Configuración IPTables

(Firewall)

Docente: Emilio Yáñez Veloso

www.santotomas.cl
 FIREWALL

www.santotomas.cl
www.santotomas.cl
www.santotomas.cl
1.- Aceptamos todas las conexiones entrantes al puerto 22/ssh por la interfaz eth0

iptables -A INPUT –i eth0 –p tcp --dport 22 –j ACCEPT

2.- Aceptamos todas las conexiones entrantes al puerto 80/apache por la interfaz eth0

iptables -A INPUT –i eth0 –p tcp –dport 80 –j ACCEPT

3. Rechazamos todas las demás conexiones entrantes desde el puerto 1 al 443 por
protocolo tcp/udp por la interfaz eth0

iptables -A INPUT –i eth0 –p tcp –dport 1:443 –j DROP

iptables -A INPUT –i eth0 –p udp –dport 1:443 –j DROP

www.santotomas.cl
4.- Luego de haber utilizado un sniffer y detecto que la ip 10.1.1.6, tiene multiples
solicitudes a internet, usted puede bloquear el tráfico saliente de esta ip, escribe con el
siguiente comando:

iptables -A OUTPUT -d 10.1.1.6 -j DROP

5.- Para bloquear las solicitudes de ping ICMP dentro de la red, escribe con el
siguiente comando:

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP

www.santotomas.cl
6.- Denegamos el resto de los servicios

iptables -A FORWARD –s 10.1.1.0/24 –i eth0 –j DROP

7.- Solamente permitiremos la conexión del cliente con la IP 10.1.1.5 a los puertos
20, 21, 23

iptables -A INPUT –s 10.1.1.5 –p tcp –m multiport --dport 20,21,23 –j ACCEPT

8.- Bloquear los ping que nos envien los usuarios de la red o de un usuario en
particular.

iptables -A INPUT –p icmp –s 10.1.1.0/24 –j DROP

iptables -A INPUT –p icmp -s 10.1.1.10 –j DROP

www.santotomas.cl
Qué significa cada comando especificado en la regla

# iptables -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT

# iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT

# iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT

# iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT

# iptables -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 631 -j ACCEPT

# iptables -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 631 -j ACCEPT

www.santotomas.cl
1. Detener / iniciar / reiniciar el servidor de seguridad

Si utiliza CentOS / Linux Red Hat Enterprise Linux / Fedora, escriba:

# service iptables stop

# service iptables start
# service iptables restart

2. Ejemplo - Bloque de dominio Facebook.com

En primer lugar, saber todas las direcciones ip de facebook.com, escriba:

Para prevenir el acceso externo a www.facebook.com, escriba:

# iptables -A OUTPUT -p tcp -d 69.171.224.0/19 -j DROP

www.santotomas.cl
3. Guardar las reglas del cortafuegos

Para guardar las reglas de firewall en CentOS / RHEL / Fedora Linux, escriba:

# service iptables save

En este ejemplo, colocar un IP y guarda las reglas de firewall:

# iptables -A INPUT -s 202.5.4.1 -j DROP

# service iptables save

4. Muestra de Forma Enumeradas las reglas del cortafuegos

Para mostar las reglas enumeradas de firewall en CentOS / RHEL / Fedora Linux,
escriba:

# iptables –L –n –v --line-number

www.santotomas.cl
5. Para Eliminar una regla especifica

Para eliminar la regla especifica de firewall en CentOS / RHEL / Fedora Linux,

escriba:

# iptables – D INPUT 3

En este ejemplo:

Debe especificar si la linea a borrar es:

INPUT o OUTPUT

Debe especificar el n° de la regla aplicada, en este caso seria la tercera regla de

entrada.

www.santotomas.cl
6. Sólo bloquear el tráfico entrante

Para eliminar todos los paquetes entrantes / enviado, pero permitir el tráfico
saliente, escriba:

# iptables -P INPUT DROP

# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT

7. El bloqueo de una dirección IP (direcciones IP bloqueadas)

Para bloquear una dirección IP atacantes llamados 1.2.3.4, escriba:

# iptables -A INPUT -s 1.2.3.4 -j DROP

# iptables -A INPUT -s 192.168.0.0/24 -j DROP

www.santotomas.cl
www.santotomas.cl
Configuración IPTables
(Firewall)

Docente: Emilio Yáñez Veloso

www.santotomas.cl