IPTABLES ¿Que es? y ¿Como Funciona?

8,242 views
7,755 views

Published on

Descripción del funcionamiento de iptables, y sus cadenas más usadas, para facilitar la construcción de reglas.

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
8,242
On SlideShare
0
From Embeds
0
Number of Embeds
629
Actions
Shares
0
Downloads
152
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

IPTABLES ¿Que es? y ¿Como Funciona?

  1. 1. Avance de ProyectoProblema 1 UOACAlfredo Fiebig C.afiebig@ic.uach.cl Esc. Ingenier´ en Computaci´n. ıa o Universidad Austral de Chile. Sede Puerto Montt.
  2. 2. AgendaMapa de la RedListado de TareasDesarollo de las Tareas Firewall Que es iptables? Mis Reglas Tablas Politicas por Defecto Como crear Reglas Seguimiento de Conexiones 2/21
  3. 3. Agenda Desarollo de las Tareas FirewallMapa de la Red Que es iptables? TablasListado de Tareas Politicas por Defecto Como crear Reglas Seguimiento de Conexiones 3/21
  4. 4. Mapa de Red 4/21
  5. 5. Agenda Desarollo de las Tareas FirewallMapa de la Red Que es iptables? TablasListado de Tareas Politicas por Defecto Como crear Reglas Seguimiento de Conexiones 5/21
  6. 6. TareasRespaldos Rsync. 6/21
  7. 7. TareasRespaldos Rsync.Active Directory. 6/21
  8. 8. TareasRespaldos Rsync.Active Directory.Implementacion Firewall. 6/21
  9. 9. Agenda Desarollo de las Tareas FirewallMapa de la Red Que es iptables? TablasListado de Tareas Politicas por Defecto Como crear Reglas Seguimiento de Conexiones 7/21
  10. 10. Que es iptables?IPTABLESEs una herramientas de cortafuegos que permite no solamente filtrarpaquetes, sino tambi´n realizar traducci´n de direcciones de red e o(NAT) o mantener registros de log.NETFILTEREsta construido sobre Netfilter, el cual es un framework disponibleen el n´cleo Linux que permite interceptar y manipular paquetes de ured. Dicho framework permite realizar el manejo de paquetes endiferentes estados del procesamiento. 8/21
  11. 11. Reglas,Cadenas,TablasIptables permite definir reglas acerca de qu´ hacer con los epaquetes de red.Las reglas se agrupan en cadenas.Cada cadena es una lista ordenada de reglas.Las cadenas se agrupan en tablas.Cada tabla est´ asociada con un tipo diferente de aprocesamiento de paquetes. 9/21
  12. 12. Tablas 10/21
  13. 13. TablasFILTERFiltrado de paquetes, contiene las siguientes cadenas predefinidas: INPUT - Todos los paquetes destinados a este sistema. OUTPUT - Todos los paquetes creados por este sistema. FORWARD - Todos los paquetes que pasan por este sistema. 11/21
  14. 14. TablasNATReenvio de paquetes, contiene las siguientes cadenas predefinidas: PREROUTING - Los paquetes entrantes pasan a travs de esta cadena antes de que se consulte la tabla de ruteo local. (DNAT, destination-NAT) POSTROUTING - Los paquetes salientes pasan por esta cadena despus de haberse tomado la decisin del ruteo. (SNAT, source-NAT) OUTPUT - Permite hacer un DNAT limitado en paquetes generados localmente. 12/21
  15. 15. TablasMANGLEDiseada para efectos avanzados, Permite la alteracion de paquetes ytramas, Contiene las siguientes adenas predefinidas: PREROUTING - Todos los paquetes que logran entrar a este sistema, antes de que el ruteo decida si el paquete debe ser reenviado o si tiene destino local INPUT - Todos los paquetes destinados para este sistema. FORWARD - Todos los paquetes que pasan por este sistema. OUTPUT - Todos los paquetes creados en este sistema. POSTROUTING - Todos los paquetes que abandonan este sistema. 13/21
  16. 16. Politicas por Defectoiptables -P INPUT DROPiptables -P FORWARD DROPiptables -t nat -P PREROUTING ACCEPTiptables -t nat -P POSTROUTING ACCEPT 14/21
  17. 17. ReglasCada regla especifica qu´ paquetes la cumplen y un destino que eindica qu´ hacer con el paquete si ´ste cumple la regla. e eiptables -t [tabla] -o [operacion] [cadena][coincidencia] -j[ACCION]Operaciones: A (add) Agrega la regla al final I (insert) Agrega la regla al principio R (replace) Reemplaza una regla D (delete) Borra una regla F (flush) Borra todas las reglas de una cadena L (list) Muestra las reglas de una cadena 15/21
  18. 18. Reglasiptables -t [tabla] -o [operacion] [cadena][coincidencia] -j[ACCION]Coincidencias: -p [protocolo]: puede ser tcp, udp, icmp, all. o alguno de los indicados en /etc/protocols. -s [ip/mascara]: direccion de origen o grupo de hosts. -d [ip/mascara]: direccion de destino o grupo de hosts. -i [interfaz]: interfaz desde donde se recive el paquete. ( solo INPUT,FORWARD, PREROUTING) -o [interfaz]: interfaz de salida. (solo OUTPUT,FORWARD, POSTROUTING) - -sport: puerto de origen de la transaccion. (solo para protocolo tcp o udp) - -dport: puerto de destino de la transaccion. (solo para protocolo tcp o udp) 16/21
  19. 19. Reglasiptables -t [tabla] -o [operacion] [cadena][coincidencia] -j[ACCION]Acciones: ACCEPT : Acepta la transaccion. DROP : Rechaza la transaccion. REJECT : Rechaza la transaccion, y notifica al emisor. QUEUE : Encola el paquete, para ser alterado con la biblioteca libipq. RETURN : El paquete deja de circular por la cadena. LOG : Crea una bitacora de los paquetes. ( ejemplo: verificar que paquetes estan siendo rechazados) DNAT : Permite modficar la direccion y el puerto de destino. SNAT: Permite modificar la direccion y el puerto de origen. MASQUERADE: Forma especial y restringida de SNAT. 17/21
  20. 20. Seguimiento de ConexionesEl seguimento de conexiones le permite al n´cleo llevar cuenta de utodas las conexiones y relacionar todos los paquetes que formanparte de una conexion.Clasificacion: NEW -Intentando crear una conexi´n nueva. o ESTABLISHED - Parte de una conexi´n ya existente. o RELATED - Relacionada, aunque no realmente parte de una conexi´n existente. o INVALID - No es parte de una conexi´n existente e incapaz de o crear una conexi´n nueva. o 18/21
  21. 21. Paquet FordwardingForma FeaEscribir un 1 en el archivo /proc/sys/net/ipv4/ip forwardForma ProEditar la linea net.ipv4.ip forward=0 del archivo /etc/sysctl.confpor net.ipv4.ip forward=1 19/21
  22. 22. Agenda Desarollo de las Tareas FirewallMapa de la Red Que es iptables? TablasListado de Tareas Politicas por Defecto Como crear Reglas Seguimiento de Conexiones 20/21
  23. 23. MI FIREWALLMIS REGLAS 21/21

×