1.1
- surgió o inicia del kernel 2.4 Linux
- lo desarrollo netfilder
En la imajen básicamente se mira si el paquete esta destinado a la propia maquina o si va a otraPara lospaquetes (o datagramas, según el protocolo) que van a la propia maquina se aplican las reglas INPUT y OUTPUT, y para
filtrar paquetes que van a otras redes o maquinas se aplican simplemente reglas FORWARD.
INPUT,OUTPUT y FORWARD son los tres tipos de reglas de filtrado.en las cuales esas reglas es posible
aplicar reglas de NAT: estas se usan para hacer redirecciones de puertos o cambios en las IPs de origen y destino- estas funciona a partir de un servicio de la version 2.6 Kernel
- TIPOS DE FILTRO DE PAQUETE
PAKET: filter
MANGLE: Manipulación de paquetes. INPUT, OUTPUT, FORWARD PRO ROUTING
NAT: reglas PREROUTING, POSTROUTING de traducción de direcciones.
FILTER: reglas INPUT, OUTPUT, FORWARD
Targets y Jumps
Cada regla de firewall inspecciona cada paquete IP y luego trata de identificarlo como el blanco de algún tipo de operación. Una vez se identifica un objetivo, el paquete tiene que saltar por encima de él para su posterior procesamiento.
ACCEPT :
- iptables paradas de proceso.
- El paquete es entregado a la aplicación final o el sistema operativo para el procesamiento de
DROP :
- iptables paradas de proceso.
- El paquete está bloqueado
LOG:
- La información del paquete se envía al demonio syslog para el registro
- iptables continúa el proceso con la siguiente regla en la tabla
- Como no puede iniciar sesión y soltar al mismo tiempo, es común tener dos normas similares en secuencia. El primero se registro el paquete, el segundo lo deje caer.
REJECT :
- Obras como el destino de colocación, sino también devolverá un mensaje de error al host de envío del paquete que el paquete fue bloqueado
- Se utiliza para hacer red de destino de traducción de direcciones. es decir. volver a escribir la dirección IP de destino del paquete
- Se utiliza para hacer red de origen de traducción de direcciones volver a escribir la dirección IP de origen del paquete
- La dirección IP de origen es definido por el usuario
MASQUERADE:
- Se utiliza para hacer la traducción de direcciones de red de origen.
- Por defecto, la dirección IP de origen es el mismo que el utilizado por la interfaz del cortafuegos
1.2 Proteger un equipo en LINUX
entramos al terminal del linux y digitamos los siguiente
- # locate iptable esta es para allar la ubicación
- /sbin/iptables
- El sigueinete paso es -crear el script
- #CD/ROOT
- # vi firewall1 este es el nombre del que vamos a ejecutar
- -sell script
- #!/bin/sh
- #script para proteger mi equipo
- echo -n aplicando las reglas
- #limpiar tablas /flush
- /sbin/iptable -F
- /sbin/iptable -X
- /sbin/iptable -Z
- ## Establecemos politica por defecto
- /sbin/iptables −P INPUT ACCEPT
- /sbin/iptables −P OUTPUT ACCEPT
- /sbin/iptables −P FORWARD ACCEPT
- /sbin/iptables −t nat −P PREROUTING ACCEPT
- /sbin/iptables −t nat −P POSTROUTING ACCEPT
- ## Empezamos a filtrar
- # El localhost se deja (por ejemplo conexiones locales a mysql)
- /sbin/iptables −A INPUT −i lo −j ACCEPT
- # A nuestra IP le dejamos todo
- /sbin/iptables −A INPUT −s 195.65.34.234 −j ACCEPT
- # A un colega le dejamos entrar al mysql para que mantenga la BBDD
- /sbin/iptables −A INPUT −s 231.45.134.23 −p tcp −−dport 3306 −j ACCEPT
- # A un diseñador le dejamos usar el FTP
- /sbin/iptables −A INPUT −s 80.37.45.194 −p tcp −dport 20:21 −j ACCEPT
- # El puerto 80 de www debe estar abierto, es un servidor web.
- /sbin/iptables −A INPUT −p tcp −−dport 80 −j ACCEPT
- # Y el resto, lo cerramos
- /sbin/iptables −A INPUT −p tcp −−dport 20:21 −j DROP
- /sbin/iptables −A INPUT −p tcp −−dport 3306 −j DROP
- /sbin/iptables −A INPUT −p tcp −−dport 22 −j DROP
- /sbin/iptables −A INPUT −p tcp −−dport 10000 −j DROP
- echo " OK . Verifique que lo que se aplica con: iptables −L −n"
- # Fin del script
