IPTABLES

7/17/2019 IPTABLES

http://slidepdf.com/reader/full/iptables-568d271d2e5ca 1/30

IPTABLES

1. Qué es un firewall

Un firewall es un dispositivo que filtra el tráfico entre redes, como mínimo dos. El firewallpuede ser un dispositivo físico o un software sobre un sistema operativo. En generaldebemos verlo como una caja con !" o mas interfaces de red en la que se establecenuna reglas de filtrado con las que se decide si una cone#i$n determinada puedeestablecerse ono. %ncluso puede ir más allá & reali'ar modificaciones sobre lascomunicaciones, como el ()*.Esa sería la definici$n genérica, +o& en dia un firewall es un +ardware especifico con unsistema operativo o una %!" que filtra el tráfico *-U-%/-..%- & decide si unpaquete pasa, se modifica, se convierte o se descarta. -ara que un firewall entre redesfuncione como tal debe tener al menos dos tarjetas de red. Esta sería la tipología clásicade un firewall0

igura 10 esquema de firewall típico entre red local e internet

Esquema típico de firewall para proteger una red local conectada a internet a través de unrouter. El firewall debecolocarse entre el router 2con un 3nico cable4 & la red local 2conectado al switc+ o al +ubde la 5)(4ependiendo de las necesidades de cada red, puede ponerse uno o más firewalls paraestablecer distintos perímetros deseguridad en torno a un sistema. Es frecuente también que se necesite e#poner alg3nservidor a internet 2como es el casode un servidor web, un servidor de correo, etc..4, & en esos casos obviamente en principiose debe aceptar cualquier cone#i$n a ellos. 5o que se recomienda en esa situaci$n es situar ese servidor en lugaraparte de la red, el que denominamos /6 o 'ona desmilitari'ada. El firewall tieneentonces tres entradas0

7/17/2019 IPTABLES


En la 'ona desmilitari'ada se pueden poner tantos servidores como se necesiten. onesta arquitectura, permitimos que elservidor sea accesible desde internet de tal forma que si es atacado & se gana acceso aél, la red local sigue protegida por

el firewall. Esta estructura de /6 puede +acerse también con un doble firewall 2aunquecomo se ve se puede usar un3nico dispositivo con al menos tres interfaces de red4. "ería un esquema como este0

igura 70 esquema de firewall entre red local e internet con 'ona /6 para servidorese#puestos creado con doblefirewall2perímetro4

5os firewalls se pueden usar en cualquier red. Es +abitual tenerlos como protecci$n deinternet en las empresas, aunquea+í también suelen tener una doble funci$n0 controlar los accesos e#ternos +acia dentro &también los internos +acia ele#terior8 esto 3ltimo se +ace con el firewall o frecuentemente con un pro#& 2que tambiénutili'an reglas, aunque de másalto nivel4.*ambién, en empresas de +osting con muc+os servidores alojados lo normal esencontrarnos uno o más firewalls &a seafiltrando toda la instalaci$n o parte de ella0

7/17/2019 IPTABLES


igura 90 esquema de firewall entre redes, en la que solo se filtra & no se +ace ()*

"ea el tipo de firewall que sea, generalmente no tendrá mas que un conjunto de reglas enlas que se e#amina el origen &destino de los paquetes del protocolo tcpip. En cuanto a protocolos es probable que seancapaces de filtrar muc+os tiposde ellos, no solo los tcp, también los udp, los icmp, los gre & otros protocolos vinculados avpns. Este podría ser 2en

pseudo:lenguaje4 un el conjunto de reglas de un firewall del primer gráfico0-olitica por defecto )E-*);.*odo lo que venga de la red local al firewall )E-*);*odo lo que venga de la ip de mi casa al puerto tcp << )E-*);*odo lo que venga de la ip de casa del jefe al puerto tcp 1=<7 )E-*);*odo lo que venga de +ora.rediris.es al puerto udo 1<7 )E-*);*odo lo que venga de la red local & va&a al e#terior E(/)"););*odo lo que venga del e#terior al puerto tcp 1 al 1><9 E(E?);*odo lo que venga del e#terior al puerto tcp 77@A E(E?);*odo lo que venga del e#terior al puerto udp 1 al 1><9 E(E?);En definitiva lo que se +ace es0: Babilita el acceso a puertos de administraci$n a determinadas %-s privilegiadas: Enmascara el trafico de la red local +acia el e#terior 2()*, una petici$n de un pc de la5)( sale al e#terior con la ip

7/17/2019 IPTABLES


p3blica4, para poder salir a internet: eniega el acceso desde el e#terior a puertos de administraci$n & a todo lo que esteentre 1 & 1><9.Ba& dos maneras de implementar un firewall0

1) -olítica por defecto )E-*);0 en principio todo lo que entra & sale por el firewallse acepta & solo se denegará lo que se diga e#plícitamente.

<4 -olítica por defecto E(E?);0 todo esta denegado, & solo se permitirá pasar porel firewall aquellos que se permita e#plícitamente.

omo es obvio imaginar, la primera política facilita muc+o la gesti$n del firewall, &a quesimplemente nos tenemos que preocupar de proteger aquellos puertos o direcciones quesabemos que nos interesa8 el resto no importa tanto & se deja pasar.-or ejemplo, si queremos proteger una máquina linu#, podemos +acer un netstat :ln 2onetstat :an, , saber que puertos están abiertos, poner reglas para proteger esos puertos &&a está. C-ara qué vamos a proteger un puerto que realmente nunca se va a abrirDEl 3nico problema que podemos tener es que no controlemos que es lo que esta abierto,

o que en un momento dado se instale un software nuevo que abra un puerto determinado,o que no sepamos que determinados paquetes %/- son peligrosos. "i la política pordefecto es )E-*); & no se protege e#plícitamente, nos la estamos jugando un poco.En cambio, si la política por defecto es E(E?);, a no ser que lo permitamose#plícitamente, el firewall se convierte en un auténtico /U;! infranqueable. El problemaes que es muc+o más difícil preparar un firewall así, & +a& que tener mu& claro comofunciona el sistema 2sea iptables o el que sea4 & que es lo que se tiene que abrir sin caeren la tentaci$n de empe'ar a meter reglas super:permisivas.Esta configuraci$n de firewall es la recomendada, aunque no es aconsejable usarla si nose domina mínimamente el sistema. Uno de los objetos principales de este documento esmostrar la forma de crear este tipo de firewalls.

IMPORTANTE

El orden en el que se ponen las reglas de firewall es determinante. (ormalmente cuando+a& que decidir que se +ace con un paquete se va comparando con cada regla del firewall+asta que se encuentra una que le afecta 2matc+4, & se +ace lo que dicte esta regla2aceptar o denegar48 después de eso (! "E /%;);( /" ;E?5)" para ese paquete.Cuál es el peligroD "i ponemos reglas mu& permisivas entre las primeras del firewall,puede que las siguientes no se apliquen & no sirvan de nada.

<. Qué es iptables

%-tables es un sistema de firewall vinculado al Fernel de linu# que se +a e#tendidoenormemente a partir del Fernel <.9 de este sistema operativo. )l igual que el anteriorsistema ipc+ains, un firewall de iptables no es como un servidor que loiniciamos o detenemos o que se pueda caer por un error de programaci$n2esto es unapequeGa mentira, +a tenido alguna vulnerabilidad que permite o", pero nunca tendrátanto peligro como las aplicaciones que escuc+an en determinado puerto *-40 iptablesesta integrado con el Fernel, es parte del sistema operativo. C$mo se pone en marc+aD;ealmente lo que se +ace es aplicar reglas. -ara ellos se ejecuta el comando iptables,

con el que aGadimos, borramos, o creamos reglas. -or ello un firewall de iptables no essino un simple script de s+ell en el que se van ejecutando las reglas de firewall.

7/17/2019 IPTABLES


El filtro de red kernel 2.4 tiene tres tablas internas o listas de reglas. Son las siguientes:

• filtro — ésta es la tala !or defe"to !ara #ane$ar !a%uetes de red.

• nat — ésta tala se usa !ara alterar !a%uetes %ue "rean una nue&a "one'i(n.

• mangle — Esta tala se usa ti!os es!e"fi"os de altera"i(n de !a%uetes.

Las "adenas internas !ara la tala filtro son las siguientes:

• INPUT — Esta "adena sir&e solo !ara !a%uetes re"iidos !or #edio de una interfa* de red.

• OUTPUT — Esta "adena sir&e !ara !a%uetes en&iados !or #edio de la #is#a interfa* de

red %ue re"ii( los !a%uetes.

• FORWARD — Esta "adena sir&e !ara !a%uetes re"iidos en una interfa* de red + en&iados

en otra.

Las "adenas internas !ara la tala nat son las siguientes:

• PREROUTING — Esta "adena altera !a%uetes re"iidos !or #edio de una interfa* de red

"uando llegan.

• OUTPUT — Esta "adena altera !a%uetes generados lo"al#ente antes de %ue sean dirigidos

!or #edio de una interfa* de red.

• POSTROUTING — Esta "adena altera !a%uetes antes de %ue sean en&iados !or #edio de

una interfa* de red.

Las "adenas internas !ara la tala mangle son las siguientes:

• PREROUTING — Esta "adena altera !a%uetes re"iidos !or #edio de una interfa* de redantes de %ue sean dirigidos.

• OUTPUT — Esta "adena altera !a%uetes generados lo"al#ente antes de %ue sean dirigidos

!or #edio de una interfa* de red.

Cada cadena tiene una política ACCEPT, DROP, o REJECT sobre el paquete, o si no, puede

enviarlo al espacio de usuario con QUEUE. i nin!una de las re!las de la cadena se aplican al

paquete, entonces el paquete se trata de acuerdo a la política por de"ecto de las cadenas.

#os co$andos de iptables son los si!uientes%

• -A — A,ade la regla iptables al final de la "adena es!e"ifi"ada. Este es el "o#ando

utili*ado !ara si#!le#ente a,adir una regla "uando el orden de las reglas en la "adena no

i#!orta.

• -C — -erifi"a una regla en !arti"ular antes de a,adirla en la "adena es!e"ifi"ada !or el

usuario. Este "o#ando !uede ser de a+uda !ara "onstruir reglas iptables "o#!le$as

!idiéndole %ue introdu*"a !ar#etros + o!"iones adi"ionales.

• -D — Borra una regla de una "adena en !arti"ular !or n/#ero 0"o#o el 5 !ara la %uinta

regla de una "adena). Puede ta#ién te"lear la regla entera e iptables orrar la regla en

la "adena %ue "orres!onda.

• -E — eno#ra una "adena definida !or el usuario. Esto no afe"ta a la estru"tura de la

tala. Tan solo le e&ita el !role#a de orrar la "adena "rendola a$o un nue&o no#re +

re"onfigurando todas las reglas de di"3a "adena.

7/17/2019 IPTABLES


• -F — Liera la "adena sele""ionada %ue orra "ada regla de la "adena. Si no se es!e"ifi"a

ninguna "adena este "o#ando liera "ada regla de "ada "adena

• -h — Pro!or"iona una lista de estru"turas de "o#andos /tiles as "o#o una resu#en r!ido

de !ar#etros de "o#andos + o!"iones.

• -I — Inserta una regla en una "adena en un !unto deter#inado. Asigne un n/#ero a la

regla a insertar e iptables lo !ondr all. Si no es!e"ifi"a ning/n n/#ero iptables !osi"ionar su "o#ando al !rin"i!io de la lista de reglas.

• -L — Lista todas las reglas de la "adena es!e"ifi"ada tras el "o#ando. Para &er una lista de

todas las "adenas en la tala filter !or defe"to. La sinta'is siguiente deer utili*arse

!ara &er todas la lsita de todas las reglas de una "adena es!e"fi"a en una tala en !arti"ular:

iptables -L <chain-name> -t <table-name>

!"iones #s !otentes !ara el "o#ando -L %ue !ro!or"ionan n/#eros a las reglas +

!er#iten #s des"ri!"iones en las reglas.

• -N — 5rea una nue&a "adena "on un no#re es!e"ifi"ado !or el usuario.

• -P — 5onfigura la !olti"a !or defe"to !ara una "adena en !arti"ular de tal for#a %ue

"uando los !a%uetes atra&ieses la "adena "o#!leta sin "u#!lir ninguna regla sern en&iados

a un o$eti&o en !arti"ular "o#o !uedan ser A55EPT o 6P.

• -R — ee#!la*a una regla en una "adena en !arti"ular. 6eer utili*ar un n/#ero de regla

detrs del no#re de la "adena !ara ree#!la*ar esta "adena. La !ri#era regla de una "adena

se refiere a la regla n/#ero 1.

• -X — Borra una "adena es!e"ifi"ada !or el usuario. 7o se !er#ite orrar ninguna de las

"adenas !redefinidas !ara "ual%uier tala.

• -Z — Pone "eros en los "ontadores de +te + de !a%uete en todas las "adenas de una talaen !arti"ular.

Par&$etros

8na &e* %ue se 3a+an es!e"ifi"ado algunos "o#andos de iptables in"lu+endo a%uellos !ara

"rear a,adir orrar insertar o ree#!la*ar reglas de una "adena en !arti"ular se ne"esitan

!ar#etros !ara "o#en*ar la "onstru""i(n de la regla de filtrado de !a%uetes.

•

- esetea los "ontadores de una regla en !arti"ular. Este !ar#etro a"e!ta las o!"ionesP!"# + $%"E# !ara es!e"ifi"ar %ué "ontador 3a+ %ue resetear.

• -& 5onfigura el no#re de la #%uina destino dire""i(n IP o red de un !a%uete %ue

"u#!lir la regla. 5uando se es!e"ifi%ue una red !uede utili*ar dos #étodos diferentes !ara

des"riir la #s"ara de red "o#o 1'()1*+),),(55)(55)(55), o

1'()1*+),),(..

• -f A!li"a esta regla solo a los !a%uetes frag#entados.

8sando la o!"i(n / des!ués de este !ar#etros /ni"a#ente los !a%uetes no frag#entados

se tendrn en "uenta.

• -i 5onfigura las interfa"es de entrada de red "o#o eth, o ppp, !ara ser usadas !or una

regla en !art"ulas. 5on iptables este !ar#etro o!"ional solo deera de ser usado !or

las "adenas I7P8T + 9A6 "uando se utili"e $unto "on la tala filter + la "adena

7/17/2019 IPTABLES


PE8TI7; "on las talas nat + mangle.

Este !ar#etro !ro!or"iona &arias o!"iones /tiles %ue !ueden ser usadas antes de es!e"ifi"ar

el no#re de una interfa*:

• / — 6i"e a este !ar#etro %ue no "on"uerde %ueriendo de"ir esto %ue las interfa"es

es!e"ifi"adas se e'"luirn de esta regla.

• 0 — 5ara"ter "o#odn usado !ara 3a"er "oin"idir todas las interfa"es %ue

"on"uerden "on una "adena en !arti"ular. Por e$e#!lo el !ar#etro -i eth0

a!li"ar esta regla a todas las interfa"es Et3ernet de su siste#a e'"lu+endo "ual%uier

otro ti!o de interfa"es "o#o !ueda ser la ppp,.

Si el !ar#etro -i se utili*a sin es!e"ifi"ar ninguna interfa* todas las interfa"es estarn

afe"tadas !or la regla.

• - 6i"e a iptables %ue salte a un o$eti&o en !arti"ular "uando un !a%uete "u#!le una

regla en !arti"ular. Los o$eti&os &lidos %ue se usarn tras la o!"i(n - in"lu+en o!"iones

estndard ACCEP" DR2P 34E4E + RE"4RN as "o#o o!"iones e'tendidas %ue estn

dis!oniles a tra&és de #(dulos %ue se "argan !or defe"tos "on el !a%uete P< deiptables de ed =at Linu' "o#o L2 6AR! + RE7EC" as "o#o otras. <ire la

!gina del #anual de iptables !ara otener #s infor#a"i(n sore este + otros #u"3os

o$eti&os in"lu+endo reglas de e$e#!lo %ue los utili*an as "o#o o$eti&os %ue !ueden ser

usados s(la#ente en una tala en !arti"ular.

En lugar de es!e"ifi"ar la a""i(n o$eti&o !uede ta#ién dirigir un !a%uete %ue "u#!la la

regla 3a"ia una "adena definida !or el usuario fuera de la "adena a"tual. Esto le !er#itir

a!li"ar otras reglas "ontra este !a%uete + filtrarlo #e$or "on res!e"to a otros "riterios.

Si no es!e"ifi"a ning/n o$eti&o el !a%uete se #ue&e 3a"ia atrs en la regla sin lle&ar a "ao

ninguna a""i(n. A !esar de todo el "ontador !ara esta regla se sigue in"re#entando en uno

a !artir del #o#ento en el %ue el !a%uete se ade"ua a la regla es!e"ifi"ada.

• -o 5onfigura la interfa* de red de salida !ara una regla en !arti"ular + solo !uede ser usada

"on las "adenas 8TP8T + 9A6 en la tala filter + la "adena PST8TI7;

en las talas nat + mangle. Estas o!"iones de los !ar#etros son los #is#os %ue !ara los

de la interfa* de red de entrada 0o!"i(n -i).

• -p 5onfigura el !roto"olo IP !ara la regla %ue !uede ser imp tp 8&p o all0todos)

!ara usar "ual%uier !roto"olo. Ade#s se !ueden usar otros !roto"olos #enos usados de los

%ue a!are"en en etprotools. Si esta o!"i(n se o#ite al "rear una regla la o!"i(n

all es la %ue se sele""iona !or defe"to.

• -s 5onfigura el origen de un !a%uete en !arti"ular# usando la #is#a sinta'is %ue en el !ar#etro de destino 0o!"i(n -&).

Opciones de identi"icaci'n de paquetes

Los diferentes !roto"olos de red !ro!or"ionan o!"iones es!e"iali*adas de "on"onrdan"ia %ue

!ueden ser "onfigurados de for#a es!e"fi"a !ara identifi"ar un !a%uete en !arti"ular usando di"3o

!roto"olo. Por su!uesto el !roto"olo deer ser es!e"ifi"ado en un !ri#er #o#ento en el "o#ando

iptables "o#o "on la o!"i(n -p tp <noñbre-protocolo> !ara 3a"er %ue las o!"iones

de di"3o !roto"olo estén dis!oniles.

7/17/2019 IPTABLES


Protocolo TCP

Estas o!"iones de identifi"a"i(n estn dis!oniles en el !roto"olo T5P 0o!"i(n -p tp):

• --&port 5onfigura el !uerto de destino !ara el !a%uete. Puede utili*ar o ien un no#re

de ser&i"io de red 0"o#o 999 o smtp) un n/#ero de !uerto o ien un rango de n/#eros

de !uertos !ara "onfigurar esta o!"i(n. Para &er los no#res o alias de los ser&i"ios de red +los n/#eros de !uertos %ue usan #ire el fi"3ero etser:ies. Puede usar la o!"i(n

--&estination-port !ara es!e"ifi"ar esta o!"i(n de identifi"a"i(n de !a%uete.

Para es!e"ifi"ar un rango de n/#eros de !uertos se!are los dos n/#eros de !uertos "on dos

!untos 0;) "o#o en -p tp --&port <,,,;<(,,. El rango &lido #s grande es

,;*55<5.

Ta#ién !uede usar el "ar"ter de !unto de e'"la#a"i(n 0/) "o#o flag tras la o!"i(n

--&port !ara de"irle a iptables %ue sele""ione los !a%uetes %ue no usen ese ser&i"io o

!uerto.

•

--sport 5onfigura el !uerto de origen del !a%uete usando las #is#as o!"iones %ue--&port. Ta#ién !uede usar --so8re-port !ara es!e"ifi"ar esta o!"i(n.

• --s=n Pro&o"a %ue todos los !a%uetes designados de T5P "o#un#ente lla#ados paquetes

SYN "u#!lan esta regla. 5ual%uier !a%uete %ue esté lle&ando un !a+load de datos no ser

to"ado. Si se sit/a un !unto de e'"la#a"i(n 0/) "o#o flag tras la o!"i(n --s=n se !ro&o"a

%ue todos los !a%uetes no>S?7 sean sele""ionados.

• --tp-flags Per#ite %ue los !a%uetes T5P "on "on$untos de its es!e"fi"os o flags

sean sele""ionados !ara una regla. La o!"i(n de sele""i(n --tp-flags a"e!ta dos

!ar#etros %ue son los flags !ara los diferentes its ordenados en una lista se!arada !or

"o#as. El !ri#er !ar#etro es la #s"ara %ue "onfigura los flags %ue sern e'a#inados en

el !a%uete. El segundo !ar#etro se refiere a los flags %ue se deen "onfigurar en el !a%uete !ara ser sele""ionado. Los flags !osiles son AC! FIN P#> R#" #%N + 4R.

Adi"ional#ete se !ueden usar ALL + N2NE !ara sele""ionar todos los flags o ninguno de

ellos.

Por e$e#!lo una regla iptables %ue "ontiene -p tp --tp-flags

AC!?FIN?#%N #%N tan solo sele""ionar los !a%uetes T5P %ue tengan el flag S?7 a"ti&o

+ los flags A5@ + 9I7 sin a"ti&ar.

5o#o en otras o!"iones al usar el !unto de e'"la#a"i(n 0/) tras --tp-flags in&ierte el

efe"to de la o!"i(n de tal for#a %ue los flags del !ar#etro no tendrn %ue estar !resentes

!ara !oder ser sele""ionados.• --tp-option Intenta sele""ionar "on o!"iones es!e"fi"as de T5P %ue !ueden estar

a"ti&as en un !a%uete en !arti"ular. Esta o!"i(n se !uede re&ertir "on el !unto de

e'"la#a"i(n 0/).

Protocolo UDP

Estas o!"iones de sele""i(n estn dis!oniles !ara el !roto"olo 86P 0-p 8&p):

• --&port Es!e"ifi"a el !uerto destino del !a%uete 86P usando el no#re del ser&i"io el

n/#ero del !uerto o un rango de !uertos. La o!"i(n de sele""i(n de !a%uetes

--&estination-port se !uede utili*ar en lugar de --&port. <ire la o!"i(n--&port en la la se""i(n de no#re Proto"olo T5P !ara &er diferentes for#as de utili*ar

esta o!"i(n.

http://www.europe.redhat.com/documentation/rhl8.0/rhl-rg-es-8.0/s1-iptables-options.php3#S3-IPTABLES-OPTIONS-MATCH-TCP



7/17/2019 IPTABLES


• --sport Es!e"ifi"a el !uerto origen del !a%uete 86P# usando el no#re del ser&i"io

n/#ero de !uerto o rango de !uertos. La o!"i(n --so8re-port !uede ser usada en

lugar de --sport. <ire la o!"i(n en --&port en la la se""i(n de no#re Proto"olo T5P

!ara &er diferentes for#as de utili*ar esta o!"i(n.

Protocolo (C)P

Los !a%uetes %ue usan el !roto"olo de "ontrol de #ensa$es de internet 0Internet 5ontrol <essage

Proto"ol I5<P) !ueden ser sele""ionados usando la siguiente o!"i(n "uando se es!e"ifi%ue -p

imp:

• --imp-t=pe Sele""iona el no#re o el n/#ero del ti!o I5<P %ue "on"uerde "on la

regla. Se !uede otener una lista de no#res &lidos I5<P te"leando el "o#ando

iptables -p imp -h.

)'dulos con opciones de selecci'n adicionales

Las o!"iones de sele""i(n adi"ionales %ue no son es!e"fi"as de ning/n !roto"olo en !arti"ular#estn ta#ién dis!oniles a tra&és de #(dulos %ue se "argan "uando el "o#ando iptables los

ne"esite. Para usar una de estas o!"iones deer "argar el #(dulo !or su no#re in"lu+endo -m

<nombre-modulo> en el "o#ando iptables %ue "rea la regla.

8n gran n/#ero de #(dulos "ada uno de ellos "on sus diferentes o!"iones de sele""i(n de

!a%uetes estn dis!oniles !or defe"to. Ta#ién es !osile "rear sus !ro!ios #(dulos %ue

!ro!or"ionen fun"ionalidades de sele""i(n adi"ionales !uede %ue !ara re%uisitos es!e"fi"os de su

red. E'isten #u"3os #(dulos !ero tan solo los #s !o!ulares sern &istos a%u.

El #(dulo limit le !er#ite !oner un l#ite en el n/#ero de !a%uetes %ue !odrn ser

sele""ionados !or una regla en !arti"ular. Esto es es!e"ial#ente enefi"ioso "uando se usa la reglade logging +a %ue 3a"e %ue el flu$o de !a%uetes sele""ionados no llene nuestros fi"3eros log "on

#ensa$es re!etiti&os ni utili"e de#asiados re"ursos del siste#a.

• --limit — 5onfigura el n/#ero de "oin"iden"ias en un inter&alo de tie#!o es!e"ifi"ado

"on un n/#ero + un #odifi"ador de tie#!o ordenados en el for#ato

<número>/<tiempo> . Por e$e#!lo si usa#os --limit 5ho8r solo de$are,os %ue

una regla sea efe"ti&a "in"o &e"es a la 3ora

Si no se utili*a ning/n n/#ero ni #odifi"ador de tie#!o se asu#e el siguiente &alor !or

defe"to: <ho8r.

• --limit-b8rst — 5onfigura un l#ite en el n/#ero de !a%uetes "a!a"es de "u#!lir una

regla en un deter#inado tie#!o. Esta o!"i(n deer ser usada $unto "on la o!"i(n

--limit + a"e!ta un n/#ero !ara "onfigurar el inter&alo de tie#!o 0t3res3old).

Si no se es!e"ifi"a ning/n n/#ero tan solo "in"o !a%uetes sern "a!a"es ini"ial#ente de

"u#!lir la regla.

El #(dulo state aue utili*a la o!"i(n --state !uede sele""ionar un !a%uete "on los siguientes

estados de "one'i(n !arti"ulares:

• E#"A$LI#>ED El !a%uete sele""ionado se aso"ia "on otros !a%uetes en una "one'i(n

estale"ida.

•

IN@ALID El !a%uete sele""ionado no !uede ser aso"iado a una "one'i(n "ono"ida.• NE El !a%uete sele""ionado o ien est "reando una nue&a "one'i(n o ien for#a !arte de

una "one'i(n de dos "a#inos %ue antes no 3aa sido &ista.



7/17/2019 IPTABLES


• RELA"ED El !a%uete sele""ionado est ini"iando una nue&a "one'i(n en alg/n !unto de la

"one'i(n e'istente.

Estos estados de "one'i(n se !ueden utili*ar en "o#ina"i(n "on otros se!arndolos #ediante

"o#as "o#o en -m state --state IN@ALID?NE.

Para sele""ionar una dire""i(n <A5 3ardare de un dis!ositi&o Et3ernet en !arti"ular# utili"e el

#(dulo ma %ue a"e!ta --ma-so8re "on una dire""i(n <A5 "o#o o!"i(n. Para e'"luir unadire""i(n <A5 de una regla !onga un !unto de e'"la#a"i(n 0/) tras la o!"i(n --ma-so8re.

Para &er otras o!"iones dis!oniles a tra&és de #(dulos #ire la !gina del #anual de iptables.

Opciones del ob*etivo

8na &e* %ue un !a%uete "u#!le una regla en !arti"ular la regla !uede dirigir el !a%uete a un

n/#ero de o$eti&os 0destinos) diferentes %ue de"idirn "ul ser su destino + !osile#ente las

a""iones adi"ionales %ue se to#arn "o#o el guardar un registro de lo %ue est o"urriendo.

Adi"ional#ente "ada "adena tiene un o$eti&o !or defe"to %ue ser el %ue se utili"e si ninguna de

las reglas dis!oniles en di"3a "adena se !ueden a!li"ar a di"3o !a%uete o si ninguna de las reglas%ue se a!li"an al #is#o es!e"ifi"an un o$eti&o "on"reto.

E'isten !o"os o$eti&os standard dis!oniles !ara de"idir %ué o"urrir "on el !a%uete:

• <user-defined-chain> — El no#re de una "adena %ue +a 3a sido "reada + definida

"on anterioridad $unto "on esta tala "on reglas %ue sern &erifi"adas "ontra este !a%uete

ade#s de "ual%uier otra regla en otras "adenas %ue se dean &erifi"ar "ontra este !a%uete.

Este ti!o de o$eti&o resulta /til !ara es"rutinar un !a%uete antes de de"idir %ué o"urrir "on

él o guardar infor#a"i(n sore el !a%uete.

• ACCEP" — Per#ite %ue el !a%uete se #ue&a 3a"ia su destino 0o 3a"ia otra "adena si no 3a

sido "onfigurado ning/n destino 3a sido "onfigurado !ara seguir a esta "adena).• DR2P — 6e$a "aer el !a%uete al suelo. El siste#a %ue en&i( el !a%uete no es infor#ado del

fallo. El !a%uete si#!le#ente se orra de la regla %ue est &erifi"ando la "adena + se

des"arta.

• 34E4E — El !a%uete se !one en una "ola !ara ser #ane$ado !or una a!li"a"i(n en el

es!a"io de usuario.

• RE"4RN — Para la &erifi"a"i(n del !a%uete "ontra las reglas de la "adena a"tual. Si el

!a%uete "on un destino RE"4RN "u#!le una regla de una "adena lla#ada desde otra "adena

el !a%uete es de&uelto a la !ri#era "adena !ara reto#ar la &erifi"a"i(n de la regla all donde

se de$(. Si la regla RE"4RN se utili*a en una "adena !redefinida + el !a%uete no !uede#o&erse 3a"ia la "adena anterior el o$eti&o !or defe"to de la "adena a"tual de"ide %ué

a""i(n lle&ar a "ao.

Ade#s de estos o$eti&os standard se !ueden usar otros #s "on e'tensiones lla#adas !dulos de

ob"eti#os 0target #odules) %ue traa$an de for#a si#ilar a "o#o los 3a"an los #(dulos de las

o!"iones de sele""i(n. Para otener #s infor#a"i(n sore estos #(dulos #irar en la la se""i(n de

no#re <(dulos "on o!"iones de sele""i(n adi"ionales.

E'isten &arios #(dulos e'tendidos de o$eti&os la #a+ora de los "uales tan solo se a!li"arn a

talas o situa"iones es!e"fi"as. 8n !ar de estos #(dulos de los #s !o!ulares e in"luidos !or

defe"to en Linu' seran:

• L2 ;uarda un registro de todos los !a%uetes %ue "u#!len esta regla. 5o#o estos !a%uetes

http://www.europe.redhat.com/documentation/rhl8.0/rhl-rg-es-8.0/s1-iptables-options.php3#S3-IPTABLES-OPTIONS-MATCH-MODULES




7/17/2019 IPTABLES


son #onitori*ados !or el kernel el fi"3ero ets=slog)onf deter#ina d(nde se

es"riirn esas entradas en el fi"3ero de registro 0log). Por defe"to se sit/an en el fi"3ero

:arlogmessages.

Se !ueden usar &arias o!"iones tras el o$eti&o L2 !ara es!e"ifi"ar la #anera en la %ue

tendr lugar el registro:

• --log-le:el 5onfigura un ni&el de !rioridad al e&ento de registro del siste#a. Se !uede en"ontrar una lista de los e&entos del siste#a en la !gina del #anual de

s=slog)onf + sus no#res se !ueden usar "o#o o!"iones tras la o!"i(n

--log-le:el.

• --log-ip-options 5ual%uier o!"i(n en la "ae"era de un !a%uete IP se guarda

en el registro.

• --log-prefiB Pone una "adena de te'to antes de la lnea de registro "uando ésta

sea es"rita. A"e!ta 3asta 2 "ara"teres tras la o!"i(n --log-prefiB. Esto !uede

ser /til !ara es"riir filtros del registro del siste#a !ara ser usados "on$unta#ente

$unto "on el registro de !a%uetes.

• --log-tp-options 5ual%uier o!"i(n en la "ae"era de un !a%uete T5P se

guarda en el registro.

• --log-tp-se8ene Es"rie le n/#ero de se"uen"ia T5P del !a%uete en el

registro del siste#a.

• RE7EC" En&a un !a%uete de error de &uelta al siste#a %ue en&i( el !a%uete + lo de$a "aer

06P). Este o$eti&o !uede ser /til si %uere#os notifi"ar al siste#a %ue en&i( el !a%uete

del !role#a.

El o$eti&o RE7EC" a"e!ta una o!"i(n --reet-9ith <type> %ue !er#ite %ue

infor#a"i(n #s detallada sea en&iada $unto "on el !a%uete de error. El #ensa$e port-8nreahable es el error <type> %ue se en&a !or defe"to "uando no se utili*a $unto "on

otra o!"i(n. Para otener una lista "o#!leta de todas las o!"iones <type> %ue se !ueden

utili*ar &ea la !gina del #anual de iptables.

Podr en"ontrar otras e'tensiones de o$eti&os in"lu+endo algunas #u+ /tiles "on #as%uerading

usando la tala nat o "on altera"i(n de !a%uetes usando la tala mangle en la !gina del #anual

de iptables.

Opciones de listado

El "o#ando de listado !or defe"to iptables -L !ro!or"iona una &isi(n si"a de las "adenas

a"tuales de la tala de filtros !or defe"to. . E'isten o!"iones adi"ionales %ue !ro!or"ionan #s

infor#a"i(n + la ordenan de diferentes for#as:

• -: <uestra la salida !or !antalla "o#o el n/#ero de !a%uetes + +tes %ue "ada "adena 3a

&isto el n/#ero de !a%uetes + +tes %ue "ada regla 3a en"ontrado + %ué interfa"es se

a!li"an a una regla en !arti"ular.

• -B E'!ande los n/#eros en sus &alores e'a"tos. En un siste#a o"u!ado el n/#ero de

!a%uetes + +tes &istos !or una "adena en "on"reto o !or una regla !uede estar are&iado

usando ! 0#iles) 6 0#illones) + 0illones) detrs del n/#ero. Esta o!"i(n fuer*a a %ue se

#uestre el n/#ero "o#!leto.• -n <uestra las dire""iones IP + los n/#eros de !uertos en for#ato nu#éri"o en lugar de

utili*ar el no#re del ser&idor + la red tal + "o#o se 3a"e !or defe"to.

7/17/2019 IPTABLES


• --line-n8mbers Pro!or"iona una lista de "ada "adena $unto "on su orden nu#éri"o en

la "adena. Esta o!"i(n !uede ser /til "uando esté intentando orrar una regla es!e"fi"a en

una "adena o lo"ali*ar d(nde insertar una regla en una "adena.

uardar in"or$aci'n de iptablesLas reglas "readas "on el "o#ando iptables se al#a"enan sola#ente en A<. Si tiene %ue

reini"iar su siste#a tras 3aer "onfigurado reglas de iptables éstas se !erdern. Si %uiere %ue

deter#inadas reglas de filtro de red tengan efe"to en "ual%uier #o#ento %ue ini"ie su siste#a

ne"esita guardarlas en el fi"3ero ets=sonfigiptables.

Para 3a"er esto te"lee el "o#ando sbinser:ie iptables sa:e "o#o usuario root. Esto

3a"e %ue el s"ri!t de ini"io de iptables e$e"ute el !rogra#a sbiniptables-sa:e +

es"ria la "onfigura"i(n a"tual de iptables en el fi"3ero ets=sonfigiptables. Este

fi"3ero deera ser de solo le"tura !ara el usuario root !ara %ue las reglas de filtrado de !a%uetes no

sean &isiles !or el resto de los usuarios.

La !r('i#a &e* %ue se ini"ie el siste#a el s"ri!t de ini"io de iptables &ol&er a a!li"ar las

reglas guardadas en ets=sonfigiptables usando el "o#ando sbiniptables-

restore.

<ientras %ue sie#!re es una uena idea el &erifi"ar "ada nue&a regla de iptables antes de %ue se

es"ria en el fi"3ero ets=sonfigiptables es !osile "o!iar las reglas de iptables

en este fi"3ero a !artir de otra &ersi(n del siste#a de este fi"3ero. Esto le !er#itir distriuir

r!ida#ente "on$untos de reglas iptables a diferentes #%uinas.

($portante

Si distriu+e el fi"3ero ets=sonfigiptables a otras #%uinas dee es"riir

sbinser:ie iptables restart !ara %ue las nue&as reglas tengan efe"to

EJE)P#O

+-bin-s

e"3o >n A!li"ando eglas de 9ireall...

CC 9L8S= de reglas

i!tales >9

i!tales >D

i!tales >

i!tales >t nat >9

CC Estale"e#os !oliti"a !or defe"to

i!tales >P I7P8T A55EPT

i!tales >P 8TP8T A55EPT

i!tales >P 9A6 A55EPT

i!tales >t nat >P PE8TI7; A55EPT

7/17/2019 IPTABLES


i!tales >t nat >P PST8TI7; A55EPT

CC E#!e*a#os a filtrar

C El lo"al3ost se de$a 0!or e$e#!lo "one'iones lo"ales a #+s%l)

FsinFi!tales >A I7P8T >i lo >$ A55EPT

C A nuestra IP le de$a#os todo

i!tales >A I7P8T >s 1G.HG.4.24 >$ A55EPT

C A un "olega le de$a#os entrar al #+s%l !ara %ue #antenga la BB66

i!tales >A I7P8T >s 21.4G.14.2 >! t"! >>d!ort JH >$ A55EPT

C A un dise,ador le de$a#os usar el 9TP

i!tales >A I7P8T >s KJ..4G.14 >! t"! >d!ort 2J:21 >$ A55EPT

C El !uerto KJ de dee estar aierto es un ser&idor e.

i!tales >A I7P8T >! t"! >>d!ort KJ >$ A55EPT

C ? el resto lo "erra#os

i!tales >A I7P8T >! t"! >>d!ort 2J:21 >$ 6P

i!tales >A I7P8T >! t"! >>d!ort JH >$ 6Pi!tales >A I7P8T >! t"! >>d!ort 22 >$ 6P

i!tales >A I7P8T >! t"! >>d!ort 1JJJJ >$ 6P

e"3o M @ . -erifi%ue %ue lo %ue se a!li"a "on: i!tales >L >nM

C 9in del s"ri!t

+-bin-s

e"3o >n A!li"ando eglas de 9ireall...CC 9L8S= de reglas

i!tales >9

i!tales >D

i!tales >

i!tales >t nat >9





i!tales >t nat >P PE8TI7; A55EPTi!tales >t nat >P PST8TI7; A55EPT






C A un "olega le de$a#os entrar al #+s%l !ara %ue #antenga la BB66

i!tales >A I7P8T >s 21.4G.14.2 >! t"! >>d!ort JH >$ A55EPT

C A un dise,ador le de$a#os usar el 9TPi!tales >A I7P8T >s KJ..4G.14 >! t"! >d!ort 2J:21 >$ A55EPT

C El !uerto KJ de dee estar aierto es un ser&idor e.

7/17/2019 IPTABLES


i!tales >A I7P8T >! t"! >>d!ort KJ >$ A55EPT

C 5erra#os rango de los !uertos !ri&ilegiados. 5uidado "on este ti!o de

C arreras antes 3a+ %ue arir a los %ue si tienen a""eso.

i!tales >A I7P8T >! t"! >>d!ort 1:1J24 >$ 6P

i!tales >A I7P8T >! ud! >>d!ort 1:1J24 >$ 6P

C 5erra#os otros !uertos %ue estan aiertosi!tales >A I7P8T >! t"! >>d!ort JH >$ 6P

i!tales >A I7P8T >! t"! >>d!ort 1JJJJ >$ 6P

i!tales >A I7P8T >! ud! >>d!ort 1JJJJ >$ 6P


C 9in del s"ri!t

-bin-s


CC 9L8S= de reglas

i!tales >9

i!tales >D

i!tales >

i!tales >t nat >9

CC Estale"e#os !oliti"a !or defe"to: 6P

i!tales >P I7P8T 6P

i!tales >P 8TP8T 6P

i!tales >P 9A6 6PCC E#!e*a#os a filtrarN noO e#!e*a#os a arirO !or%ue a3ora esta T6 denegado.

CC 6ee#os de"ir de #anera e'!li"ita %ué es lo %ue %uere#os arir

C !erar en lo"al3ost sin li#ita"iones


FsinFi!tales >A 8TP8T >o lo >$ A55EPT



i!tales >A 8TP8T >d 1G.HG.4.24 >$ A55EPT

C Este es el ser&i"io %ue 6A la #a%uina a internet !or tanto todo !a%uete entrante se a"e!ta !araC ese !uerto + los salientes &in"ulados se a"e!tan.

FsinFi!tales >A I7P8T >! t"! ># t"! >>d!ort KJ >$ A55EPT

FsinFi!tales >A 8TP8T >! t"! ># t"! >>s!ort KJ ># state >>state ELATE6ESTABLIS=E6 >$

A55EPT

C Per#iti#os %ue la #a%uina !ueda salir a la e

FsinFi!tales >A I7P8T >! t"! ># t"! >>s!ort KJ ># state >>state ELATE6ESTABLIS=E6 >$

A55EPT

FsinFi!tales >A 8TP8T >! t"! ># t"! >>d!ort KJ >$ A55EPT

C ?a ta#ien a es seguras

FsinFi!tales >A I7P8T >! t"! ># t"! >>s!ort 44 ># state >>state ELATE6ESTABLIS=E6 >$A55EPT

FsinFi!tales >A 8TP8T >! t"! ># t"! >>d!ort 44 >$ A55EPT

7/17/2019 IPTABLES


C eglas ne"esarias !ara 9TP !asi&o + a"ti&o. Se !er#iten "one'iones entrantes ?A estale"idas

FsinFi!tales >A I7P8T >! t"! ># t"! >>s!ort 2J:21 ># state >>state ELATE6ESTABLIS=E6 >$

A55EPT

FsinFi!tales >A 8TP8T >! t"! ># t"! >>d!ort 2J:21 >$ A55EPT

FsinFi!tales >A I7P8T >! t"! ># t"! >>s!ort 1J24:HGGG >>d!ort 1J24:HGGG ># state >>state

ESTABLIS=E6 >$ A55EPT

FsinFi!tales >A 8TP8T >! t"! ># t"! >>d!ort 1J24:HGGG ># state >>state 7EELATE6ESTABLIS=E6 >$ A55EPT

C Per#iti#os la "onsulta a un !ri#er 67S

FsinFi!tales >A I7P8T >s 211.G.H4. >! ud! ># ud! >>s!ort G >$ A55EPT

FsinFi!tales >A 8TP8T >d 211.G.H4. >! ud! ># ud! >>d!ort G >$ A55EPT

C Per#iti#os la "onsulta a un segundo 67S

FsinFi!tales >A I7P8T >s 211.G..1J >! ud! ># ud! >>s!ort G >$ A55EPT

FsinFi!tales >A 8TP8T >d 211.G..1J >! ud! ># ud! >>d!ort G >$ A55EPT

C Per#iti#os "onsultar el relo$ de 3ora.rediris.es 0un !entiu#1HH) !ara sin"roni*arse

FsinFi!tales >A I7P8T >s 1J.2JH..1HH >! ud! ># ud! >>d!ort 12 >$ A55EPT

FsinFi!tales >A 8TP8T >d 1J.2JH..1HH >! ud! ># ud! >>s!ort 12 >$ A55EPT

C Barrera de a"ku! !or si "a#ia#os a #odo A55EPT te#!oral#ente

C 5on esto !rotege#os los !uertos reser&ados + otros ell>knon

FsinFi!tales >A I7P8T >! t"! ># t"! >>d!ort 1:1J24 >$ 6P

FsinFi!tales >A I7P8T >! ud! ># ud! >>d!ort 1:1J24 >$ 6P

FsinFi!tales >A I7P8T >! t"! ># t"! >>d!ort 12 >$ 6P

FsinFi!tales >A I7P8T >! t"! ># t"! >>d!ort JH >$ 6P

FsinFi!tales >A I7P8T >! t"! ># t"! >>d!ort G42 >$ 6P


C 9in del s"ri!t

Aora va$os a ver una con"i!uraci'n de "ire/all iptables para el típico caso de red local que

necesita salida a internet.

COFinFs3

CC S5IPT de IPTABLES > e$e#!lo del #anual de i!tales


CC 9L8S= de reglas

i!tales >9

i!tales >D

i!tales >

i!tales >t nat >9



7/17/2019 IPTABLES







CC 7ota: et3J es el interfa* "one"tado al router + et31 a la LA7

C El lo"al3ost se de$a 0!or e$e#!lo "one'iones lo"ales a #+s%l)FsinFi!tales >A I7P8T >i lo >$ A55EPT

C Al fireall tene#os a""eso desde la red lo"al

i!tales >A I7P8T >s 12.1HK.1J.JF24 >i et31 >$ A55EPT

C A3ora 3a"e#os en#as"ara#iento de la red lo"al

C + a"ti&a#os el BIT 6E 9A6I7; 0i#!res"indileOOOOO)

i!tales >t nat >A PST8TI7; >s 12.1HK.1J.JF24 >o et3J >$ <AS8EA6E

C 5on esto !er#iti#os 3a"er forard de !a%uetes en el fireall o sea

C %ue otras #%uinas !uedan salir a tra&es del fireall.

e"3o 1 Q F!ro"Fs+sFnetFi!&4Fi!RforardCC ? a3ora "erra#os los a""esos indeseados del e'terior:

C 7ota: J.J.J.JFJ signifi"a: "ual%uier red

C 5erra#os el rango de !uerto ien "ono"ido

i!tales >A I7P8T >s J.J.J.JFJ >! t"! >d!ort 1:1J24 >$ 6P

i!tales >A I7P8T >s J.J.J.JFJ >! ud! >d!ort 1:1J24 >$ 6P

C 5erra#os un !uerto de gesti(n: e#in

i!tales >A I7P8T >s J.J.J.JFJ >! t"! >d!ort 1JJJJ >$ 6P


C 9in del s"ri!t

+-bin-s


CC 9L8S= de reglas

i!tales >9

i!tales >D

i!tales >i!tales >t nat >9











7/17/2019 IPTABLES




CC A3ora "on regla 9A6 filtra#os el a""eso de la red lo"al

CC al e'terior. 5o#o se e'!li"a antes a los !a%uetes %ue no &an dirigidos al

CC !ro!io fireall se les a!li"an reglas de 9A6

C A"e!ta#os %ue &a+an a !uertos KJi!tales >A 9A6 >s 12.1HK.1J.JF24 >i et31 >! t"! >>d!ort KJ >$ A55EPT

C A"e!ta#os %ue &a+an a !uertos 3tt!s

i!tales >A 9A6 >s 12.1HK.1J.JF24 >i et31 >! t"! >>d!ort 44 >$ A55EPT

C A"e!ta#os %ue "onsulten los 67S

i!tales >A 9A6 >s 12.1HK.1J.JF24 >i et31 >! t"! >>d!ort G >$ A55EPT

i!tales >A 9A6 >s 12.1HK.1J.JF24 >i et31 >! ud! >>d!ort G >$ A55EPT

C ? denega#os el resto. Si se ne"esita alguno +a a&isaran

i!tales >A 9A6 >s 12.1HK.1J.JF24 >i et31 >$ 6P


C + a"ti&a#os el BIT 6E 9A6I7; 0i#!res"indileOOOOO)i!tales >t nat >A PST8TI7; >s 12.1HK.1J.JF24 >o et3J >$ <AS8EA6E



e"3o 1 Q F!ro"Fs+sFnetFi!&4Fi!Rforard

CC ? a3ora "erra#os los a""esos indeseados del e'terior:




i!tales >A I7P8T >s J.J.J.JFJ >! ud! >d!ort 1:1J24 >$ 6PC 5erra#os un !uerto de gesti(n: e#in



C 9in del s"ri!t

+-bin-s


CC 9L8S= de reglasi!tales >9

i!tales >D

i!tales >

i!tales >t nat >9









7/17/2019 IPTABLES



i!tales >A I7P8T >i lo >$ A55EPT



CC Ari#os el a""eso a !uertos de "orreo

C Ari#os el !uerto 2G 3a+ %ue "onfigurar ien el rela+ del ser&idor S<TPi!tales >A I7P8T >s J.J.J.JFJ >! t"! >>d!ort 2G >$ A55EPT

C Ari#os el !o!

i!tales >A I7P8T >s J.J.J.JFJ >! t"! >>d!ort 11J >$ A55EPT

C ? ari#os el !uerto !!t!d !ara la i! del adsl de "asa del $efe

i!tales >A I7P8T >s 211.4G.1H.24 >! t"! >>d!ort 12 >$ A55EPT




C A"e!ta#os %ue &a+an a !uertos KJi!tales >A 9A6 >s 12.1HK.1J.JF24 >i et31 >! t"! >>d!ort KJ >$ A55EPT









C + a"ti&a#os el BIT 6E 9A6I7; 0i#!res"indileOOOOO)i!tales >t nat >A PST8TI7; >s 12.1HK.1J.JF24 >o et3J >$ <AS8EA6E







i!tales >A I7P8T >s J.J.J.JFJ >i et3J >! t"! >d!ort 1:1J24 >$ 6P

i!tales >A I7P8T >s J.J.J.JFJ >i et3J >! ud! >d!ort 1:1J24 >$ 6PC 5erra#os un !uerto de gesti(n: e#in

i!tales >A I7P8T >s J.J.J.JFJ >i et3J >! t"! >>d!ort 1JJJJ >$ 6P

C ? "erra#os el !uerto del ser&i"io PPTP6 solo aierto !ara el $efe.

i!tales >A I7P8T >s J.J.J.JFJ >i et3J >! t"! >>d!ort 12 >$ 6P


C 9in del s"ri!t

+-bin-s

7/17/2019 IPTABLES



CC 9L8S= de reglas

i!tales >9

i!tales >D

i!tales >i!tales >t nat >9








CC E6IE55I7ES

C Todo lo %ue &enga !or el e'terior + &a+a al !uerto KJ lo redirigi#os

C a una #a%uina interna

i!tales >t nat >A PE8TI7; >i et3J >! t"! >>d!ort KJ >$ 67AT >>to 12.1HK.1J.12:KJ

C Los a""esos de un i! deter#inada a Ter#inal ser&er se redirigen e esa

C #a%uina

i!tales >t nat >A PE8TI7; >s 221.2.124.1K1 >i et3J >! t"! >>d!ort K >$ 67AT >>to

12.1HK.1J.12:K


C El lo"al3ost se de$a 0!or e$e#!lo "one'iones lo"ales a #+s%l)i!tales >A I7P8T >i lo >$ A55EPT



CC Ari#os el a""eso a !uertos de "orreo

C Ari#os el !uerto 2G 3a+ %ue "onfigurar ien el rela+ del ser&idor S<TP

i!tales >A I7P8T >s J.J.J.JFJ >! t"! >>d!ort 2G >$ A55EPT

C Ari#os el !o!

i!tales >A I7P8T >s J.J.J.JFJ >! t"! >>d!ort 11J >$ A55EPT

C ? ari#os el !uerto !!t!d !ara la i! del adsl de "asa del $efei!tales >A I7P8T >s 211.4G.1H.24 >! t"! >>d!ort 12 >$ A55EPT




C A"e!ta#os %ue &a+an a !uertos KJ

i!tales >A 9A6 >s 12.1HK.1J.JF24 >i et31 >! t"! >>d!ort KJ >$ A55EPT






7/17/2019 IPTABLES







C 5on esto !er#iti#os 3a"er forard de !a%uetes en el fireall o seaC %ue otras #%uinas !uedan salir a tra&es del fireall.





i!tales >A I7P8T >s J.J.J.JFJ >i et3J >! t"! >d!ort 1:1J24 >$ 6P

i!tales >A I7P8T >s J.J.J.JFJ >i et3J >! ud! >d!ort 1:1J24 >$ 6P


i!tales >A I7P8T >s J.J.J.JFJ >i et3J >! t"! >>d!ort 1JJJJ >$ 6P

C ? "erra#os el !uerto del ser&i"io PPTP6 solo aierto !ara el $efe.

i!tales >A I7P8T >s J.J.J.JFJ >i et3J >! t"! >>d!ort 12 >$ 6P


C 9in del s"ri!t

En este tipo de "ire/all a0 que per$itir%

1 Acceso de la red local a internet.

7/17/2019 IPTABLES


1 Acceso p2blico al puerto tcp-34 0 tcp-556 del servidor de la D)7

1 Acceso del servidor de la D)7 a una 88DD de la #A9

1 Obvia$ente bloquear el resto de acceso de la D)7 acia la #A9.

:Qu; tipo de re!las son las que a0 que usar para "iltrar el tr&"ico entre la D)7 0 la #A9<

olo pueden ser las =OR>ARD, 0a que esta$os "iltrando entre distintas redes, no son

paquetes destinados al propio "ire/all.

COFinFs3


CC 9L8S= de reglas

i!tales >9

i!tales >D

i!tales >

i!tales >t nat >9


i!tales >P I7P8T A55EPTi!tales >P 8TP8T A55EPT






C Todo lo %ue &enga !or el e'terior + &a+a al !uerto KJ lo redirigi#os

C a una #a%uina interna

i!tales >t nat >A PE8TI7; >i et3J >! t"! >>d!ort KJ >$ 67AT >>to 12.1HK..2:KJ

C Los a""esos de un i! deter#inada =TTPS se redirigen e esaC #a%uina

i!tales >t nat >A PE8TI7; >i et3J >! t"! >>d!ort 44 >$ 67AT >>to 12.1HK..2:44





C A3ora 3a"e#os en#as"ara#iento de la red lo"al + de la 6<

C !ara %ue !uedan salir 3a"a fuera



i!tales >t nat >A PST8TI7; >s 12.1HK..JF24 >o et3J >$ <AS8EA6E




CC Per#iti#os el !aso de la 6< a una BB66 de la LA7:

i!tales >A 9A6 >s 12.1HK..2 >d 12.1HK.1J.G >! t"! >>d!ort G42 >$ A55EPT

i!tales >A 9A6 >s 12.1HK.1J.G >d 12.1HK..2 >! t"! >>s!ort G42 >$ A55EPT

CC !er#iti#os arir el Ter#inal ser&er de la 6< desde la LA7

i!tales >A 9A6 >s 12.1HK.1J.JF24 >d 12.1HK..2 >! t"! >>s!ort 1J24:HGGG >>d!ort K >$

A55EPT

7/17/2019 IPTABLES


C 3a+ %ue 3a"erlo en uno + otro sentido

i!tales >A 9A6 >s 12.1HK..2 >d 12.1HK.1J.JF24 >! t"! >>s!ort K >>d!ort 1J24:HGGG >$

A55EPT

C !or %ue luego:

C 5erra#os el a""eso de la 6< a la LA7

i!tales >A 9A6 >s 12.1HK..JF24 >d 12.1HK.1J.JF24 >$ 6P

CC 5erra#os el a""eso de la 6< al !ro!io fireall

i!tales >A I7P8T >s 12.1HK..JF24 >i et32 >$ 6P









C 9in del s"ri!t

upon!a$os que entre los routers 0a se a establecido un tunel ?con Ciscos se aria creando

un inter"a@ Tunnel, 0 que si el "ire/all nos de*a podría$os lle!ar de la central a las

dele!aciones 0 viceversa usando las (Ps privadas. Ba0a que se puede acer un pin! desde la

central a .F3.64.G 0 nos responde. Para ello es i$prescindible que el router de la central

ten!a una ruta $etida para lle!ar a .F3.4.4-5 0 por supuesto cada una ruta para cada

dele!aci'n. Antes de $eterse en el "ire/all a0 que ase!urar la visibilidad entre los routers 0

poder lle!ar a sus (Ps privadas aciendo pin!.

Su!onga#os ta#ién %ue en la "entral esta el ser&idor de "orreo %ue l(gi"a#ente dee tener el

!uerto 2G a""esile desde internet + dee ser a""esile desde las delega"iones !ara !uerto 2G 11J

7/17/2019 IPTABLES


0!o!) o 140i#a!). La salida a internet 0e ft! et"..) "ada uno la 3a"e !or su lado.

-ea#os una !osile "onfigura"i(n !ara este "aso.

COFinFs3


CC 9L8S= de reglas

i!tales >9

i!tales >D

i!tales >

i!tales >t nat >9





i!tales >t nat >P PE8TI7; A55EPTi!tales >t nat >P PST8TI7; A55EPT



C Todo lo %ue &enga !or el e'terior + &a+a al !uerto 2G lo redirigi#os

C a la #a%uina de la 6<

i!tales >t nat >A PE8TI7; >i et3J

>! t"! >>d!ort 2G >$ 67AT >>to 12.1HK..2:2G

C Todo lo %ue &enga !or el interfa* del router0et3J) + &a+a al 11J

C sie#!re %ue sea una delega"ion se a"e!ta + rediri$e

i!tales >t nat >A PE8TI7; >s 12.1HK.2J.JF24 >i et3J

>! t"! >>d!ort 11J >$ 67AT >>to 12.1HK..2:11J

i!tales >t nat >A PE8TI7; >s 12.1HK.J.JF24 >i et3J

>! t"! >>d!ort 11J >$ 67AT >>to 12.1HK..2:11J

C Todo lo %ue &enga !or el interfa* del router0et3J) + &a+a al 11J

C sie#!re %ue sea una delega"ion se a"e!ta + rediri$e

i!tales >t nat >A PE8TI7; >s 12.1HK.2J.JF24 >i et3J

>! t"! >>d!ort 14 >$ 67AT >>to 12.1HK..2:14

i!tales >t nat >A PE8TI7; >s 12.1HK.J.JF24 >i et3J

>! t"! >>d!ort 14 >$ 67AT >>to 12.1HK..2:14


i!tales >A I7P8T >i lo >$ A55EPT



C A3ora 3a"e#os en#as"ara#iento de la red lo"al + de la 6<

C !ara %ue !uedan salir 3a"a fuera


C 5uidado "on este en#as"ara#iento.


i!tales >t nat >A PST8TI7; >s 12.1HK..JF24 >o et3J >$ <AS8EA6E

7/17/2019 IPTABLES





C Para %ue desde la red lo"al se salga 3a"ia fuera 3a+ %ue E7<AS5AA

C !ero %ue !asa "on las delega"iones ta#ien estan fuera ? 7 =A? 8E

C E7<AS5AA dee#os #eter una regla 9A6 e'!li"ita !ara %ue no en#as"are

C !or%ue si no una !eti"i(n de la LA7 a otra delega"ion no se #eteriaC en el tunel.

i!tales >A 9A6 >s 12.1HK.1J.JF24 >d 12.1HK.2J.JF24 >$ A55EPT

i!tales >A 9A6 >s 12.1HK.2J.JF24 >d 12.1HK.1J.JF24 >$ A55EPT

i!tales >A 9A6 >s 12.1HK.1J.JF24 >d 12.1HK.J.JF24 >$ A55EPT

i!tales >A 9A6 >s 12.1HK.J.JF24 >d 12.1HK.1J.JF24 >$ A55EPT

C Ari#os el a""eso !ara %ue se !ueda a"eder a la 6< desde la LA7

C a !uertos de "orreo

C En !rin"i!io lo %ue &a de LA7 >Q 6< se a"e!tai!tales >A 9A6 >s 12.1HK.1J.JF24 >d 12.1HK..JF24 >$ A55EPT

C Luedo desde la 6< a la LA7 solo se a"e!ta 2G11J14

i!tales >A 9A6 >s 12.1HK..JF24 >! t"! >>s!ort 2G

>d 12.1HK.1J.JF24 >$ A55EPT

i!tales >A 9A6 >s 12.1HK..JF24 >! t"! >>s!ort 14

>d 12.1HK.1J.JF24 >$ A55EPT

i!tales >A 9A6 >s 12.1HK..JF24 >! t"! >>s!ort 14

>d 12.1HK.1J.JF24 >$ A55EPT

C 5erra#os el a""eso de la 6< a la LA7i!tales >A 9A6 >s 12.1HK..JF24 >d 12.1HK.1J.JF24 >$ 6P

CC 5erra#os el a""eso de la 6< al !ro!io fireall

i!tales >A I7P8T >s 12.1HK..JF24 >i et32 >$ 6P






C 5erra#os un !uerto de gesti(n: e#ini!tales >A I7P8T >s J.J.J.JFJ >! t"! >d!ort 1JJJJ >$ 6P


C 9in del s"ri!t

En este caso olvid;$onos de redes locales 0 de 9AT. Aquí solo tendre$os re!las de "iltrado

(9PUT 0 =OR>ARD. Pon!a$os que tene$os el si!uiente escenario%

7/17/2019 IPTABLES


En el fireall dee#os indi"ar una serie de reglas !ara !roteger los e%ui!os %ue estn al otro ladode este dis!ositi&o todos ellos de la red 211.4.14.JF24

5ada uno de ellos da un ser&i"io deter#inado + !uede estar gestionado desde distintas IPs lo %ue

signifi"a %ue 3ar %ue dar a""eso a deter#inados !uertos de gesti(n 022 K et"..).

Este !odra ser el as!e"to del s"ri!t del fireall:

COFinFs3


CC E$e#!lo de s"ri!t !ara fireall entre redes.


CC 9L8S= de reglasi!tales >9

i!tales >D

i!tales >

i!tales >t nat >9







C A nuestro fireall tene#os a""eso total desde la nuestra IP

7/17/2019 IPTABLES


i!tales >A I7P8T >s 21J.1G.GG.1G >$ A55EPT

C Para el resto no 3a+ a""eso al fireall

i!tales >A I7P8T >s J.J.J.JFJ >$ 6P

CC A3ora !ode#os ir #etiendo las reglas !ara "ada ser&idor

CC 5o#o sern !a%uetes "on destino a otras #%uinas se a!li"a 9A6

CC Ser&idor EB 211.4.14.2C A""eso a !uerto KJ

i!tales >A 9A6 >d 211.4.14.2 >! t"! >>d!ort KJ >$ A55EPT

C A""eso a nuestra i! !ara gestionarlo

i!tales >A 9A6 >s 21J.1G.GG.1G >d 211.4.14.2 >! t"! >>d!ort 22 >$ A55EPT

C El resto "errar

i!tales >A 9A6 >d 211.4.14.2 >$ 6P

CC Ser&idor <AIL 211.4.14.

C A""eso a !uerto 2G 11J + 14i!tales >A 9A6 >d 211.4.14. >! t"! >>d!ort 2G >$ A55EPT

i!tales >A 9A6 >d 211.4.14. >! t"! >>d!ort 11J >$ A55EPT

i!tales >A 9A6 >d 211.4.14. >! t"! >>d!ort 14 >$ A55EPT

C A""eso a gestion S7<P

i!tales >A 9A6 >s 21J.1G.GG.1G >d 211.4.14. >! ud! >>d!ort 1H >$ A55EPT


i!tales >A 9A6 >s 21J.1G.GG.1G >d 211.4.14. >! t"! >>d!ort 22 >$ A55EPT

C El resto "errar

i!tales >A 9A6 >d 211.4.14. >$ 6P

CC Ser&idor I5 211.4.14.4

C A""eso a !uertos I5

i!tales >A 9A6 >d 211.4.14.4 >! t"! >>d!ort HHHH:HHHK >$ A55EPT



C El resto "errar

i!tales >A 9A6 >d 211.4.14.4 >$ 6P

CC Ser&idor 7ES 211.4.14.GC A""eso a !uerto nes

i!tales >A 9A6 >d 211.4.14.G >! t"! >>d!ort nes >$ A55EPT


i!tales >A 9A6 >s 21.14.HK.11G >d 211.4.14.G >! t"! >>d!ort 22 >$ A55EPT

C El resto "errar

i!tales >A 9A6 >d 211.4.14.G >$ 6P

CC Ser&idor B2B 211.4.14.H

C A""eso a !uerto 44i!tales >A 9A6 >d 211.4.14.H >! t"! >>d!ort 44 >$ A55EPT

C A""eso a una i! !ara gestionarlo

7/17/2019 IPTABLES


i!tales >A 9A6 >s K1.4.12.GH >d 211.4.14.H >! t"! >>d!ort K >$ A55EPT

C El resto "errar

i!tales >A 9A6 >d 211.4.14.H >$ 6P

CC Ser&idor 5ITID 211.4.14.

C A""eso a !uerto 144i!tales >A 9A6 >d 211.4.14. >! t"! >>d!ort 144 >$ A55EPT


i!tales >A 9A6 >s 1G.GG.24.2 >d 211.4.14. >! t"! >>d!ort K >$ A55EPT

C a""eso a otro !uerto %ui*a de BB66

i!tales >A 9A6 >s 1G.GG.24.2 >d 211.4.14. >! t"! >>d!ort 144 >$ A55EPT


i!tales >A 9A6 >s 1G.GG.24.2 >d 211.4.14. >! ud! >>d!ort 14 >$ A55EPT

C El resto "errar

i!tales >A 9A6 >d 211.4.14. >$ 6Pe"3o M @ . -erifi%ue %ue lo %ue se a!li"a "on: i!tales >L >nM

C 9in del s"ri!t

6.F =ire/all con política por de"ecto DROP

A%u llega la se""i(n !ara los auténti"os ad#inistradores de !elo en !e"3o.

Uué su!one el 3e"3o de estale"er "o#o !olti"a !or defe"to la denega"i(nN

M Se dee e'!li"itar "ada "one'i(n !er#itida en los dos sentidos.

M Se dee "ono"er !erfe"ta#ente %ué dee estar aierto + %ué no.

M Es #u"3os #s dif"il de #antener + si se 3a"e "on&iene 3a"erlo desde el !rin"i!io.M 7o todo es #s traa$o: ta#ién su!one un fireall #u"3o #s seguro.

En el e$e#!lo de la 6< +a se !resentaa esta situa"i(n en las reglas forard de una a otra red.

Para ilustrar el 6P !or defe"to &a#os a #ostrar la "onfigura"i(n del e$e#!lo anterior de

fireall entre redes !ero "on !olti"a !or defe"to 6P.

COFinFs3


CC E$e#!lo de s"ri!t !ara fireall entre redes "on 6P !or defe"to

e"3o >n A!li"ando eglas de 9ireall...CC 9L8S= de reglas

i!tales >9

i!tales >D

i!tales >

i!tales >t nat >9

CC Estale"e#os !oliti"a !or defe"to: 6POOO

i!tales >P I7P8T 6P

i!tales >P 8TP8T 6P

i!tales >P 9A6 6P

CC E#!e*a#os a filtrar CC 7ota: et3J es el interfa* "one"tado al router + et31 a la LA7

7/17/2019 IPTABLES


C A nuestro fireall tene#os a""eso total desde la nuestra IP

i!tales >A I7P8T >s 21J.1G.GG.1G >$ A55EPT

i!tales >A 8TP8T >d 21J.1G.GG.1G >$ A55EPT

C Para el resto no 3a+ a""eso al fireall

C En !rin"i!io esta de #s !ero si rea$a#os los !er#isos te#!oral#ente

C nos "ure las es!aldas

i!tales >A I7P8T >s J.J.J.JFJ >$ 6P

CC A3ora !ode#os ir #etiendo las reglas !ara "ada ser&idor

CC 5o#o sern !a%uetes "on destino a otras #%uinas se a!li"a 9A6

CC Ser&idor EB 211.4.14.2

C A""eso a !uerto KJ

i!tales >A 9A6 >d 211.4.14.2 >! t"! >>d!ort KJ >$ A55EPT

i!tales >A 9A6 >s 211.4.14.2 >! t"! >>s!ort KJ >$ A55EPT



i!tales >A 9A6 >s 211.4.14.2 >d 21J.1G.GG.1G >! t"! >>s!ort 22 >$ A55EPT

CC Ser&idor <AIL 211.4.14.

C A""eso a !uerto 2G 11J + 14

i!tales >A 9A6 >d 211.4.14. >! t"! >>d!ort 2G >$ A55EPT

i!tales >A 9A6 >s 211.4.14. >! t"! >>s!ort 2G >$ A55EPT

i!tales >A 9A6 >d 211.4.14. >! t"! >>d!ort 11J >$ A55EPT

i!tales >A 9A6 >s 211.4.14. >! t"! >>s!ort 11J >$ A55EPT


i!tales >A 9A6 >s 211.4.14. >! t"! >>s!ort 14 >$ A55EPT

C A""eso a gestion S7<Pi!tales >A 9A6 >s 21J.1G.GG.1G >d 211.4.14. >! ud! >>d!ort 1H >$ A55EPT

i!tales >A 9A6 >s 211.4.14. >d 21J.1G.GG.1G >! ud! >>s!ort 1H >$ A55EPT


i!tales >A 9A6 >s 21J.1G.GG.1G >d 211.4.14. >! t"! >>d!ort 22 >$ A55EPT

i!tales >A 9A6 >s 211.4.14. >d 21J.1G.GG.1G >! t"! >>s!ort 22 >$ A55EPT

CC Ser&idor I5 211.4.14.4

C A""eso a !uertos I5

i!tales >A 9A6 >d 211.4.14.4 >! t"! >>d!ort HHHH:HHHK >$ A55EPTi!tales >A 9A6 >s 211.4.14.4 >! t"! >>s!ort HHHH:HHHK >$ A55EPT



i!tales >A 9A6 >s 211.4.14.4 >d 21J.1G.GG.1G >! t"! >>s!ort 22 >$ A55EPT

CC Ser&idor 7ES 211.4.14.G

C A""eso a !uerto nes

i!tales >A 9A6 >d 211.4.14.G >! t"! >>d!ort nes >$ A55EPT

i!tales >A 9A6 >s 211.4.14.G >! t"! >>s!ort nes >$ A55EPTC A""eso a nuestra i! !ara gestionarlo

i!tales >A 9A6 >s 21.14.HK.11G >d 211.4.14.G >! t"! >>d!ort 22 >$ A55EPT

7/17/2019 IPTABLES


i!tales >A 9A6 >s 211.4.14.G >d 21.14.HK.11G >! t"! >>s!ort 22 >$ A55EPT

C El resto "errar

i!tales >A 9A6 >d 211.4.14.G >$ 6P

CC Ser&idor B2B 211.4.14.H

C A""eso a !uerto 44i!tales >A 9A6 >d 211.4.14.H >! t"! >>d!ort 44 >$ A55EPT

i!tales >A 9A6 >s 211.4.14.H >! t"! >>s!ort 44 >$ A55EPT


i!tales >A 9A6 >s K1.4.12.GH >d 211.4.14.H >! t"! >>d!ort K >$ A55EPT

i!tales >A 9A6 >s 211.4.14.H >d K1.4.12.GH >! t"! >>s!ort K >$ A55EPT

CC Ser&idor 5ITID 211.4.14.

C A""eso a !uerto 144


i!tales >A 9A6 >s 211.4.14. >! t"! >>s!ort 144 >$ A55EPT


i!tales >A 9A6 >s 1G.GG.24.2 >d 211.4.14. >! t"! >>d!ort K >$ A55EPT

i!tales >A 9A6 >s 211.4.14. >d 1G.GG.24.2 >! t"! >>s!ort K >$ A55EPT


i!tales >A 9A6 >s 1G.GG.24.2 >d 211.4.14. >! t"! >>d!ort 144 >$ A55EPT

i!tales >A 9A6 >s 211.4.14. >d 1G.GG.24.2 >! t"! >>s!ort 144 >$ A55EPT


i!tales >A 9A6 >s 1G.GG.24.2 >d 211.4.14. >! ud! >>d!ort 14 >$ A55EPTi!tales >A 9A6 >s 211.4.14. >d 1G.GG.24.2 >! ud! >>s!ort 14 >$ A55EPT


C 9in del s"ri!t

5. C'$o depurar el "unciona$iento del "ire/all

Progra#as /tiles

IPTA9. Sin duda alguna uno de los !rogra#as #s !r"ti"os !ara de!urar el fireall es i!tales

+a %ue "on el !ode#os oser&ar si la "one'iones se estale"en o noV es un !rogra#a de "onsola %uees a"onse$ale "ontrolar +a %ue #uestra en tie#!o real el trfi"o %ue atra&iesa nuestra #%uina "on

todo lu$o de detalles: origenFdestino de i!s + !uertos trfi"o total o trfi"o total seg/n el interfa* de

red et" Si &e#os #u"3as "one'iones si#ultaneas + nos !erde#os e'iste la !osiilidad de a!li"ar

filtros !ara "a!tar solo a%uello %ue nos interesa.

7<AP. La 3erra#ienta !ara es"anear !uertos !or e'"elen"ia re"3a"e i#ita"iones. Es una

3erra#ienta de "onsola r!ida efe"ti&a + "on #ultitud de o!"iones. Pode#os usarla desde

#%uinas a$enas a nuestra red !ara "o#!roar si real#ente el fireall esta filtrando "orre"ta#ente +

en "ierta #anera !ara 3a"ernos una idea de %ue M&isi(nM !ueden tener los 3a"kers de nuestro

siste#a.

S=ELL. En el !ro!io s"ri!t del fireall !ode#os a,adir algunas o!"iones !ara des"urir fallos desinta'is en las reglas. 5laro i#agine#os %ue tene#os un fireall de 4J lineas + una de ellas falla

"uando e$e"uta#os el s"ri!t. U5ul esN Es !roale %ue el #ensa$e de error no a"lare lo sufi"iente

7/17/2019 IPTABLES


!or eso se !uede a,adir algo as al final de "ada regla:

...

i!tales >A I7P8T >s 1G.GG.24.2 >$ A55EPT WW e"3o M regla>21 okM

i!tales >A I7P8T >s 21.H2.K.14G >$ A55EPT WW e"3o M regla>22 okM

...

Si la regla se e$e"uta ien #ostrar el #ensa$ito de ok.tra o!"i(n algo #as "utre sera ir eli#inando o "o#entando reglas 3asta dar "on la regla %ue tiene

la sinta'is in"orre"ta. 5ae rese,ar %ue !uede fallar una regla !ero a !artir de ella el resto se

e$e"utan "on nor#alidad.

Documents

IPTABLES