Iptables es un gran firewall incluido en el framework netfilter de Linux. Un cortafuegos es un sistema de seguridad de red que supervisa y controla el tráfico de red entrante y saliente en función de reglas de seguridad predeterminadas.
Configurar iptables manualmente es un desafío para los no iniciados. Afortunadamente, hay muchas herramientas de configuración disponibles para ayudar:por ejemplo, fwbuilder, bastille y ufw.
Primeros conceptos: Paquete :un contenedor lógico que representa el flujo de datos
Protocolo :un idioma y un conjunto de reglas que los dispositivos de red operan mediante
Puerto :una designación numérica que representa un protocolo particular
Reglas de Iptables:
- MANGLE
- Reglas para modificar los paquetes
- NAT (traducción de direcciones de red)
- PRE ENRUTAMIENTO
- POST ENRUTAMIENTO
- FILTRO
- ENTRADA
- SALIDA
- Adelante
Las reglas de iptables administran los paquetes de un protocolo específico, por ejemplo, si desea denegar una conexión a Internet, iptables puede hacerlo.
Configuración de Iptables
Vea qué reglas ya están configuradas.
# iptables -L
Esto permite que cualquier persona acceda a cualquier cosa desde cualquier lugar. Eliminar las reglas de iptables # iptables -F
Políticas
a. ACCEPT Allow the traffic
b. DROP Deny the traffic
Por ejemplo:si las políticas predeterminadas de INPUT son DROP, el firewall niega todo el tráfico de Internet.
Si desea cambiar las políticas, puede hacerlo con el siguiente comando:
iptables -P CHAIN POLITICS
Proteger su sistema:Reglas
Configurando la ENTRADA para DROP
Permitir los paquetes de su LAN (primero, debe conocer la dirección IP local usando el comando 'ifconfig').
# iptables -A INPUT -s 192.168.100.0/24 -j ACCEPT
Permitir el tráfico de Internet
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Permitir todo el tráfico saliente
# iptables -A OUTPUT -j ACCEPT
Permitir conexiones HTTP y HTTPS desde cualquier lugar (los puertos normales para sitios web
# iptables -A INPUT -p tcp --dport 80 -j ACCEPT # iptables -A INPUT -p tcp --dport 443 -j ACCEPT
Permitir conexiones SSH. El número de –dport es el mismo que en /etc/ssh/sshd_confi
# iptables -A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
Bloquear una dirección IP con iptables
La política para INPUT debe ser DROP
Agregue una nueva regla para eliminar el tráfico de la dirección IP correspondiente (archlinux.org ip)
# iptables -A INPUT -s 66.211.214.131 -j DROP
Agregue una nueva regla para permitir el resto del tráfico de Internet (Todas las reglas para eliminar el tráfico deben crearse antes de esta regla
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Opciones comunes de iptables:
| -A | Anexar, esta opción es para agregar una nueva regla |
| -Yo | Insertar una nueva regla |
| -D | Eliminar una regla |
| -R | Cambiar la posición de una regla |
| -L | Enumerar las reglas |
| -L –números-de-línea | Mostrar el número de posición de cada regla |
| -F | Eliminar todas las reglas |
| -CADENA F | Eliminar las reglas de una cadena específica |
| -N NOMBRE_DE_CADENA | Crear una nueva cadena |
| -CADENA X | Eliminar una cadena |
| -P | Cambiar una política |
| iptables -UNA CADENA -s | Especifique una fuente (dirección IP) |
| iptables -UNA CADENA -p | Especifique el protocolo |
| iptables -A CADENA -p tcp –dport | Especifique el puerto |
| iptables -A CADENA … -j | Determinar una política para una regla específica |