Documentos de Académico
Documentos de Profesional
Documentos de Cultura
(Trabajo Colaborativo 5)
Actividad individual
Grupo: 201494_5
CDIGO 14567259
PRESENTADO AL TUTOR:
ABRIL 2017
A. Tabla consolidada para la ejecucin de comandos IPTables para reglas de filtrado:
Tema 1: La tabla filter de IPTables iptables -A INPUT -p icmp -j REJECT: Rechaza todas las peticiones del
Cadenas y contiene tres cadenas protocolo icmp, no se acepta el ping en todas las interfaces de red:
opciones de integradas: INPUT,
comandos OUTPUT y FORWARD:
y de Todo el trfico entrante,
parmetros
dirigido a la mquina, se hace
pasar a travs de la cadena
INPUT; Todo el trfico
saliente, generado localmente,
pasa a travs de la cadena
OUTPUT; Todo el trfico
enrutado, que no se ha
suministrado localmente, pasa
a travs de la cadena
FORWARD.
Tema 2: Los diferentes protocolos de iptables -A INPUT -i eth0 -p tcp --dport ssh -j ACCEPT: Se Aceptan todas las
Opciones red proporcionan opciones conexiones al puerto 22/ssh por todas interfaces, indicando el puerto de destino con
de especializadas las cuales se su correspondiente nombre (--dport ssh):
coincide pueden configurar para
ncia para coincidir un paquete
el
particular usando ese
protocolo
protocolo. Sin embargo,
TCP
primero se debe especificar el
(Incluir protocolo en el comando
banderas), iptables. El protocolo deber
UDP e ICMP ser especificado en un primer
momento en el comando
iptables, como con la opcin
-p tcp <nombre-protocolo>,
para hacer que las opciones de
dicho protocolo estn
disponibles.
--tcp-flags <tested flag list> iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j ACCEPT: Se aceptarn
<set flag list> Permite todas las peticiones que vengan por todas las interfaces, y deben ser examinados
paquetes TCP que tengan todos los indicadores del protocolo TCP pero solo deben estar activas las banderas
ciertos bits (banderas) SYN y ACK:
especficos puestos, para que
coincidan con la regla. La
opcin de correspondencia
--tcp-flags acepta dos
parmetros. El primero es la
mscara; una lista separada
por comas de las marcas a ser
examinadas en el paquete. El
segundo parmetro es una
lista separada por comas de
las marcas que deben ser
definidas en la regla con la
que se pretende concordar.
Las posibles banderas son:
ACK FIN PSH RST
SYN URG ALL NONE
--tcp-option Intenta
corresponderse con opciones
especficas de TCP que
puedan establecerse dentro de
un paquete determinado. Esta
opcin de correspondencia
puede tambin revertirse con
el signo de exclamacin (!).
Para Protocolo UDP: Estas iptables -A INPUT -p udp --dport 1194 -j ACCEPT
opciones de coincidencias iptables -A OUTPUT -p udp --sport 1194 -j ACCEPT
estn disponibles para el Aceptar el trfico de entrada y salida por el protocolo UDP para el servicio de
protocolo UDP (-p udp): OpenVPN por todas las interfaces, indicando el puerto de destino y origen con su
correspondiente nmero (--dport 1194, --sport 1194):
--dport Especifica el
puerto de destino del paquete
UDP, utilizando el nombre del
servicio, el nmero de puerto,
o rango de nmeros de puerto.
La opcin de correspondencia
--destination-port es
equivalente.
--icmp-type Establece el
nombre y nmero del tipo de
ICMP a corresponderse con la
regla. Puede obtenerse una
lista de nombres ICMP
vlidos al ingresar el
comando iptables -p icmp -h.
--limit Establece la
cantidad mxima posible de
correspondencias en un
perodo de tiempo
determinado, especificado
como un par
<value>/<period>. Por
ejemplo, utilizar --limit
5/hour permite 5
correspondencias con la regla
a cada hora.
Si no se utiliza un nmero o
modificador de tiempo, se
asume el valor
predeterminado de 3/hora.
--limit-burst Pone un
lmite en el nmero de
paquetes que pueden coincidir
con la regla en cada
momento.
Si no se especifica un valor, el
valor predeterminado cinco
(5) es asumido.
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT: Aceptar todas
Mdulo state Habilita el las conexiones entrantes establecidas, en cualquier interface
chequeo del estado.
--state chequea a un
paquete con los siguientes
estados de conexin:
ESTABLISHED El
paquete est asociado a otros
paquetes en una conexin
establecida. Necesita aceptar
este estado si quiere mantener
una conexin entre un cliente
y un servidor.
INVALID El paquete es
chequeado no est asociado a
una conexin conocida.
NEW El paquete
chequeado es para crear una
conexin nueva o es parte de
una conexin de doble va que iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP: Se
no fue vista previamente. rechaza todo el trfico en todas las interfaces que provenga de la direccin fsica
Necesita aceptar este estado si (MAC Address 00:0F:EA:91:04:08):
quiere permitir conexiones
nuevas a un servicio.
RELATED El paquete
coincidente est iniciando una
conexin relacionada de
alguna manera a otra
existente. Un ejemplo de esto
es FTP, que usa una conexin
para el control del trfico
(puerto 21) y una conexin
separada para la transferencia
de datos (puerto 20).
Tema 4: Las opciones del objetivo son iptables -A INPUT -p icmp -j ACCEPT: Aceptar todas las peticiones del
Opciones las acciones determinadas de protocolo icmp en todas las interfaces de red:
del objetivo cada paquete segn la regla
y del listado hacia su destino y la opcin
que se decide realizar, estas
opciones de objetivos son los
siguientes:
QUEUE El paquete se iptables -A INPUT -p icmp -j DROP: Descartar todas las peticiones del protocolo
pone en una cola para ser icmp en todas las interfaces de red:
manejado por una aplicacin
en el espacio de usuario.
RETURN Detiene el
chequeo del paquete contra
las reglas restantes de la
cadena. Si el paquete con este
destino coincide con una regla
en una cadena llamada por
otra cadena, el paquete es
devuelto a la primera cadena
y contina el chequeo donde
qued antes de saltar.
REJECT Enva un
paquete de error de vuelta al
sistema remoto y deja caer el
paquete.
-v Muestra informacin
adicional, como por ejemplo
la cantidad de paquetes y los
bytes que ha procesado cada
cadena, la cantidad de
paquetes y los bytes que se ha
correspondido con cada regla,
y qu interfases se aplican a
una regla determinada.
-n Muestra las
direcciones IP y los nmeros
de puerto en su formato
numrico, en vez del formato
predeterminado de nombre de
equipo y nombre de servicio.
--line-numbers Muestra
las reglas en cada cadena
junto a su orden numrico en
dicha cadena. Esta opcin es
til si se intenta eliminar una
regla especfica de una
cadena, o para saber dnde
insertar una regla dentro de
una cadena.
-t nom_tabla Especifica
el nombre de una tabla. Si se
omite, se usa filter como
nombre de tabla.
Tema 5: Para Linux Ubuntu el firewall
Directivas usando IPTables con el que
de control viene por defecto el sistema
de operativo es el
IPTables, Uncomplicated Firewall o
guardado ufw y las directivas de
de reglas control son las siguientes:
y archivos
de start Si el cortafuego est
configura configurado se iniciar el
cin de servicio y se activa el
scripts de IPTables.
Control service ufw start
https://wiki.archlinux.org/index.php/Iptables_(Espaol)
http://wiki.elhacker.net/redes/administracion-de-redes-gnu-linux/firewall
https://www.redeszone.net/gnu-linux/iptables-configuracion-del-firewall-en-linux-con-iptables/
http://www.seavtec.com/en/content/soporte/documentacion/iptables-howto-ejemplos-de-iptables-para-
sysadmins
https://docs.fedoraproject.org/es-ES/Fedora/13/html/Security_Guide/sect-Security_Guide-
Command_Options_for_IPTables-Command_Options.html
https://docs.fedoraproject.org/es-ES/Fedora/13/html/Security_Guide/sect-Security_Guide-
Command_Options_for_IPTables-IPTables_Parameter_Options.html
https://www.netfilter.org/documentation/HOWTO/es/packet-filtering-HOWTO-7.html