Topics

Funciones del(a) usuario(a)

Contacto

Por servir este blog desde un servidor "casero", con IP dinámica, no he configurado servidor de correo, dado que sería filtrado (blacklisted) por defecto por la autoridad competente como spam. Si deseas establecer contacto conmigo, o incluso si deseas crear una cuenta activa en el blog para generar tu propio contenido, por favor, sírvete enviarme un correo a forestux@openmailbox.org.
No dudes que te contestaré en cuanto pueda.
Quizás algún día contrate una IP estática, o puede que migre el blog a un hosting... Pero eso es otra historia.

Bienvenido(a) a forestux.es lunes, 23 julio 2018 , 03:17 CEST

IPTABLES básico: conocimiento básico del firewall de GNU/Linux (II)

ForestBOFH
  • Autor:
  • Lecturas
    66
Una vez que hemos aclarado unos pocos conceptos básicos, veamos el funcionamiento de iptables:
En esta entrada veremos conceptos fundamentales de iptables, y las principales políticas a adoptar. El funcionamiento de iptables es muy sencillo, si tenemos en cuenta esta serie de conceptos:
  • 1-. Dado que todos los paquetes han de pasar por el kernel, con iptables podemos definir una serie de REGLAS (RULES) por las que, inexorablemente, han de pasar dichos paquetes. Así, definiremos una REGLA como el conjunto de parámetros que definen -o pueden definir- un determinado paquete, según diversos criterios.
    Ejemplos de estos criterios pueden ser el tipo de protocolo (TCP; UDP, HTTP; SSH...), la dirección de IP (de origen y destino), o el estado del paquete (NEW, ESTABLISHED, INVALID...)
  • 2-. Todas las reglas estarán contenidas en CADENAS (CHAINS); podemos definir una cadena como un conjunto de reglas que pueden coincidir con un conjunto de paquetes. Cada regla especifica qué hacer con un paquete coincidente. Esto es lo que se denomina `target', que puede ser un salto a una cadena definida por el usuario en la misma tabla.
  • 3-. Todas las cadenas estarán a su vez contenidas en TABLAS (TABLES); podemos definir una tabla como un conjunto de cadenas, ya estén empotradas o hayan sido definidas por el usuario.

Es de suma importancia, por otro lado, tener en cuenta que las reglas se aplicarán antes o después del enrutado del paquete, dependiendo de las tablas o cadenas que contienen las reglas.

Asumido lo anterior, podemos comenzar a aplicar políticas, entendiendo como tales cada una de las decisiones que se toman para cada paquete, atendiendo a las siguientes premisas:
  • 1-. Si un paquete coincide con una regla se le aplicará lo que define dicha regla.
  • 2-. Cuando dicho paquete NO coincide con una regla será pasado a la siguiente regla.
  • 3-. Si el paquete NO coincide con ninguna regla será de aplicación lo que defina la CADENA por defecto.
    Consideremos las políticas más comunes:
    • ACCEPT El paquete es aceptado.
    • DROP El paquete es rechazado.
    • QUEUE El paquete pasa a espacio de usuario.
    • RETURN Se detiene el paso del paquete en la cadena actual y se continúa con la siguiente regla de la cadena anterior.
    • Otra bastante común será la target MASQUERADE, pero ojo con lo que dice el man iptables-extensions acerca de ella: This target is only valid in the nat table, in the POSTROUTING chain. It should only be used with dynamically assigned IP (dialup) connections: if you have static IP address, you should use the SNAT target.
    • Otras : ver man iptables-extensions (requieren generalmente la opción [-m módulo], aunque si se define la opción [-p protocolo] iptables tratará de cargar un módulo con el mismo nombre que el protocolo y buscará en él la opción adecuada (si existe). Ej:
      iptables -A INPUT -i eth1 -m comment --comment "my local LAN"
      llama al módulo comment para incluir un comentario a una regla (256 caracteres máx.)

    Por defecto, en una nueva instalación, las políticas predefinidas son ACCEPT. Prueba a hacer
     # iptables -nvL
    
    Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination   
         
    Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination    
        
    Chain OUTPUT (policy ACCEPT 0K packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination 
    Como se observa, el firewall está inactivo.

Trackback

Trackback URL for this entry:
http://www.forestux.es/trackback.php?id=firewall.iptables.linux.II
  • IPTABLES básico: conocimiento básico del firewall de GNU/Linux (II)
  • 0 comentarios
  • Crea una cuenta nueva

Los siguientes comentarios son de la persona que los haya enviado. Este sitio no se hace responsable de las opiniones expresadas por los participantes en los foros y secciones de comentarios, y el hecho de publicar las mismas no significa que esté de acuerdo con ellas.


¿Quién está conectado?

Usuarios invitados: 1

Lo más nuevo

NOTICIAS últimos 24 horas

No hay noticias nuevas

COMENTARIOS últimos 2 días

No hay comentarios nuevos

TRACKBACKS últimos 2 días

No new trackback comments

ENLACES últimos 2 semanas

No hay enlaces recientes