Contenido

ConceptoBsicoFirewall
FirewallModoAceptartodo
FirewallModoDenegarTodo
IptablesDefinicin
Tablasdefiltrado
TablaFilter
TablaNat
Parmetrosdefiltrado

Firewall
Un firewall es un dispositivo que filtra el trfico
entre redes, como mnimo dos. Puede ser un
dispositivo fsico o un software sobre un sistema
operativo(Linux).

PolticapordefectoACEPTAR
Todoloqueentraysaleporelfirewallseaceptaexcepto
aquelloqueseexpecifiqueexplicitamente.
Ventaja:facilitamucholagestindelfirewall,yasolonos
tenemos que preocupar de proteger aquellos puertos o
direccionesquequeremososabemos.
Inconveniente: es muy dficil de controlar aquellos
puertos que estan abiertos, ya que en algn momento
dadosepuedeinstalarunsoftwareyabrirnosunpuerto
predeterminado.

PolticapordefectoDENEGAR
Todo est denegado y solo se permite pasar por el
firewallaquelloquesepermitaexplicitamente.
Ventaja: implementar una poltica por defecto DROP es
quecreamosunverdaderomuroinfranqueable.
Inconveniente: es mucho ms dficil de implementar y
ha de tener muy claro como funciona el iptables y los
puertosquehayqueabrirenlared.

IptablesDefinicin
IptablesesunaherramientaqueutilizaNetfilter(kernel)para
establecer reglas de filtrado y modificacin de paquetes de
red,parasuaceptacin,rechazoy/omodificacinenalgunos
casos.
Iptables es una herramienta muy compleja, y altamente
configurable,pararealizarunusoordenadoyestructuradode
lasreglasserecomiendaintroducirloscomandosenunscript
y ejecutarlo para activar dichas reglas, obviamente, previo
unestudiodelasnecesidadesdelared.

Tablasdefiltrado
LatablaFiltercontienelasreglasrelacionadasconelfiltrado
depaquetesyladecisindesidebencruzaronoelhost.
La tabla Nat se refiere a las reglas que implementan el
intercambiodedestinosdeunpaquete.
LatablaManglecontienelasreglasparaexaminarpaquetes
yrealizarsobreellosdiferentestiposdemarcasquedespus
otras aplicaciones podrn leer para realizar otras acciones
sobredichospaquetes.

TablaFilter
INPUT,OUTPUTyFORWARD
La cadena INPUT especifica las reglas sobre los paquetes
quellegandefueradestinadosalequipolocal.
LacadenaOUTPUTespecificalasreglassobrelospaquetes
salientesoriginadosenelequipolocal.
La cadena FORWARD decide si una interface debe ser
capaz de verse con otra interface para que le enve los
paquetesqueharecibido.

TablaNat
POSTROUTING,PREROUTINGyFORWARD.
La cadena PREROUTING hace referencia a los paquetes
que provienen del exterior y deben ser desviados a una
mquinadentrodelaredlocal.
La cadena POSTROUTING se refiere a los paquetes que
provienen de las mquina que forman la red local y que
deseanaccederainternet.
La cadena FORWARD decide si deben poderse enviar
paquetes entre dos interfaces conectadas a la mquina que
ejecutaelfiltrado.

ParmetrosDeFiltrado
t <tabla>
i <interfaz>
o <interfaz>
p <protocolo>
s <ip>
d <ip>
dport <puerto>
j <accion>

Tabladefiltrado,ejemplo:tnat
Interfazdereddeentrada,ejemplo:ieth0
Interfazdereddesalida,ejemplo:oeth0
Clasedeprotocolotcp/udp/icmp,ejemplo:ptcp
IPdehostoreddeorigen,ejemplo:s192.168.0.2
IPdehostoreddedestino,ejemplo:d192.168.0.2
Especificaelpuertodestino,ejemplo:dport22
Paraespecificarlaaccinsobreelpaquete:
jACCEPT
jDROP
jREJECT
jRETURN
jMASQUERADE
jREDIRECT

EnceradoIptables
##FLUSHdereglas
iptablesF
iptablesX
iptablesZ
iptablestnatF
##Establecemospoliticapordefecto
iptablesPINPUTACCEPT
iptablesPOUTPUTACCEPT
iptablesPFORWARDACCEPT
iptablestnatPPREROUTINGACCEPT
iptablestnatPPOSTROUTINGACCEPT

FiltradodePaquetes
#Empezamosafiltrar
iptablesAINPUTilojACCEPT
iptablesAINPUTs195.65.34.234jACCEPT
iptablesAINPUTs231.45.134.23ptcpdport3306jACCEPT
iptablesAINPUTs80.37.45.194ptcpdport20:21jACCEPT
iptablesAINPUTptcpdport80jACCEPT
#Cerramosrestodepuertos
iptablesAINPUTptcpdport20:21jDROP
iptablesAINPUTptcpdport3306jDROP
iptablesAINPUTptcpdport22jDROP
iptablesAINPUTptcpdport10000jDROP

ReenvoPostrouting
echo1>/proc/sys/net/ipv4/ip_forward
iptablestnatAPOSTROUTINGs10.0.0.0/8oeth0jMASQUERADE
iptablestnatAPOSTROUTINGs172.26.0.0/16oeth0jMASQUERADE
iptablestnatAPOSTROUTINGs192.168.0.0/24oeth0jMASQUERADE

ReenvoPrerouting
iptablestnatAPREROUTINGieth0ptcpdport80j
REDIRECTtoport3128
iptablestnatAPREROUTINGieth0s!squidboxptcpdport
80jDNATtosquidbox:3128
iptablestnatAPREROUTINGieth1ptcpdport25jDNAT
to10.1.1.10:25