REGLAS:

ACCEPT: Deja que el paquete pase.

DROP: Descartar el paquete.

QUEUE: El paquete se encola.

RETURN: Retorna a la cadena previa.

REJECT: Descarta el paquete pero enva un mensaje de error icmp.

CADENAS DE TABLAS:

filter:

INPUT: Para paquetes destinados al equipo local.

OUTPUT: Para paquetes generados localmente.

FORWARD: Para paquetes que van dirigidos al equipo local.

CADENAS DE TABLAS:

nat:

PREROUTING : Para modificar paquetes tan pronto entran.

OUTPUT: Para modificar paquetes generados localmente antes del enrutamiento.

POSTROUTING : Para modificar paquetes tan pronto salen.

COMANDOS:

-A (--append): Agrega una nueva regla al final de la cadena seleccionada.

-D (--delete): Elimina una regla de la cadena seleccionada.

-L (--list): Lista todas las reglas.

-F (--flush): Borra o limpia las reglas.

-Z (--zero): Contadores de byte de todas las cadenas a cero.

-N (--new-chain): Crea una nueva cadena.

-X (--delete-chain): Elimina la cadena especificada.

-P (--policy): Configura una poltica a la cadena y target dado.

-h (help): Da una descripcin de la sntaxis del camando.

Parmetros:

-p (--protocol): Protocolo de la regla o paquete a chequear (tcp, udp, icmp, all). Argumento
! es la seleccin inversa.

-s (--source): Direccin origen especfica o un rango usando mscara o prefijo. Argumento

! es la seleccin inversa.

-d (--destination): Direccin destino.

-j (--jump): Especifica el target de la regla. Qu hacer si el paquete hace match.

-i (--in-interface): Nombre de la interfaz por la cual el paquete fue recibido (slo para las
cadenas INPUT, FORWARD y PREROUTING). Argumento ! es la seleccin inversa.

-o (--out-interface): Nombre de la interfaz por la cual el paquete se enva o sale (slo para
las cadenas OUTPUT, FORWARD y POSTROUTING). Argumento ! es la seleccin inversa.

-f (--fragment): La regla se refiere al segundo y siguientes fragmentos o paquetes

fragmentados.

-j (--jump): Especifica el target de la regla. Qu hacer si el paquete hace match.

-t (--table): Especifica una tabla a usar.

Iptaples V: ver versin

## FLUSH de reglas, limpiado.
iptables F
iptables X
iptables Z

Ejercicios:
Aadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la
direccin 192.168.0.155 y enviar un mensaje de error icmp.
iptables A INPUT s 192.168.0.155 j REJECT
Permitir conexiones locales (al localhost), por ejemplo a mysql.
iptables A INPUT i lo j ACCEPT
Aadir una regla a la cadena INPUT para invertir una regla.
iptables A INPUT j ACCEPT ! s 192.168.0.155

Aadir una regla a la cadena INPUT para rechazar paquetes icmp.

iptables A INPUT p icmp j DROP
Aadir una regla a la cadena INPUT para rechazar paquetes icmp, con mensaje de error icmp.
iptables A INPUT p icmp j REJECT
Permitir el acceso a nuestro servidor web (puerto TCP 80).
iptables -A INPUT -p tcp dport 80 -j ACCEPT
Permitir el acceso a nuestro servidor ftp (puerto TCP 20 y 21).
iptables -A INPUT -p tcp dport 20:21 -j ACCEPT

Permitimos a la mquina con IP 192.168.0.155 conectarse a nuestro equipo a travs de SSH.

iptables A INPUT s 192.168.0.155 p tcp --dport 22 j ACCEPT

FTP
[root@ localhost ~]# yum install -y vsftpd
Archivos de configuracin de VSFTPD
/etc/vsftpd/vsftpd.conf
/etc/vsftpd/chroot_list ---> Fichero que definir los usuarios
que harn uso del acceso de invitado
[RECUERDE QUE ESTE FICHERO DEBE SER
GENERADO POR USTED

3.5.2.1 Configuracin del fichero vsftpd.conf

Para llevar a cabo la configuracin de este fichero le recomendamos usar el editor de textos VIM.
A continuacin le presentamos las diferentes opciones que pueden ser habilitadas o negadas en el
fichero de configuracin vsftpd.conf
3.5.2.1.1 Habilitando o negando accesos annimos al servidor FTP
Al haber abierto el fichero trate de buscar la linea siguiente:
Para habilitar el acceso annimo al servidor FTP solo deber teclear la palabra YES , caso contrario
si usted desea tener deshabilitada esta opcin solo deber teclear la palabra NO.
anonymous_enable=YES|NO

3.5.2.1.2 Habilitar o negar autenticarse a los usuarios

Para habilitar o negar los accesos autenticados de los usuarios locales en el servidor FTP deber
buscar lasiguiente linea:
local_enable=YES|NO
Deber teclear la palabra YES para habilitar la autenticacion , caso contrario si usted desea tener
deshabilitadaesta opcin solo deber teclear la palabra NO.

3.5.2.1.3 Habilitar o negar la escritura en el servidor FTP

Para habilitar o negar la escritura en el servidor FTP deber buscar la siguiente linea
write_enable=YES|NO
Una vez ubicada esta linea recuerde borrar ( si es que esta ) el signo de numero (#) para habilitar
esta funcin. Establezca el valor YES o NO de acuerdo a lo que se requiera.
3.5.2.1.4 Estableciendo un mensaje de bienvenida en el servidor FTP
Este parmetro sirve para establecer un mensaje de bienvenida el cual ser mostrado cada vez
que un usuario acceda al servidor de archivos. Una vez ubicada esta linea recuerde borrar ( si es
que esta ) el signo de numero (#) para habilitar esta funcin.
Para agregar este mensaje al servidor FTP deber buscar la siguiente linea y editarla.
ftpd_banner=Bienvenido al Servidor FTP de Linux Para Todos

3.5.2.1.5 Habilitar el acceso de invitado para ciertos usuarios de FTP

Para limitar a los usuarios a trabajar en su propia carpeta de trabajo se debern editar las
siguientes lineas del fichero vsftpd.conf
chroot_list_enable=YES |NO
Una vez ubicada esta linea recuerde borrar ( si es que esta ) el signo de numero (#) para habilitar
esta funcin.
Habilitar este parmetro indicara al servidor FTP que el usuario solo podr trabajar dentro de su
carpeta de trabajo, para ello solo habr que teclear la palabra YES, en caso contrario use la
palabra NO
El siguiente parmetro se encuentra en funcin del anterior, de forma que si usted lo habilito
tambin tendr que habilitar este ultimo, para ello solo deber borrar el caracter de numero (#)
chroot_list_file=/etc/vsftpd/chroot_list

El parmetro
/etc/vsftpd/chroot_list
indica la ruta en la cual se encuentra el fichero con los nombres de los usuarios que sern
limitados a trabajar
en su propia carpeta de trabajo
Recuerde que usted creo previamente este fichero

3.5.2.1.6 Habilitar al usuario annimo la funcin de subir contenido al servidor FTP

Para habilitar o negar al usuario annimo el subir datos al servidor FTP deber buscar la siguiente
linea:
anon_upload_enable=YES|NO
Una vez ubicada esta linea recuerde borrar ( si es que esta ) el signo de numero (#) para habilitar
esta funcin. Establezca el valor YES o NO de acuerdo a lo que se requiera.

3.5.2.1.7 Habilitar al usuario annimo la funcin de crear carpetas en servidor FTP

Para habilitar o negar al usuario crear carpetas en servidor FTP deber buscar la siguiente linea:
anon_mkdir_write_enable=YES|NO
Una vez ubicada esta linea recuerde borrar ( si es que esta ) el signo de numero (#) para habilitar
esta funcin. Establezca el valor YES o NO de acuerdo a lo que se requiera.

3.5.2.1.8 Estableciendo permisos de escritura, lectura y ejecucin al contenido albergado en el

servidor FTP
La siguiente linea Indica que los archivos subidos al servidor quedarn con los permisos 022, es
decir, sloescritura para el grupo y los dems.
local_umask=022
Si tu deseas agregar otro tipo de permisos sobre el contenido que sera albergado en tu servidor
FTP solo debers modificar el valor 022 por el que tu creas mas conveniente.Nosotros
recomendamos usar el permiso 664
local_umask=664
es decir, lectura y escritura para el propietario del fichero, y slo lectura para el grupo y los dems

3.5.2.1.9 Limitando la tasa de transferencia a los usuarios annimos

Usted puede limitar la tasa de transferencia ( en bytes ) para los usuarios annimos, solamente
deber agregar la siguiente linea al final del archivo
anon_max_rate=10240
Como podemos observar hemos limitado la tasa de transferencia a solo 10 Kb para los usuarios
annimos, usted podr definir ese parmetro de acuerdo a sus necesidades.
3.5.2.1.10 Limitando la tasa de transferencia a los usuarios autenticados
Usted puede limitar la tasa de transferencia ( en bytes ) para los usuarios annimos, solamente
deber agregar la siguiente linea al final del archivo
local_max_rate=10240
Como podemos observar hemos limitado la tasa de transferencia a solo 10 Kb para los usuarios
autenticados, usted podr definir ese parmetro de acuerdo a sus necesidades.

3.5.2.1.11 Limitando el numero de conexiones hacia el servidor FTP

Usted podr establecer un numero mximo de conexiones que podrn acceder simultneamente
al servidor FTP, para ello solo habr que aadir la siguiente linea al final de archivo.
max_clients=3
Como podemos observar hemos limitado el acceso a solamente 3 clientes FTP

3.5.2.1.12 Limitando el numero de conexiones por IP hacia el servidor FTP

Usted podr establecer un numero mximo de conexiones desde una misma direccin IP que
podrn acceder simultneamente al servidor FTP, para ello solo habr que aadir la siguiente linea
al final de archivo.
max_per_ip=3
Como podemos observar hemos limitado el acceso a simultaneo a solamente 3 IPs .

3.5.2.2 Configuracin del fichero chroot_list

La configuracin de este fichero es relativamente fcil, solo deber aadir dentro de el los
nombres de los usuarios que sern limitados a trabajar dentro de su carpeta personal de trabajo.
Ejemplo:

Al terminar solo deber guardar los cambios hechos al fichero.

Explicacin:
Como podemos observar, estamos creando una cuenta en el servidor ftp, para ello estamos
usando el comando
useradd
El parmetro siguiente es -d /home/ftp/Javier
Este parmetro le indica a Linux que la carpeta de trabajo de javier esta ubicada en la ruta
[/home/ftp/javier]

el ultimo parmetro
-s /sbin/nologin
Le indica a Linux que el usuario no podr logearse en el sistema lo cual es ideal para usuarios con
acceso a FTP pero sin acceso al interprete de comando

Crear usuario sin contrasea

Creamos el usuario mediante consola con el commando:
adduser usuario
Entonces nos pregunta la contrasea UNIX, y ponemos cualquiera. Nos la hace repetir para
comprobacion.
Ahora escribimos en la consola:
passwd -d usuario
y as le borrar la contrasea y le dejar el acceso libre.