IPTABLES b�sico: conocimiento b�sico del firewall de GNU/Linux (III, TABLAS)

domingo, 29 julio 2018 , 12:42 CEST
Autor:ForestBOFH

Ahora que conocemos las pol�ticas b�sicas de iptables, vistas en la entrada anterior, conozcamos un poco m�s en profundidad las tablas que regir�n nuestro tr�fico de paquetes.

Pero, �qu� son las tablas? Se entiende por tabla un conjunto de cadenas, ya est�n empotradas (predise�adas e incluidas en el propio iptables) o hayan sido definidas por el usuario; estas cadenas, como hemos visto, contendr�n todas las reglas que puedan coincidir con un conjunto de paquetes.
Por defecto se definen cuatro tablas, pudi�ndose agregar otras mediante la inserci�n de m�dulos:

FILTER: Es la tabla por defecto (si no se especifica la opci�n -t). Contiene por defecto tres cadenas predefinidas:
- INPUT => Contiene las reglas para paquetes cuyo destino sea la m�quina local.
- OUTPUT => Contiene las reglas para paquetes cuyo origen es la m�quina local.
- FORWARD => Cuando una m�quina se configura como un router, contiene las reglas para paquetes cuyo origen/destino NO es dicha m�quina.
NAT: Es la tabla que se consulta cuando se encuentra un paquete que crea una nueva conexi�n. Se encarga de procesar los paquetes de procesos NAT configurados mediante iptables. Sus cadenas por defecto son:
- PREROUTING => Altera los paquetes entrantes, redirigi�ndolos a donde definan sus reglas. N�tese que es decisi�n de preenrutado. (DNAT, Destination NAT)
- POSTROUTING => Altera paquetes despu�s de la decisi�n de enrutado (SNAT, Source NAT). (Enmascara los paquetes con la IP de la intefaz de salida).
- OUTPUT => En paquetes generados localmente, realiza operaciones de NATeo antes del enrutado.
MANGLE : Tabla utilizada para la alteraci�n especializada de paquetes. Por ejemplo, puede modificar el TTL, alterando los ocho bits que definen el l�mite de saltos (Time To Live) de un datagrama, o modificar el campo ToS (TypeOfService, tambi�n de 8 bits) de la cabecera de un datagrama IPv4, que define la prioridad del paquete. Sus cadenas predefinidas son: INPUT, OUTPUT, FORWARD, PREROUTING y POSTROUTING. (Nota: revisar cabecera IP)
RAW: Se usa principalmente para la configuraci�n de exenciones del seguimiento de conexiones en combinaci�n con la pol�tica (target) NOTRACK, estableciendo una marca (NOTRACK) para evitar que netfilter haga un seguimiento del paquete.(En detrimento de CONNTRACK, que act�a por defecto). (NOTA: CONTRACK es el m�dulo que vigila las conexiones para poder establecer reglas sobre flujos de informaci�n (muchos paquetes) en vez de para paquetes individuales). Un ejemplo:

Por defecto, la tabla RAW tiene preconfiguradas dos cadenas: OUTPUT Y PREROUTING.
SECURITY: Usada para las reglas MAC (Mandatory Access Control) de networking, como por ejemplo las habilitadas por las pol�ticas (targets) SECKMARK y CONNSEMARK. MAC es implementado por los m�dulos de seguridad como SELinux. Esta tabla es llamada despu�s de la tabla FILTER, permitiendo que cualquier regla DAC (Discretionary Access Control) de la tabla FILTER tome efecto antes que las reglas MAC.(NOTA: revisar el man iptables-extensions, secci�n TARGET EXTENSIONS).

Aqu� lo dejo por hoy; en la pr�xima entrada repasaremos la sintaxis b�sica. Sin complejos, y sin miedo, veremos poco m�s, dado el car�cter b�sico del manual, que manipular la tabla FILTER.

Anterior | Siguiente

Commentarios (0)

forestux.es: http://www.forestux.es/article.php?story=iptables.basico.III