Firewalls: Uso de

iptables

Juan Manuel Madrid M.

Universidad Icesi

Linux como gateway

  Capacidades nativas de Linux
 Enrutador
 Firewall(filtro de paquetes)
 Traductor de direcciones (NAT)

  Funcionalidad a nivel de kernel

Juan Manuel Madrid - Seguridad 2

1
Filtros de paquetes
  El kernel analiza los paquetes
 Encabezado
 Serie de reglas
  Deacuerdo con las reglas, el kernel
admite o rechaza el paquete

Juan Manuel Madrid - Seguridad 3

Uso de iptables
  Apartir del kernel 2.4
  Mejoras notables sobre ipchains
 Tabla filter
  Filtro de paquetes
 Tabla nat
  Para manejo de NAT
 Tabla mangle
  TOS

Juan Manuel Madrid - Seguridad 4

2
 Funcionamiento de iptables
(tabla filter)
Cadena
FORWARD

Algoritmo de Paquetes
Paquetes
enrutamiento salientes
entrantes
Cadena
OUTPUT

Cadena
INPUT

Procesos
locales

Juan Manuel Madrid - Seguridad 5

Uso de iptables
  Listado de reglas
  Adición de una regla
  Borrado de una regla
  Políticas (reglas por omisión)

Juan Manuel Madrid - Seguridad 6

3
 Listado de reglas

[root@hagrid root]# iptables –L

Chain input (policy ACCEPT):
target prot opt source destination ports
ACCEPT udp ------ homero.icesi.edu.co anywhere domain ->
1025:65535
ACCEPT tcp -y---- anywhere anywhere any -> smtp
ACCEPT tcp -y---- anywhere anywhere any -> http
ACCEPT tcp -y---- anywhere anywhere any -> ssh
ACCEPT tcp -y---- anywhere anywhere any -> https
ACCEPT all ------ anywhere anywhere n/a
REJECT tcp -y---- anywhere anywhere any -> 0:1023
REJECT tcp -y---- anywhere anywhere any -> nfs
REJECT udp ------ anywhere anywhere any -> 0:1023
REJECT udp ------ anywhere anywhere any -> nfs
REJECT tcp -y---- anywhere anywhere any -> x11:6009
REJECT tcp -y---- anywhere anywhere any -> xfs
Chain forward (policy ACCEPT):
Chain output (policy ACCEPT):
[root@hagrid root]#

Juan Manuel Madrid - Seguridad 7

Adición de una regla

  Parámetros
 Nombre de la cadena
 Protocolo
 Puertos fuente/destino o tipo de paquete
 Interfaz
 Acción

iptables –A INPUT –p tcp --dport ftp –j DROP

iptables –A OUTPUT –p icmp --icmp-type echo-reply –i eth0 –j ACCEPT

Juan Manuel Madrid - Seguridad 8

4
Borrado de una regla
  Sólose requiere saber su número
  También se pueden borrar todas

iptables –L --line-numbers
iptables –D INPUT 1
iptables -F

Juan Manuel Madrid - Seguridad 9

Políticas (Reglas por omisión)

  ACCEPT
  DROP
 Se “traga” el paquete sin avisar

iptables –P INPUT ACCEPT

iptables –P OUTPUT DROP

Juan Manuel Madrid - Seguridad 10