora.rediris.es al puerto udo 123 ACEPTARTodo lo que venga de la red local y vaya al exterior ENMASCARARTodo lo que venga del exterior al puerto tcp 1 al 1024 DENEGAR

Todo lo que venga del exterior al puerto tcp 3389 DENEGARTodo lo que venga del exterior al puerto udp 1 al 1024 DENEGAR

Page 4: IPTABLES

5/17/2018 IPTABLES - slidepdf.com

http://slidepdf.com/reader/full/iptables-55b07aef54974 4/22

 

Nicolás Contador

IPTABLESPosibles reglas de un firewall

En definitiva lo que se hace es:

- Habilita el acceso a puertos de administración a determinadasIPs privilegiadas- Enmascara el trafico de la red local hacia el exterior (NAT, unapetición de un pc de la LAN sale al exterior con la ip pública), parapoder salir a internet- Deniega el acceso desde el exterior a puertos de administracióny a todo lo que este entre 1 y 1024.

Page 5: IPTABLES

5/17/2018 IPTABLES - slidepdf.com

http://slidepdf.com/reader/full/iptables-55b07aef54974 5/22

 

Nicolás Contador

IPTABLESPero de qué me sirve un firewall, de qué me protege?

 –Acceso no autorizado: ingreso a la red o a un host porparte de personas ajenas. Evitar el acceso a todos excepto a 

los usuarios deseados . –Denegación de servicio (DOS, DDOS): hace que unservicio o equipo deje de funcionar o impide el uso normal deellos. Impedir que se realicen órdenes y peticiones 

sospechosas desde afuera.  –Suplantación de identidad (spoofing): Un host o aplicación

 

simula las acciones de otro. Verifique la autenticidad de los datagramas y órdenes. Evite el encaminamiento de 

datagramas con direcciones de origen no válidas. 

Page 6: IPTABLES

5/17/2018 IPTABLES - slidepdf.com

http://slidepdf.com/reader/full/iptables-55b07aef54974 6/22

 

Nicolás Contador

IPTABLESNetfilter: Es un framework disponible en elnúcleo de Linux que permite interceptar y

manipular paquetes de red. Permite realizar elmanejo de paquetes en diferentes estados delprocesamiento. Usa una herramienta de filtradode paquetes llamada iptables .

Page 7: IPTABLES

5/17/2018 IPTABLES - slidepdf.com

http://slidepdf.com/reader/full/iptables-55b07aef54974 7/22

Nicolás Contador

IPTABLESFiltrado de paquetes: El filtrado de IP es simplementeun mecanismo que decide qué tipos de paquetes seránprocesados normalmente y cuáles serán descartados(drop). Por descartados se entiende que el paquete seelimina y se ignora completamente, como si nunca sehubiera recibido.

 

Page 8: IPTABLES

5/17/2018 IPTABLES - slidepdf.com

http://slidepdf.com/reader/full/iptables-55b07aef54974 8/22

Nicolás Contador

IPTABLESCriterios de filtrado:

•Tipo de protocolo: TCP, UDP, ICMP, etc.

•Número de puerto (TCP/UDP)•Tipo de paquete: SYN/ACK, datos, petición de eco deICMP, etc.•Dirección de origen del paquete: de donde proviene•Dirección de destino del paquete: a donde se dirige

  

Page 9: IPTABLES

5/17/2018 IPTABLES - slidepdf.com

http://slidepdf.com/reader/full/iptables-55b07aef54974 9/22

Nicolás Contador

IPTABLESEs un sistema de selección de paquetes. Estemétodo de selección de paquetes se utiliza para el

filtrado de paquetes (la tabla ‘filter’), para laTraducción de direcciones de Red (la tabla ‘nat’) y

para la manipulación general de paquetes antes delenrutamiento (la tabla ‘mangle’). 

Antes de iptables (kernel 2.4 en adelante) paraimplementar un firewall se utilizaba ipchains (kernel2.2) y antes de éstas ipwadm (kernel 2.0).

  

Page 10: IPTABLES

5/17/2018 IPTABLES - slidepdf.com

http://slidepdf.com/reader/full/iptables-55b07aef54974 10/22

Nicolás Contador

IPTABLESCon Iptables se pueden configurar las diferentestablas de reglas para seleccionar paquetes deacuerdo con diferentes criterios. El filtrado depaquetes se lleva a cabo mediante la tabla filter quecontiene las reglas para rechazar o aceptar lospaquetes. Las operaciones de traducción dedirecciones de red, como el enmascaramiento de IP,se realizan usando la tabla NAT que contiene lasreglas de enmascaramiento de IP. La manipulaciónde paquetes pre-route usa la tabla mangle. 

 

Page 11: IPTABLES

5/17/2018 IPTABLES - slidepdf.com

http://slidepdf.com/reader/full/iptables-55b07aef54974 11/22

Nicolás Contador

IPTABLESLa tabla filter contiene las siguientes cadenas predefinidas ycualquier paquete pasará por una de ellas:INPUT  (Cadena de ENTRADA) — Todos los paquetesdestinados al propio sistema atraviesan esta cadena.•OUTPUT  (Cadena de SALIDA) — Todos los paquetescreados el sistema atraviesan esta cadena

•FORWARD  (Cadena de REDIRECCIÓN) — Todos lospaquetes que pasan por este sistema recorren esta cadena.Los paquetes que no van dirigidos al propio sistema.

  

Page 12: IPTABLES

5/17/2018 IPTABLES - slidepdf.com

http://slidepdf.com/reader/full/iptables-55b07aef54974 12/22

Nicolás Contador

IPTABLESLa tabla NAT El primer paquete en cualquier conexión pasa a través deesta tabla contiene las siguientes cadenas:•PREROUTING  (Cadena de PRERUTEO) — Los paquetes entrantespasan a través de esta cadena antes de que se consulte la tabla deruteo local, principalmente para DNAT (destination -NAT o traducción dedirecciones de red)•POSTROUTING  (Cadena de POSRUTEO) — Los paquetes salientespasan por esta cadena después de haberse tomado la decisión del

ruteo, principalmente para SNAT (source -NAT o traducción dedirecciones de red de origen)•OUTPUT  (Cadena de SALIDA) — Permite hacer un DNAT limitado enpaquetes generados localmente. 

  

Page 13: IPTABLES

5/17/2018 IPTABLES - slidepdf.com

http://slidepdf.com/reader/full/iptables-55b07aef54974 13/22

Nicolás Contador

IPTABLESLa tabla mangle Esta tabla es la responsable de ajustar las opcionesde los paquetes, como por ejemplo la calidad de servicio. Contiene lassiguientes cadenas:•PREROUTING  (Cadena de PRERUTEO) — Todos los paquetes quelogran entrar a este sistema, antes de que el ruteo decida si el paquetedebe ser reenviado o si tiene destino local.•INPUT  (Cadena de ENTRADA) — Todos los paquetes destinados paraeste sistema pasan a través de esta cadena.

•OUTPUT  (Cadena de SALIDA) — Todos los paquetes creados en estesistema pasan a través de esta cadena.•POSTROUTING  (Cadena de POSRUTEO) — Todos los paquetes queabandonan este sistema pasan a través de esta cadena. 

 

Page 14: IPTABLES

5/17/2018 IPTABLES - slidepdf.com

http://slidepdf.com/reader/full/iptables-55b07aef54974 14/22

Nicolás Contador

IPTABLES

 

Page 15: IPTABLES

5/17/2018 IPTABLES - slidepdf.com

http://slidepdf.com/reader/full/iptables-55b07aef54974 15/22

Nicolás Contador

IPTABLES

Para los paquetes que van al propio equipo se

aplican las reglas INPUT y OUTPUT y para lospaquetes que van a otra red o equipo seaplica la regla FORWARD 

 

Page 16: IPTABLES

5/17/2018 IPTABLES - slidepdf.com

http://slidepdf.com/reader/full/iptables-55b07aef54974 16/22

Nicolás Contador

IPTABLES

  

Page 17: IPTABLES

5/17/2018 IPTABLES - slidepdf.com

http://slidepdf.com/reader/full/iptables-55b07aef54974 17/22

Nicolás Contador

IPTABLESDestinos o posibles estados que puede tener una Regla: ACCEPT: Aceptar.DROP: DescartarQUEUE: EncolarRETURN: RetornoREJECT: RechazoLOG: Bitácora o LogULOG: Logs del Paquete

DNAT: Dirección de Destino para el NATSNAT: Dirección de Origen para el NATMASQUERADE: Forma especial de SNAT utilizada para las direcciones IPDinámicas

  

Page 18: IPTABLES

5/17/2018 IPTABLES - slidepdf.com

http://slidepdf.com/reader/full/iptables-55b07aef54974 18/22

Nicolás Contador

IPTABLESACCEPT: Este destino hace que acepte el paquete. Un paquete que se aceptaen la cadena de ENTRADA se le permite ser recibido por el sistema (host ), unpaquete que se acepta en la cadena de SALIDA se le permite abandonar elsistema y un paquete que se acepta en la cadena de REDIRECCIÓN se le

permite ser encaminado (routing) a través del sistema.DROP: Este destino hace que descarte el paquete sin ningún otro tipo deprocesamiento. El paquete simplemente desaparece sin ningún tipo deindicación al sistema o aplicación de origen, de que fue descartado en elsistema de destino.

QUEUE: Este destino hace que el paquete sea enviado a una cola en elespacio de usuario.RETURN: Hace que el paquete en cuestión deje de circular por la cadena encuya regla se ejecutó el destino RETURN.

  

Page 19: IPTABLES

5/17/2018 IPTABLES - slidepdf.com

http://slidepdf.com/reader/full/iptables-55b07aef54974 19/22

Nicolás Contador

IPTABLESREJECT: Este destino tiene el mismo efecto que 'DROP', salvo que envía un paquetede error a quien envió originalmente. Se usa principalmente en las cadenas deENTRADA y de REDIRECCIÓN de la tabla de filtrado.LOG: Este destino lleva un log o bitácora del paquete (análisis de fallos, como ser laverificación de qué paquetes están siendo descartados) .ULOG: Este destino lleva un log o bitácora del paquete, pero no de la misma maneraque el destino LOG.DNAT: Este destino hace que la dirección (y opcionalmente el puerto) de destino delpaquete sean reescritos para traducción de dirección de red. Esto es válido solamenteen las cadenas de SALIDA y PRERUTEO dentro de la tabla de nat.

SNAT: Este destino hace que la dirección (y opcionalmente el puerto) de origen delpaquete sean reescritos para traducción de dirección de red. Esto es válido solamenteen la cadena de POSRUTEO dentro de la tabla de nat.MASQUERADE: Esta es una forma especial, restringida de SNAT para direcciones IPdinámicas, como las que proveen la mayoría de los ISP.

  

Page 20: IPTABLES

5/17/2018 IPTABLES - slidepdf.com

http://slidepdf.com/reader/full/iptables-55b07aef54974 20/22

Nicolás Contador

IPTABLESComandos Básicos en la Configuración en las Tablas de IPTables iptables –help = Ayuda (Ejemplo: iptables --help)iptables –A = Crear una Regla (Ejemplo: iptables –t filter –A INPUT –i lo – j ACCEPT)iptables –D = Eliminar una Regla (Ejemplo: iptables –t filter –D INPUT –i lo – j ACCEPT)iptables –L = Lista Reglas de dicha tabla (Ejemplo: iptables –t nat -L)

iptables –F = Borra todas las Reglas de dicha tabla (Ejemplo: iptables –t nat -F)iptables –Z = Borra todos los Contadores de dicha tabla (Ejemplo: iptables –t nat -Z)iptables –F= Borra todas las reglas de una tablaiptables -N — Crea una nueva cadena con un nombre especificado por el usuario.iptables -P — Configura la política por defecto para una cadena en particular de talforma que cuando los paquetes atravieses la cadena completa sin cumplir ninguna

regla, serán enviados a un objetivo en particular, como puedan ser ACCEPT o DROP.iptables -X — Borra una cadena especificada por el usuario.

 

Page 21: IPTABLES

5/17/2018 IPTABLES - slidepdf.com

http://slidepdf.com/reader/full/iptables-55b07aef54974 21/22

Nicolás Contador

IPTABLESParámetros: 

-t = Para especificar la Tablas (Ejemplo: iptables –t nat)-P = Politica, se aplica en las Cadenas (Ejemplo: iptables –t filter –P INPUT DROP)-v = Detalles de las Reglas (Ejemplo: iptables –L –v)

-n = Numeros de las Reglas (Ejemplo: iptables –L –n)-j = Destino o Accion que cumplirá la regla (Ejemplo: iptables –t filter –D INPUT –i lo – j ACCEPT)-i = Interface de Entrada-o = Interface de Salida-s = Origen del Paquete o Conexión-d = Destino del Paquete o Conexión-p = Tipo de Protocolo (Ejemplo: tcp, udp, icmp, etc)--dport = Puerto Destino--sport = Puerto Origen--state = Estado de la Conexión

 

Page 22: IPTABLES

5/17/2018 IPTABLES - slidepdf.com

http://slidepdf.com/reader/full/iptables-55b07aef54974 22/22

Nicolás Contador

IPTABLESPrimeros pasos:

Ver la versión de Iptables, si existe: iptables  –V 

Ver las reglas que están actualmente configuradas: iptables  –nL

Ver donde está Iptables: which iptables 

Abrimos iptables con un editor cualquiera: gedit iptables.shBorrar reglas configuradas: iptables  –F

Crear políticas por defecto:

iptables -P INPUT ACCEPTiptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT