Download - IPTABLES ¿Que es? y ¿Como Funciona?
Avance de Proyecto
Problema 1 UOAC
Alfredo Fiebig [email protected]
Esc. Ingenierıa en Computacion.Universidad Austral de Chile.
Sede Puerto Montt.
Agenda
Mapa de la RedListado de TareasDesarollo de las Tareas
FirewallQue es iptables?TablasPoliticas por DefectoComo crear ReglasSeguimiento de Conexiones
Mis Reglas
2/21
Agenda
Mapa de la RedListado de Tareas
Desarollo de las TareasFirewall
Que es iptables?TablasPoliticas por DefectoComo crear ReglasSeguimiento de Conexiones
3/21
Mapa de Red
4/21
Agenda
Mapa de la RedListado de Tareas
Desarollo de las TareasFirewall
Que es iptables?TablasPoliticas por DefectoComo crear ReglasSeguimiento de Conexiones
5/21
Tareas
I Respaldos Rsync.
I Active Directory.
I Implementacion Firewall.
6/21
Tareas
I Respaldos Rsync.
I Active Directory.
I Implementacion Firewall.
6/21
Tareas
I Respaldos Rsync.
I Active Directory.
I Implementacion Firewall.
6/21
Agenda
Mapa de la RedListado de Tareas
Desarollo de las TareasFirewall
Que es iptables?TablasPoliticas por DefectoComo crear ReglasSeguimiento de Conexiones
7/21
Que es iptables?
IPTABLES
Es una herramientas de cortafuegos que permite no solamente filtrarpaquetes, sino tambien realizar traduccion de direcciones de red(NAT) o mantener registros de log.
NETFILTER
Esta construido sobre Netfilter, el cual es un framework disponibleen el nucleo Linux que permite interceptar y manipular paquetes dered. Dicho framework permite realizar el manejo de paquetes endiferentes estados del procesamiento.
8/21
Reglas,Cadenas,Tablas
I Iptables permite definir reglas acerca de que hacer con lospaquetes de red.
I Las reglas se agrupan en cadenas.
I Cada cadena es una lista ordenada de reglas.
I Las cadenas se agrupan en tablas.
I Cada tabla esta asociada con un tipo diferente deprocesamiento de paquetes.
9/21
Tablas
10/21
Tablas
FILTER
Filtrado de paquetes, contiene las siguientes cadenas predefinidas:
I INPUT - Todos los paquetes destinados a este sistema.
I OUTPUT - Todos los paquetes creados por este sistema.
I FORWARD - Todos los paquetes que pasan por este sistema.
11/21
Tablas
NAT
Reenvio de paquetes, contiene las siguientes cadenas predefinidas:
I PREROUTING - Los paquetes entrantes pasan a travs de estacadena antes de que se consulte la tabla de ruteo local.(DNAT, destination-NAT)
I POSTROUTING - Los paquetes salientes pasan por estacadena despus de haberse tomado la decisin del ruteo. (SNAT,source-NAT)
I OUTPUT - Permite hacer un DNAT limitado en paquetesgenerados localmente.
12/21
Tablas
MANGLE
Diseada para efectos avanzados, Permite la alteracion de paquetes ytramas, Contiene las siguientes adenas predefinidas:
I PREROUTING - Todos los paquetes que logran entrar a estesistema, antes de que el ruteo decida si el paquete debe serreenviado o si tiene destino local
I INPUT - Todos los paquetes destinados para este sistema.
I FORWARD - Todos los paquetes que pasan por este sistema.
I OUTPUT - Todos los paquetes creados en este sistema.
I POSTROUTING - Todos los paquetes que abandonan estesistema.
13/21
Politicas por Defecto
I iptables -P INPUT DROP
I iptables -P FORWARD DROP
I iptables -t nat -P PREROUTING ACCEPT
I iptables -t nat -P POSTROUTING ACCEPT
14/21
Reglas
I Cada regla especifica que paquetes la cumplen y un destino queindica que hacer con el paquete si este cumple la regla.
I iptables -t [tabla] -o [operacion] [cadena][coincidencia] -j[ACCION]
I Operaciones:I A (add) Agrega la regla al finalI I (insert) Agrega la regla al principioI R (replace) Reemplaza una reglaI D (delete) Borra una reglaI F (flush) Borra todas las reglas de una cadenaI L (list) Muestra las reglas de una cadena
15/21
Reglas
I iptables -t [tabla] -o [operacion] [cadena][coincidencia] -j[ACCION]
I Coincidencias:I -p [protocolo]: puede ser tcp, udp, icmp, all. o alguno de los
indicados en /etc/protocols.I -s [ip/mascara]: direccion de origen o grupo de hosts.I -d [ip/mascara]: direccion de destino o grupo de hosts.I -i [interfaz]: interfaz desde donde se recive el paquete. ( solo
INPUT,FORWARD, PREROUTING)I -o [interfaz]: interfaz de salida. (solo OUTPUT,FORWARD,
POSTROUTING)I - -sport: puerto de origen de la transaccion. (solo para protocolo
tcp o udp)I - -dport: puerto de destino de la transaccion. (solo para
protocolo tcp o udp)16/21
Reglas
I iptables -t [tabla] -o [operacion] [cadena][coincidencia] -j[ACCION]
I Acciones:I ACCEPT : Acepta la transaccion.I DROP : Rechaza la transaccion.I REJECT : Rechaza la transaccion, y notifica al emisor.I QUEUE : Encola el paquete, para ser alterado con la biblioteca
libipq.I RETURN : El paquete deja de circular por la cadena.I LOG : Crea una bitacora de los paquetes. ( ejemplo: verificar
que paquetes estan siendo rechazados)I DNAT : Permite modficar la direccion y el puerto de destino.I SNAT: Permite modificar la direccion y el puerto de origen.I MASQUERADE: Forma especial y restringida de SNAT.
17/21
Seguimiento de Conexiones
El seguimento de conexiones le permite al nucleo llevar cuenta detodas las conexiones y relacionar todos los paquetes que formanparte de una conexion.Clasificacion:
I NEW -Intentando crear una conexion nueva.
I ESTABLISHED - Parte de una conexion ya existente.
I RELATED - Relacionada, aunque no realmente parte de unaconexion existente.
I INVALID - No es parte de una conexion existente e incapaz decrear una conexion nueva.
18/21
Paquet Fordwarding
Forma Fea
Escribir un 1 en el archivo /proc/sys/net/ipv4/ip forward
Forma Pro
Editar la linea net.ipv4.ip forward=0 del archivo /etc/sysctl.confpor
net.ipv4.ip forward=1
19/21
Agenda
Mapa de la RedListado de Tareas
Desarollo de las TareasFirewall
Que es iptables?TablasPoliticas por DefectoComo crear ReglasSeguimiento de Conexiones
20/21
MI FIREWALL
MIS REGLAS
21/21