Академический Документы
Профессиональный Документы
Культура Документы
http://www.linux-party.com/index.php/7980-20-ejemplos-ipta...
Buscar... Buscar... Buscar Inicio Cerebro Humano de 2600 aos perfectamente conservado.
1 of 15
07/09/12 19:21
http://www.linux-party.com/index.php/7980-20-ejemplos-ipta...
Por encima de la produccin indica que el rewall no est activa. El siguiente ejemplo muestra un rewall activo: # iptables -L -n -v Salidas de la muestra:
Chain pkts 0 394 93 1 Chain pkts 0 0 0 0 0 0 0 Chain pkts Chain pkts Chain pkts INPUT (policy DROP 0 packets, 0 bytes) bytes target prot opt in out source 0 DROP all -- * * 0.0.0.0/0 43586 ACCEPT all -- * * 0.0.0.0/0 17292 ACCEPT all -- br0 * 0.0.0.0/0 142 ACCEPT all -- lo * 0.0.0.0/0 FORWARD (policy DROP 0 packets, 0 bytes) bytes target prot opt in out source 0 ACCEPT all -- br0 br0 0.0.0.0/0 0 DROP all -- * * 0.0.0.0/0 0 TCPMSS tcp -- * * 0.0.0.0/0 0 ACCEPT all -- * * 0.0.0.0/0 0 wanin all -- vlan2 * 0.0.0.0/0 0 wanout all -- * vlan2 0.0.0.0/0 0 ACCEPT all -- br0 * 0.0.0.0/0 OUTPUT (policy ACCEPT 425 packets, 113K bytes) bytes target prot opt in out source wanin (1 references) bytes target prot opt in out source wanout (1 references) bytes target prot opt in out source destination 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 destination 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 destination destination destination
Cuando, -L: Lista de reglas. -V: Muestra informacin detallada. Esta opcin hace que el comando de la lista muestra el nombre de la interfaz, las opciones de la regla, y las mscaras TOS. Los contadores de bytes y de paquetes tambin estn en la lista, con 'K' el sujo 'M' o 'G' para 1000, 1.000.000 y multiplicadores de 1,000,000,000, respectivamente. -N: la direccin IP y el puerto de visualizacin en formato numrico. No utilizar DNS para resolver nombres. Esto acelerar la lista.
2 of 15
07/09/12 19:21
http://www.linux-party.com/index.php/7980-20-ejemplos-ipta...
Puede utilizar los nmeros de lnea para eliminar o insertar nuevas reglas en el cortafuegos.
3 of 15
07/09/12 19:21
http://www.linux-party.com/index.php/7980-20-ejemplos-ipta...
Chain INPUT (policy DROP) num target prot opt source 1 DROP all -- 202.54.1.1 2 ACCEPT all -- 0.0.0.0/0
state NEW,ESTABLISHED
Para insertar la regla entre el 1 y 2, escriba: # iptables -I INPUT 2 -s 202.54.1.2 -j DROP Para ver las reglas actualizadas, escriba: # iptables -L INPUT -n --line-numbers Salidas de la muestra:
Chain INPUT (policy DROP) num target prot opt source 1 DROP all -- 202.54.1.1 2 DROP all -- 202.54.1.2 3 ACCEPT all -- 0.0.0.0/0 destination 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0
state NEW,ESTABLISHED
4 of 15
07/09/12 19:21
http://www.linux-party.com/index.php/7980-20-ejemplos-ipta...
Para restaurar las reglas del cortafuegos formar un archivo llamado / root / my.active.rewall.rules, escriba: # iptables-restore < /root/my.active.rewall.rules Para restaurar las reglas del rewall en CentOS / RHEL / Fedora Linux, escriba: # service iptables restart
# 8.1: rangos de direcciones IPv4 para redes privadas (asegrese de que se bloquean en la interfaz pblica)
10.0.0.0/8 -j (A) 172.16.0.0/12 (B)
5 of 15 07/09/12 19:21
http://www.linux-party.com/index.php/7980-20-ejemplos-ipta...
Anote su direccin IP y escriba lo siguiente para bloquear todo el trco saliente a 75.126.153.206: # iptables -A OUTPUT -d 75.126.153.206 -j DROP Puede utilizar una subred de la siguiente manera: # iptables -A OUTPUT -d 192.168.1.0/24 -j DROP # iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j DROP
6 of 15
07/09/12 19:21
http://www.linux-party.com/index.php/7980-20-ejemplos-ipta...
Buscar CIDR para 69.171.228.40, escriba: # whois 69.171.228.40 | grep CIDR Salidas de la muestra:
CIDR: 69.171.224.0/19
Para prevenir el acceso externo a www.facebook.com, escriba: # iptables -A OUTPUT -p tcp -d 69.171.224.0/19 -j DROP Tambin puede usar el nombre de dominio, escriba: # iptables -A OUTPUT -p tcp -d www.facebook.com -j DROP # iptables -A OUTPUT -p tcp -d facebook.com -j DROP Desde la pgina del manual de iptables: ... especicar cualquier nombre que se resuelve con una consulta a distancia, tales como DNS (por ejemplo, facebook.com es realmente una mala idea), una direccin IP de la red (con / mscara), o una simple direccin IP ...
http://www.linux-party.com/index.php/7980-20-ejemplos-ipta...
entradas de registro
El mdulo M-lmite puede limitar el nmero de entradas de registro creadas por el tiempo. Esto se utiliza para prevenir la inundacin de su archivo de registro. Para registrar y descartar la suplantacin por 5 minutos, en rfagas de ms de 7 entradas. # iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m limit --limit 5/m --limit-burst 7 -j LOG --log-prex "IP_SPOOF A: " # iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
### ** assumed that default INPUT policy set to DROP ** ############# iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT ## ** all our server to respond to pings ** ## iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 7000:7010 -j ACCEPT
8 of 15
07/09/12 19:21
http://www.linux-party.com/index.php/7980-20-ejemplos-ipta...
9 of 15
07/09/12 19:21
http://www.linux-party.com/index.php/7980-20-ejemplos-ipta...
## open tcp port 143 (imap) for all ## iptables -A INPUT -m state --state NEW -p tcp --dport 143 -j ACCEPT ## open access to iptables -A INPUT iptables -A INPUT iptables -A INPUT iptables -A INPUT Samba file server -s 192.168.1.0/24 -s 192.168.1.0/24 -s 192.168.1.0/24 -s 192.168.1.0/24 for lan users only ## -m state --state NEW -p -m state --state NEW -p -m state --state NEW -p -m state --state NEW -p tcp tcp tcp tcp --dport --dport --dport --dport 137 138 139 445 -j -j -j -j ACCEPT ACCEPT ACCEPT ACCEPT
## open access to proxy server for lan users only ## iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 3128 -j ACCEPT ## open access to mysql server for lan users only ## iptables -I INPUT -p tcp --dport 3306 -j ACCEPT
Usted puede utilizar el mdulo connlimit para imponer restricciones. Para permitir las conexiones ssh 3 por host cliente, entre: # iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT Establecer las peticiones HTTP a 20: # iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP Cuando, 1. - Connlimit-por encima de 3: Coincidir si el nmero de conexiones existentes est por encima de 3. 2. - Connlimit mscara de 24: Grupo de los ejrcitos con la longitud del prejo. Para IPv4, este debe ser un nmero entre (incluido) 0 y 32.
10 of 15
07/09/12 19:21
http://www.linux-party.com/index.php/7980-20-ejemplos-ipta...
# netstat -tulpn Averige si el puerto TCP 80 abierto o no, escriba: # netstat -tulpn | grep :80 Si el puerto 80 no est abierto, inicie el Apache, escriba: # service httpd start Haga iptables seguro que permite el acceso al puerto 80: # iptables -L INPUT -v -n | grep 80 De lo contrario abrir el puerto 80 utilizando los iptables para todos los usuarios: # iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT # service iptables save Utilice el comando telnet para ver si el rewall permite la conexin al puerto 80: $ telnet www.cyberciti.biz 80 Salidas de la muestra:
Trying 75.126.153.206... Connected to www.cyberciti.biz. Escape character is '^]'. ^] telnet> quit Connection closed.
Usted puede utilizar nmap para probar su propio servidor con la siguiente sintaxis: $ nmap -sS -p 80 www.cyberciti.biz Salidas de la muestra:
Starting Nmap 5.00 ( http://nmap.org ) at 2011-12-13 13:19 IST Interesting ports on www.cyberciti.biz (75.126.153.206): PORT STATE SERVICE 80/tcp open http Nmap done: 1 IP address (1 host up) scanned in 1.00 seconds
Tambin te recomiendo que instalar y utilizar sniffer como tcpdupm y ngrep para probar la conguracin del rewall. Conclusin: Este mensaje slo una lista de reglas bsicas para los nuevos usuarios de Linux. Usted puede crear y construir reglas ms complejas. Esto requiere una comprensin adecuada de TCP / IP, optimizacin del kernel de Linux a travs de sysctl.conf, y un buen conocimiento de su propia conguracin. Mantngase atento a los temas siguientes: Stateful Packet Inspection. Uso de ayudantes de seguimiento de conexiones. Traduccin de direcciones de red. Capa 2 de ltrado. Herramientas de pruebas de Firewall. Tratar con VPN, DNS, Web, Proxy, y otros protocolos.
11 of 15
07/09/12 19:21
http://www.linux-party.com/index.php/7980-20-ejemplos-ipta...
1000 simbolos
Refescar
Enviar
JComments
Categora: Seguridad
Like 0 Twittear 0 0
Siguenos:
12 of 15
07/09/12 19:21
http://www.linux-party.com/index.php/7980-20-ejemplos-ipta...
Tu herramienta favorita de programacin (RAD, IDE) Anjuta (IDE) Arcadia (IDE) Eclipse (IDE) Gambas (RAD) Geany (IDE) KDevelop (RAD/IDE) KompoZer (RAD) Lazarus (RAD) NetBeans (IDE) Zend Studio (IDE) Otro (comentarios, por favor)
Vote
View details Tenemos 180 visitantes y ningun miembro en Lnea Noticias de Linux y tecnologa
13 of 15
07/09/12 19:21
http://www.linux-party.com/index.php/7980-20-ejemplos-ipta...
Tutorial de Linux
Prximamente descargable... Cmo congurar la tarjeta de Red Inalmbrica ( WiFi ) en Linux. Manual para hackear una red wi Cambiar la Hora y la Fecha al sistema Linux Cmo congurar el Modem USB o Tarjeta GPRS / 3G para Linux. Exportar Bases de Datos de Access (MDB) a MySQL Cmo bloquear fotos e imgenes porno con SafeSquid, servidor proxy 40 cosas que probablemente no sepas sobre Linux Sexo, Violencia, y Tensin en los Juegos. Tutorial de C/C++, programar paso a paso, para Linux, Windows y Mac ERROR 1045: Access denied for user: 'root@localhost' (Using password: YES) Programar y depurar en un IDE para PHP, plugin phpeclipse, xdebug y Remote debug Lara Croft Desnuda! No encuentro la pgina de los cojones Redireccionar puertos ( iptables / ipchains / proxy / squid ) Instalar Microsoft Ofce en Linux (con Wine) Activar Compiz Fusion en Ubuntu 8.10 Desktop (NVIDIA GeForce FX 5200) Conexin Linux GPRS/EDGE via bluetooth, Cmo. Descargar videos de YouTube y Google video con Firefox Servidor de Archivos Samba con SWAT en Fedora. Incluir Repositorios en Fedora
Escribir en la consola Linux, sin que quede registrado en el history (1) Montar un Linux Terminal Server, y acceder desde Windows o Linux (7) Torvalds se mosquea por la pataleta de Icaza, y es que Gnome no es Linux, Sr. Icaza. (2) Un nuevo virus destruye documentos, fotografas y vdeos almacenados (2) Debian ser la primera distro Linux que cambiar GNOME por Xfce en su prxima versin 7.0 (1) Utilizar dispositivos RAW, por ejemplo LVM, en mquinas VirtualBox (1) LinuxParty migrar su contenido a Joomla (1) Servidor de Terminal Server para Linux, si si, para Linux. (3) Quines son ms inteligentes, las rubias o las morenas? (2) Solucionar cuando ''No puedo entrar en mi (nuevo) phpmyadmin'' (1)
14 of 15
07/09/12 19:21
http://www.linux-party.com/index.php/7980-20-ejemplos-ipta...
15 of 15
07/09/12 19:21