Está en la página 1de 27

Configurar un firewall lgico, por medio de iptables, en Linux o en Windows

Uso de iptables o ipchains Linux para configurar una puerta de enlace a Internet / firewall / router para el hogar o la oficina
Los mtodos de conexin de la red a la Internet:

Utilice ipchains / iptables Linux y reenvo IP para configurar Linux como cortafuegos y el router. Este es el mtodo que abarca este tutorial. Utilice software de proxy SOCKS gateway ejecuta en Linux. (Ver ms abajo CALCETINES ) Utilice un router CISCO - tutorial de configuracin. (Nota: Serie PIX se prefieren para el uso del cortafuegos.)

Este tutorial cubre con un ordenador Linux como una pasarela entre una red privada e Internet. Cualquier conexin a Internet, ya sea un PPP de acceso telefnico, DSL, cable mdem o una lnea T1 puede ser utilizado. En el caso de la mayora de las conexiones PPP de acceso telefnico y conexiones de cable mdem, se emite slo una nica direccin IP permitiendo slo un ordenador para conectarse a Internet a la vez. Usando Linux y iptables / ipchains se puede configurar una puerta de enlace que permitir a todos los equipos de una red privada para conectarse a Internet a travs de la puerta de enlace y una direccin IP externa, usando una tecnologa llamada "traduccin de direcciones de red" (NAT) o enmascaramiento y privadas subredes. Iptables / ipchains tambin se pueden configurar para que el equipo Linux acta como un servidor de seguridad, proporcionando proteccin a la red interna.
bsqueda
Buscar

| Home Page | Tutoriales Linux | Condiciones | Poltica de Privacidad | Publicidad | Contacto |

Tutoriales YoLinux

Versiones Firewall vs versiones del ncleo de Linux

relacionados: Linux Networking Linux Sys administracin de configuracin del sitio Web Internet Security YoLinux ndice de Tutoriales

Nota: Las referencias a ipfwadm e ipchains se refieren a software obsoleto viejo.


Comando Firewall iptables ipchains ipfwadm Linux Kernel Version 2.4.x, 2.6.x 2.2.x 2.0.x Red Hat Version 7,1-9,0, Fedora 1,2,3 6.x, 7.0 5.x

Anun cios

Jobs
Desarroll ador Web de Leading Game Develop er Alemania Interactiv o Selecci n Superior Oracle DBA Proyecto s ... Jersey City, NJ Casa Solarieg a Consultin g MySQL / PHP Web Develop er Baton Rouge, LA Shopper sChoice. com Habland o japons Forex Trading

Nota: Red Hat 7,1 a 9,0 y el kernel por defecto Linux 2.4 puede usar ipchains o iptables, pero no ambos. Iptables es el firewall preferido ya que apoya el "Estado" y puede reconocer si una conexin de red ya ha sido "establecidos" o si la conexin est relacionada con la conexin anterior (necesario para ftp que hace varias conexiones en Informacin puertos diferentes). Ipchains no. Normas Ipchain Gratis tienen prioridad sobre las reglas de Tecnologa iptables. Durante el inicio del sistema, el kernel Revistas y intenta activar ipchains, entonces intenta activar documentos iptables. Si se han activado las reglas ipchain, el descargados kernel no arranca iptables. Red Hat 7.1 no soporta ipchains menos que se configura esa opcin (durante la instalacin o posterior). Si durante la instalacin, seleccione "Desactivar Firewall - sin proteccin", entonces ipchains no estar disponible y se debe confiar en iptables para una configuracin de servidor de seguridad manual. (Slo iptables. Ipchains no estarn disponibles) GUI de configuracin:

iptables: La herramienta de configuracin GUI / usr / bin / redhat-configsecuritylevel se puede utilizar para elegir un firewall preconfigurado (Alta, Media o sin cortafuegos) o puede ser usado para

configurar manualmente las reglas basadas en los servicios de red de su servidor ofrecer . El script de inicio / etc / rc.d / init.d / iptables usarn reglas almacenadas en / etc / sysconfig / iptables . ipchains: La herramienta que hace esto es lokkit (o / usr / bin / gnome-lokkit ), que utiliza ipchains para configurar las opciones de firewall para las opciones de alta y baja seguridad. Apoyar ipchains despus de la instalacin, ejecute / usr / bin / gnomelokkit y configurar un servidor de seguridad. Se configurar ipchains para activar el firewall. Lokkit generar el archivo / etc / sysconfig / ipchains . (Utilizado por init script de / etc / rc.d / init.d / ipchains que se pide / sbin / ipchainsrestore ) Para ver si ipchains y la configuracin Lokkit se invoca durante el inicio del sistema, utilice el comando:
chkconfig - list | grep ipchains

Support ... San Francisc o, CA Joseph Harry Ltd Especiali sta Tcnico ... Canberra , Australia n Capital ... Vela (Canberr a) Business Analyst Necesari o para Liderar ... Reino Unido Selecci n Interactiv a El mejor diseado r Java/J2E E y ... Leamingt on Spa, Warwick shire, Reino ... Compris eIT ATG eComme rce Java/J2E E Develop er Fall City, WA

El Red Hat default 7.1 + Linux 2.4 kernel est compilado para soportar tanto iptables e ipchains. El soporte para ipchains est disponible en una configuracin de kernel y compilacin. Durante make xconfig o make menuconfig activar la funcin: "IP: Netfilter Configuration" ipchains "(2.2-style) apoyo" +. Revise su instalacin mediante el comando: rpm-q
iptables ipchains

Estos paquetes se deben instalar. Los comandos de iptables e ipchains son las interfaces de comando para configurar reglas de cortafuegos del kernel. The Hat 7.1 kernel por defecto de Red soporta iptables e ipchains. (Pero no ambos al

mismo tiempo.) [Potencial Pitfall] : Al realizar una actualizacin en lugar de una nueva instalacin, el software de actualizacin no se instalar iptables que no exista en el sistema anterior. Se llevar a cabo una actualizacin a una nueva versin de ipchains. Si usted desea usar iptables, debe instalar manualmente el RPM iptables. ie: rpm-ivh iptables-XXX.i386.rpm [Potencial Pitfall] : El ncleo del sistema operativo Linux puede cargar o no cargar lo que haba esperado. Utilice el comando lsmod para ver si se han cargado ip_tables o ip_chains. El cambio de un sistema que va de ipchains a iptables: (Red Hat 7,1-9,0 - Linux kernel 2.4 especfica)
Secuencia Comando 1 Descripcin

Solicitud Tecnolog a-Robyn Honques t Mayores J2EE Web Develop er Riverwoo ds, IL Requisito para Oracle Sr.Pragr ammer Alpharett a, GA achilless ystems PUBLIQ UE UN TRABAJ O>
DESARRO LLADO POR JOBTHRE AD

chkconfig - Retire ipchains del del proceso de arranque / ipchains inicializacin del sistema chkconfig - Aadir iptables para add proceso de arranque / iptables inicializacin del sistema ipchains-F Enjuague reglas ipchains service ipchains stop Detener ipchains. Tambin: / etc
/ init.d / ipchains detienen

2 3 4

ipchains rmmod

Descargue mdulo del kernel ipchains. Mdulo del kernel iptables no se puede cargar si se carga el mdulo ipchains Cargar el mdulo kernel iptables. Tambin: / etc
/ init.d / iptables dejan

service iptables start

Traduccin de direcciones de red (NAT):


Un individuo en un equipo en la red privada puede apuntar su navegador a un sitio en Internet. Esta solicitud se reconoce a estar ms all de la red local por lo que se encamina a la pasarela de Linux a travs de la direccin de red privada. La solicitud de la pgina web se enva al sitio web utilizando la direccin IP de Internet externa de la puerta de enlace. La solicitud se devuelve a la puerta de entrada, que luego se traduce la direccin IP a la computadora en la red privada que hizo la solicitud. Esto se conoce como enmascaramiento de IP. La interfaz de software que le permite a uno para configurar el kernel de enmascaramiento es iptables (Linux kernel 2.4) o ipchains (Linux kernel 2.2) El sistema pasarela tendr dos direcciones IP y conexiones de red, una para la red interna, y el otro a la Internet pblica externa. Una nota sobre las direcciones IP de red privada: Un conjunto de direcciones IP ha sido reservado por la IANA para redes privadas. Van desde 192.168.0.1 a 192.168.254.254 para una pequea empresa tpica o red domstica y se les conoce como CIDR direcciones de red privadas a menudo. Mayora de las redes privadas se ajustan a este esquema.
Mscar Nmer a de Notacin o de subred CIDR Servid por ores defecto

Bloqu ear

Alcance

Bloqu e de 10.0.0. 10.255.255 10.0.0.0 / 255.0.0 167772 24 bits 0 .255 8 .0 16 en la clase

A Bloqu e de 20 bits 172.16. 172.31.255 172.16.0. 255.24 104857 en la 0.0 .255 0/12 0.0.0 6 clase B Bloqu e de 16 bits 192.16 192.168.25 192.168.0 255.25 65536 en la 8.0.0 5.255 .0/16 5.0.0 clase C

El nmero real de los ejrcitos ser menor que en la lista porque las direcciones de cada subred se reservarn como direccin de difusin, etc Esto se detalla en el RFC 1918 - Asignacin de direcciones para Internets privadas. Para obtener una descripcin de las redes de clase A, B, y vea la descripcin de la clase de red Tutorial YoLinux . Las redes privadas se pueden subdividir en varias subredes si lo deseas. Ejemplos:
Mscara Nmer de subred o de por Servid defecto ores 255.255.25 512 4.0

Alcance

Notacin CIDR

10.2.3.0

10.2.4.255 10.2.3.0/23

172.16.0. 172.17.25 172.16.0.0/ 255.254.0. 132608 0 5.255 15 0 192.168.5 192.168.5. 192.168.5.1 255.255.25 128 .128 255 28/25 5.128

Ejemplo 1: Linux conectado a travs de PPP En este ejemplo se utiliza una computadora Linux

conectado a Internet a travs de una lnea telefnica y un mdem (PPP). La puerta de enlace Linux est conectado a la red interna utilizando una tarjeta ethernet. La red interna se compone de PC de Windows. La mquina Linux debe estar configurado para la red interna privada y PPP para la conexin de acceso telefnico. Ver el tutorial PPP para configurar la conexin de acceso telefnico. Utilice el ifconfig comando para configurar la red privada. es decir (como root)
/ Sbin / ifconfig eth1 192.168.10.101 netmask 255.255.255.0 broadcast 192.168.10.255

Esto a menudo se configura durante la instalacin o se puede configurar mediante la herramienta Gnome ordenada (o la herramienta de administracin Linuxconf o netcfg para los sistemas Red Hat antiguos). Cambios del sistema realizados con el ifconfig o ruta comandos son no permanentes y se pierden al reiniciar el sistema. Ajustes permanentes se llevan a cabo en los scripts de configuracin realizados durante el arranque del sistema. (Es decir, / etc / sysconfig / ... ) Ver el tutorial Networking YoLinux para ms informacin sobre la asignacin de direcciones de red. Ejecute una de las siguientes secuencias de comandos en el equipo de puerta de enlace Linux: iptables:
iptables - ras # 01 Borrar todas las reglas en mesas de filtrado y NAT 02 iptables - tabla nat - ras iptables - delete-cadena # 03 Eliminar todas las cadenas que no estn en filtros por defecto y la tabla nat

04 iptables - tabla nat - delete-chain 05 06 07 # Configurar el reenvo de IP y enmascaramiento iptables - tabla nat - append POSTROUTING out-interface ppp0-j MASQUERADE

iptables - append FORWARD - en la interfaz 08 eth0-j ACCEPT # Suponiendo una tarjeta de red para LAN local 09 10 echo 1> / proc/sys/net/ipv4/ip_forward Activa el reenvo de paquetes de kernel #

ipchains:
1 ! # / Bin / sh ipchains-F 2 forward # eliminar todas las reglas y los ajustes ipchains-P adelante 3 DENY # defecto es denegar el reenvo de paquetes ipchains-A hacia el s 192.168.10.0/24-j 4 MASQ # Usar la direccin IP de puerta de enlace para la red privada ipchains-A hacia delante-i ppp0-j 5 MASQ conexin externa a Internet # conjuntos echo 1> / 6 proc/sys/net/ipv4/ip_forward Activa el reenvo de paquetes de kernel #

Una conexin PPP como se describe por el YoLinux PPP tutorial va a crear la conexin de red PPP como la ruta por defecto.

Ejemplo 2: Linux conectado a travs de DSL, Cable, T1 Conexiones de alta velocidad a Internet en el resultado de una conexin ethernet a la pasarela. Por lo tanto se requiere la entrada de

poseer dos tarjetas de interfaz de red Ethernet (NIC), uno para la conexin a la red interna privada y otra de la Internet pblica. Las tarjetas de red Ethernet se nombran ETH y se numeran nicamente desde 0 hacia arriba. Utilice el ifconfig comando para configurar las interfaces de red.
/ Sbin / ifconfig eth0 netmask 255.255.255.0 1 broadcast XXX.XXX.XXX.XXX xxx.xxx.xxx.255 # Internet / Sbin / ifconfig eth1 192.168.10.101 netmask 2 255.255.255.0 broadcast 192.168.10.255 LAN # Privada

Ver tambin las notas sobre la adicin de un segundo NIC . Esto a menudo se configura durante la instalacin o se puede configurar mediante la herramienta Gnome ordenada (o la herramienta de administracin Linuxconf o netcfg para los sistemas Red Hat antiguos). Cambios del sistema realizados con el ifconfig o ruta comandos son no permanentes y se pierden al reiniciar el sistema. Ajustes permanentes se llevan a cabo en los scripts de configuracin realizados durante el arranque del sistema. (Es decir, / etc / sysconfig / ... ) Ver el tutorial Networking YoLinux para ms informacin sobre la asignacin de direcciones de red. Ejecute el script adecuado en el equipo linux donde eth0 est conectado a Internet y eth1 est conectada a una LAN privada: iptables:
# Eliminar y lavar. Tabla por defecto es 01 "filtro". Otros como "nat" deben indicarse expresamente. 02 iptables - ras # Borrar todas las

reglas en mesas de filtrado y NAT 03 iptables - tabla nat - ras iptables - delete-cadena # Eliminar todas 04 las cadenas que no estn en filtros por defecto y la tabla nat 05 iptables - tabla nat - delete-chain 06 07 08 09 10 echo 1> / 11 proc/sys/net/ipv4/ip_forward Activa el reenvo de paquetes de kernel # # Configurar el reenvo de IP y enmascaramiento iptables - tabla nat - append POSTROUTING out-interface eth0-j MASQUERADE iptables - append FORWARD - en la interfaz eth1-j ACCEPT

ipchains:
1 ! # / Bin / sh ipchains-F 2 forward eliminar reglas #

ipchains-P adelante 3 DENY # defecto es denegar el reenvo de paquetes ipchains-A hacia el s 192.168.10.0/24-j 4 MASQ # Usar la direccin IP de puerta de enlace para la red privada ipchains-A hacia delante-i eth1-j 5 MASQ # Establece conexin a Internet hasta externa 6 echo 1> / proc/sys/net/ipv4/ip_forward

Crear una ruta para los paquetes internos:


route add-net 192.168.10.0 netmask 255.255.255.0 gw XXX.XXX.XXX.XXX dev eth1

Donde XXX.XXX.XXX.XXX es la puerta de entrada a Internet definido por el ISP. Para obtener ms informacin sobre enrutamiento ver el tutorial de redes YoLinux

Nota: Si bien esta configuracin requiere que el equipo de puerta de enlace Linux tiene dos tarjetas de red, si slo tiene una ranura PCI disponible, puede usar una tarjeta como la Intel Pro 100 y Pro 1000 de doble puerto que tiene dos conexiones de Ethernet que se encuentran en un solo tarjeta. (Esto es lo que yo uso) Yolinux Hardware tutorial: Ms sobre tarjetas de interfaz de red
Intel PCI Dual Pro 100 o 1000 Pro tarjeta NIC admite dos conexiones fsicas Ethernet (eth0, eth1) en una tarjeta. Cumplimiento de normas: IEEE 802.3-LAN, IEEE 802.3u-LAN, Plug and Play Tecnologa de conectividad: Cable - 10Base-T, 100BaseTX Protocolo de interconexin de datos: Ethernet, Fast Ethernet Procesador: 82550 - Intel

Texto original
Using Linux iptables or ipchains to set up an internet gateway / firewall / router for home or office
Sugiere una traduccin mejor

Opciones Iptables: (Linux kernel 2.4/2.6 firewall)


General / sbin / iptables formato aadir reglas: iptables
[-t | - Tabla de mesa ] - comando [cadena] [-i interface ] [-p protocolo ] [s direccin [ puerto [: puerto]]] [-d direccin [ puerto [: puerto ]]]j poltica

Seis reglas "en cadena" predefinidos estn disponibles:


ENTRADA SALIDA ENTRADA ADELANTE PREROUTING

POSTROUTING Cadenas definidas por el usuario (slo darle un nuevo nombre en lugar de uno de los nombres predefinidos)

opciones de iptables: Mes Descripcin a -t filtrar Tabla por defecto. Esto se utiliza si no se especifica nat Traduccin de direcciones de red Com Descrip ando cin (Utili ce uno) -A appe nd -D delet e -I insert o Anexar regla a la cadena Eliminar la regla de la cadena Inserte regla al inicio o al nmero de secuenc ia especifi cado en la cadena. Opci Descrip n cin del coma ndo -S fuent e -D desti no -I - ininterf ace Definici n de Descripci directiv n as Vamos paquete a travs de Denegar paquetes sin respuesta

ACEPT Direccin AR de origen del DROP paquete

expri Se utiliza mido para la r Calidad de Servicio (QoS) y el tratamiento preferencial crud o Permite la optimizacin. es decir, ignorar la coincidencia de estado firewall para el puerto 80 para una mayor velocidad debido a un menor procesamien to. Requiere el parche del kernel

-O - outinterf ace -P Proto colo

-R Reempl ace la repla regla ce -F Lave - ras todas las reglas -Z cero Cero los contado res de

Direccin de destino RECHA Denegar del ZAR paquetes y paquete notificar al Paquete remitente de VOLVE Manejado interfaz R por destinos est predetermin llegando ados a MARK Se utiliza Paquete para la de respuesta interfaz de error. se va a Utilice con Protocol la opcin o: rejectwith tipo tcp - sport MASQU Se utiliza puerto [: ERADE con nat puerto] mesa y - dport DHCP. puerto [: LOG Registrar en puerto] archivo y - SYN especificar udp mensaje: icmp - log-level

bytes en todas las -J cadenas -L Enumer Salta e todas Lista las reglas. -F Aadida la fragm opcin - ento
linenumbers

mac ... Objetivo para enviar paquetes a Fragmen to juego

# - log-prefix "prefijo " - log-tcpsequence - log-tcpoptions - log-ipoptions ULOG Registrar en archivo y especificar mensajes de registro userpace Vlido en PREROUTI NG cadena. Utili zado por los nat. Se utiliza con la tabla nat. Salida. Vlido en cadena POSTROUT ING.Salida. Pase paquete al espacio de usuario.

obtener el nmero de regla. -N nuev a cade na -X delet echain -P Polti ca Crear una nueva cadena

-C - setconta dores

Establec er contador de paquetes / bytes sourceportpuert o [: puerto] (# puerto o rango: #) destinati onport puer to [: puerto] - tcpflags - Estado ESTABLI SHED RELACI ONADO S NUEVA

SNAT

-M tcp matc h tcp

REDIR ECT DNAT

Eliminar cadena definida por el usuario Estable cer la poltica por defecto para una cadena

COLA

Estad o-m partid o -E Cambiar estat - la el al cade nombre na de una de cadena camb

io de nom bre

VLIDA (. contenid o Push, no se espera recibir este paquete)

Para la informacin completa consulte la pgina del manual de iptables .

Opciones Ipchains: (Linux kernel 2.2 firewall)


Formato general / sbin / ipchains para aadir reglas: ipchains-A
| I [cadena] [-i interface ] [-p protocolo ] [-y] [s direccin [ puerto [: puerto ]]] [-d direccin[ puerto [: puerto ]]]j poltica [-l]

opciones de ipchains:
Comand Descripci o n -Un Aadir regla a la cadena Eliminar la regla de la cadena Inserte regla Reemplac e la regla Lave todas las reglas Enumere todas las reglas Crear una Opcin del comand o -S Objetivos del sistema (poltica)

Descripcin Direccin de origen del paquete Direccin de destino del paquete Paquete de interfaz est llegando a Protocolo Objetivo para enviar paquetes a For-p tcp. Packet es paquete SYN.

Descripcin

-D -Me -R -F -L -N

Vamos ACEPTAR paquete a travs de NEGAR Denegar paquetes

-D

-I -P -J -Y

Denegar RECHAZA paquetes y R notificar al remitente MASQ Delantero mascarada cadena

Enviar a un REDIREC puerto T diferente

nueva cadena Eliminar cadena definida por el usuario Ajuste por defecto targe

- Icmptype

For-p icmp. VOLVER Iniciar el paquete a syslog. / var /


log / messages

Manejado por destinos predeterminad os

-X

-L

-P

disponib les en defecto de Red Hat 6.0 + kernel

Cuatro tipos de regla de la cadena estn disponibles:


Cadena de entrada IP Cadena de salida IP Cadena de reenvo IP Definido por el usuario cadenas (slo darle un nuevo nombre en lugar de los nombres incorporados: entrada, salida o hacia delante)

Para la informacin completa consulte la pgina del manual de ipchains . Para agregar reglas de firewall leer los enlaces que aparecen a continuacin.

Configuracin del PC en la red de la oficina:

Todos los PC de la red de la oficina privada debe establecer su "puerta de entrada" es la direccin IP de red privada local del equipo de puerta de enlace Linux. El DNS debe fijarse a la de la ISP en el Internet.

Windows 95 Configuracin:

Seleccione "Start" Ajustes de Panel de control "+" " Seleccione el icono "Red" Seleccione la ficha "Configuracin" y haga doble clic en el componente "TCP / IP" para la tarjeta ethernet. (NO el TCP / IP -> Adaptador de Acceso telefnico a) Seleccione las fichas: o "Gateway": Utilice la direccin IP de la red interna de la mquina Linux. (192.168. XXX.XXX )

"Configuracin DNS": Utilice las direcciones IP de los servidores de nombres de dominio de ISP. (Direccin IP de Internet Actual) "Direccin IP": La direccin IP (. 192.168 XXX.XXX - esttica) y la mscara de red (normalmente 255.255.255.0 para una pequea red de la oficina local) del PC tambin se pueden configurar aqu.

Ordenadores Linux:

Direccin IP :. Uso ifconfig o comandos netcfg de establecer la direccin IP y la mscara de red Ver Asignacin de una direccin IP parte de la gua de aprendizaje en red. Pasarela : La pasarela se configura con el comando route. Esto tambin se puede ajustar por la herramienta de la herramienta GUI / usr / bin / netcfg o consola de / usr / sbin / netconfig. Tambin es almacenada por el sistema en el archivo / etc / sysconfig / network. DNS : Configurar el archivo / etc / resolv.conf para configurar el DNS y el dominio predeterminado. Consulte la configuracin de archivos de red parte de la gua de aprendizaje en red. Firewall simple para el sistema Linux de escritorio:
1 iptables-P ENTRADA DROP 2 iptables-P FORWARD DROP 3 iptables-A estado ENTRADA-m - estado ESTABLECIDO, RELACIONADO-j ACCEPT 4 iptables-A INPUT-i lo-j ACCEPT 5 iptables-A OUTPUT-o lo-j ACCEPT

Permitir conexiones de red que ya han sido establecidos (iniciado por host) y en relacin con su conexin. FTP requiere esto, ya que puede utilizar varios puertos en apoyo de la transferencia de archivos.) Permitir la entrada / salida de red del mismo (lo).

La adicin de ms normas de seguridad para la puerta de enla


iptables:

Negar un host especfico: iptables-I

INPUT-s XXX.XXX.XXX.XXX -j DROP

Bloquear los puertos mediante la adicin de las siguientes reglas de firewall:


# Permitir el acceso de bucle invertido. Esta regla debe venir antes de que las normas que niegan el acceso al puerto! iptables-A INPUT-i lo-p all-j ACCEPT # artculo para que el equipo 02 sea capaz de acceder a la misma a travs de bucle de retorno 01 03 iptables-A OUTPUT-o lo-p all-j ACCEPT 04 iptables-A INPUT-p tcp-s 0/0-d 0/0 - dport 2049-j DROP Bloquear NFS iptables-A INPUT-p udp-s 0/0-d 0/0 - dport 2049-j DROP 06 Bloquear NFS 05 iptables-A INPUT-p tcp-s 0/0-d 0/0 - dport 6000:6009-j DROP X-Windows iptables-A INPUT-p tcp-s 0/0-d 0/0 - dport 7100-j DROP 08 servidor de fuentes Block X-Windows 07 iptables-A INPUT-p tcp-s 0/0-d 0/0 - dport 515-j DROP de impresora Bloquear iptables-A INPUT-p udp-s 0/0-d 0/0 - dport 515-j DROP 10 de impresora Bloquear 09 iptables-A INPUT-p Bloquear Sun RPC / iptables-A INPUT-p 12 Bloquear Sun RPC / 11 13 tcp-s 0/0-d 0/0 - dport 111-j DROP NFS udp-s 0/0-d 0/0 - dport 111-j DROP NFS # # # Block # # puerto # puerto # # # Denegar

iptables-A INPUT-p all-s localhost-i eth0-j DROP paquetes que dicen ser de la interfaz loopback.

Estas reglas se pueden ejecutar por su cuenta para proteger su sistema mientras est conectada a Internet o pueden ser aadidos al final de los guiones iptables NAT gateway anteriores. Depuracin y registro:
1 iptables-A INPUT-j LOG - log-prefix "INPUT_DROP:" 2 iptables-A OUTPUT-j LOG - log-prefix "OUTPUT_DROP:"

Agregue esto a la final de sus reglas y usted debera ser capaz de supervisar conexiones cadas en / var / log / messages . Yo no registro de este mtodo debido al volumen enorme de mensajes que genera. Use este para la depuracin o el seguimiento a corto plazo de la red. Otro enfoque para firewalls es dejar caer todo y luego permitir el acceso

a cada puerto que necesite.


01 iptables-F iptables-A INPUT-i lo-p all-j ACCEPT 02 el acceso libre por la interfaz loopback

# Permitir

03 iptables-A OUTPUT-o lo-p all-j ACCEPT iptables-A INPUT-i eth0-m state - state ESTABLISHED, RELATED-j 04 ACCEPT # Acepta conexiones establecidas iptables-A INPUT-p tcp - tcp-option! 2-j REJECT - reject-with tcpreset iptables-A INPUT-p tcp-i eth0 - dport 21-j ACCEPT # Abrir 06 puerto ftp 05 07 iptables-A INPUT-p udp-i eth0 - dport 21-j ACCEPT iptables A-tcp-I INPUT-p eth0 - dport 22-j ACCEPT 08 Abra Secure Shell 09 iptables-A INPUT-p udp-i eth0 - dport 22-j ACCEPT iptables-A INPUT-p tcp-i eth0 - dport 80-j ACCEPT 10 puerto HTTP # puerto

# Abra el

11 iptables-A INPUT-p udp-i eth0 - dport 80-j ACCEPT iptables-A INPUT-p tcp - sin-s 192.168.10.0/24 - destination-port 12 139-j ACCEPT # Acepta conexin local Samba iptables-A INPUT-p tcp - syn s trancas - destination-port 139-j ACCEPT iptables-P ENTRADA DROP # Borra todos los otros 14 intentos de conexin. Slo se permiten conexiones definidas anteriormente. 13

ipchains: Este script configura las reglas de firewall para un equipo Linux con dos puertos Ethernet. Un puerto se conecta el ordenador a Internet con una direccin externa deXXX.XXX.XXX.XXX . El otro puerto Ethernet conecta el equipo a una red interna de 192.168.10.0 a 192.168.10.255. Este script es ms complejo pero prefiri los guiones anteriores, debido a la mayor seguridad de que las reglas de firewall adicionales ofrecen. El script funciona con un sistema que ejecuta portsentry. Para ms informacin sobre portsentry ver el YoLinux Internet Security: Tutorial portsentry . Internet interfaz de red externa: eth0 interfaz de red privada interna: eth1 Local interfaz virtual loopback: lo Cdigo de entrada para ipchains firewall y NAT:

01 ! # / Bin / sh 02 03 Reglas # Flush 04 ipchains-F adelante 05 salida de ipchains-F 06 entrada ipchains-F 07 08 # Set default negar toda 09 ipchains-P input DENY 10 salida de ipchains-P DENY 11 ipchains-P DENY adelante 12 13 # Agregar reglas 14 # Aceptar paquetes de s mismo (localhost) (s) Ource a s mismo (d) detino # Mantiene el registro del sistema, X-Windows o cualquier servicio 16 basado en socket trabajo. 15 17 ipchains-A input-j ACCEPT-p all-s localhost localhost-d-i lo 18 ipchains-A output-j ACCEPT-p all-s localhost localhost-d-i lo 19 20 # Denegar y log (opcin-l) paquetes falsificados de red externa (eth0) que imitan las direcciones IP internas

21 ipchains-A input-j REJECT-p all-s 192.168.10.0/24-i eth0-l 22 # Acepta solicitudes / respuestas de / a su propia mquina cortafuegos 24 ipchains-A input-j ACCEPT-p all-d XXX.XXX.XXX.XXX-i eth0 23 25 ipchains-A output-j ACCEPT-p all-s XXX.XXX.XXX.XXX-i eth0 26 27 # Permitir fuente de paquetes de salida (s) de destino (d) 28 ipchains-A input-j ACCEPT-p all-s 192.168.10.0/24-i eth1 29 ipchains-A output-j ACCEPT-p all-s 192.168.10.0/24-i eth1 30 # Denegar y log (opcin-l) fuera de los paquetes de Internet que dicen ser de la interfaz de loopback 32 ipchains-A input-j REJECT-p all-s localhost-i eth0-l 31 33 34 ipchains-A hacia el s 192.168.10.0/24-j MASQ 35 ipchains-A hacia delante-i eth1-j MASQ 36

37 # Habilitar el reenvo de paquetes 38 echo 1> / proc/sys/net/ipv4/ip_forward

Notas:

Para este ejemplo se supone que la red privada es de 192.168.10.0 a 192.168.10.255 La -d 0.0.0.0 / 0 se refiere a la totalidad oa cualquier direccin de destino del paquete. (Destino en este caso es irrelevante y puede ser omitido la declaracin-d)) localhost se refiere a la interfaz loopback en 127.0.0.1

Red Hat 7.1 se configurar reglas de firewall como una opcin durante la instalacin. Tenga en cuenta que las reglas del firewall se generan para ipchains. La herramienta de configuracin de / usr / bin / gnomelokkit se utiliz para realizar esta configuracin. Ejemplo de la configuracin de seguridad: / etc / sysconfig / ipchains Este es el archivo de configuracin para el script / etc / rc.d / init.d / ipchains (que llama a / sbin / ipchains-restore ), que pueden ser invocados durante el arranque del sistema.
01 # Configuracin del Firewall escrito por lokkit 02 No se recomienda el Manual de personalizacin # de este archivo. # Nota: ifup-post perforar los servidores de nombres de corriente a travs de la 04 # Firewall, tales entradas * no * estar aqu. 03 05 : Entrada de ACCEPT 06 : ACEPTAR adelante 07 : Salida de ACCEPT -A input-s 0/0-d 0/0 80-p tcp-y-j ACCEPT 08 acceso HTTP WWW al servidor web -A input-s 0/0-d 0/0 22-p tcp-y-j ACCEPT acceso SSH (Secure Shell) -A input-s 0/0 67:68-d 0/0 67:68-p udp-i eth0-j ACCEPT 10 DHCP / BOOTPC 09 11 -A input-s 0/0 67:68-d 0/0 67:68-p udp-i eth1-j ACCEPT 12 -A input-s 0/0-d 0/0-i lo-j ACCEPT 13 -A input-s 0/0-d 0/0-i eth1-j ACCEPT # eth1 acceso a la red interna en Aceptar. Goes eth0 exteriores a travs de reglas de firewall # Permitir el # Permitir el # Permitir

14

-A INPUT-p tcp-s 0/0-d 0/0 0:1023-y-j REJECT # Esto se apaga telnet, FTP, se unen ...! El uso para una estacin de trabajo slo

15 -A INPUT-p tcp-s 0/0-d 0/0 2049-y-j REJECT -A input-p udp-s 0/0-d 0/0 0:1023-j REJECT # Workstation o 16 explcitamente puertos que el anterior con 80, 22 17 -A input-p udp-s 0/0-d 0/0 2049-j REJECT # Block NFS -A INPUT-p tcp-s 0/0-d 0/0-6000:6009 y-j REJECT # Bloquear conexiones 18 X-Window remotos 19 -A INPUT-p tcp-s 0/0-d 0/0 7100-y-j REJECT servidor de fuentes remotas # Bloquear conexiones

Nota: Una vez que ipchains han sido invocadas para el kernel 2.4 (RH 7.1), uno no puede usar iptables. Usted puede utilizar uno o el otro, pero no ambos. Guardar / Restaurar una tablas / configuracin ipchains:

: Iptables pgina del manual de iptables-save


/ Sbin / iptables-save> / etc / sysconfig / iptables.rules / sbin / iptables-restore </ etc / sysconfig / iptables.rules

Ipchains: pgina ipchains-save hombre


/ Sbin / ipchains-save> / etc / sysconfig / ipchains.rules / sbin / ipchains-restore </ etc / sysconfig / ipchains.rules

El script de inicio de sistema busca el nombre del archivo / etc / sysconfig / ipchains en lugar de / etc / sysconfig / ipchains.rules . Esto har que las reglas de acceso al guin de inicio que invocar las reglas sobre el arranque del sistema. Ver el tutorial YoLinux proceso Init para ms informacin sobre los scripts de inicio y los procedimientos de arranque del sistema. Tambin vea: cmo desactivar ICMP y mirar invisible para hacer ping .

configuracin del archivo proc:

Activar el soporte del ncleo de Linux para la parodia y DOS (Denial Of Service) Proteccin:
echo 1> / proc/sys/net/ipv4/tcp_syncookies

Primero debe ser compilado en el ncleo. (Incluido en el kernel por defecto Redhat) Por defecto la instalacin de Red Hat ha deshabilitado esta (puesto a 0).Esto ayuda a prevenir contra el comn "ataque de inundacin SYN. Un equipo que se conecta (peer) no puede recibir mensajes de error confiables de un servidor cargado con ms de syncookies habilitados. Para ms informacin sobre las cookies SYS ver: CERT Advisory CA-96.21

Encienda la fuente de Verificacin de la direccin: (Desactivado de forma predeterminada en Red Hat instalar - se establece en 0)
echo 1> / proc/sys/net/ipv4/conf / eth0 / rp_filter O echo 1> / proc/sys/net/ipv4/conf / todas / rp_filter

Indique la interfaz adecuada para su instalacin. El primer ejemplo impide ataques de suplantacin en contra de sus redes externas solamente. IP spoofing es una tcnica donde un host enva paquetes que dicen ser de otro host. Tambin se utiliza para ocultar la identidad del atacante. La pgina Man TCP - Manual del Programador de Linux y / usr / linux / proc.txt [link] (Kernel 2.4) cubierta / proc/sys/net/ipv4 / * descripcin del archivo. Ver tambin:
src /

archivo local: / usr / src / linux / Documentation / proc.txt pgina man proc

Notas Forwading IP:


Elija una de las siguientes acciones para permitir que el kernel Linux que transmita paquetes IP: 1. Inmediatamente permitir el reenvo de paquetes. La configuracin no se conserva en el reinicio pero establece un indicador en el

propio ncleo.
echo 1> / proc/sys/net/ipv4/ip_forward

2. Otro mtodo consiste en modificar el archivo de configuracin del kernel Linux: / etc / sysctl.conf Establezca el siguiente valor:
net.ipv4.ip_forward = 1

Esto configurar el sistema para permitir el reenvo de paquetes en el arranque del sistema. Se almacena en el archivo de configuracin y, por tanto leer y puesta sobre el arranque del sistema. Si se establece en "0", entonces no habr ningn reenvo de paquetes. 3. Un mtodo alternativo consiste en alterar la secuencia de comandos de red: / etc / sysconfig / network
FORWARD_IPV4 = true

Cambie el valor predeterminado "false" a "true". Todos los mtodos anteriores darn lugar a un valor de ficheros proc de "1" para permitir el reenvo de paquetes TCP. Las opciones 2 y 3 configuraciones de arranque establecidos en un archivo de configuracin y no entrarn en vigor hasta que el arranque del sistema. Prueba de la configuracin actual del kernel: cat /
proc/sys/net/ipv4/ip_forward

Nota: El / proc directorio no est en el disco duro, pero est presente en el ncleo en ejecucin.

Notacin CIDR: La notacin "/ 24" se refiere a la utilizacin de los primeros 24 bits de una direccin IP 32. El es el equivalente a usar la mscara de bits de 255.255.255.0 . Para decirlo de otra manera, se especifica un rango de direcciones IP: de 0 a 255 para el ltimo octeto, mientras que los tres primeros se mantienen constantes.

Ejemplo: 192.168.103.0/24 se refiere al rango de direcciones IP 192.168.103.0 a 192.168.103.255 La notacin "/ 32" se refiere a una nica direccin IP, ya que implica que los 32 bits de la direccin IP son significativas.

Herramientas de configuracin:
Herramientas de la GUI y scripts existen para ayudarle con la configuracin de ipchains. Ver:

Firestarter - Configuracin del servidor de seguridad y el monitor hit en tiempo real para el escritorio Gnome. Configura ipchains (kernel 2.2) y iptables (kernel 2.4) Firewall Builder - iptables, ipfilter y OpenBSD PF. (GTK -)

Se incluye con Red Hat 7.x es el GUI herramienta Gnome gnomelokkit. (Ipchains) Herramientas para la configuracin de iptables:

Webmin - Linux herramienta de administracin web Shorewall NARC: Netfilter Regla automtica Configurator

Enlaces e informacin:
iptables:

IpTables.org - Netfilter / iptables pgina de inicio Iptables Linux sintaxis - por Shane Chen ipmenu - aplicacin basada en consola para ver y editar iptables y cadenas. Bastille Linux - sistema de endurecimiento de Seguridad (guin) IPTables Firewall Guin - Bob Sully

ipchains:

Pgina del manual de ipchains

Pgina del manual de ifconfig Ipchains HOWTO - LDP - Paul Russell Linux Firewall Guin - ipchains e ipfwadm scripts y configuracin. (Es el ms lujoso que he visto.) - Craig Zeller linas.org: Linux NAT, equilibrio de carga y alta disponibilidad TrinityOS: NAT, MASQ Links Config / etc / rc.d / init.d / firewall script del servidor de archivos Web Config / etc / rc.d / init.d script / firewall - Mail Server

Enlaces de redes pertinentes:

Conformacin del trfico - la asignacin de ancho de banda utilizando tc por Shane Chen o ejemplos tc PPP de marcacin a su ISP - TUTORIAL Pgina del manual de resolv.conf Pgina del manual de pppd Pgina Man para el chat Conexin a un ISP Redes resumen HOWTO - PLD Modem HOWTO - PLD Modem Linux compartiendo mini-HOWTO Smoothwall.org - Web OS gestionado por Firewall, VPN, acceso telefnico, deteccin de intrusiones, DMZ, dinmico DNS, DHCP, el reenvo de puertos, ... DSLreports.com: Opiniones de los proveedores de DSL, medicin de velocidad de ancho de banda, herramientas, informacin Modem Sharing

Routers basados en Linux:


Leaf - Linux firewall de aplicaciones Embeded Eigerstein

SOCKS Proxy Servers:


Yo ya no puedo encontrar la implementacin de referencia NEC pero aqu hay algunas otras opciones del servidor proxy SOCKS para Linux:

sSOCKS5 Privoxy - SOKS 5, el almacenamiento en cach web, IPV6 suport DeleGate - software propietario Delegar

Delegar

Tambin se pueden configurar ssh para proporcionar capacidad de proxy SOCKS5:


ssh-f-N-D 0.0.0.0:1080 localhost

Dnde:

-D: el reenvo de puertos en el puerto 1080. La direccin IP 0.0.0.0 especifica la opcin de socket INADDR_ANY lo que significa que se listeneing para las conexiones desde cualquier direccin IP. -N: permanece inactivo y no permite la ejecucin de comandos en el servidor local -F: Ejecutar en el fondo como un demonio

Iptables se pueden utilizar para restringir an ms las fuentes de acceso IP puerto 1080 y aadir ms restricciones de seguridad.

Libros:
"Linux Cortafuegos" de Robert L. Ziegler, Carl Constaintine ISBN # 0735710996, New Riders 10/2001 Segunda edicin. (Focus: iptables) Esta es la ms actualizada versin de este libro. En l se destacan los recientes cambios en el kernel 2.4 de Linux (incluyendo iptables). Tambin incluye la cobertura de VPS y SSH. Scripts y ejemplos se proporcionan para casi cualquier condicin o propsito que uno puede necesitar. Recomiendo altamente este libro para cualquier persona preocupada por la seguridad de Internet.

"Los cortafuegos de Linux" Robert L. Ziegler ISBN # 0-7357-0900-9, New Riders 11/1999 Primera edicin. (Focus: ipchains) ms completo firewall Linux / libro de seguridad en la publicacin. Cubre ipchains, se unen y una revisin completa de las posibles configuraciones de firewall. Una nueva versin de este libro ha sido puesto en libertad. Ver el libro anteriormente. "Red Hat Linux Cortafuegos" Bill McCarty ISBN # 0764524631, John Wiley and Sons Red Hat Press

"Linux iptables Pocket Reference" de Gregor N. Purdy ISBN # 0596005695, O'Reilly; Edicin: 1 (noviembre de 2004)

"Linux Routers: Una Gua para los administradores de red" por Tony Mancill ISBN # 0130090263, Prentice Hall PTR, 2 edicin (15 de junio 2002)