Firewall IPTABLES (teoria)

Firewall (1)

 

IPTABLES

Iptables es  framework disponible en el núcleo Linux que permite interceptar y manipular paquetes de red su finalidad principal es la de Firewall.

El kernel de linux tiene la capacidad de hacer pasar los paquetes por una serie reglas agrupadas por cadenas que a su vez se agrupan por tablas.

al entrar un paquete pasa por todas las reglas y tablas configruadas si existe una coincidencia se acepta «ACCEPT» o se rechaza «DROP»

Si no coincide con ninguna regla se aplica la configuracion por defecto que puede ser tanto aceptar como rechazar.

 

TABLAS

Por defecto existen 4 tablas

  1. Filter: Se encarga del filtrado de paquetes
  • INPUT -> Cadena donde estan las reglas de los paquetes que recibe la misma maquina donde se configura IPTABLES
  • OUTPUT -> Paquetes Generados por la maquina donde se configura IPTABLES
  • FORWARE -> Paquetes enrutados por la maquina  que tiene IPTABLES configurado (generados por otras maquinas)2.

2. NAT Se producen los procesos de NAT que se configuran por IPTABLES

  • PREROUTING cadena que realiza DNAT (destination NAT) los paquetes entrantes (se abren los puertos) pasan antes de ser entutados
  • POSTROUTING despues de decidir el enrutado. SNAT (source NAT)
  • OUTPUT: Paquetes que usa la misma maquina donde se configura IPTABLES

        3.MANGLE puede manipular el comportamiento de los paquetes. tiempo de vida del paquete tipo de servicio balanceos de carga etc.

  •  PREROUTING
  • INPUT
  • FORWARD
  • OUTPUT
  • POSTROUTING

4. RAW es para no marcar los paquetes y no los siga netfilter (evolucion de iptables)

  • PREROUTING
  • OUTPUT

ESTRUCTURA BASICA DE CONFIGURACION IPTABLES.

iptables -t «Nombre de la tabla» -A «cadena» «opciones» -j «acciones»

Ejm:

#iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp –dport 22 -j DROP

#iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp –sport 22 -j DROP

entra el paquete a la tabla filter y hace un forward ya que no lo ha generado la misma maquina que tiene configurado el iptables de la interface de entrada eth1 a la de salida eth0 mediante el protocolo tcp con destino al puerto 22 y con la accion de rechazarlo, en la segunda linea se rechaza la respuesta.

¿Que reglas tenemos?

con #iptables -t «Nombre de la tabla» -nvL podremos listar las reglas activas

eliminar reglas de IPTABLES

iptables  -t nat -D POSTROUTING 1

Limpieza de temporales 

#iptables -t «Nombre de la tabla» -F (F de flush)

Modificar politicas por defecto

iptables -t «Nombre_tabla» -P «Cadena» «politica»

#iptables -t filter -P INPUT DROP (rechazar todo el trafico)

 

ATENCION!

Por defecto las reglas insertadas en la consola son Vólatiles para hacerlas permanentes se tendria que hacer un Script de bash y hacer que arranque son el SO  o utilizando iptables-save, iptables-restore, iptable,apply

en otro articulo ejemplos!

 

 

 

 

 

 

 

 

 

 

Add Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.