Beruflich Dokumente
Kultur Dokumente
La mayor parte de las acciones enumeradas en este post estn escritos con la suposicin de que ser
ejecutado por el usuario root o cualquier otro con usuario con privilegios. No escriba los comandos en un
sistema remoto, ya que desconecte el acceso.
Para propsito de la demostracin que he usado Red Hat Enterprise Linux 6.x, pero el siguiente
comando debera funcionar con cualquier distribucin de Linux moderna.
Esto no es un tutorial sobre cmo configurar iptables. Ver tutorial aqu . Se trata de una hoja de trucos
rpido a los comandos comunes de iptables.
prot opt in
out
source
destination
prot opt in
out
source
destination
prot opt in
out
source
destination
Por encima de la produccin indica que el firewall no est activa. El siguiente ejemplo muestra un firewall
activo:
# iptables -L -n -v
Salidas de la muestra:
Chain
pkts
0
394
93
1
Chain
pkts
0
0
0
0
0
0
0
Chain
pkts
Chain
pkts
Chain
pkts
source
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
destination
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
source
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
destination
0.0.0.0/0
0.0.0.0/0 state INVALID
0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
0.0.0.0/0 state RELATED,ESTABLISHED
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
state INVALID
state RELATED,ESTABLISHED
destination
opt in
out
source
destination
opt in
out
source
destination
Cuando,
-N: la direccin IP y el puerto de visualizacin en formato numrico. No utilizar DNS para resolver
nombres. Esto acelerar la lista.
destination
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
destination
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
state INVALID
state RELATED,ESTABLISHED
state INVALID
tcp flags:0x06/0x02 TCPMSS clamp to PMTU
state RELATED,ESTABLISHED
destination
destination
destination
Puede utilizar los nmeros de lnea para eliminar o insertar nuevas reglas en el cortafuegos.
iptables
iptables
iptables
iptables
-L
-L
-L
-L
INPUT -n --line-numbers
OUTPUT -n --line-numbers
OUTPUT -n --line-numbers | less
OUTPUT -n --line-numbers | grep 202.54.1.1
Usted recibir la lista de IP. Mira el nmero de la izquierda, a continuacin, utilizar el nmero para eliminarlo.
Por ejemplo, borrar el nmero de lnea 4, escriba:
# iptables -D INPUT 4
O buscar IP de origen 202.54.1.1 y eliminar del dominio:
# iptables -D INPUT -s 202.54.1.1 -j DROP
Cuando,
destination
0.0.0.0/0
0.0.0.0/0
state NEW,ESTABLISHED
destination
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
state NEW,ESTABLISHED
# iptables -L -v -n
#### you will not able to connect anywhere as all traffic is dropped ###
# ping cyberciti.biz
# wget http://www.kernel.org/pub/linux/kernel/v3.0/testing/linux-3.2-rc5.tar.bz2
10.0.0.0/8 -j (A)
172.16.0.0/12 (B)
192.168.0.0/16 (C)
224.0.0.0/4 (MULTICAST D)
240.0.0.0/5 (E)
127.0.0.0/8 (LOOPBACK)
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 7000:7010 -j ACCEPT
tcp
tcp
tcp
tcp
--dport
--dport
--dport
--dport
137
138
139
445
-j
-j
-j
-j
ACCEPT
ACCEPT
ACCEPT
ACCEPT
1.
de 3.
2.
- Connlimit mscara de 24: Grupo de los ejrcitos con la longitud del prefijo. Para IPv4, este
debe ser un nmero entre (incluido) 0 y 32.
# iptables -j DROP -h
Usted puede utilizar nmap para probar su propio servidor con la siguiente sintaxis:
$ nmap -sS -p 80 www.cyberciti.biz
Salidas de la muestra:
Starting Nmap 5.00 ( http://nmap.org ) at 2011-12-13 13:19 IST
Interesting ports on www.cyberciti.biz (75.126.153.206):
PORT
STATE SERVICE
80/tcp open http
Nmap done: 1 IP address (1 host up) scanned in 1.00 seconds
Tambin te recomiendo que instalar y utilizar sniffer como tcpdupm y ngrep para probar la configuracin del
firewall.
Conclusin:
Este mensaje slo una lista de reglas bsicas para los nuevos usuarios de Linux. Usted puede crear y
construir reglas ms complejas. Esto requiere una comprensin adecuada de TCP / IP, optimizacin del
kernel de Linux a travs de sysctl.conf, y un buen conocimiento de su propia configuracin. Mantngase
atento a los temas siguientes:
Capa 2 de filtrado.