3 Firewalls Senati FCervantes PDF

Copyright @ Felipe Cervantes R.
O
Cortafuegos
Firewalls
Un firewall es un dispositivo que filtra el tráfico entre redes,
como mínimo dos .
Puede ser
Hardware : Cisco, Netscreen, Chcekpoint
Copyright  Felipe Cervantes R.
Software. :
Microsoft : ISA SERVER / T.M.G.
Linux : iptables : Kernel 2.4.x
ipchains : Kernel 2.2.x
ipfwadm: Kernel 2.0.x
. l.gob.pe
Cortafuegos
Firewalls
Mínimo 02 interfases de red
Establece
Reglas de filtrado sobre los paquetes entrantes y

realiza modificaciones sobre las comunicaciones (N.A:T
Tráfico : tcp, udp, icmp
Decide si el paquete : Pasa, Modifica, Se rechaza
. l.gob.pe
Cortafuegos Lamina
QUE ES INTERNET ?
Servidor Servidor dato
LAN Información LAN
Satélite
PC PC Informa- Router
dato
ción
Router
Router Router dato

PC PC
Router
Backbone
Backbone
dato
Informa-
Router Router
ción Servidor
LAN
Router
PC PC dato Router Router
datoRouter dato dato
PC
dato
Router dato
PC PC
dato ServidorLAN Quien hace
dato Routerdato Informa- posible esto
ción
PC PC
Felipe Cervantes Ruiz e
Esquema de firewall típico entre red local e internet
Firewall entre red local e internet con zona DMZ para servidores expuestos usando IPs públicas
Cortafuegos
Tipos de Firewalls
Por filtrado de paquetes :
Puede ser Estático o Dinámico

Estático: Examina Direcciones IP :Entrada y Salida
Dinámico : Paquetes Capa 3 y capa 4
A nivel de circuito : SYN , SYN/ACK , ACK
A nivel de Aplicación : PROXY
. l.gob.pe
Cortafuegos
Conocimientos Previos
-Modelo OSI : Comunicaciones
-Pila TCP / IP : Arquitectura
-Encapsulamiento : Generación de PDU´s
-Estructura de un Datagrama IPV4

-Puertos : Capas, Tipos,
- Herramientas TCP /IP

-netstat, iptables, iptraf, etc
. l.gob.pe
Estructura de un Datagrama IPV4
• IPv4 es la versión 4 del Protocolo de Internet (IP o Internet Protocol) y
constituye la primera versión de IP que es implementada de forma
extensiva. IPv4 es el principal protocolo utilizado en el Nivel de Red del
Modelo TCP/IP para Internet. Fue descrito inicial mente en el RFC 791
elaborado por la Grupo de Trabajo en Ingeniería de Internet (IETF o
Internet Engineering Task Force) en Septiembre de 1981, documento que
dejó obsoleto al RFC 760 de Enero de 1980.
• IPv4 es un protocolo orientado hacia datos que se utiliza para

comunicación entre redes a través de interrupciones (switches) de paquetes
(por ejemplo a través de Ethernet). Tiene las siguientes características:
• • Es un protocolo de un servicio de datagramas no fiable (también referido

como de mejor esfuerzo).
• • No proporciona garantía en la entrega de datos.
• • No proporciona ni garantías sobre la corrección de los datos.
• • Puede resultar en paquetes duplicado o en desorden.
Niveles de pila.
En la actualidad continúa la discusión respecto a
si el modelo TCP/IP de cinco niveles encaja
dentro del modelo OSI
Modelo Niveles
TCP/IP 5 Aplicación
4 Transporte
3 Red
2 Enlace
1 Físico.
OSI 7 Aplicación
6 Presentación
5 Sesión
4 Transporte
3 Red
2 Enlace de datos
1 Físico
Cortafuegos)
¿Qué ofrece TCP ?
Es tarea de TCP asegurar que los datos se

entreguen:
Fiablemente.
En secuencia.
Sin errores.
.
R
Control de flujo, lo que permite al receptor
regular la cantidad de datos que el emisor debe
Copyright  Felipe Cervantes
enviar.
TCP proporciona un servicio full duplex a las
aplicaciones: independiente en cada dirección.
. l.gob.pe
Cortafuegos
¿Algo más sobre TCP ?

TCP es orientado a conexión
Dos aplicaciones usando TCP deben establecer una
conexión antes de intercambiar los datos.
TCP suministra confiabilidad :
Una aplicación es dividido por TCP en segmentos.
TCP envía un segmento y espera recibir la aceptación
del extremo receptor.
Felipe Cervantes R.
TCP hace un checksum sobre su cabecera y datos.

TCP re-ordena los datos recibidos si es necesario.

TCP ofrece un servicio flujo de
A través de una conexión TCP se intercambia flujos.
Copyright
.
Cortafuegos
Concepto de acuse de recibo (ACK)

Emisor Mensaje en Receptor
la red
Envío del segmento 1
Recepción del segmento 1
Envío del ACK
Recepción del ACK 1

Envío del ACK 2
.
Cortafuegos
Acuse de recibo (ACK) - Retransmisión
Emisor Mensaje en Receptor
la red
X Debería llegar segmento 1
Debería enviar ACK 1
Debería recibir ACK
Fin del temporizador

Re-envío del segmento 1

Envío del ACK 1

.
TCP.
El mejor ejemplo de este nivel es TCP, que es un protocolo orientado
hacia conexión que resuelve numerosos problemas de fiabilidad para
proveer una transmisión de bytes fiable ya que se encarga de que los
datos lleguen en orden, tenga un mínimo de correcciones de errores, se
descarten datos duplicados, se vuelvan a enviar los paquetes perdidos o
descartados e incluya control de congestión de tráfico.
La conexiones a través de TCP tienen tres fases:
Establecimiento de la conexión.
Antes de que el cliente intente conectarse con el servidor, éste último
debe primero ligarse hacia el puerto para abrirlo para las conexiones, es
decir, una apertura pasiva. Una vez establecida el cliente puede iniciar
la apertura activa. Se requiere de un saludo de tres etapas:

La apertura activa se realiza enviando un paquete SYN
(sincroniza) hacia el servidor.
En respuesta, el servidor responde con un paquete SYN-ACK
(conformación de sincronización).
Finalmente el cliente envía un paquete ACK (confirmación) de
regreso hacia el servidor.
En este punto tanto cliente como servidor han recibido una conformación de
la conexión.
Transferencia de datos.
Hay tres funciones clave que diferencian a TCP de UDP:
Transferencia de datos libre de errores.
Transferencia de datos ordenada.
Retransmisión de paquetes perdidos.
Descartado de paquetes duplicados.
Ajuste en la congestión de la transmisión de datos.
Terminación de la conexión.
Esta etapa utiliza un saludo de tres vías, con cada extremo de la conexión
terminando independientemente. Cuando una de los extremos desea detener
su parte de la conexión, envía un paquete FIN, que la otra parte confirma con
un paquete ACK. Por tanto una interrupción de la conexión requiere un par
de paquetes FIN y ACK desde cada lado de la conexión TCP.

Una conexión puede quedar abierta a medias cuando uno de los extremos ha
terminado la conexión desde su lado pero el otro extremo no. El extremo que
terminó la conexión ya no puede enviar datos en la conexión, pero el el otro
extremo si.
El método más común sea un saludo de tres etapas donde un anfitrión A
envía un paquete FIN y el anfitrión B responde con un paquete FIN y un ACK
(en el mismo paso) y el anfitrión A responde con un paquete ACK.
TCP realiza las siguientes etapas en su zócalo:
LISTEN
SYN-SENT
SYN-RECEIVED
ESTABLISHED
FIN-WAIT-1
FIN-WAIT-2
CLOSE-WAIT
CLOSING
LAST-ACK
TIME-WAIT
CLOSED
LISTEN representa la conexión en espera de peticiones desde cualquier puerto
TCP remoto. SYN-SENT representa la espera del TCP remoto para enviar de
regreso el paquete TCP estableciendo banderas SYN y ACK. SYN-RECIVED

representa la espera para el TCP remoto para enviar de regreso la confirmación
después de haber enviado de regreso otra confirmación de conexión al TCP
remoto (establecido por el servidor TCP). ESTABLISHED representa que el
puerto está listo para recibir/enviar datos desde/hacia el TCP remoto (lo hacen
tanto clientes como servidores TCP). TIME-WAIT representa el tiempo de
espera necesario para asegurar que el TCP remoto ha recibido la confirmación
de su solicitud de terminación de la conexión.
UDP.
UDP, a veces referido sarcásticamente como Unreliable Datagram
Protocol (Protcolo no fiable de datagrama), es un protocolo de
datagrama sin corrección; no provee las garantía de fiabilidad y
ordenamiento de TCP a los protocolos del Nivel de Aplicación y los
datagramas pueden llegar en desorden o perderse sin notificación.
Como consecuencia de lo anterior es que UDP es un protocolo más
rápido y eficiente para tareas ligeras o sensibles al tiempo proveiendo
una interfaz muy simple entre el Nivel de Red y Nivel de Aplicación.
Si se requiere algún tipo de fiabilidad para los datos transmitidos, esta
debe ser implementada en los niveles superiores de la pila.
Al igual que IP, y a diferencia de TCP, es un protocolo de mejor

esfuerzo o no-fiable. El único problema de fiabilidad que resuelve es la
corrección de errores en la cabecera y datos transmitidos a través de
un campo de 16 bits para suma de verificación (checksum), una
forma de control de redundancia con la finalidad de proteger la
integridad de datos verificando que no hayan sido corrompidos.
La estructura de paquetes UDP consiste de 4 campos.
Puerto de origen. Encargado de identificar el puerto que envía y que se
asume será el puerto hacia donde se envía la respuesta si se necesita. Este
campo es opcional: si no se utiliza, el valor del campo debe ser 0.
Puerto de destino. Identifica el puerto de destino. Es obligatorio.
Longitud. Un campo de 16 bits que especifica la longitud del datagrama
completo: cabecera y datos. La longitud mínima es de 8 bytes ya que es la
longitud misma de la cabecera.
Suma de verificación. Un campo de 16 bits que se utiliza para verificar
errores en cabecera y datos.
Las aplicaciones más comunes que hacen uso de este tipo de protocolo son
DNS, aplicaciones de transmisión de medios, voz sobre IP (VoIP), TFTP y
juegos en línea.
el Nivel de Transporte para determinar donde
corresponden los protocolos ARP y RARP.
Nivel Nombre Descripción

7 Aplicación HTTP, SMTP, SNMP, FTP,
Telnet, SIP, SSH, NFS, RTSP,
XMPP (Extensible Messaging
and Presence Protocol), Whois,
ENRP Telnet.
6 Presentación XDR (External Data
Representation), ASN.1
(Abstract Syntax Notation 1),
SMB (Server Message
Block),AFP (Apple Filing
Protocol), NCP (NetWare Core
. Protocol)
R
5 Sesión ASAP (Aggregate Server
Access Protocol), TLS, SSH,
ISO 8327 / CCITT X.225, RPC
C
(Remote Procedure Call),
NetBIOS, ASP (Appletalk
er Session Protocol), Winsock,
BSD sockets
va
4gh Transporte TCP, UDP, RTP, SCTP, SPX,
t
ATP, IL
nt FelipeFelipe
2 Enlace de datos Ethernet, Token ring, HDLC,
Frame relay, ISDN, ATM,
802.11 WiFi, FDDI, PPP
1 Físico Define todas las

especificaciones físicas y
eléctricas de los dispositivos,
como son disposición de pines,
voltajes, especificaciones de
cableado, concentradores,
repetidores, adaptadores de
red, etc.
. Cable, Radio, fibra óptica,
R
Red por palomas.
er
Copyright 
va
nt
Cortafuegos
Concepto de puertos
Para identificar a las diferentes aplicaciones
el protocolo TCP/IP envía cada paquete con un
número conocido como puerto.
Los puertos definen los protocolos de aplicación

Los puertos NO identifican el programa de
aplicación actual que está ejecutándose.
Un puerto puede estar entre 0 hasta 65 535.

Puertos entre 0 hasta 1023 son para servicios
estandarizados.
Un puerto distingue diferentes protocolos de
aplicación para un protocolo de transporte
Protocolo de Internet-UDP
Idea de puerto
Aplica- Aplica-
ción A ción A
1 2 n 1 2 n
Cervantes R.
eli Quien hace esto ?

Copyright F
pe
Los protocolos UDP o TCP.
Cortafuegos
Concepto importante-Socket
Que es un socket o conector?.
Dirección IP + puerto  Socket

IP= 200.37.131.49 IP= 138.4.53.45
1234 55
Conexión
IP= 201.37.130.50
28 Socket define
los puntos extremos
de una conversación
Escenario de Configuración
Política por Defecto
• Denegar Todo, Añadir lo requerido
Aceptar Todo, Denegar lo requerido

IPTABLES
• Es un sistema de firewall vinculado al kernel

de linux
• Enlace:
- Página oficial: http://www.netfilter.org
• Autor : Paul Rusty Russel
• Licencia : GPL
• Objetivo : Establecer canales de entrada y

procesar los paquetes de acuerdo a un conjunto
de reglas y enviarlas a un canal de salida
Cortafuegos
TABLAS BASICAS
• Permite
• a.- Filtrar
• a.1.- INPUT
• a.2.- OUTPUT
• a.3.- FORWARD
• b.- Enmascarar
• b.1- PREROUTING
• b.2- POSTROUTING
•
Cortafuegos
IPTABLES - SINTAXIS
• iptables command rule-specification extensions

• -A añade -p (tcp,udp,icmp)
• -I inserta -s (address/mask:port) (origen)
• -D borra
• -R reemplaza --dport x
• -L Lista - dport x:y
• -F Flushing -j objetivo ACCEPT /DROP
• -Z -i interfase de entrada
• -X -o interfase de salida
• -P Política -t nat
Cortafuegos
IPTABLES – LIMPIEZA
• Es recomendable que se limpien las políticas

actuales al iniciar la configuración de políticas.
• # iptables -F INPUT
• # iptables -F OUTPUT
• # iptables -F FORWARD
• # iptables -t nat –F PREROUTING

• # iptables –t nat –F POSTROUTING
Cortafuegos
IPTABLES – POLITICA POR DEFECTO -DROP
• Se debe explicitar la conexión en ambos

sentidos, más trabajo pero más seguro
# iptables –P INPUT DROP
• # iptables -P OUTPUT DROP
• # iptables -P FORWARD DROP
• # iptables -t nat –P PREROUTING DROP

• # iptables –t nat –P POSTROUTING DROP
Cortafuegos
• Nota :
• El orden en que se establecen las reglas es
importante
• El paquete entrante es comparado con las
reglas del firewall hasta que se encuentra una
(MATCH) y hace lo que dicte esta regla
(ACCEPT / DROP).
• Luego no se miran más reglas para ese paquete
.
Cortafuegos
IPTABLES – BORRADO DE REGLAS
• Opción -D
• Ejemplo
• # iptables -D OUPTUP 2
• Se borra la 2da regla de la cadena de

• salida
BLOQUEO AL FIREWALL
• Firewall Atacante
# iptables -P INPUT DROP

PERMISO LOCALHOST
• La interfase Localhost es afectada por el bloqueo .
• Sin embargo varios procesos internos del firewall
realizan conexiones a su interfase LOCALHOST.
• Para permitir libre comunicación con la interfase
LOCALHOST
• De entrada
• # iptables –A INPUT –i lo –j ACCEPT
• De salida
• # iptables –A OUTPUT –o ethx –j ACCEPT
PERMISO a nuestro IP
– # iptables –A INPUT –s Dir_IP –j ACCEPT
PERMISO de acceso desde mi IP

- # iptables –A INPUT –s Dir_IP/MASK –i ethx –j ACCEPT

Depuración del Firewall
• Vía
• iptraf: Muestra en tiempo real
• Origen /Destino (direcciones IP)
• Puertos
• Tráfico Total
• nmap : Herramienta para escanear

• puertos
Depuración del Firewall
• Considerar
#iptables –A INPUT –s Dir_IP –j ACCEPT $$ echo ¨regla -21 OK¨
Si se ejecuta la regla , entonces OK

Cortafuegos
Firewalls
Un firewall consta de lista de reglas de
- Aceptación
- Denegación
Definen explicitamente si los paquetes :

- Pasan
- Rechazan
- Enmascarán
Usan Campos del encabezado del paquete (Datagrama)
.
Cortafuegos
Firewalls
Se basa en :
- Interfase y dirección IP del Host
- Dirección Origen y Destino
- Puertos TCP y UDP
- Indicadores de conexión TCP
- Tipos de mensaje ICMP
- Si el paquete es entrante o saliente
.
Cortafuegos
Firewalls
No todos los protocolos se prestan para el filtrado

de paquetes
Firewall no chequea autenticación.
No confirma quien es el emisor.

No visualiza los datos que transportan los paquetes
.
Cortafuegos
Paquete
Colección de datos en diferentes tamaños y
Formatos
A la salida del emisor se fragmentan los datos
Los paquetes se utilizan para transportar datos per
Algunos protocolos usan los paquetes de forma
especial.
TCP utiliza un paquete SYN (sin datos) para iniciar
Sesión entre sistemas
Conexión 3 Way Hand-Shake

SYN
SYN –ACK
ACK
.
Cortafuegos
Forwardeo
Propiedad e los equipos de comunicación de enviar
paquetes de una red a otra.
El firewall opera básicamente como un router que

interconecta 2 redes : Privada y Pública
Para habilita el Forwardeo en Linux, editar:

/etc/sysctl.conf
net.ipv4.ip_forward=1
Otra forma
echo 1 > /proc/sys/net/ipv4/ip.forward

.
Enmascaramiento
TIPOS
PREROUTING / DNAT
Dirección Red Pública ---€ Privada
Modifica Dirección IP destino
POSTROUTING / SNAT
Dirección Red Privada---€ Pública

Modifica Dirección IP origen
. l.gob.pe
Bloqueo de Entrada - Salida Enmascaramiento
# iptables –t nat –P PREROUTING DROP

Firewall
DROP DROP
Internet
Estaciones
# iptables –t nat –P POSTROUTING DROP
Enmascaramiento POSTROUTING SNAT
El enmascaramiento SNAT POSTROUTING realiza el proceso de reemplazar

el IP origen de los paquetes de la red local por la IP externa 192.168.2.5 que
pertenece al enmascarador (Firewall)
192.168.31.5
192.168.12.5 192.168.31.1
Firewall Estaciones
Internet
# iptables –t nat –A POSTROUTING –s RedPrivada/MASK -j MASQUERADE
# iptables –t nat –A POSTROUTING –s 192.168.31.0/24 -j MASQUERADE

Enmascaramiento POSTROUTING SNAT
Para permitir que una IP de la Red Privada salga con una determinada
IP Pública independiente de la Ip que se esta utilizando , realizar lo
siguiente
Firewall 192.168.31.3
192.168.12.5 192.168.31.1
192.168.12.6
Correo
Internet
eth0
# iptables –t nat –A POSTROUTING –s 192.168.31.3 –o eth0 -j SNAT –to 192.168.2.6

Enmascaramiento PREROUTING DNAT
El enmascaramiento DNAT PREROUTING realiza el proceso de reemplazar

el IP de la Red Pública hacia la red Local Privada.
192.168.31.2
192.168.12.5 192.168.31.1
Firewall WEB SERVER

Internet
# iptables –t nat –A PREROUTING –p tcp –d IP_Publica –-dport:puerto

–j DNAT –to Dir_IP_Privada _Puerto
# iptables –t nat –A PREROUTING –p tcp –d 192.168.2.5 –-dport:80

–j DNAT –to 192.168.31.2:80
Enmascaramiento PREROUTING DNAT
Para relacionar otra IP Pública con un servidor de la red Privada al Firewall se

agregará la respectiva IP Pública usando ifconfig.
Luego con la política de redireccoinamiento se relacionará la IP Pública con
la IP Privada Firewall 192.168.31.2
192.168.12.5 Correo
192.168.31.1
192.168.12.6
Internet
eth0 192.168.31.3
Correo
# ifconfig eth0:0 192.168.12.6 netmask 255.255.255.0
# iptables –t nat –A PREROUTING –p tcp –d 192.168.12.6 –-dport:25

–j DNAT –to 192.168.31.3:25
Firewalls - Escenario
LAN 1 192.168.2.0 / 24
Firewall 192.168.1.1
192.168.2.1 192.168.1.2
Router
eth0 eth1
LAN 1 192.168.3.0 /24
Internet
200.20.54.1
WEB eth2
F.T.P. DNS WEBMIN
.2 .3 SMTP .5 .6
.4
200.20.54.0 / 24
D.M.Z:
Configuración de Firewalls
-Política por Defecto : Denegación
-Limpiado de Reglas
-Medidas de Seguridad Bidireccional
-Se podrá gestionar el firewall desde

-LAN 1 PC .25
-Lan 2 Pc .30
-Puerto HTTP debe estar abierto
-Desde las PCs indicadas se podrán administrar

al FTP SERVER
-Declarar eth0 para INPUT
- eth1 para OUTPUT
. - eth2 para FORWARD l.gob.pe
Configuración de Firewalls
-Establecer Reglas de desvío para todos los

servidores DMZ
-Configure el Firewall para que se inhablite el Ping

de la Muerte.
. l.gob.pe
FIREWALL - ESCENARIO
IPTABLES – LIMPIEZA
• .
• # iptables -F INPUT
• # iptables -F OUTPUT
• # iptables -F FORWARD
• # iptables -t nat –F PREROUTING
• # iptables –t nat –F POSTROUTING

Cortafuegos
# iptables –P INPUT DROP

• # iptables -P OUTPUT DROP
• # iptables -P FORWARD DROP
• # iptables -t nat –P PREROUTING DROP
• # iptables –t nat –P POSTROUTING DROP

PERMISO LOCALHOST
• # iptables –A INPUT –i lo –j ACCEPT

PERMISO DE ACCESO a nuestro IP
# iptables –A INPUT –s 192.168.2.25 –j ACCEPT
# iptables –A OUTPUT –d 192.168.2.25 –j ACCEPT

Para el resto no hay acceso al Firewall
# iptables –A INPUT –s 0.0.0.0 /0 –j DROP

Definiendo reglas para los
SERVIDORES
Como serán manejados los paquetes con destino
a estos equipos : FORWARD.
Ejemplo
- Para WEB SERVER : puerto 80
#iptables -A FORWARD –d IP_WEB -p tcp – dport 80 –j ACCEPT

#iptables -A FORWARD –s IP_WEB -p tcp – sport 80 –j ACCEPT
Acceso a nuestro IP para administrarlo
Ejemplo
- Para WEB SERVER : puerto 80
#iptables -A FORWARD –s IP_MIO -p tcp – dport 22 –j ACCEPT

#iptables -A FORWARD –s IP_WEB -p tcp – sport 22 –j ACCEPT


3 Firewalls Senati FCervantes PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

3 Firewalls Senati FCervantes PDF

Încărcat de

Drepturi de autor:

Formate disponibile

Copyright @ Felipe Cervantes R.

Mínimo 02 interfases de red

Reglas de filtrado sobre los paquetes entrantes y

Tráfico : tcp, udp, icmp

Decide si el paquete : Pasa, Modifica, Se rechaza

Router Router dato

Puede ser Estático o Dinámico

A nivel de Aplicación : PROXY

-Pila TCP / IP : Arquitectura

-Encapsulamiento : Generación de PDU´s

-Estructura de un Datagrama IPV4

-Puertos : Capas, Tipos,

- Herramientas TCP /IP

• IPv4 es un protocolo orientado hacia datos que se utiliza para

• • Es un protocolo de un servicio de datagramas no fiable (también referido

Es tarea de TCP asegurar que los datos se

¿Algo más sobre TCP ?

TCP hace un checksum sobre su cabecera y datos.

Concepto de acuse de recibo (ACK)

Envío del segmento 2

Fin del temporizador

Re-envío del segmento 1

Recepción del ACK 1

la apertura activa. Se requiere de un saludo de tres etapas:

de paquetes FIN y ACK desde cada lado de la conexión TCP.

regreso el paquete TCP estableciendo banderas SYN y ACK. SYN-RECIVED

Al igual que IP, y a diferencia de TCP, es un protocolo de mejor

Nivel Nombre Descripción

1 Físico Define todas las

Los puertos definen los protocolos de aplicación

Un puerto puede estar entre 0 hasta 65 535.

eli Quien hace esto ?

Que es un socket o conector?.

Dirección IP + puerto  Socket

• Denegar Todo, Añadir lo requerido

Aceptar Todo, Denegar lo requerido

• Es un sistema de firewall vinculado al kernel

• Objetivo : Establecer canales de entrada y

• iptables command rule-specification extensions

• Es recomendable que se limpien las políticas

• # iptables -t nat –F PREROUTING

• Se debe explicitar la conexión en ambos

• # iptables -t nat –P PREROUTING DROP

• Se borra la 2da regla de la cadena de

# iptables -P INPUT DROP

PERMISO de acceso desde mi IP

- # iptables –A INPUT –s Dir_IP/MASK –i ethx –j ACCEPT

• nmap : Herramienta para escanear

#iptables –A INPUT –s Dir_IP –j ACCEPT $$ echo ¨regla -21 OK¨

Si se ejecuta la regla , entonces OK

Definen explicitamente si los paquetes :

- Si el paquete es entrante o saliente

No todos los protocolos se prestan para el filtrado

Firewall no chequea autenticación.

No confirma quien es el emisor.

No visualiza los datos que transportan los paquetes

Conexión 3 Way Hand-Shake

El firewall opera básicamente como un router que

Para habilita el Forwardeo en Linux, editar:

echo 1 > /proc/sys/net/ipv4/ip.forward

Modifica Dirección IP destino

Dirección Red Privada---€ Pública

# iptables –t nat –P PREROUTING DROP