Welcome to Scribd, the world's digital library. Read, publish, and share books and documents. See more
Download
Standard view
Full view
of .
Save to My Library
Look up keyword
Like this
2Activity
0 of .
Results for:
No results containing your search query
P. 1
Manual Iptables

Manual Iptables

Ratings: (0)|Views: 29 |Likes:
Published by api-3743324

More info:

Published by: api-3743324 on Oct 15, 2008
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

03/18/2014

pdf

text

original

IPTABLES
Manual pr\u00e1ctico
En este manual se muestran las habituales arquitecturas de redes con firewall y la forma de montar iptables para cada
caso, con distintas opciones para cada ejemplo.

Por Pello Xabier Altadill Izura
Ingeniero Inform\u00e1tico por la UPV\u2212EHU
pello@pello.info

(Actualizaciones y ejemplos enhttp://www.pello.info )

1. Qu\u00e9 es un firewall
2. Qu\u00e9 es iptables
3. Al grano: creando un firewall con iptables
3.1 Proteger la propia m\u00e1quina
3.2 Firewall de una LAN con salida a internet
3.3 Firewall de una LAN con salida a internet con DMZ
3.4 Firewall puro y duro entre redes
3.5 Firewall con pol\u00edtica por defecto DROP
4. C\u00f3mo depurar el funcionamiento del firewall
Enlaces, notas, autor

1. Qu\u00e9 es un firewall

Un firewall es un dispositivo que filtra el tr\u00e1fico entre redes, como m\u00ednimo dos. El firewall puede ser un dispositivo
f\u00edsico o un software sobre un sistema operativo. En general debemos verlo como una caja con DOS o mas interfaces de
red en la que se establecen una reglas de filtrado con las que se decide si una conexi\u00f3n determinada puede establecerse o
no. Incluso puede ir m\u00e1s all\u00e1 y realizar modificaciones sobre las comunicaciones, como el NAT.

Esa ser\u00eda la definici\u00f3n gen\u00e9rica, hoy en dia un firewall es un hardware especifico con un sistema operativo o una IOS que
filtra el tr\u00e1fico TCP/UDP/ICMP/../IP y decide si un paquete pasa, se modifica, se convierte o se descarta. Para que un
firewall entre redes funcione como tal debe tener al menos dos tarjetas de red. Esta ser\u00eda la tipolog\u00eda cl\u00e1sica de un
firewall:

Figura 1: esquema de firewall t\u00edpico entre red local e internet
Esquema t\u00edpico de firewall para proteger una red local conectada a internet a trav\u00e9s de un router. El firewall debe
colocarse entre el router (con un \u00fanico cable) y la red local (conectado al switch o al hub de la LAN)

Dependiendo de las necesidades de cada red, puede ponerse uno o m\u00e1s firewalls para establecer distintos per\u00edmetros de
seguridad en torno a un sistema. Es frecuente tambi\u00e9n que se necesite exponer alg\u00fan servidor a internet (como es el caso
de un servidor web, un servidor de correo, etc..), y en esos casos obviamente en principio se debe aceptar cualquier
conexi\u00f3n a ellos. Lo que se recomienda en esa situaci\u00f3n es situar ese servidor en lugar aparte de la red, el que

IPTABLES manual practico, tutorial de iptables con ejemplos
1
denominamos DMZ o zona desmilitarizada. El firewall tiene entonces tres entradas:
Figura 2: esquema de firewall entre red local e internet con zona DMZ para servidores expuestos

En la zona desmilitarizada se pueden poner tantos servidores como se necesiten. Con esta arquitectura, permitimos que el servidor sea accesible desde internet de tal forma que si es atacado y se gana acceso a \u00e9l, la red local sigue protegida por el firewall. Esta estructura de DMZ puede hacerse tambi\u00e9n con un doble firewall (aunque como se ve se puede usar un \u00fanico dispositivo con al menos tres interfaces de red). Ser\u00eda un esquema como este:

Figura 3: esquema de firewall entre red local e internet con zona DMZ para servidores expuestos creado con doble
firewall(per\u00edmetro)

Los firewalls se pueden usar en cualquier red. Es habitual tenerlos como protecci\u00f3n de internet en las empresas, aunque
ah\u00ed tambi\u00e9n suelen tener una doble funci\u00f3n: controlar los accesos externos hacia dentro y tambi\u00e9n los internos hacia el
exterior; esto \u00faltimo se hace con el firewall o frecuentemente con un proxy (que tambi\u00e9n utilizan reglas, aunque de m\u00e1s
alto nivel).
Tambi\u00e9n, en empresas de hosting con muchos servidores alojados lo normal es encontrarnos uno o m\u00e1s firewalls ya sea
filtrando toda la instalaci\u00f3n o parte de ella:

IPTABLES manual practico, tutorial de iptables con ejemplos
2
Figura 4: esquema de firewall entre redes, en la que solo se filtra y no se hace NAT

Sea el tipo de firewall que sea, generalmente no tendr\u00e1 mas que un conjunto de reglas en las que se examina el origen y
destino de los paquetes del protocolo tcp/ip. En cuanto a protocolos es probable que sean capaces de filtrar muchos tipos
de ellos, no solo los tcp, tambi\u00e9n los udp, los icmp, los gre y otros protocolos vinculados a vpns. Este podr\u00eda ser (en
pseudo\u2212lenguaje) un el conjunto de reglas de un firewall del primer gr\u00e1fico:

Politica por defecto ACEPTAR.
Todo lo que venga de la red local al firewall ACEPTAR
Todo lo que venga de la ip de mi casa al puerto tcp 22 ACEPTAR
Todo lo que venga de la ip de casa del jefe al puerto tcp 1723 ACEPTAR
Todo lo que venga de hora.rediris.es al puerto udo 123 ACEPTAR
Todo lo que venga de la red local y vaya al exterior ENMASCARAR
Todo lo que venga del exterior al puerto tcp 1 al 1024 DENEGAR
Todo lo que venga del exterior al puerto tcp 3389 DENEGAR
Todo lo que venga del exterior al puerto udp 1 al 1024 DENEGAR

En definitiva lo que se hace es:
\u2212 Habilita el acceso a puertos de administraci\u00f3n a determinadas IPs privilegiadas
\u2212 Enmascara el trafico de la red local hacia el exterior (NAT, una petici\u00f3n de un pc de la LAN sale al exterior con la ip
p\u00fablica), para poder salir a internet
\u2212 Deniega el acceso desde el exterior a puertos de administraci\u00f3n y a todo lo que este entre 1 y 1024.

Hay dos maneras de implementar un firewall:
1) Pol\u00edtica por defecto ACEPTAR: en principio todo lo que entra y sale por el firewall se acepta y solo se denegar\u00e1 lo
IPTABLES manual practico, tutorial de iptables con ejemplos
3

You're Reading a Free Preview

Download
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->