Академический Документы
Профессиональный Документы
Культура Документы
http://elbauldelprogramador.com/internet/20-ejemplos-de...
(https://www.facebook.com/elbauldelprogramador)
(https://plus.google.com
/b/108003822606696308728/108003822606696308728)
(https://github.com/algui91)
Portada (http://elbauldelprogramador.com) opensource (http://elbauldelprogramador.com /category/opensource/) aplicaciones (http://elbauldelprogramador.com/category/opensource /aplicaciones/) 20 ejemplos de iptables para SysAdmins novatos
Buscar en el blog
Suscrbete al blog por correo electrnico Introduce tu correo electrnico para suscribirte a este blog y recibir noticaciones de nuevas entradas. nete a otros 81 suscriptores Correo electrnico Subscribir
(http://bitacoras.com/anotaciones /elbauldelprogramador.com/internet/20-ejemplos-de-iptablespara-sysadmins/)
(http://3.bp.blogspot.com/-_5WvmCXMYjk
/TvTkTNhQPUI/AAAAAAAAB88/VP8jxCu5y3A/s1600/ApplicFirewall-icon.png) Linux por defecto trae un cortafuegos llamado NetFilter. Segn el sitio ocil de proyecto:
1 de 17
Te gusta el blog?
Ahora puedes donar mediante BitCoins
01/04/13 02:13
http://elbauldelprogramador.com/internet/20-ejemplos-de...
netltes es un conjunto de hooks (Ganchos) dentro del kernel de linux que permiten a los mdulos del kernel registrar funciones callbacks con la pila de red. Una funcin callback registrada se llama entonces para cada paquete que atraviesa el hook correspondiente dentro de la pila de red.
(/articulos/securitynow-articulos/comofunciona-el-bitcoinla-cripto-moneda/):
Este rewall lo controla un programa llamado iptables que gestiona el ltrado para IPv4, y ip6tables para IPv6.
Categoras
Elegir categora
Marcadores
internautas21 (http://internautas21.c om/) Picando Cdigo (http://picandocodigo. net) Webayunate destination (http://www.webayuna te.com)
destination destination
Ejemplos de salidas:
Chain pkts Chain pkts Chain pkts INPUT (policy ACCEPT 0 packets, 0 bytes) bytes target prot opt in out source FORWARD (policy ACCEPT 0 packets, 0 bytes) bytes target prot opt in out source OUTPUT (policy ACCEPT 0 packets, 0 bytes) bytes target prot opt in out source
El resultado de arriba indica que el rewall no est activo. La siguiente salida es la del rewall activado:
Usuarios en linea
(http://whos.amung.us /stats/6tp9kpzf0d4z/)
Licencia
2 de 17 01/04/13 02:13
http://elbauldelprogramador.com/internet/20-ejemplos-de...
destination 0.0.0.0 0.0.0.0 (http://creativecommons.org 0.0.0.0 /licenses/by-nc-sa/3.0 0.0.0.0 /deed.es_ES) El Bal del Programador by destination Alejandro Alcalde 0.0.0.0 (http://www.elbauldelprogram 0.0.0.0 0.0.0.0 ador.com/) is licensed under a 0.0.0.0 Creative Commons 0.0.0.0 Reconocimiento-NoComercial0.0.0.0 CompartirIgual 3.0 Unported 0.0.0.0 License (http://creativecommons.org destination /licenses/by-nc-sa/3.0 destination /deed.es_ES). destination
INPUT (policy DROP 0 packets, 0 bytes) bytes target prot opt in out source 0 DROP all -- * * 0.0.0.0/0 43586 ACCEPT all -- * * 0.0.0.0/0 17292 ACCEPT all -- br0 * 0.0.0.0/0 142 ACCEPT all -- lo * 0.0.0.0/0 FORWARD (policy DROP 0 packets, 0 bytes) bytes target prot opt in out source 0 ACCEPT all -- br0 br0 0.0.0.0/0 0 DROP all -- * * 0.0.0.0/0 0 TCPMSS tcp -- * * 0.0.0.0/0 0 ACCEPT all -- * * 0.0.0.0/0 0 wanin all -- vlan2 * 0.0.0.0/0 0 wanout all -- * vlan2 0.0.0.0/0 0 ACCEPT all -- br0 * 0.0.0.0/0 OUTPUT (policy ACCEPT 425 packets, 113K bytes) bytes target prot opt in out source wanin (1 references) bytes target prot opt in out source wanout (1 references) bytes target prot opt in out source
Donde, -L : Muestra las reglas. -v : Muestra informacin detallada. -n : Muestra la direccin ip y puerto en formato numrico. No usa DNS para resolver nombres. Esto acelera la lista.
Salida:
Chain INPUT (policy DROP) num target prot opt source 1 DROP all -- 0.0.0.0/0 2 ACCEPT all -- 0.0.0.0/0 3 ACCEPT all -- 0.0.0.0/0 4 ACCEPT all -- 0.0.0.0/0 Chain FORWARD (policy DROP) num target prot opt source 1 ACCEPT all -- 0.0.0.0/0 2 DROP all -- 0.0.0.0/0 3 TCPMSS tcp -- 0.0.0.0/0 4 ACCEPT all -- 0.0.0.0/0 5 wanin all -- 0.0.0.0/0 6 wanout all -- 0.0.0.0/0 7 ACCEPT all -- 0.0.0.0/0 Chain OUTPUT (policy ACCEPT) num target prot opt source Chain wanin (1 references) num target prot opt source Chain wanout (1 references) num target prot opt source destination 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 destination 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 destination destination destination
Podemos usar los nmeros de lnea para borrar o aadir nuevas reglas al rewall.
3 de 17 01/04/13 02:13
http://elbauldelprogramador.com/internet/20-ejemplos-de...
Tambin se puede usar propio comando iptables para detenerlo y borrar todas las reglas.
iptables iptables iptables iptables iptables iptables iptables iptables iptables -F -X -t -t -t -t -P -P -P
nat -F nat -X mangle -F mangle -X INPUT ACCEPT OUTPUT ACCEPT FORWARD ACCEPT
Donde: -F : Borra todas las reglas. -X : Borra cadenas -t table_name : Selecciona una tabla y elimina reglas -P : Establece la poltica por defecto (como DROP , REJECT o ACCEPT)
Obtendrendremos la lista de IPs. Miramos el nmero de la izquierda y lo usamos para borrarla. Por ejemplo para borrar la lnea 4:
iptables -D INPUT 4
4 de 17
01/04/13 02:13
http://elbauldelprogramador.com/internet/20-ejemplos-de...
Salida:
Chain INPUT (policy DROP) num target prot opt source 1 DROP all -- 202.54.1.1 2 ACCEPT all -- 0.0.0.0/0 destination 0.0.0.0/0 0.0.0.0/0
state NEW,ESTABL
Salida:
Chain INPUT (policy DROP) num target prot opt source 1 DROP all -- 202.54.1.1 2 DROP all -- 202.54.1.2 3 ACCEPT all -- 0.0.0.0/0 destination 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0
state NEW,ESTABL
5 de 17
01/04/13 02:13
http://elbauldelprogramador.com/internet/20-ejemplos-de...
#10: Bloquear
6 de 17 01/04/13 02:13
http://elbauldelprogramador.com/internet/20-ejemplos-de...
Salida:
cyberciti.biz has address 75.126.153.206
Una vez conocida la direccin ip, bloqueamos todo el trco saliente para dicha ip as:
iptables -A OUTPUT -d 75.126.153.206 -j DROP
Salida:
www.facebook.com has address 69.171.228.40
Salida:
CIDR: 69.171.224.0/19
http://elbauldelprogramador.com/internet/20-ejemplos-de...
ping ICMP
http://elbauldelprogramador.com/internet/20-ejemplos-de...
9 de 17
01/04/13 02:13
http://elbauldelprogramador.com/internet/20-ejemplos-de...
Replace ACCEPT with DROP to block port: ## open port ssh tcp port 22 ## iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport ## open cups (printing service) udp/tcp port 631 for LAN users ## iptables -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 631 -j ACCEPT iptables -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 631 -j ACCEPT ## allow time sync via NTP for lan users (open udp port 123) ## iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport ## open tcp port 25 (smtp) for all ## iptables -A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT # open dns server ports for all ## iptables -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT ## open http/https (Apache) server port to all ## iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT ## open tcp port 110 (pop3) for all ## iptables -A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT ## open tcp port 143 (imap) for all ## iptables -A INPUT -m state --state NEW -p tcp --dport 143 -j ACCEPT ## open access to iptables -A INPUT iptables -A INPUT iptables -A INPUT iptables -A INPUT Samba file server -s 192.168.1.0/24 -s 192.168.1.0/24 -s 192.168.1.0/24 -s 192.168.1.0/24 for lan users only ## -m state --state NEW -p -m state --state NEW -p -m state --state NEW -p -m state --state NEW -p
## open access to proxy server for lan users only ## iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport ## open access to mysql server for lan users only ## iptables -I INPUT -p tcp --dport 3306 -j ACCEPT
#20: Restringir el nmero de conexiones paralelas a un servidor por direccion Ip del cliente.
Se puede usar connlimit para crear algunas restricciones. Para permitir 3 conexiones ssh por cliente:
iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above
donde:
10 de 17 01/04/13 02:13
http://elbauldelprogramador.com/internet/20-ejemplos-de...
connlimit-above 3 : Coincide si el nmero de conexiones existentes est por encima de 3. connlimit-mask 24 : Grupos de hosts usando el prejo de longitud. Para IPv4, debe ser un nmero entre 0 y 32 (incluyndolos.)
Es recomendable instalarse un snier (/2011/05/esnifando-la-redpruebas-de-seguridad.html) como tcpdupm y ngrep para probar la conguracin de nuestro rewall.
Conclusin
Esta entrada solo lista las reglas bsicas para los usuarios nuevos en linux. Se pueden crear reglas ms complejas. Requiere una buena comprensin de TCP/IP , tunning del kernel linux via sysctl.conf y un buen conocimiento de nuestra conguracin.
IPtables -nL para ver que estan vacias b)b. Congura la mquina para que slo se pueda acceder desde ella a las webs http://www.google.es y http://www.iesgoya.com y a ninguna otra.
11 de 17 01/04/13 02:13
http://elbauldelprogramador.com/internet/20-ejemplos-de...
iptables -A OUTPUT -d http://www.google.es -j ACCEPT iptables -A OUTPUT -d http://www.iesgoya.com -j ACCEPT iptables -A OUTPUT -p tcp dport 80 -j DROP # Mas exigente > iptables -A OUTPUT -
##como google tiene muchas IPs puede que tengamos un problema para ello realizamos lo siguiente antes de la regla EXIGENTE:
iptables -I OUTPUT 1 -d 212.106.221.0/24 -j ACCEPT iptables -I OUTPUT 1 -d 173.194.0.0/16 -j ACCEPT
c)c. Cierra todos los puertos bien conocidos menos los necesarios para acceder a estas dos webs.
iptables iptables iptables iptables -A -A -A -A OUTPUT OUTPUT OUTPUT OUTPUT -p -p -p -p TCP UDP TCP UDP dport dport dport dport 53 -j ACCEPT 53 -j ACCEPT 1:1024 -j DROP 1:1024 -j DROP
d)d. Investiga de qu forma podras hacer que las peticiones entrantes a tu mquina virtual al puerto 81 por http vayan mediante NAT al puerto 80 de la mquina local (arranca WAMP para comprobar que funciona). Arrancamos wamp en la maquina sica y comprobamos que accedemos a wamp desde localhost. Comprobamos que podemos acceder desde la maquina virtual y se encuentra cortado Miramos la IP de la maquina virtual. Ahora desde la maquina sica intentamos acceder desde el puerto 81 con la IP esa. Habilitamos el enrutamiento entre tarjetas de red de nuestro equipo:
echo 1 > /proc/sys/net/ipv4/ip_forward
e)e. Permite slo los mensajes entrantes desde la IP del compaero de tu mquina fsica (prueba desde otro sitio para ver si funciona).
12 de 17 01/04/13 02:13
http://elbauldelprogramador.com/internet/20-ejemplos-de...
f) #Activa el log sobre todas las reglas y verica que se anotan los mensajes. Insertamos en IPTABLEs las reglas para activar el log:
iptables -I FORWARD 1 -j LOG log-prefix IPTABLESFORWARD: iptables -I INPUT 1 -j LOG log-prefix IPTABLESINPUT: iptables -t nat -I PREROUTING 1 -j LOG log-prefix IPTABLESPREROUTING: iptables -t nat -I POSTROUTING 1 -j LOG log-prefix IPTABLESPREROUTING: iptables -I OUTPUT 1 -j LOG log-prefix IPTABLESOUTPUT:
NOTA: hay que ponerlas las primeras para que haga log antes de rechazarlo. #Ahora editamos el archivo:
gedit /etc/rsyslog.d/50-default.conf
#E incluimos al nal:
kern.warning /var/log/iptables.log
Eres curioso? sigue este enlace (/index.php?random=1) nete a la comunidad El Bal del Programador: RSS (/rssfeed/) | Twitter (http://twitter.com/elbaulp) (1061) | Facebook (https://www.facebook.com/elbauldelprogramador) (499) | Google+ (https://plus.google.com /b/108003822606696308728/108003822606696308728)
Comprtelo:
13 de 17
01/04/13 02:13
http://elbauldelprogramador.com/internet/20-ejemplos-de...
Cargando...
Quiz te interese...
Bloquear una IP atacando el servidor mediante iptables (http://elbauldelprogramador.com/internet/bloquear-una-ipatacanto-el-servidor-mediante-iptables/) SelfControl, aparta las distracciones de tu pc cuando ests trabajando (http://elbauldelprogramador.com/opensource /selfcontrol-aparta-las-distracciones-de-tu-pc-cuando-estastrabajando/) Por qu nuestro PC necesita un rewall activado (http://elbauldelprogramador.com/internet/por-que-nuestropc-necesita-un-rewall/) [Vdeo tutoriales] Ataque Man in the middle (http://elbauldelprogramador.com/internet/video-tutorialesataque-man-in-middle/) Esnifando la red (Pruebas de seguridad): Ettercap y Wireshark (Man in the middle) (http://elbauldelprogramador.com/internet /esnifando-la-red-pruebas-de-seguridad/) Algunos comandos tiles con iproute2 (http://elbauldelprogramador.com/opensource/aplicaciones /comandos-ss-iproute2-linux/) Unhide Forensic Tool: Encuentra puertos y procesos ocultos (http://elbauldelprogramador.com/hacking/unhide-forensictool-encuentra-puertos-y-procesos-ocultos/)
14 de 17 01/04/13 02:13
http://elbauldelprogramador.com/internet/20-ejemplos-de...
Logrando el anonimato con Tor (Parte 2) : Proxies y servidores de DNS (http://elbauldelprogramador.com/articulos/lograndoel-anonimato-con-tor-parte-2-proxies-y-servidores-de-dns/) Logrando el anonimato con Tor (Parte 1) (http://elbauldelprogramador.com/articulos/lograndoel-anonimato-con-tor-parte-1/) Cmo se almacenan tus contraseas en internet (y cuando la longitud de la misma no importa) (http://elbauldelprogramador.com/articulos/comose-almacenan-tus-contrasenas-en-internet-y-cuandola-longitud-de-la-misma-no-importa/) Posted in aplicaciones (http://elbauldelprogramador.com/category /opensource/aplicaciones/), internet (http://elbauldelprogramador.com/category/internet/), linux (http://elbauldelprogramador.com/category/linux/), seguridad (http://elbauldelprogramador.com/category/opensource /seguridad/). Tagged agregar regla de iptables (http://elbauldelprogramador.com/tag/agregar-regla-de-iptables/), bloquear acceso a ssh mediante iptables (http://elbauldelprogramador.com/tag/bloquear-acceso-a-sshmediante-iptables/), bloquear direccion iptables (http://elbauldelprogramador.com/tag/bloquear-direccioniptables/), comando iptables (http://elbauldelprogramador.com /tag/comando-iptables/), congurar iptables (http://elbauldelprogramador.com/tag/congurar-iptables/), ejemplos de rewall (http://elbauldelprogramador.com /tag/ejemplos-de-rewall/), ejemplos iptables (http://elbauldelprogramador.com/tag/ejemplos-iptables/), iptables (http://elbauldelprogramador.com/tag/iptables/), iptables con servidor debian (http://elbauldelprogramador.com/tag/iptablescon-servidor-debian/), iptables fedora 16 como (http://elbauldelprogramador.com/tag/iptables-fedora-16-como/), politicas con iptables rewall (http://elbauldelprogramador.com /tag/politicas-con-iptables-rewall/).
15 de 17
01/04/13 02:13
http://elbauldelprogramador.com/internet/20-ejemplos-de...
http://elbauldelprogramador.com/internet/20-ejemplos-de...
Reply (/internet/20-ejemplos-de-iptablespara-sysadmins/?replytocom=237#respond)
Alejandro Alcalde (http://www.elbauldelprogramador.com) said on febrero at 1:27 pm (http://elbauldelprogramador.com/internet /20-ejemplos-de-iptables-para-sysadmins/#comment-495): Muchas gracias, las he aadido al artculo. Un saludo. Reply (/internet/20-ejemplos-de-iptablespara-sysadmins/?replytocom=495#respond)
Next Post (http://elbauldelprogramador.com/so/nuevaguia-think-dierent-how-to-build/) Previous Post (http://elbauldelprogramador.com/opensource /programacion-android-insertando/) 2013 El Bal del Programador (http://elbauldelprogramador.com/), all rights reserved. Proudly powered by WordPress (http://wordpress.org/)
17 de 17
01/04/13 02:13