1. Avance de Proyecto
Problema 1 UOAC
Alfredo Fiebig C.
afiebig@ic.uach.cl
Esc. Ingenier´ en Computaci´n.
ıa o
Universidad Austral de Chile.
Sede Puerto Montt.
2. Agenda
Mapa de la Red
Listado de Tareas
Desarollo de las Tareas
Firewall
Que es iptables? Mis Reglas
Tablas
Politicas por Defecto
Como crear Reglas
Seguimiento de Conexiones
2/21
3. Agenda
Desarollo de las Tareas
Firewall
Mapa de la Red Que es iptables?
Tablas
Listado de Tareas Politicas por Defecto
Como crear Reglas
Seguimiento de Conexiones
3/21
5. Agenda
Desarollo de las Tareas
Firewall
Mapa de la Red Que es iptables?
Tablas
Listado de Tareas Politicas por Defecto
Como crear Reglas
Seguimiento de Conexiones
5/21
9. Agenda
Desarollo de las Tareas
Firewall
Mapa de la Red Que es iptables?
Tablas
Listado de Tareas Politicas por Defecto
Como crear Reglas
Seguimiento de Conexiones
7/21
10. Que es iptables?
IPTABLES
Es una herramientas de cortafuegos que permite no solamente filtrar
paquetes, sino tambi´n realizar traducci´n de direcciones de red
e o
(NAT) o mantener registros de log.
NETFILTER
Esta construido sobre Netfilter, el cual es un framework disponible
en el n´cleo Linux que permite interceptar y manipular paquetes de
u
red. Dicho framework permite realizar el manejo de paquetes en
diferentes estados del procesamiento.
8/21
11. Reglas,Cadenas,Tablas
Iptables permite definir reglas acerca de qu´ hacer con los
e
paquetes de red.
Las reglas se agrupan en cadenas.
Cada cadena es una lista ordenada de reglas.
Las cadenas se agrupan en tablas.
Cada tabla est´ asociada con un tipo diferente de
a
procesamiento de paquetes.
9/21
13. Tablas
FILTER
Filtrado de paquetes, contiene las siguientes cadenas predefinidas:
INPUT - Todos los paquetes destinados a este sistema.
OUTPUT - Todos los paquetes creados por este sistema.
FORWARD - Todos los paquetes que pasan por este sistema.
11/21
14. Tablas
NAT
Reenvio de paquetes, contiene las siguientes cadenas predefinidas:
PREROUTING - Los paquetes entrantes pasan a travs de esta
cadena antes de que se consulte la tabla de ruteo local.
(DNAT, destination-NAT)
POSTROUTING - Los paquetes salientes pasan por esta
cadena despus de haberse tomado la decisin del ruteo. (SNAT,
source-NAT)
OUTPUT - Permite hacer un DNAT limitado en paquetes
generados localmente.
12/21
15. Tablas
MANGLE
Diseada para efectos avanzados, Permite la alteracion de paquetes y
tramas, Contiene las siguientes adenas predefinidas:
PREROUTING - Todos los paquetes que logran entrar a este
sistema, antes de que el ruteo decida si el paquete debe ser
reenviado o si tiene destino local
INPUT - Todos los paquetes destinados para este sistema.
FORWARD - Todos los paquetes que pasan por este sistema.
OUTPUT - Todos los paquetes creados en este sistema.
POSTROUTING - Todos los paquetes que abandonan este
sistema.
13/21
16. Politicas por Defecto
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
14/21
17. Reglas
Cada regla especifica qu´ paquetes la cumplen y un destino que
e
indica qu´ hacer con el paquete si ´ste cumple la regla.
e e
iptables -t [tabla] -o [operacion] [cadena][coincidencia] -j
[ACCION]
Operaciones:
A (add) Agrega la regla al final
I (insert) Agrega la regla al principio
R (replace) Reemplaza una regla
D (delete) Borra una regla
F (flush) Borra todas las reglas de una cadena
L (list) Muestra las reglas de una cadena
15/21
18. Reglas
iptables -t [tabla] -o [operacion] [cadena][coincidencia] -j
[ACCION]
Coincidencias:
-p [protocolo]: puede ser tcp, udp, icmp, all. o alguno de los
indicados en /etc/protocols.
-s [ip/mascara]: direccion de origen o grupo de hosts.
-d [ip/mascara]: direccion de destino o grupo de hosts.
-i [interfaz]: interfaz desde donde se recive el paquete. ( solo
INPUT,FORWARD, PREROUTING)
-o [interfaz]: interfaz de salida. (solo OUTPUT,FORWARD,
POSTROUTING)
- -sport: puerto de origen de la transaccion. (solo para protocolo
tcp o udp)
- -dport: puerto de destino de la transaccion. (solo para
protocolo tcp o udp)
16/21
19. Reglas
iptables -t [tabla] -o [operacion] [cadena][coincidencia] -j
[ACCION]
Acciones:
ACCEPT : Acepta la transaccion.
DROP : Rechaza la transaccion.
REJECT : Rechaza la transaccion, y notifica al emisor.
QUEUE : Encola el paquete, para ser alterado con la biblioteca
libipq.
RETURN : El paquete deja de circular por la cadena.
LOG : Crea una bitacora de los paquetes. ( ejemplo: verificar
que paquetes estan siendo rechazados)
DNAT : Permite modficar la direccion y el puerto de destino.
SNAT: Permite modificar la direccion y el puerto de origen.
MASQUERADE: Forma especial y restringida de SNAT.
17/21
20. Seguimiento de Conexiones
El seguimento de conexiones le permite al n´cleo llevar cuenta de
u
todas las conexiones y relacionar todos los paquetes que forman
parte de una conexion.
Clasificacion:
NEW -Intentando crear una conexi´n nueva.
o
ESTABLISHED - Parte de una conexi´n ya existente.
o
RELATED - Relacionada, aunque no realmente parte de una
conexi´n existente.
o
INVALID - No es parte de una conexi´n existente e incapaz de
o
crear una conexi´n nueva.
o
18/21
21. Paquet Fordwarding
Forma Fea
Escribir un 1 en el archivo /proc/sys/net/ipv4/ip forward
Forma Pro
Editar la linea net.ipv4.ip forward=0 del archivo /etc/sysctl.conf
por
net.ipv4.ip forward=1
19/21
22. Agenda
Desarollo de las Tareas
Firewall
Mapa de la Red Que es iptables?
Tablas
Listado de Tareas Politicas por Defecto
Como crear Reglas
Seguimiento de Conexiones
20/21