20 ejemplos iptables para administradores de sistemas linux - linuxparty

7/25/2019 20 Ejemplos Iptables Para Administradores de Sistemas Linux - LinuxParty

1/12

14/4/2016 20 ejem plos iptables par a adm inistr ador es de sistem as Linux - LinuxPar ty

http://www.linux-party.com/index.php/57-seguridad/7980-20-ejemplos-iptables-para-administradores-de-sistemas-linux 1/12

LinuxPartyInicioRecursos

HemerotecaContrtenosBuscarJuegos

SudokuAjedrez (JavaChess)Ajedrez (LokaSoft)Menu Item4

SitemapArtculos ArchivadosPublicidadFAQDonar

Canales

Naturaleza, Ciencia y TecnologaNoticias de Empresas y economa digital

Enviar HistoriaForos

Buscar... Buscar... Ya!

20 ejemplos iptables para administradores de sistemas Linux

Publicado el 17 Mayo 2012 | | | Visto: 51001Ratio: / 13

Malo Bueno Votar

Linux viene con un firewall basado en hosts llamado Netfilter. Segn el sitio oficial del proyecto:

netfilter es un conjunto de hooks dentro del kernel de Linux que permite a los mdulos del ncleo registrar las funciones dedevolucin de llamadas con la pila de red. Una funcin de devolucin de llamadas registradas entonces se llam de nuevo paracada paquete que atraviese el hooks correspondiente dentro de la pila de red.

Este firewall basado en Linux est controlada por el programa llamado iptables para el filtrado para IPv4 e ip6tables. Recomiendo queprimero lea nuestro tutorial rpido que explica cmo configurar un firewall basado en host llamado Netfilter(iptables) en CentOS / RHEL /Fedora / Red Hat Enterprise Linux. Este post muestra las listas ms comunes de iptables con las soluciones requeridas por un nuevo usuariode Linux que quiera asegurar su sistema operativo Linux de intrusos.

Iptables Las reglas de ejemplo

La mayor parte de las acciones enumeradas en este post estn escritos con la suposicin de que ser ejecutado por el usuario root ocualquier otro con usuario con privilegios. No escriba los comandos en un sistema remoto, ya que desconecte el acceso.Para propsito de la demostracin que he usado Red Hat Enterprise Linux 6.x, pero el siguiente comando debera funcionar concualquier distribucin de Linux moderna.Esto no es un tutorial sobre cmo configurar iptables. Ver tutorial aqu . Se trata de una hoja de trucos rpido a los comandos comunesde iptables.

# 1: Visualizacin del estado de su firewall

Escriba el siguiente comando como root:# iptables -L -n -vSalidas de la muestra:
http://translate.googleusercontent.com/translate_c?hl=es&ie=UTF8&prev=_t&rurl=translate.google.es&sl=en&tl=es&u=http://www.cyberciti.biz/faq/rhel-fedorta-linux-iptables-firewall-configuration-tutorial/&usg=ALkJrhhBfPsjLkcyhuTmLwKjbT1ssKWJNwhttp://foros.linux-party.com/http://www.dedodigital.com/http://www.linux-party.com/menu-up/faqhttp://www.linux-party.com/menu-up/sitemaphttp://www.linux-party.com/menu-up/juegos/ajedrez-lokasofthttp://www.linux-party.com/menu-up/juegos/ajedrez-javachesshttp://www.linux-party.com/menu-up/buscarhttp://www.linux-party.com/menu-up/hemerotecahttp://translate.googleusercontent.com/translate_c?hl=es&ie=UTF8&prev=_t&rurl=translate.google.es&sl=en&tl=es&u=http://www.cyberciti.biz/faq/rhel-fedorta-linux-iptables-firewall-configuration-tutorial/&usg=ALkJrhhBfPsjLkcyhuTmLwKjbT1ssKWJNwhttp://translate.googleusercontent.com/translate_c?hl=es&ie=UTF8&prev=_t&rurl=translate.google.es&sl=en&tl=es&u=http://www.cyberciti.biz/faq/rhel-fedorta-linux-iptables-firewall-configuration-tutorial/&usg=ALkJrhhBfPsjLkcyhuTmLwKjbT1ssKWJNwhttp://www.linux-party.com/component/mailto/?tmpl=component&template=linuxpartyv1j25&link=902aa6f2537d9e7066efc3fb7475cd771ba9dc76http://www.linux-party.com/57-seguridad/7980-20-ejemplos-iptables-para-administradores-de-sistemas-linux?tmpl=component&print=1&page=http://www.linux-party.com/57-seguridad/7980-20-ejemplos-iptables-para-administradores-de-sistemas-linuxhttp://foros.linux-party.com/http://www.linux-party.com/enviar-articuloshttp://www.dedodigital.com/http://www.ajuca.com/http://www.linux-party.com/menu-up/donarhttp://www.linux-party.com/menu-up/faqhttp://www.linux-party.com/menu-up/publicidadhttp://www.linux-party.com/menu-up/articulos-archivadoshttp://www.linux-party.com/menu-up/sitemaphttp://www.linux-party.com/menu-up/juegos/ajedrez-lokasofthttp://www.linux-party.com/menu-up/juegos/ajedrez-javachesshttp://www.linux-party.com/menu-up/juegos/sudokuhttp://www.linux-party.com/menu-up/buscarhttp://www.extrehost.com/http://www.linux-party.com/menu-up/hemerotecahttp://www.linux-party.com/


2/12



Chain INPUT (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)


Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)


Por encima de la produccin indica que el firewall no est activa. El siguiente ejemplo muestra un firewall activo:# iptables -L -n -vSalidas de la muestra:

Chain INPUT (policy DROP 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination0 0 DROP all * * 0.0.0.0/0 0.0.0.0/0 state INVALID394 43586 ACCEPT all * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

93 17292 ACCEPT all br0 * 0.0.0.0/0 0.0.0.0/01 142 ACCEPT all lo * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)pkts bytes target prot opt in out source destination

0 0 ACCEPT all br0 br0 0.0.0.0/0 0.0.0.0/00 0 DROP all * * 0.0.0.0/0 0.0.0.0/0 state INVALID0 0 TCPMSS tcp * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU0 0 ACCEPT all * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED0 0 wanin all vlan2 * 0.0.0.0/0 0.0.0.0/00 0 wanout all * vlan2 0.0.0.0/0 0.0.0.0/00 0 ACCEPT all br0 * 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 425 packets, 113K bytes)pkts bytes target prot opt in out source destination

Chain wanin (1 references)

pkts bytes target prot opt in out source destinationChain wanout (1 references)pkts bytes target prot opt in out source destination

Cuando,

-L:Lista de reglas.-V:Muestra informacin detallada. Esta opcin hace que el comando de la lista muestra el nombre de la interfaz, las opciones de laregla, y las mscaras TOS. Los contadores de bytes y de paquetes tambin estn en la lista, con 'K' el sufijo 'M' o 'G' para 1000,1.000.000 y multiplicadores de 1,000,000,000, respectivamente.-N: la direccin IP y el puerto de visualizacin en formato numrico. No utilizar DNS para resolver nombres. Esto acelerar la lista.

# 1.1: Para inspeccionar firewall con los nmeros de lnea, escriba:

# iptables -n -L -v --line-numbersSalidas de la muestra:

Chain INPUT (policy DROP)num target prot opt source destination1 DROP all 0.0.0.0/0 0.0.0.0/0 state INVALID2 ACCEPT all 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED3 ACCEPT all 0.0.0.0/0 0.0.0.0/04 ACCEPT all 0.0.0.0/0 0.0.0.0/0Chain FORWARD (policy DROP)num target prot opt source destination1 ACCEPT all 0.0.0.0/0 0.0.0.0/02 DROP all 0.0.0.0/0 0.0.0.0/0 state INVALID3 TCPMSS tcp 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU4 ACCEPT all 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

5 wanin all 0.0.0.0/0 0.0.0.0/06 wanout all 0.0.0.0/0 0.0.0.0/07 ACCEPT all 0.0.0.0/0 0.0.0.0/0Chain OUTPUT (policy ACCEPT)num target prot opt source destinationChain wanin (1 references)num target prot opt source destinationChain wanout (1 references)
http://www.adpv.com/?utm_source=ads&utm_medium=banner&utm_campaign=adsbyadpv


3/12



num target prot opt source destination

Puede utilizar los nmeros de lnea para eliminar o insertar nuevas reglas en el cortafuegos.

# 1.2: para mostrar los datos o de reglas de salida de cadena, escriba:

# iptables -L INPUT -n -v# iptables -L OUTPUT -n -v --line-numbers

# 2: Detener / iniciar / reiniciar el servidor de seguridad

Si utiliza CentOS / Linux Red Hat Enterprise Linux / Fedora, escriba:# service iptables stop# service iptables start# service iptables restartPuede utilizar el comando iptables s mismo para detener el firewall y eliminar todas las reglas:# iptables -F# iptables -X# iptables -t nat -F# iptables -t nat -X# iptables -t mangle -F# iptables -t mangle -X# iptables -P INPUT ACCEPT# iptables -P OUTPUT ACCEPT

# iptables -P FORWARD ACCEPTCuando,

-F: La eliminacin (rubor) todas las reglas.-X: Eliminar la cadena.-T table_name:mesa de seleccin (llamado nat o mangle) y borrar / normas de descarga.-P:Establece la poltica por defecto (como DROP, REJECT, o aceptar).

# 3: Eliminar reglas de Firewall

Para mostrar el nmero de lnea junto con otra informacin por las normas existentes, entre:

# iptables -L INPUT -n --line-numbers

# iptables -L OUTPUT -n --line-numbers# iptables -L OUTPUT -n --line-numbers | less# iptables -L OUTPUT -n --line-numbers | grep 202.54.1.1

Usted recibir la lista de IP. Mira el nmero de la izquierda, a continuacin, utilizar el nmero para eliminarlo. Por ejemplo, borrar el nmerode lnea 4, escriba:

# iptables -D INPUT 4

O buscar IP de origen 202.54.1.1 y eliminar del dominio:

# iptables -D INPUT -s 202.54.1.1 -j DROPCuando,

-D:Eliminar una o ms reglas de la cadena seleccionada

# 4: Coloque las reglas del cortafuegos

Para insertar una o ms reglas en la cadena seleccionado como el nmero de la regla dada, utilice la siguiente sintaxis. En primer lugar saberlos nmeros de lnea, escriba:# Iptables-L INPUT-n - line-numbersSalidas de la muestra:

Chain INPUT (policy DROP)num target prot opt source destination

1 DROP all 202.54.1.1 0.0.0.0/02 ACCEPT all 0.0.0.0/0 0.0.0.0/0 state NEW,ESTABLISHED

Para insertar la regla entre el 1 y 2, escriba:# iptables -I INPUT 2 -s 202.54.1.2 -j DROP


4/12



Para ver las reglas actualizadas, escriba:

# iptables -L INPUT -n --line-numbers

Salidas de la muestra:

Chain INPUT (policy DROP)num target prot opt source destination1 DROP all 202.54.1.1 0.0.0.0/02 DROP all 202.54.1.2 0.0.0.0/03 ACCEPT all 0.0.0.0/0 0.0.0.0/0 state NEW,ESTABLISHED

# 5: Guardar las reglas del cortafuegos

Para guardar las reglas de firewall en CentOS / RHEL / Fedora Linux, escriba:

# service iptables save

En este ejemplo, colocar un IP y guarda las reglas de firewall:

# iptables -A INPUT -s 202.5.4.1 -j DROP# service iptables save

Para el resto de distros utilizar el comando iptables-save:

# iptables-save > /root/my.active.firewall.rules# cat /root/my.active.firewall.rules

# 6: Reglas de restaurar el cortafuegos

Para restaurar las reglas del cortafuegos formar un archivo llamado / root / my.active.firewall.rules, escriba:

# iptables-restore < /root/my.active.firewall.rules

Para restaurar las reglas del firewall en CentOS / RHEL / Fedora Linux, escriba:

# service iptables restart

# 7: Establecer las polticas de firewall por defecto

Para eliminar todo el trfico:

# iptables -P INPUT DROP# iptables -P OUTPUT DROP# iptables -P FORWARD DROP# iptables -L -v -n#### you will not able to connect anywhere as all traffic is dropped ###

# ping cyberciti.biz# wget http://www.kernel.org/pub/linux/kernel/v3.0/testing/linux-3.2-rc5.tar.bz2

# 7.1: Slo a bloquear el trfico entrante

Para eliminar todos los paquetes entrantes / enviado, pero permitir el trfico saliente, escriba:

# iptables -P INPUT DROP# iptables -P FORWARD DROP# iptables -P OUTPUT ACCEPT# iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT# iptables -L -v -n### *** now ping and wget should work *** ###

# ping cyberciti.biz# wget http://www.kernel.org/pub/linux/kernel/v3.0/testing/linux-3.2-rc5.tar.bz2

# 8: Cada de direcciones de red privada En la interfaz pblica

IP spoofing no es ms que para detener a los siguientes rangos de direcciones IPv4 para redes privadas en sus interfaces pblicas. Los


5/12



paquetes con direcciones de origen no se pueden enrutar debe ser rechazado con la siguiente sintaxis:

# iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j DROP# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

# 8.1: rangos de direcciones IPv4 para redes privadas (asegrese de que se bloquean en la interfaz pblica)

10.0.0.0/8 -j (A)172.16.0.0/12 (B)192.168.0.0/16 (C)

224.0.0.0/4 (MULTICAST D)240.0.0.0/5 (E)127.0.0.0/8 (LOOPBACK)

# 9: El bloqueo de una direccin IP (direcciones IP bloqueadas)

Para bloquear una direccin IP atacantes llamados 1.2.3.4, escriba:

# iptables -A INPUT -s 1.2.3.4 -j DROP# iptables -A INPUT -s 192.168.0.0/24 -j DROP

# 10: bloquear las solicitudes de puertos entrantes (BLOQUE DE PUERTO)

Para bloquear todas las solicitudes de servicio en el puerto 80, escriba:

# iptables -A INPUT -p tcp --dport 80 -j DROP# iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP

Para bloquear el puerto 80 slo para una direccin IP 1.2.3.4, escriba:

# iptables -A INPUT -p tcp -s 1.2.3.4 --dport 80 -j DROP# iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DROP

# 11: Bloque de direcciones IP de salidaPara bloquear el trfico saliente a un host en particular o de dominio, como cyberciti.biz, escriba:

# host -ta cyberciti.biz


cyberciti.biz tiene la direccin 75.126.153.206

Anote su direccin IP y escriba lo siguiente para bloquear todo el trfico saliente a 75.126.153.206:

# iptables -A OUTPUT -d 75.126.153.206 -j DROP

Puede utilizar una subred de la siguiente manera:

# iptables -A OUTPUT -d 192.168.1.0/24 -j DROP# iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j DROP

# 11.1: Ejemplo - Bloque de dominio Facebook.com

En primer lugar, saber todas las direcciones ip de facebook.com, escriba:# host -ta www.facebook.com

Salidas de la muestra: www.facebook.com tiene la direccin 69.171.228.40

Buscar CIDR para 69.171.228.40, escriba:

# whois 69.171.228.40 | grep CIDR


6/12




CIDR: 69.171.224.0/19

Para prevenir el acceso externo a www.facebook.com, escriba:

# iptables -A OUTPUT -p tcp -d 69.171.224.0/19 -j DROP

Tambin puede usar el nombre de dominio, escriba:

# iptables -A OUTPUT -p tcp -d www.facebook.com -j DROP# iptables -A OUTPUT -p tcp -d facebook.com -j DROP

Desde la pgina del manual de iptables:

... especificar cualquier nombre que se resuelve con una consulta a distancia, tales como DNS (por ejemplo, facebook.com esrealmente una mala idea), una direccin IP de la red (con / mscara), o una simple direccin IP ...

# 12: Los paquetes de registro y soltar

Escriba lo siguiente para iniciar la sesin y bloquear el IP spoofing en la interfaz pblica denominada eth1

# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix "IP_SPOOF A: "# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

Por defecto todo lo que se registra en / var / log / messages.

# tail -f /var/log/messages# grep --color 'IP SPOOF' /var/log/messages

# 13: registrar y descartar paquetes con un nmero limitado de entradas de registro

El mdulo M-lmite puede limitar el nmero de entradas de registro creadas por el tiempo. Esto se utiliza para prevenir la inundacin de su

archivo de registro. Para registrar y descartar la suplantacin por 5 minutos, en rfagas de ms de 7 entradas.

# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix "IP_SPOOF A: "# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

# 14: Cada o aceptar trfico de direcciones de Mac

Utilice la siguiente sintaxis:

# iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP## *only accept traffic for TCP port # 8080 from mac 00:0F:EA:91:04:07 * ### iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT

# 15: Bloquear o Permitir solicitud de ICMP Ping

Escriba el siguiente comando para bloquear las solicitudes de ping ICMP:

# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP# iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP

Respuestas Ping tambin puede estar limitada a ciertas redes o hosts:

# iptables -A INPUT -s 192.168.1.0/24 -p icmp --icmp-type echo-request -j ACCEPT

A continuacin slo acepta tipo limitado de peticiones ICMP:

### ** assumed that default INPUT policy set to DROP ** #############iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT


7/12



iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPTiptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT## ** all our server to respond to pings ** ##iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

# 16: Open Range de Puertos

Utilice la siguiente sintaxis para abrir un rango de puertos:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 7000:7010 -j ACCEPT

# 17: Open Range de direcciones IP

Utilice la siguiente sintaxis para abrir un rango de direcciones IP:

## only accept connection to tcp port 80 (Apache) if ip is between 192.168.1.100 and 192.168.1.200 ##iptables -A INPUT -p tcp --destination-port 80 -m iprange --src-range 192.168.1.100-192.168.1.200 -j ACCEPT

# # # # Ejemplo de NATiptables-t nat-A POSTROUTING-j SNAT - to-source 192.168.1.20-192.168.1.25

# 18: las conexiones establecidas y recomenzar el servidor de seguridadAl reiniciar el servicio iptables que las conexiones, establecidas como descargar los mdulos del sistema con RHEL / Fedora / CentOSLinux. Editar / etc / sysconfig / iptables-config y establecer IPTABLES_MODULES_UNLOAD de la siguiente manera:

IPTABLES_MODULES_UNLOAD = no

# 19: Iptables Ayuda Inundaciones Mi pantalla del servidor

Utilice el nivel de registro crtico para enviar mensajes a un archivo de registro en vez de la consola:

iptables -A INPUT -s 1.2.3.4 -p tcp --destination-port 80 -j LOG --log-level crit

# 20: Bloquear o abrir puertos comunes

A continuacin se muestra la sintaxis para abrir y cerrar los puertos TCP y UDP comunes:

Vuelva a colocar con ACEPTAR DROP para bloquear el puerto:

Replace ACCEPT with DROP to block port:## open port ssh tcp port 22 ##iptables A INPUT m state state NEW m tcp p tcp dport 22 j ACCEPTiptables A INPUT s 192.168.1.0/24 m state state NEW p tcp dport 22 j ACCEPT

## open cups (printing service) udp/tcp port 631 for LAN users ##iptables A INPUT s 192.168.1.0/24 p udp m udp dport 631 j ACCEPTiptables A INPUT s 192.168.1.0/24 p tcp m tcp dport 631 j ACCEPT

## allow time sync via NTP for lan users (open udp port 123) ##iptables A INPUT s 192.168.1.0/24 m state state NEW p udp dport 123 j ACCEPT

## open tcp port 25 (smtp) for all ##iptables A INPUT m state state NEW p tcp dport 25 j ACCEPT

# open dns server ports for all ##iptables A INPUT m state state NEW p udp dport 53 j ACCEPTiptables A INPUT m state state NEW p tcp dport 53 j ACCEPT

## open http/https (Apache) server port to all ##iptables A INPUT m state state NEW p tcp dport 80 j ACCEPTiptables A INPUT m state state NEW p tcp dport 443 j ACCEPT

## open tcp port 110 (pop3) for all ##iptables A INPUT m state state NEW p tcp dport 110 j ACCEPT

## open tcp port 143 (imap) for all ##iptables A INPUT m state state NEW p tcp dport 143 j ACCEPT

## open access to Samba file server for lan users only ##iptables A INPUT s 192.168.1.0/24 m state state NEW p tcp dport 137 j ACCEPTiptables A INPUT s 192.168.1.0/24 m state state NEW p tcp dport 138 j ACCEPTiptables A INPUT s 192.168.1.0/24 m state state NEW p tcp dport 139 j ACCEPTiptables A INPUT s 192.168.1.0/24 m state state NEW p tcp dport 445 j ACCEPT

## open access to proxy server for lan users only ##


8/12



iptables A INPUT s 192.168.1.0/24 m state state NEW p tcp dport 3128 j ACCEPT

## open access to mysql server for lan users only ##iptables I INPUT p tcp dport 3306 j ACCEPT

# 21: Restringir el nmero de conexiones paralelas a un servidor por IP del cliente

Usted puede utilizar el mdulo connlimit para imponer restricciones. Para permitir las conexiones ssh 3 por host cliente, entre:

# iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT

Establecer las peticiones HTTP a 20:# iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROPCuando,

1. - Connlimit-por encima de 3:Coincidir si el nmero de conexiones existentes est por encima de 3.2. - Connlimit mscara de 24:Grupo de los ejrcitos con la longitud del prefijo. Para IPv4, este debe ser un nmero entre (incluido) 0 y

32.

# 22: COMO: Uso de iptables como un profesional

Para obtener ms informacin sobre iptables, consulte la pgina de manual escribiendo man iptables desde la lnea de comandos:

$ man iptablesUsted puede ver la ayuda con la siguiente sintaxis tambin:

# iptables -h

Para ver la ayuda con los comandos y objetivos especficos, entre:

# iptables -j DROP -h

# 22.1: Realizar pruebas de Firewall

Averige si los puertos estn abiertos o no entrar,:

# netstat -tulpnAverige si el puerto TCP 80 abierto o no, escriba:# netstat -tulpn | grep :80Si el puerto 80 no est abierto, inicie el Apache, escriba:# service httpd startHaga iptables seguro que permite el acceso al puerto 80:# iptables -L INPUT -v -n | grep 80De lo contrario abrir el puerto 80 utilizando los iptables para todos los usuarios:# iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT# service iptables saveUtilice el comando telnet para ver si el firewall permite la conexin al puerto 80:$ telnet www.cyberciti.biz 80Salidas de la muestra:

Trying 75.126.153.206...Connected to www.cyberciti.biz.Escape character is '^]'.^]telnet> quitConnection closed.

Usted puede utilizar nmap para probar su propio servidor con la siguiente sintaxis:

$ nmap -sS -p 80 www.cyberciti.biz


Starting Nmap 5.00 ( http://nmap.org ) at 20111213 13:19 ISTInteresting ports on www.cyberciti.biz (75.126.153.206):PORT STATE SERVICE80/tcp open http


9/12



0

+1

-1

0

+2

JComments

Nmap done: 1 IP address (1 host up) scanned in 1.00 seconds

Tambin te recomiendo que instalar y utilizar sniffer como tcpdupm y ngrep para probar la configuracin del firewall.

Conclusin:

Este mensaje slo una lista de reglas bsicas para los nuevos usuarios de Linux. Usted puede crear y construir reglas ms complejas. Estorequiere una comprensin adecuada de TCP / IP, optimizacin del kernel de Linux a travs de sysctl.conf, y un buen conocimiento de su

propia configuracin. Mantngase atento a los temas siguientes:

Stateful Packet Inspection.

Uso de ayudantes de seguimiento de conexiones.Traduccin de direcciones de red.Capa 2 de filtrado.Herramientas de pruebas de Firewall.Tratar con VPN, DNS, Web, Proxy, y otros protocolos.

< AnteriorSiguiente >

Comentarios

#Juan Jose 25-10-2012 11:18Fantastico informe,solo un detalle que quizas hize mal,segui el ejemplo para bloquear una conexion entrante por MAC y en el LOG del registro me informa de la entrada de MAC de mi

router pero no la de la IP entrante.Me deje de instalar algo ???Gracias!!!

#zargento 25-10-2012 11:54No, lo hiciste bien... si pusiste...

# iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP

## *only accept traffic for TCP port # 8080 from mac 00:0F:EA:91:04:07 * ##

# iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT

Como se aprecia en la regla, est permitiendo el paso por la MAC.

De todas formas, si quieres guardar registro, mirate los puntos #12, #13 y #19... Deberas incluir la regla: -j LOG --log-prefix

"IP_SPOOF A: "La razn? Da igual la IP que tenga dicha MAC, eso est "relativamente bien" si la IP cambia, y no es una IP fija.

#raul 14-11-2012 00:14Hola excelente post de iptables, tienes alguna referencia o manual propio explicando mas usos?

#zargento 14-11-2012 07:55Si Ral, aqu en LinuxParty han publicado muchos posts acerca de iptables, mirate:

******www.linux-party.com/index.php/component/search/?searchword=iptables&searchphrase=all&Itemid=101

#juan 18-04-2015 17:06como podria confidurar el DHCP para asignar ip's manualmente??

Refrescar lista de comentarios Suscripcin de noticias RSS para comentarios de esta entrada.

No ests registrado para postear comentariosPuedes tambin usar los foros

Categora: Seguridad

Relacionados

Seguridad

neopy.py - Cdigo fuente, y cmo se usa.

10 medidas de seguridad imprescindibles para tu blog en WordPress

El Virus RamsonWare 2016, que debes evitar.
http://www.linux-party.com/57-seguridad/9449-el-virus-ramsonware-2016-que-debes-evitarhttp://www.linux-party.com/57-seguridad/9452-10-medidas-de-seguridad-imprescindibles-para-tu-blog-en-wordpresshttp://www.linux-party.com/57-seguridad/9197-neopy-py-codigo-fuente-y-como-se-usahttp://www.linux-party.com/57-seguridadhttp://www.linux-party.com/foroshttp://www.linux-party.com/component/jcomments/feed/com_content/7980http://www.linux-party.com/index.php/component/content/article/57-seguridad/7980-20-ejemplos-iptables-para-administradores-de-sistemas-linux#comment-1602http://www.linux-party.com/index.php/component/content/article/57-seguridad/7980-20-ejemplos-iptables-para-administradores-de-sistemas-linux#comment-595http://www.linux-party.com/index.php/component/content/article/57-seguridad/7980-20-ejemplos-iptables-para-administradores-de-sistemas-linux#comment-594http://www.linux-party.com/index.php/component/content/article/57-seguridad/7980-20-ejemplos-iptables-para-administradores-de-sistemas-linux#comment-552http://www.linux-party.com/index.php/component/content/article/57-seguridad/7980-20-ejemplos-iptables-para-administradores-de-sistemas-linux#comment-550http://www.linux-party.com/component/jcomments/feed/com_content/7980http://www.linux-party.com/57-seguridad/7975-casi-el-10porciento-de-los-sitios-web-son-maliciosos-otro-10porciento-sospochosohttp://www.linux-party.com/57-seguridad/7992-systemrescuecd-270-anade-soporte-de-paquetes-deb-y-rpmhttp://www.joomlatune.com/


10/12



Cmo utilizar IPTABLES, especificaciones y reglas.

Tu equipo Podra estar i nfectado y no lo sabes.

Nueva app que permite que tus amigos te acompaen cuando regresas solo a casa es un xito en todo el mundo

Atencin! Detectado ataque a routers domsticos que los convierte en bots y/o Zombies

Rig 3.0, un kit de exploits que afecta a millones de usuarios

tar --exclude para Excluir ficheros y directorios de la copia.

Redes:

Patrocinadores

Contratar publicidad en LinuxParty.

Encuesta de LinuxParty

Tu aficin preferida para gastar el tiempo?

Jugar en el ordenadorJugar con el smartphone

Salir / Pasear

Leer libros / revistas

Darle a la "manivela"

Instruirme viendo LinuxParty

Vote

View details
http://www.linux-party.com/component/acepolls/poll/18-tu-aficion-preferida-para-gastar-el-tiempohttp://www.linux-party.com/82-linuxparty/8117-contratar-publicidad-en-linuxpartyhttp://pandorafms.com/Producto/what-is-pandorafms/es?utm_source=linux-party&utm_medium=patrocinio&utm_campaign=PandoraFMSTechttp://www.soloseguridad.net/seguridad-informatica-ts-8217.htmlhttp://www.extrehost.com/http://www.linux-party.com/component/banners/click/12https://plus.google.com/113788246818628628929/postshttp://twitter.com/linuxpartyhttps://www.facebook.com/pages/linuxparty/143613333990?ref=hlhttp://www.linux-party.com/?format=feed&type=atomhttp://www.linux-party.com/57-seguridad/9348-tar-exclude-para-excluir-ficheros-y-directorios-de-la-copiahttp://www.linux-party.com/57-seguridad/9356-rig-3-0-un-kit-de-exploits-que-afecta-a-millones-de-usuarioshttp://www.linux-party.com/57-seguridad/9374-atencion-detectado-ataque-a-routers-domesticos-que-los-convierte-en-bots-y-o-zombieshttp://www.linux-party.com/57-seguridad/9373-nueva-app-que-permite-que-tus-amigos-te-acompanen-cuando-regresas-solo-a-casa-es-un-exito-en-todo-el-mundohttp://www.linux-party.com/57-seguridad/9400-tu-equipo-podria-estar-infectado-y-no-lo-sabeshttp://www.linux-party.com/57-seguridad/9429-como-utilizar-iptables-especificaciones-y-reglas


11/12



ltimos comentarios

Cmo configurar un servidor de correo con Postfix y Dovecot para diferentes necesidades (2)Cmo configurar un servidor de correo con Postfix y Dovecot para diferentes necesidades (1)Cambiar la Hora y la Fecha al sistema Linux (11)LinuxParty, ha crecido ms del doble en 1 ao. (1)Juego Simulador de Camiones para Linux: Euro Truck Simulator 2 (1)10 Impresionantes Juegos 3D para Linux, y gratis. (2)Instalar Office en Linux, (con Wine) (2)Manual sobre crear un proxy transparente con pfSense - Squid + SquidGuard (8)Ya puedes Jugar a 3D-SimCity en la web con tu navegador y gratis (1)Instrucciones de uso para espiar con ZoneMinder en Linux (parte 1) (4)

Donar a LinuxParty

La mejor forma de darnos las gracias, es hacer una donacin.

Noticias de Linux y tecnologa

Quin est online?

Hay 233 invitados y ningn miembro en lnea

Foros de LinuxParty

Distribuciones Re: Como se que version de Linux tengo instalada??

Sistemas Script para Detectar Conexiones y Programas en Linux

Desarrollo RANDOM con Shell Script y condiciones lgicas if...then

Desarrollo Convertir XML a CSV in PHP

Sistemas Script para Rellenar con ceros

Distribuciones Re: Como se que version de Linux tengo instalada??

Sistemas Script Antivirus para Sistemas LinuxDesarrollo Curso de programacin segura en Javascript

Juegos Linux Juego RULETA RUSA en Shell Script

Distribuciones Re: como se puede eliminar amenazas y defectos desde consla

Usuario

Contrasea

Recurdeme

Identificarse

Recordar contrasea?Recordar usuario?Crear una cuenta
http://www.linux-party.com/component/users/?view=registrationhttp://www.linux-party.com/component/users/?view=remindhttp://www.linux-party.com/component/users/?view=resethttp://www.linux-party.com/foros/viewtopic.php?t=70&p=142#p142http://www.linux-party.com/foros/viewtopic.php?t=71&p=143#p143http://www.linux-party.com/foros/viewtopic.php?t=72&p=144#p144http://www.linux-party.com/foros/viewtopic.php?t=73&p=145#p145http://www.linux-party.com/foros/viewtopic.php?t=30&p=146#p146http://www.linux-party.com/foros/viewtopic.php?t=74&p=147#p147http://www.linux-party.com/foros/viewtopic.php?t=75&p=148#p148http://www.linux-party.com/foros/viewtopic.php?t=76&p=149#p149http://www.linux-party.com/foros/viewtopic.php?t=77&p=150#p150http://www.linux-party.com/foros/viewtopic.php?t=30&p=153#p153http://www.linux-party.com/http://www.linux-party.com/index.php/component/content/article/53-privacidad/9048-instrucciones-de-uso-para-espiar-con-zoneminder-en-linux-parte-1#commentshttp://www.linux-party.com/index.php/31-juegos/9239-ya-puedes-jugar-a-3d-simcity-en-la-web-con-tu-navegador-y-gratis#commentshttp://www.linux-party.com/index.php/57-seguridad/8357-manual-sobre-crear-un-proxy-transparente-con-pfsense-squid-squidguard#commentshttp://www.linux-party.com/index.php/component/content/article/60-software/8973-instalar-office-en-linux-con-wine#commentshttp://www.linux-party.com/index.php/31-juegos/7798-10-impresionantes-juegos-3d-para-linux-y-gratis#commentshttp://www.linux-party.com/index.php/31-juegos/9180-juego-simulador-de-camiones-para-linux-euro-truck-simulator-2#commentshttp://www.linux-party.com/index.php/component/content/article/82-linuxparty/9328-linuxparty-ha-crecido-mas-del-doble-en-1-ano#commentshttp://www.linux-party.com/index.php/component/content/article/35-linux/1732-cambiar-la-hora-y-la-fecha-al-sistema-linux#commentshttp://www.linux-party.com/index.php/component/content/article/29-internet/9093-como-configurar-un-servidor-de-correo-con-postfix-y-dovecot-para-diferentes-necesidades#commentshttp://www.linux-party.com/index.php/component/content/article/29-internet/9093-como-configurar-un-servidor-de-correo-con-postfix-y-dovecot-para-diferentes-necesidades#commentshttp://ams1-ib.adnxs.com/click?AAAAAAAAAAAAAAAAAAAAAOF6FK5H4eo_AAAAAAAAAAAAAAAAAAAAAAAzE8xykpAAWem28OVX5VtIjA9XAAAAAPm8QwBNBQAA5QAAAAIAAABzWskBm1kJAAAAAQAAAAAAVVNEACwB-gCLogAAAAAAAgEAAQAAAIQAQRd-RwAAAAA./bn=0/referrer=http%3A%2F%2Fwww.linux-party.com%2Findex.php%2F57-seguridad%2F7980-20-ejemplos-iptables-para-administradores-de-sistemas-linux/clickenc=http://www.deletebloodcancer.org/?utm_source=AppNexus&utm_medium=banner&utm_campaign=cotton


12/12


Tutorial de Linux

Tutorial de LinuxDescarga gratuita aqu.(ver.pdf)

El Top de LinuxParty

Cmo configurar la tarjeta de Red Inalmbrica ( WiFi ) en LinuxCambiar la Hora y la Fecha al sistema LinuxManual para hackear una red wifiCmo configurar el Modem USB o Tarjeta GPRS / 3G para Linux.Exportar Bases de Datos de Access (MDB) a MySQLCmo bloquear fotos e imgenes porno con SafeSquid, servidor proxyTutorial de C/C++, programar paso a paso, para Linux, Windows y MacERROR 1045: Access denied for user: 'root@localhost' (Using password: YES)40 cosas que probablemente no sepas sobre LinuxProgramar y depurar en un IDE para PHP, plugin phpeclipse, xdebug y Remote debugInstalar Microsoft Office en Linux (con Wine)Sexo, Violencia, y Tensin en los Juegos.Lara Croft Desnuda!20 ejemplos iptables para administradores de sistemas Linux

No encuentro la pgina de los cojonesCmo Montar tu Propio WikiCmo Crear una Base de Datos MySQL e inicializar los privilegios.Incluir Repositorios en FedoraServidor de Archivos Samba con SWAT en Fedora.Reparar una particin NTFS daada. (Sistema de Ficheros de Windows)

Empresas y Economa

Naturaleza, Ciencia y Tecnologia

Designed by ExtreHost.

Publicidad / Contacto| RSS / Atom| En Twitter| En Facebook

Copyleft LinuxParty 2013.
http://es-es.facebook.com/pages/linuxparty/143613333990?sk=app_23798139265http://twitter.com/linuxpartyhttp://www.linux-party.com/index.php?format=feed&type=atomhttp://www.linux-party.com/index.php/8117-contratar-publicidad-en-linuxpartyhttp://www.extrehost.com/http://ams1-ib.adnxs.com/click?AAAAAAAAAAAAAAAAAAAAAOF6FK5H4eo_AAAAAAAAAAAAAAAAAAAAAI569Zwim6F0Wem28OVX5VtIjA9XAAAAAPm8QwBNBQAA5QAAAAIAAADSoYcBm1kJAAAAAQAAAAAAVVNEACwB-gCLogAAAAAAAgEAAQAAAIQAahk58gAAAAA./bn=0/referrer=http%3A%2F%2Fwww.linux-party.com%2Findex.php%2F57-seguridad%2F7980-20-ejemplos-iptables-para-administradores-de-sistemas-linux/clickenc=http://psa.appnexus.com/givologyhttp://www.linux-party.com/39-microsoft/3711-reparar-una-particion-ntfs-danada-sistema-de-ficheros-de-windowshttp://www.linux-party.com/56-samba/3356-servidor-de-archivos-samba-con-swat-en-fedorahttp://www.linux-party.com/21-fedora/2713-incluir-repositorios-en-fedorahttp://www.linux-party.com/42-mysql/2214-como-crear-una-base-de-datos-mysql-e-inicializar-los-privilegioshttp://www.linux-party.com/71-creative-commons/57-como-montar-tu-propio-wikihttp://www.linux-party.com/67-humor/2515-no-encuentro-la-pagina-de-los-cojoneshttp://www.linux-party.com/57-seguridad/7980-20-ejemplos-iptables-para-administradores-de-sistemas-linuxhttp://www.linux-party.com/47-news/2030-lara-croft-desnuda!http://www.linux-party.com/31-juegos/1282-sexo-violencia-y-tension-en-los-juegoshttp://www.linux-party.com/39-microsoft/4486-instalar-microsoft-office-en-linux-con-winehttp://www.linux-party.com/54-programacion/4000-programar-y-depurar-en-un-ide-para-php-plugin-phpeclipse-xdebug-y-remote-debughttp://www.linux-party.com/35-linux/5572-40-cosas-que-probablemente-no-sepas-sobre-linuxhttp://www.linux-party.com/42-mysql/3991-error-1045-access-denied-for-user-root-localhost-using-password-yeshttp://www.linux-party.com/54-programacion/6929-tutorial-de-c-c-programar-paso-a-paso-para-linux-windows-y-machttp://www.linux-party.com/15-documentacion/3658-como-bloquear-fotos-e-imagenes-porno-con-safesquid-servidor-proxyhttp://www.linux-party.com/42-mysql/3392-exportar-bases-de-datos-de-access-mdb-a-mysqlhttp://www.linux-party.com/29-internet/1944-como-configurar-el-modem-usb-o-tarjeta-gprs-3g-para-linuxhttp://www.linux-party.com/65-wireless/3193-manual-para-hackear-una-red-wifihttp://www.linux-party.com/35-linux/1732-cambiar-la-hora-y-la-fecha-al-sistema-linuxhttp://www.linux-party.com/65-wireless/36-como-configurar-la-tarjeta-de-red-inalambrica-wifi-en-linuxhttp://www.linux-party.com/TutorialLinux/TutorialLinux-6.0-0.pdfhttp://www.linux-party.com/TutorialLinuxhttp://ams1-ib.adnxs.com/click?AAAAAAAAAAAAAAAAAAAAAOF6FK5H4eo_AAAAAAAAAAAAAAAAAAAAAFkFh8DulLF0Wem28OVX5VtIjA9XAAAAAPm8QwBNBQAA5QAAAAIAAACqvSACm1kJAAAAAQAAAAAAVVNEACwB-gCLogAAAAAAAgEAAQAAAIQA2RhY0AAAAAA./bn=0/referrer=http%3A%2F%2Fwww.linux-party.com%2Findex.php%2F57-seguridad%2F7980-20-ejemplos-iptables-para-administradores-de-sistemas-linux/clickenc=http://girlrising.com/?utm_source=AppNexus&utm_medium=banner

20 ejemplos iptables para administradores de sistemas linux - linuxparty

Documents