Professional Documents
Culture Documents
Problema 1 UOAC
Alfredo Fiebig C. aebig@ic.uach.cl
Esc. Ingenier a en Computaci on. Universidad Austral de Chile. Sede Puerto Montt.
Agenda
Mis Reglas
2/21
Agenda
3/21
Mapa de Red
4/21
Agenda
5/21
Tareas
Respaldos Rsync.
6/21
Tareas
6/21
Tareas
6/21
Agenda
7/21
Que es iptables?
IPTABLES
Es una herramientas de cortafuegos que permite no solamente ltrar paquetes, sino tambi en realizar traducci on de direcciones de red (NAT) o mantener registros de log.
NETFILTER
Esta construido sobre Netlter, el cual es un framework disponible en el n ucleo Linux que permite interceptar y manipular paquetes de red. Dicho framework permite realizar el manejo de paquetes en diferentes estados del procesamiento.
8/21
Reglas,Cadenas,Tablas
Iptables permite denir reglas acerca de qu e hacer con los paquetes de red. Las reglas se agrupan en cadenas. Cada cadena es una lista ordenada de reglas. Las cadenas se agrupan en tablas. Cada tabla est a asociada con un tipo diferente de procesamiento de paquetes.
9/21
Tablas
10/21
Tablas
FILTER
Filtrado de paquetes, contiene las siguientes cadenas predenidas: INPUT - Todos los paquetes destinados a este sistema. OUTPUT - Todos los paquetes creados por este sistema. FORWARD - Todos los paquetes que pasan por este sistema.
11/21
Tablas
NAT
Reenvio de paquetes, contiene las siguientes cadenas predenidas: PREROUTING - Los paquetes entrantes pasan a travs de esta cadena antes de que se consulte la tabla de ruteo local. (DNAT, destination-NAT) POSTROUTING - Los paquetes salientes pasan por esta cadena despus de haberse tomado la decisin del ruteo. (SNAT, source-NAT) OUTPUT - Permite hacer un DNAT limitado en paquetes generados localmente.
12/21
Tablas
MANGLE
Diseada para efectos avanzados, Permite la alteracion de paquetes y tramas, Contiene las siguientes adenas predenidas: PREROUTING - Todos los paquetes que logran entrar a este sistema, antes de que el ruteo decida si el paquete debe ser reenviado o si tiene destino local INPUT - Todos los paquetes destinados para este sistema. FORWARD - Todos los paquetes que pasan por este sistema. OUTPUT - Todos los paquetes creados en este sistema. POSTROUTING - Todos los paquetes que abandonan este sistema.
13/21
iptables -P INPUT DROP iptables -P FORWARD DROP iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT
14/21
Reglas
Cada regla especica qu e paquetes la cumplen y un destino que indica qu e hacer con el paquete si este cumple la regla. iptables -t [tabla] -o [operacion] [cadena][coincidencia] -j [ACCION] Operaciones:
A (add) Agrega la regla al nal I (insert) Agrega la regla al principio R (replace) Reemplaza una regla D (delete) Borra una regla F (ush) Borra todas las reglas de una cadena L (list) Muestra las reglas de una cadena
15/21
Reglas
iptables -t [tabla] -o [operacion] [cadena][coincidencia] -j [ACCION] Coincidencias:
-p [protocolo]: puede ser tcp, udp, icmp, all. o alguno de los indicados en /etc/protocols. -s [ip/mascara]: direccion de origen o grupo de hosts. -d [ip/mascara]: direccion de destino o grupo de hosts. -i [interfaz]: interfaz desde donde se recive el paquete. ( solo INPUT,FORWARD, PREROUTING) -o [interfaz]: interfaz de salida. (solo OUTPUT,FORWARD, POSTROUTING) - -sport: puerto de origen de la transaccion. (solo para protocolo tcp o udp) - -dport: puerto de destino de la transaccion. (solo para protocolo tcp o udp)
16/21
Reglas
iptables -t [tabla] -o [operacion] [cadena][coincidencia] -j [ACCION] Acciones:
ACCEPT : Acepta la transaccion. DROP : Rechaza la transaccion. REJECT : Rechaza la transaccion, y notica al emisor. QUEUE : Encola el paquete, para ser alterado con la biblioteca libipq. RETURN : El paquete deja de circular por la cadena. LOG : Crea una bitacora de los paquetes. ( ejemplo: vericar que paquetes estan siendo rechazados) DNAT : Permite modcar la direccion y el puerto de destino. SNAT: Permite modicar la direccion y el puerto de origen. MASQUERADE: Forma especial y restringida de SNAT.
17/21
Seguimiento de Conexiones
El seguimento de conexiones le permite al n ucleo llevar cuenta de todas las conexiones y relacionar todos los paquetes que forman parte de una conexion. Clasicacion: NEW -Intentando crear una conexi on nueva. ESTABLISHED - Parte de una conexi on ya existente. RELATED - Relacionada, aunque no realmente parte de una conexi on existente. INVALID - No es parte de una conexi on existente e incapaz de crear una conexi on nueva.
18/21
Paquet Fordwarding
Forma Fea
Escribir un 1 en el archivo /proc/sys/net/ipv4/ip forward
Forma Pro
Editar la linea net.ipv4.ip forward=0 del archivo /etc/sysctl.conf por net.ipv4.ip forward=1
19/21
Agenda
20/21
MI FIREWALL
MIS REGLAS
21/21