pasan de una red a la otra y en funcin de lo que sean permite o deniega su paso. Para permitir o denegar una comunicacin el firewall examina el tipo de servicio al que corresponde, como pueden ser el web, el correo o el IRC. Dependiendo del servicio el firewall decide si lo permite o no. Adems, el firewall examina si la comunicacin es entrante o saliente y dependiendo de su direccin puede permitirla o no.
Si utiliza CentOS 5 y 6, Red Hat Enterprise
Linux 5 o 6, solo se necesita realizar lo siguiente para instalar o actualizar el equipamiento lgico necesario: yum y install iptables
Establecen cual es la accin a tomar por defecto ante
cualquier tipo de conexin. La opcin -P cambia una poltica para una cadena. En el siguiente ejemplo se descartan (DROP) todas las conexiones que ingresen (INPUT), todas las conexiones que se reenven (FORWARD) y todas las conexiones que salgan (OUTPUT), es decir, se descarta todo el trfico que entre desde una red pblica y el que trate de salir desde la red local.
iptables P INPUT DROP
iptables P FORWARD DROP iptables P OUTPUT ACCEPT
A fin de poder crear nuevas reglas, se
deben borrar las existentes, para el trfico entrante, trfico reenviado y trfico saliente as como el NAT. iptables F INPUT iptables F FORWARD iptables F OUTPUT iptables F t nat
Las opciones mas comunes son:
-A aade una cadena, la opcin -i define una interfaz de trfico entrante
-o define una interfaz para trafico saliente -j establece una regla de destino del trfico, que puede ser ACCEPT, DROP o REJECT. -m define que se aplica la regla si hay una coincidencia especfica --state define una lista separada por comas de distinto tipos de estados de las conexiones (INVALID, ESTABLISHED, NEW, RELATED). --to-source define que IP reportar al trfico externo -s define trafico de origen -d define trfico de destino --source-port define el puerto desde el que se origina la conexin --destination-port define el puerto hacia el que se dirige la conexin -t tabla a utilizar, pueden ser nat, filter, mangle o raw.
En general se utiliza la misma regla, pero
en lugar de utilizar -A (append), se utiliza -D (delete). Eliminar la regla que descarta (DROP) todo tipo de conexiones de trfico entrante (INPUT) desde (-s) la direccin IP a.b.c.d: iptables D INPUT -s a.b.c.d j DROP
Si est de acuerdo con las reglas
generadas de iptables, utilice el siguiente mandato para guardar stas: service iptables save Las reglas quedarn almacenadas en el archivo /etc/sysconfig/iptables. Para ejecutar por primera vez el servicio iptables, utilice: service iptables start Para hacer cambio restar y para detener stop
Para bloquear una direccin IP atacantes llamados
1.2.3.4, escriba: # iptables -A INPUT -s 1.2.3.4 -j DROP # iptables -A INPUT -s 192.168.0.0/24 -j DROP Para bloquear todas las solicitudes de servicio en el puerto 80, escriba: # iptables -A INPUT -p tcp --dport 80 -j DROP # iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP Para bloquear el puerto 80 slo para una direccin IP 1.2.3.4, escriba: # iptables -A INPUT -p tcp -s 1.2.3.4 --dport 80 -j DROP # iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DROP
Escriba el siguiente comando para bloquear las
solicitudes de ping ICMP: # iptables -A INPUT -p icmp --icmp-type echo-request -j DROP # iptables -A INPUT -i eth1 -p icmp --icmp-type echorequest -j DROP Respuestas Ping tambin puede estar limitada a ciertas redes o hosts: # iptables -A INPUT -s 192.168.1.0/24 -p icmp --icmp-type echo-request -j ACCEPT
Utilice la siguiente sintaxis para abrir un rango de
direcciones IP: Solo acepta conexiones por el puerto 80 (Apache) si la ip esta entre 192.168.1.100 y 192.168.1.200 iptables -A INPUT -p tcp --destination-port 80 -m iprange --src-range 192.168.1.100-192.168.1.200 -j ACCEPT Ejemplo de NAT iptables-t nat-A POSTROUTING-j SNAT - to-source 192.168.1.20-192.168.1.25
Estos ejemplos son algunas reglas bsicas
para los nuevos usuarios de Linux. Como ingenieros de Telecomunicaciones podemos crear y construir reglas ms complejas. Esto requiere una comprensin adecuada de TCP / IP, optimizacin del kernel de Linux a travs de sysctl.conf, y un buen conocimiento de su propia configuracin.