20 Ejemplos de Iptables para SysAdmins Novatos

20 ejemplos de iptables para SysAdmins novatos http://elbauldelprogramador.
com/20-ejemplos-de-iptables-para-sysadmins/
20 EJEMPLOS DE IPTABLES PARA SYSADMINS

NOVATOS
2014/09/08/ BY ALEJANDRO ALCALDE (/AUTHOR/HIDDEN2/),

17 COMMENTS (/20-EJEMPLOS-DE-IPTABLES-PARA-SYSADMINS/#COMMENTS), IN
APLICACIONES (/CATEGORY/OPENSOURCE/APLICACIONES/),
INTERNET (/CATEGORY/INTERNET/), LINUX (/CATEGORY/LINUX/),
SEGURIDAD (/CATEGORY/OPENSOURCE/SEGURIDAD/)
(http://twitter.com/home?status=20 ejemplos de iptables para SysAdmins novatos+http://elbauldelprogramador.com/20-ejemplos-

de-iptables-para-sysadmins/+V%C3%ADa+%40elbaulp)
(http://www.facebook.com/sharer.php?u=http://elbauldelprogramador.com/20-ejemplos-de-iptables-para-sysadmins/&t=20
ejemplos de iptables para SysAdmins novatos+http://elbauldelprogramador.com/20-ejemplos-de-iptables-para-sysadmins/+V%C3
%ADa+%40elbaulp)
(https://plus.google.com/share?url=20 ejemplos de iptables para SysAdmins novatos+http://elbauldelprogramador.com

/20-ejemplos-de-iptables-para-sysadmins/+V%C3%ADa+%40elbaulp)
(http://twitter.com
(http://facebook.com
(http://plus.google
/elbaulp)
/elbauldelprogramador
/+Elbauldelprogra
(/feed
(http://3.bp.blogspot.com/-_5WvmCXMYjk/TvTkTNhQPUI/AAAAAAAAB88
/VP8jxCu5y3A/s1600/Applic-Firewall-icon.png)
Linux por defecto trae un cortafuegos llamado NetFilter. Según el sitio oficil de proyecto:
1 de 29 25/01/2015 03:24 a. m.
20 ejemplos de iptables para SysAdmins novatos http://elbauldelprogramador.com/20-ejemplos-de-iptables-para-sysadmins/
CURSOS + MANUALES (/MANUALES-GRATUITOS/)

netfiltes es un conjunto de hooks (Ganchos) dentro del
(/) DESCARGAS (/SECCION-DE-DESCARGAS/)
kernel de linux que permiten a los módulos del kernel
RSS (/RSSFEED/)
registrar COLABORA (/COLABORA/)

funciones CONTACTO (/CONTACTO/)
callbacks con la pila de red. Una
función callback registrada se llama entonces para
cada paquete que(https://github.com
atraviesa
(http://twitter.com
(https://plus.google.com
el hook correspondiente
(http://stackoverflow.com
(/feed )
/elbaulp
/+Elbauldelprogramador
) /algui91
/users
)) )
dentro de la pila de red.
/1612432
/algui91 )
Este firewall lo controla un programa llamado iptables que gestiona el filtrado para IPv4, y
ip6tables para IPv6.
EJEMPLOS DE REGLAS IPTABLES

Muchas de las acciones que se listan abajo requieren ejecutarse como usuario root.
Los siguientes comandos deberían funcionar en cualquier distro linux moderna.
Esto NO es un tutorial de como configurar iptables. Puedes ver un tutorial aquí
(http://www.cyberciti.biz/faq/rhel-fedorta-linux-iptables-firewall-configuration-tutorial/). Es
más bien una referencia rápida de los comandos más comunes de iptables.
#1: MOSTRANDO EL ESTADO DE NUESTRO

FIREWALL
Teclea el siguiente comando como root:
iptables -L -n -v
This websitede
Ejemplos uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you
salidas:
wish. Accept Read More (http://elbauldelprogramador.com/privacy-cookie-policy/ )
2 de 29 25/01/2015 03:24 a. m.
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
(/)pkts bytes target

DESCARGAS (/SECCION-DE-DESCARGAS/)
prot opt in
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
out source
RSS (/RSSFEED/)
destination
COLABORA (/COLABORA/) CONTACTO (/CONTACTO/)

El resultado de arriba indica que el firewall no está activo. La siguiente salida es la del firewall
(http://twitter.com
(https://github.com
(/feed )
activado:
/elbaulp
) /algui91
/users
)) )
/1612432
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source )
/algui91 destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
394 43586 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
93 17292 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0
1 142 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS c
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 wanin all -- vlan2 * 0.0.0.0/0 0.0.0.0/0
0 0 wanout all -- * vlan2 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 425 packets, 113K bytes)
Chain wanin (1 references)
Chain wanout (1 references)
Donde,
-L : Muestra las reglas.

-v : Muestra información detallada.
-n : Muestra la dirección ip y puerto en formato numérico. No usa DNS para resolver
nombres. Esto acelera la lista.
#1.1:PARA INSPECCIONAR EL FIREWALL CON NÚMERO DE LINEAS:

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you
3 de 29 25/01/2015 03:24 a. m.
iptables -n -L -v --line-numbers
(/)
Salida:
DESCARGAS (/SECCION-DE-DESCARGAS/) RSS (/RSSFEED/)
Chain INPUT (policy DROP)

num target prot opt source destination
1 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
(http://twitter.com
(https://github.com
(/feed )
2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
3 ACCEPT all -- 0.0.0.0/0
/elbaulp 0.0.0.0/0
) /algui91
/users
)) )
4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP) /1612432
/algui91 )
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
2 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
3 TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
5 wanin all -- 0.0.0.0/0 0.0.0.0/0
6 wanout all -- 0.0.0.0/0 0.0.0.0/0
7 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
Chain wanin (1 references)
Chain wanout (1 references)
Podemos usar los números de línea para borrar o añadir nuevas reglas al firewall.
#1.2: MOSTRAR LAS REGLAS DE CADENA DE ENTRADA Y SALIDA:
iptables -L INPUT -n -v
iptables -L OUTPUT -n -v --line-numbers
#2: PARAR / INICIAR / REINICIAR EL

FIREWALL
Si usas CentOS / RHEL / Fedora linux:
4 de 29 25/01/2015 03:24 a. m.
service iptables stop

service iptables start CURSOS + MANUALES (/MANUALES-GRATUITOS/)
service iptables restart
(/) DESCARGAS (/SECCION-DE-DESCARGAS/) RSS (/RSSFEED/)
También se puede usar propio comando

COLABORA iptables para
(/COLABORA/) detenerlo
CONTACTO y borrar todas las reglas.
(/CONTACTO/)
iptables -F
iptables -X (http://facebook.com
(http://twitter.com
(https://github.com
(/feed )
iptables -t nat -F
/elbaulp
) /algui91
/users
)) )
iptables -t nat -X
iptables -t mangle -F /1612432
iptables -t mangle -X
iptables -P INPUT ACCEPT /algui91 )
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
Donde:
-F : Borra todas las reglas.

-X : Borra cadenas
-t table_name : Selecciona una tabla y elimina reglas
-P : Establece la política por defecto (como DROP, REJECT o ACCEPT)
#3: BORRAR REGLAS DEL FIREWALL

Para mostrar los números de línea junto a otra información para reglas existentes:
iptables -L INPUT -n --line-numbers

iptables -L OUTPUT -n --line-numbers
iptables -L OUTPUT -n --line-numbers | less
iptables -L OUTPUT -n --line-numbers | grep 202.54.1.1
Obtendrendremos la lista de IPs. Miramos el número de la izquierda y lo usamos para borrarla.

Por ejemplo para borrar la línea 4:
iptables -D INPUT 4
5 de 29 25/01/2015 03:24 a. m.
O para encontrar una ip de origen y borrarla de la regla

(/) DESCARGAS
iptables -D INPUT -s 202.54.1.1 -j DROP (/SECCION-DE-DESCARGAS/) RSS (/RSSFEED/)

Donde:
-D : Elimina una o más(http://facebook.com

reglas de la (https://github.com
cadena
(http://twitter.com seleccionada.
(/feed )
/elbaulp
) /algui91
/users
)) )
#4: INSERTAR REGLAS:

/1612432
/algui91 )
Para insertar una o más reglas en la cadena seleccionada como el número de cadena dada
usamos la siguiente sintaxis. Primero encontramos el número de línea:
Salida:

1 DROP all -- 202.54.1.1 0.0.0.0/0
2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW,ESTABLISHED
Para insertar una regla entre 1 y 2;
iptables -I INPUT 2 -s 202.54.1.2 -j DROP
Para ver las reglas actualizadas
Salida:
6 de 29 25/01/2015 03:24 a. m.

num target CURSOS +
prot opt source MANUALES (/MANUALES-GRATUITOS/)
destination
1 DROP all -- 202.54.1.1 0.0.0.0/0
(/)
2
3
DROP
ACCEPT
all
all
--
--
DESCARGAS (/SECCION-DE-DESCARGAS/)
202.54.1.2
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
RSS (/RSSFEED/)
state NEW,ESTABLISHED
#5: GUARDAR REGLAS

(http://twitter.com
(https://github.com
(/feed )
Para guardar reglas en CentOS / RHEL / Fedora

/elbaulp )) Linux: )
) /algui91
/users
/1612432
service iptables save
/algui91 )
En este ejemplo, eliminamos una ip y guardamos las reglas del firewall:
iptables -A INPUT -s 202.5.4.1 -j DROP

service iptables save
Para todas las demás distros usamos:
iptables-save > /root/my.active.firewall.rules

cat /root/my.active.firewall.rules
#6: RESTAURAR REGLAS

Para restaurar reglas desde un archivo llamado /root/my.active.firewall.rules:
iptables-restore < /root/my.active.firewall.rules
Bajo CentOS / RHEL / Fedora Linux:
service iptables restart
#7: ESTABLECES POLÍTICAS DE FIREWALL
7 de 29 25/01/2015 03:24 a. m.
POR DEFECTO CURSOS + MANUALES (/MANUALES-GRATUITOS/)
(/)
Para borrar todo el tráfico:
iptables -P INPUT DROP

iptables -P OUTPUT DROP
iptables -P FORWARD DROP
(http://twitter.com
(https://github.com
(/feed )
iptables -L -v -n
## you will not able to connect /elbaulp
) /algui91
anywhere /users
as all ))
traffic )
is dropped ###
ping cyberciti.biz
/1612432
wget http://www.kernel.org/pub/linux/kernel/v3.0/testing/linux-3.2-rc5.tar.bz2
/algui91 )
#7.1: SOLO TRÁFICO ENTRANTE BLOQUEADO
Para borrar todos los paquetes entrantes / enviados pero permitir el tráfico saliente:
iptables -P INPUT DROP

iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -L -v -n
# *** now ping and wget should work *** ###
ping cyberciti.biz
wget http://www.kernel.org/pub/linux/kernel/v3.0/testing/linux-3.2-rc5.tar.bz2
#8: BORRAR DIRECCIONES DE RED

PRIVADAS EN LA INTERFAZ PÚBLICA
IP Spoofing es nada más que para detener los siguientes rangos de direcciones IPv4 para redes
privadas en sus interfaces públicas. Los paquetes con direcciones de origen no enrutables deben
rechazarse mediante la siguiente sintaxis:
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j DROP

8 de 29 25/01/2015 03:24 a. m.
#9: BLOQUEANDO UNA DIRECIÓN IP CURSOS + MANUALES (/MANUALES-GRATUITOS/)
(/)
(BLOCK IP) DESCARGAS (/SECCION-DE-DESCARGAS/) RSS (/RSSFEED/)

PAra bloquear una ip atacante llamada 1.2.3.4:
iptables -A INPUT -s 1.2.3.4 -j(http://twitter.com
DROP(https://plus.google.com
(https://github.com
(/feed )
iptables -A INPUT -s 192.168.0.0/24 -j DROP
/elbaulp
) /algui91
/users
)) )
/1612432
#10: BLOQUEAR PETICIONES

/algui91 ) ENTRANTES
DE UN PUERTO (BLOCK PORT)
Para bloquear todas las solicitudes de servicio en el puerto 80:
iptables -A INPUT -p tcp --dport 80 -j DROP

iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP
Para bloquear el puerto 80 para una ip:
iptables -A INPUT -p tcp -s 1.2.3.4 --dport 80 -j DROP

iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DROP
#11: BLOQUEAR IPS DE SALIDA

Para bloquear el tráfico saliente a un host o dominio en concreto como por ejemplo cyberciti.biz:
host -t a cyberciti.biz
Salida:
cyberciti.biz has address 75.126.153.206

9 de 29 25/01/2015 03:24 a. m.
Una vez conocida la dirección ip, bloqueamos todo el tráfico saliente para dicha ip así:
(/) DESCARGAS
iptables -A OUTPUT -d 75.126.153.206 -j (/SECCION-DE-DESCARGAS/)
DROP RSS (/RSSFEED/)

Se puede usar una subred como la siguiente:
(http://twitter.com
iptables -A OUTPUT -d 192.168.1.0/24 (https://plus.google.com
(https://github.com
-j DROP (http://stackoverflow.com
(/feed )
iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j DROP
/elbaulp
) /algui91
/users
)) )
/1612432
#11.1: EJEMPLO – BLOQUEAR EL DOMINIO FACEBOOK.COM
/algui91 )
Primero, encontrar la dirección ip de facebook.com
host -t a www.facebook.com
Salida:
www.facebook.com has address 69.171.228.40
10 de 29 25/01/2015 03:24 a. m.
(/)
Advertise Here
(http://twitter.com
(https://github.com
(/feed )
/elbaulp
) /algui91
/users
)) )
/1612432
/algui91 )
Buscar el CIDR
This website para to
uses cookies 69.171.228.40:
improve your experience. We'll assume you're ok with this, but you can opt-out if you
11 de 29 25/01/2015 03:24 a. m.
whois 69.171.228.40 | grep CIDR

(/)
Salida:
CIDR: 69.171.224.0/19
(http://twitter.com
(https://github.com
(/feed )
Para prevenir el acceso externo a facebook.com:
/elbaulp
) /algui91
/users
)) )
/1612432
iptables -A OUTPUT -p tcp -d 69.171.224.0/19 -j DROP
/algui91 )
Podemos usar también nombres de dominio:
iptables -A OUTPUT -p tcp -d www.facebook.com -j DROP

iptables -A OUTPUT -p tcp -d facebook.com -j DROP
De la página del man de iptables:
… specifying any name to be resolved with a remote

query such as DNS (e.g., facebook.com is a really bad
idea), a network IP address (with /mask), or a plain IP
address …
#12: LOG Y BORRAR PAQUETES

Escribe lo siguiente para añadir al log y bloquear IP spoofing en una interfaz pública llamada
eth1
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix "IP_SPOOF A: "

12 de 29 25/01/2015 03:24 a. m.
Por defecto el log está en el archivo /var/log/messages

(/)
tail -f /var/log/messages DESCARGAS (/SECCION-DE-DESCARGAS/)
grep --color 'IP SPOOF' /var/log/messages
RSS (/RSSFEED/)
#13: LOG Y(http://facebook.com

BORRAR
(http://twitter.com
PAQUETES CON UN
(https://github.com
(/feed )
NÚMERO LIMITADO
/elbaulp )) DE ENTRADAS
) /algui91
/users ) AL
/1612432
LOG /algui91 )
El módulo -m limit puede limitar el número de entradas al log creadas por tiempo. Se usa para
prevenir que el archivo de log se inunde. Para añadir al log y elminar spoofing cada 5 minutos,
en ráfagas de 7 entradas:
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix "IP_SPOOF A: "
#14: ACEPTAR O DENEGAR TRÁFICO

DESDE DIRECCIÓN MAC
iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP
## *only accept traffic for TCP port # 8080 from mac 00:0F:EA:91:04:07 * ##
iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT
#15: BLOQUEAR O PERMITIR PETICIONES

PING ICMP
Para bloquear peticiones ping ICMP
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

This website-A
iptables uses cookies
INPUT -i to improve
eth1 your --icmp-type
-p icmp experience. We'll assume you're-jokDROP
echo-request with this, but you can opt-out if you
13 de 29 25/01/2015 03:24 a. m.
Las respuestas al ping también se puede limitar a ciertas redes o hosts.

(/) DESCARGAS
iptables -A INPUT -s 192.168.1.0/24 (/SECCION-DE-DESCARGAS/)
-p icmp RSSACCEPT
--icmp-type echo-request -j (/RSSFEED/)

Lo siguiente solo acepta limitados tipos de peticiones ICMP:
### ** assumed that default (http://twitter.com
INPUT (https://plus.google.com
policy (https://github.com
set to(http://stackoverflow.com
(/feed
DROP ** )#############
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
/elbaulp
) /algui91
/users
)) )
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
/1612432
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
## ** all our server to respond to pings ** ##
/algui91 )
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
#16: ABRIR UN RANGO DE PUERTOS

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 7000:7010 -j ACCEPT
#17: ABRIR UN RANGO DE DIRECCIONES

IP
## only accept connection to tcp port 80 (Apache) if ip is between 192.168.1.100 and 192.168.1.200 ##
iptables -A INPUT -p tcp --destination-port 80 -m iprange --src-range 192.168.1.100-192.168.1.200 -j ACCEPT
## nat example ##
iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.1.20-192.168.1.25
#19: BLOQUEAR O ABRIR PUERTOS

COMUNES
14 de 29 25/01/2015 03:24 a. m.
Replace ACCEPT with DROP to block port:

## open port ssh tcp port 22CURSOS
## + MANUALES (/MANUALES-GRATUITOS/)
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
(/) DESCARGAS
iptables -A INPUT -s 192.168.1.0/24 (/SECCION-DE-DESCARGAS/)
-m state RSS22(/RSSFEED/)
--state NEW -p tcp --dport -j ACCEPT
COLABORA
## open cups (printing service) udp/tcp(/COLABORA/)
port 631 for LANCONTACTO
users ## (/CONTACTO/)
iptables -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 631 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 631 -j ACCEPT
## allow time sync via NTP(http://facebook.com

for (http://twitter.com
lan users (https://github.com
(open(http://stackoverflow.com
udp (/feed
port )123) ##
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 123 -j ACCEPT
/elbaulp
) /algui91
/users
)) )
## open tcp port 25 (smtp) for all ## /1612432
iptables -A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT
/algui91 )
# open dns server ports for all ##
iptables -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
## open http/https (Apache) server port to all ##

## open tcp port 110 (pop3) for all ##

## open tcp port 143 (imap) for all ##

## open access to Samba file server for lan users only ##

iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 137 -j ACCEPT
## open access to proxy server for lan users only ##

## open access to mysql server for lan users only ##

iptables -I INPUT -p tcp --dport 3306 -j ACCEPT
#20: RESTRINGIR EL NÚMERO DE

CONEXIONES PARALELAS A UN SERVIDOR
15 de 29 25/01/2015 03:24 a. m.
POR DIRECCION IP DEL CLIENTE. CURSOS + MANUALES (/MANUALES-GRATUITOS/)

Se puede usar connlimit para crear algunas restricciones. Para permitir 3 conexiones ssh por
cliente: COLABORA (/COLABORA/) CONTACTO (/CONTACTO/)
iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT

(http://twitter.com
(https://github.com
(/feed )
Establecer las peticiones /elbauldelprogramador

HTTP/elbaulp
a 20: ) /algui91
/users
)) )
/1612432
iptables -p tcp --syn --dport 80 -m connlimit /algui91 )

--connlimit-above 20 --connlimit-mask 24 -j DROP
donde:
–connlimit-above 3 : Coincide si el número de conexiones existentes está por encima de 3.

–connlimit-mask 24 : Grupos de hosts usando el prefijo de longitud. Para IPv4, debe ser un
número entre 0 y 32 (incluyéndolos.)
#21: HOWTO: USE IPTABLES LIKE A PRO

Para más información sobre iptables, échale un vistazo al manual:
man iptables
Para ver la ayuda en general o de un comando específico:
iptables -h
iptables -j DROP -h
#21.1: PROBANDO NUESTRO FIREWALL
Conocer si hay puertos abiertos o no:
netstat -tulpn
16 de 29 25/01/2015 03:24 a. m.
Es recomendable instalarse un sniffer (/2011/05/esnifando-la-red-pruebas-de-seguridad.html)

como tcpdupm y ngrep para probar la configuración de nuestro firewall.

CONCLUSIÓN
Esta entrada solo lista
(http://twitter.com las(/feed
reglas
(https://github.com básicas para los
)
usuarios nuevos en linux.

/elbaulp )) Se pueden
) /algui91
/users ) crear reglas más
/1612432
complejas. Requiere una buena comprensión de TCP/IP,
/algui91 )
tunning del kernel linux via sysctl.conf y un buen
conocimiento de nuestra configuración.
Fuente original: cyberciti (http://www.cyberciti.biz/tips/linux-iptables-examples.html)
MÁS REGLAS CORTESÍA DE JKER

a)a. Reestablece las reglas por defecto.
sudo su
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
IPtables -nL para ver que estan vacias
b)b. Configura la máquina para que sólo se pueda acceder desde ella a las webs
http://www.google.es y http://www.iesgoya.com y a ninguna otra.
iptables -A OUTPUT -d http://www.google.es -j ACCEPT

iptables -A OUTPUT -d http://www.iesgoya.com -j ACCEPT
This website-A
iptables uses cookies
OUTPUT -ptotcp
improve your80experience.
–dport -j DROP We'll
# Masassume you're–>okiptables
exigente with this, but
-A you can opt-out
OUTPUT -p all if-j
youDROP
17 de 29 25/01/2015 03:24 a. m.
##como google tiene muchas IPs puede que tengamos un problema para ello realizamos lo
siguiente antes de la regla EXIGENTE:
iptables -I OUTPUT 1 -d 212.106.221.0/24 -j ACCEPT

RSS (/RSSFEED/)

iptables -I OUTPUT 1 -d 173.194.0.0/16 -j ACCEPT
MOSTRAR LAS REGLAS

(http://twitter.com
(https://github.com
QUE LLEVAMOS
(/feed )
/elbaulp
) /algui91
/users
)) )
HASTA EL MOMENTO: /1612432
/algui91 )
iptables -nL –line-numbers
#Si queremos borrar reglas:
iptables -D OUTPUT 5
c)c. Cierra todos los puertos bien conocidos menos los necesarios para acceder a estas dos
webs.
iptables -A OUTPUT -p TCP –dport 53 -j ACCEPT

iptables -A OUTPUT -p UDP –dport 53 -j ACCEPT
iptables -A OUTPUT -p TCP –dport 1:1024 -j DROP
iptables -A OUTPUT -p UDP –dport 1:1024 -j DROP
d)d. Investiga de qué forma podrías hacer que las peticiones entrantes a tu máquina virtual al
puerto 81 por http vayan mediante NAT al puerto 80 de la máquina local (arranca WAMP para
comprobar que funciona).
Arrancamos wamp en la maquina fisica y comprobamos que accedemos a wamp desde

localhost.
Comprobamos que podemos acceder desde la maquina virtual y se encuentra cortado
Miramos la IP de la maquina virtual.

Ahora desde
This website useslacookies
maquina fisica
to improve intentamos
your acceder
experience. We'll desde
assume you're ok el puerto
with this, but 81
youcon la IP esa.
can opt-out if you
18 de 29 25/01/2015 03:24 a. m.
Habilitamos el enrutamiento entre tarjetas de red de nuestro equipo:


echo 1 > /proc/sys/net/ipv4/ip_forward RSS (/RSSFEED/)

#Ejecutamos las siguientes reglas
iptables -t nat -A PREROUTING -p(http://twitter.com
tcp(https://plus.google.com
(https://github.com
–dport 81(http://stackoverflow.com
(/feed–to-
-j DNAT ) destination 192.168.203.200:80
/elbaulp
) /algui91
/users
)) )
iptables -t nat -A POSTROUTING -s 192.168.203.0/24 -j MASQUERADE
/1612432
/algui91 )
#Para ver las reglas introducidas:
iptables -t nat -nL –line-numbers
e)e. Permite sólo los mensajes entrantes desde la IP del compañero de tu máquina física (prueba
desde otro sitio para ver si funciona).
iptables -A INPUT -s 192.168.203.200 -j ACCEPT

iptables -A INPUT -j DROP
iptables -A FORWARD -s 192.168.203.200 -j ACCEPT

iptables -A FORWARD -s -j DROP
f) #Activa el log sobre todas las reglas y verifica que se anotan los mensajes.
Insertamos en IPTABLEs las reglas para activar el log:
iptables -I FORWARD 1 -j LOG –log-prefix ‘IPTABLESFORWARD: ‘

iptables -I INPUT 1 -j LOG –log-prefix ‘IPTABLESINPUT: ‘
iptables -t nat -I PREROUTING 1 -j LOG –log-prefix ‘IPTABLESPREROUTING: ‘

iptables -t nat -I POSTROUTING 1 -j LOG –log-prefix ‘IPTABLESPREROUTING: ‘
iptables -I OUTPUT 1 -j LOG –log-prefix ‘IPTABLESOUTPUT: ‘
NOTA: hay que ponerlas las primeras para que haga log antes de rechazarlo.
19 de 29 25/01/2015 03:24 a. m.
#Ahora editamos el archivo:


gedit /etc/rsyslog.d/50-default.conf RSS (/RSSFEED/)

#E incluimos al final:
(http://twitter.com
kern.warning /var/log/iptables.log (https://plus.google.com
(https://github.com
(/feed )
/elbaulp
) /algui91
/users
)) )
/1612432
™
/algui91 )
™
ES POSIBLE QUE TE INTERESEN ESTOS

ARTÍCULOS
Recibir alertas de correo al acceder al sistema mediante SSH (/recibir-alertas-de-correo-ssh/)
Combatir los comentarios de spam en WordPress (/combatir-los-comentarios-de-spam-
en-wordpress/)
Bloquear ataques de fuerza bruta en Nginx y WordPress con Fail2Ban (/bloquear-ataques-
de-fuerza-bruta-en-nginx-y-wordpress-con-fail2ban/)
Bloquear una IP atacando el servidor mediante iptables (/bloquear-una-ip-atacanto-el-servidor-
mediante-iptables/)
SelfControl, wish.
aparta Accept Read More de
las distracciones (http://elbauldelprogramador.com/privacy-cookie-policy/
tu pc cuando estás trabajando (/selfcontrol-aparta- )
20 de 29 25/01/2015 03:24 a. m.
las-distracciones-de-tu-pc-cuando-estas-trabajando/)
(http://twitter.com/home?status=20 ejemplos de iptables para SysAdmins novatos+http://elbauldelprogramador.com/20-ejemplos-

de-iptables-para-sysadmins/+V%C3%ADa+%40elbaulp)
RSS (/RSSFEED/)
(http://www.facebook.com/sharer.php?u=http://elbauldelprogramador.com/20-ejemplos-de-iptables-para-sysadmins/&t=20
ejemplos de iptables para SysAdmins novatos+http://elbauldelprogramador.com/20-ejemplos-de-iptables-para-sysadmins/+V%C3
%ADa+%40elbaulp)
(https://plus.google.com/share?url=20 ejemplos de iptables para SysAdmins novatos+http://elbauldelprogramador.com

(http://twitter.com
(https://github.com
(/feed )
/20-ejemplos-de-iptables-para-sysadmins/+V%C3%ADa+%40elbaulp)
/elbaulp
¿Eres curioso? /+Elbauldelprogramador
» ) /algui91
sigue /users
este )) enlace (/index.php?random=1)
)
/1612432
ÚNETE A LA COMUNIDAD
/algui91 )
(http://twitter.com
(http://plus.google.com
(http://github.com
/elbaulp)
/elbauldelprogramador)
/+Elbauldelprogramador)
/algui91)
(/feed)
← PREVIOUS (/PROGRAMACION-ANDROID-INSERTANDO/) / NEXT STORY → (/NUEVA-GUIA-THINK-

DIFFERENT-HOW-TO-BUILD/)
TA G S AGREGAR REGLA DE IPTABLES (/TAG/AGREGAR-REGLA-DE-IPTABLES/) /

BLOQUEAR ACCESO A SSH MEDIANTE IPTABLES (/TAG/BLOQUEAR-ACCESO-A-SSH-MEDIANTE-IPTABLES/) /
BLOQUEAR DIRECCION IPTABLES (/TAG/BLOQUEAR-DIRECCION-IPTABLES/) /
COMANDO IPTABLES (/TAG/COMANDO-IPTABLES/) /
COMANDO IPTABLES LINUX (/TAG/COMANDO-IPTABLES-LINUX/) /
CONFIGURANDO IPTABLES DEBIAN WHEEZY (/TAG/CONFIGURANDO-IPTABLES-DEBIAN-WHEEZY/) /
CONFIGURAR IPTABLES (/TAG/CONFIGURAR-IPTABLES/) /
CONFIGURAR IPTABLES EN DEBIAN (/TAG/CONFIGURAR-IPTABLES-EN-DEBIAN/) /
EJEMPLOS DE FIREWALL (/TAG/EJEMPLOS-DE-FIREWALL/) / EJEMPLOS IPTABLES (/TAG/EJEMPLOS-IPTABLES/)
/ FILTRAR DOMINIOS COM IPTABLES (/TAG/FILTRAR-DOMINIOS-COM-IPTABLES/) /
IPTABLES (/TAG/IPTABLES/) / IPTABLES CON SERVIDOR DEBIAN (/TAG/IPTABLES-CON-SERVIDOR-DEBIAN/) /
IPTABLES ELIMINAR REGLA (/TAG/IPTABLES-ELIMINAR-REGLA/) /
IPTABLES FEDORA 16 COMO (/TAG/IPTABLES-FEDORA-16-COMO/) /
IPTABLES MANGLE (/TAG/IPTABLES-MANGLE/) / IPTABLES TUTORIAL (/TAG/IPTABLES-TUTORIAL/) /
POLITICAS CON IPTABLES FIREWALL (/TAG/POLITICAS-CON-IPTABLES-FIREWALL/)
ABOUT ALEJANDRO ALCALDE (/AUTHOR/HIDDEN2/)
21 de 29 25/01/2015 03:24 a. m.
Técnico Superior en Desarrollo de aplicaciones informáticas y actualmente

estudiante de Grado en Ingeniería informática en Granada Twitter
( (http://www.twitter.com/elbaulp) | FacebookRSS
DESCARGAS (/SECCION-DE-DESCARGAS/) (http://www.facebook.com
(/RSSFEED/)
/elbauldelprogramador) | LinkedIn (http://www.linkedin.com/in/algui91) | G+
(https://plus.google.com/117030001562039350135/?rel=author) | Youtube
(http://www.youtube.com/user/algui91)
(http://twitter.com
(https://github.com
(/feed )
/elbaulp
) /algui91
/users
)) )
/1612432
/algui91 )
17 COMMENTS
JUANCHIY2K
2012/07/13 AT 14:44 (/20-EJEMPLOS-DE-IPTABLES-PARA-SYSADMINS/#COMMENT-236) / REPLY
Hola Alejandro.
Excelente tutorial. Mi deseo es bloquear las redes sociales en mi trabajo, lo hice
con squid en modo transparente pero las saltean al entrar por https. Hice las
pruebas en una virtual pc y me funcionó bien. El asunto es que no me esta
funcionando en el servidor de producción. Este tiene dos placas de red, eth0 por
donde entra el tráfico de internet y eth1 para conectarse a la red. Para el caso de
Facebook hago lo siguiente:
#Bloqueamos Facebook
iptables -A OUTPUT -p tcp -d 69.63.176.0/20 –dport 443 -j DROP
iptables -A OUTPUT -p tcp -d http://www.facebook.com
(http://www.facebook.com) –dport 443 -j DROP
iptables -A OUTPUT -p tcp -d facebook.com –dport 443 -j DROP
¿Alguna sugerencia?.
Saludos.
22 de 29 25/01/2015 03:24 a. m.
ALEJANDRO ALCALDE
(HTTP://WWW.ELBAULDELPROGRAMADOR.ORG) POST AUTHOR
(/) DESCARGAS
2012/07/14
237)
AT 14:14(/SECCION-DE-DESCARGAS/)
/ REPLY
RSS (/RSSFEED/)
(/20-EJEMPLOS-DE-IPTABLES-PARA-SYSADMINS/#COMMENT-

Hola Juanchiy2k, esta entrada la traduje de http://www.cyberciti.biz
/tips/linux-iptables-examples.html (http://www.cyberciti.biz/tips/linux-
iptables-examples.html),
(http://twitter.com como
(/feed )cito al final de la entrada, no tengo gran
(https://github.com
conocimiento de iptables, aunque mi intención es aprender en breve. Si
/elbaulp
) /algui91
/users
)) )
quiere puede pasarse por la entrada original y preguntar allí. Un saludo y
disculpa. /1612432
/algui91 )
ALEX
2013/08/21 AT 00:29 (/20-EJEMPLOS-DE-IPTABLES-PARA-SYSADMINS/#COMMENT-
1984) / REPLY
Excelente tutorial. los felicito.

Facebook tiene muchas direcciones y vas a terminar llenando el iptables de
lineas.
Es mejor crear una acl y meter ahi todas las ips de las url que quieres
bloquear, tal y como lo explican en este post
http://www.maravento.com/2013/03/firewall.html
(http://www.maravento.com/2013/03/firewall.html)
ALEJANDRO ALCALDE (/) POST AUTHOR

1991) / REPLY
Gracias por el aporte, saludos.
23 de 29 25/01/2015 03:24 a. m.
ALEJANDRO ALCALDE (HTTP://WWW.ELBAULDELPROGRAMADOR.COM)

POST AUTHOR
( ) DESCARGAS
2013/02/27 AT (/SECCION-DE-DESCARGAS/) RSS (/RSSFEED/)
13:27 (/20-EJEMPLOS-DE-IPTABLES-PARA-SYSADMINS/#COMMENT-495) / REPLY
Muchas gracias, las he

COLABORA añadido al artículo.
(/COLABORA/) CONTACTO Un(/CONTACTO/)
saludo.
(http://twitter.com
(https://github.com
(/feed )
HECTOR
/elbaulp
) /algui91
/users
)) )
/1612432
Hola alejandro..
/algui91 )
muy buen tutorial,,,
Yo tengo un servidor VPN en linux..
y en mi red laN existen 2 redes 192.168.0.0/24 y 192.168.1.0/24..
mi problema comienza cuando un cliente se conecta a mi servidor vpn…

podemos ver facilmente la red 192.168.1.0/24,,, pero no las 192.168.0.0/24..
La configuracion de la tarjeta de red en el servidor VPN es eth0 192.168.1.11

255.255.255.0 gateway 192.168.1.1
Te muestro el resultado del comando ROUTEe en el servidor:
destination Gateway Gemask iface

default 192.168.1.1 0.0.0.0 eth0
192.168.1.0 * 255.255.255.0 eth0
como hago con iptable que toda solicito que viene de mi puesto 1194 (VPN)
hacia la red 192.168.0.0 salga por mi eth0..
Muchas gracias de antemano…
HECTOR
This websiteAT
2013/08/16 uses cookies
22:49 to improve your experience. We'll assume you're ok with this, but you can
(/20-EJEMPLOS-DE-IPTABLES-PARA-SYSADMINS/#COMMENT-1822) / opt-out
REPLYif you
24 de 29 25/01/2015 03:24 a. m.
Se me olvido comentarte que no se por que razon,, funcionaba,, hasta que hubo una fall
electrica en la noche y todos los equipos se apagaron ahora no funciona,,, y la verdad so
(/) en linuxx,,,DESCARGAS (/SECCION-DE-DESCARGAS/) RSS (/RSSFEED/)
gracias deCOLABORA
antemano(/COLABORA/) CONTACTO (/CONTACTO/)
(http://twitter.com
(https://github.com
(/feed )
/elbaulp
) /algui91
/users
)) )
/1612432
1875) / REPLY
/algui91 )
Si ha sido fallo electrónico quizá se haya roto algo, pero a lo mejor esto te
sirve: http://www.debuntu.org/how-to-redirecting-network-traffic-to-a-new-
ip-using-iptables/ (http://www.debuntu.org/how-to-redirecting-network-
traffic-to-a-new-ip-using-iptables/)
Saludos.
CESAR BERGARA
Hola. Estoy buscando ayuda con una configuración: tengo en mi pc configurado

varios usuarios. Uno de ellos como antivirus, otro para uso interno y los demás
para navegar. Pero quiero anular el acceso a internet del usuario antivirus y el
usuario interno. ¿Cómo puedo hacerlo? He leído cómo limitar velocidad o acceso
en una red, pero yo quiero hacerlo dentro de mi pc (uso terminales individuales
y simultáneas para cada fin: una para correo, otra para buscar datos, etc).
Espero puedas orientarme al respecto.
Saludos.
25 de 29 25/01/2015 03:24 a. m.
DSFGSDFG (HTTP://FGSDFGSF.ES)

Parece que sea copiado de http://www.cyberciti.biz/tips/linux-iptables-
examples.html (http://www.cyberciti.biz/tips/linux-iptables-examples.html)
(http://twitter.com
(https://github.com
(/feed )
/elbaulp
) /algui91
/users
)) )
2254) / REPLY /1612432
Claro, lo he traducido,/algui91
y doy )al final del artículo la fuente original : Fuente
original: cyberciti, fíjate justo al final de la conlusión.
LAURA
Necesito saber el significado de las siguientes iptables:

iptables -D FORWARD -d 192.168.1.0/24 -i eth0 -o eth1 -p tcp –sport 445 -j
ACCEPT
iptables -D INPUT -p TCP –dport 80 -m state–state NEW -j DROP
Iptables -A input -i eth0 -d! 10.0.1.2 -p TCP –sport 123 -j DROP
iptables -A INPUT -i eth1 -s 192.168.1.0/24 -p icmp -j ACCEPT
gracias es para un examen.
SOS UNA VAGA

man iptables
LEO
26 de 29 25/01/2015 03:24 a. m.
hola me agrado tu tutorial pero necesito ayuda para resolver esto espero y me puedan a
configure un firewall en linux con iptables que siga las siguientes caracteristicas

Politica Restrictiva
RSS (/RSSFEED/)
se aceptanCOLABORA
todos los(/COLABORA/)
puertos en localhost
CONTACTO (/CONTACTO/)
se aceptan los siguientes servicios en base a su puerto standard

ssh
web (http://facebook.com
(http://twitter.com
(https://github.com
(/feed )
tomcat
/elbaulp
) /algui91
/users
)) )
dns
/1612432
dhcp
samba /algui91 )
mysql
se debe denegar todos los posibles ataques que se presenten (ejem- syn flood, dos, ddo
2014/07/30 AT 10:18 (/20-EJEMPLOS-DE-IPTABLES-PARA-SYSADMINS/#COMMENT-20561)

/ REPLY
Hola, lamento no poder ayudarte, mis conocimientos sobre iptables son

básicos. Como puedes comprobar, el artículo es una traducción. Puedes
preguntar en la fuente original.
Saludos.
LUIS MORALES PULLAS

Buen aporte amigo
Pingback: 20 ejemplos de iptables para SysAdmins novatos | Notas de un curioso

(http://gonzalo.gmg.com.uy/?p=223)
27 de 29 25/01/2015 03:24 a. m.
LEAVE A REPLY CURSOS + MANUALES (/MANUALES-GRATUITOS/)
(/)
Your email address will notDESCARGAS
be published. Required fields are marked
(/SECCION-DE-DESCARGAS/) *
RSS (/RSSFEED/)
(http://twitter.com
(https://github.com
(/feed )
/elbaulp
) /algui91
/users
)) )
/1612432
/algui91 )
POST COMMENT →
NOTIFY ME OF FOLLOW-UP COMMENTS BY EMAIL.
NOTIFY ME OF NEW POSTS BY EMAIL.
(http://twitter.com
(https://github.com
(http://stackoverflow.com
(/feed)
© 2014 El Baúl del Programador. Todos los derechos reservados. Diseñado por
/elbauldelprogramador)
/elbaulp)
/+Elbauldelprogramador)
/algui91)
/users
WiThemes (http://withemes.com).
/1612432
El Baúl del Programador por Alejandro Alcalde (https://plus.google.com
/algui91)
/117030001562039350135?rel=author) está licenciado bajo una licencia Creative
28 de 29 25/01/2015 03:24 a. m.
Commons Reconocimiento 4.0 Internacional (http://creativecommons.org/licenses

/by/4.0/).
(http://twitter.com
(https://github.com
(/feed )
/elbaulp
) /algui91
/users
)) )
/1612432
/algui91 )
29 de 29 25/01/2015 03:24 a. m.

20 Ejemplos de Iptables para SysAdmins Novatos

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

20 Ejemplos de Iptables para SysAdmins Novatos

Hochgeladen von

Copyright:

Verfügbare Formate

20 ejemplos de iptables para SysAdmins novatos http://elbauldelprogramador.

20 EJEMPLOS DE IPTABLES PARA SYSADMINS

2014/09/08/ BY ALEJANDRO ALCALDE (/AUTHOR/HIDDEN2/),

(http://twitter.com/home?status=20 ejemplos de iptables para SysAdmins novatos+http://elbauldelprogramador.com/20-ejemplos-

(https://plus.google.com/share?url=20 ejemplos de iptables para SysAdmins novatos+http://elbauldelprogramador.com

CURSOS + MANUALES (/MANUALES-GRATUITOS/)

registrar COLABORA (/COLABORA/)

EJEMPLOS DE REGLAS IPTABLES

#1: MOSTRANDO EL ESTADO DE NUESTRO

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)

(/)pkts bytes target

COLABORA (/COLABORA/) CONTACTO (/CONTACTO/)

-L : Muestra las reglas.

#1.1:PARA INSPECCIONAR EL FIREWALL CON NÚMERO DE LINEAS:

COLABORA (/COLABORA/) CONTACTO (/CONTACTO/)

Chain INPUT (policy DROP)

#1.2: MOSTRAR LAS REGLAS DE CADENA DE ENTRADA Y SALIDA:

#2: PARAR / INICIAR / REINICIAR EL

service iptables stop

(/) DESCARGAS (/SECCION-DE-DESCARGAS/) RSS (/RSSFEED/)

También se puede usar propio comando

-F : Borra todas las reglas.

#3: BORRAR REGLAS DEL FIREWALL

iptables -L INPUT -n --line-numbers

Obtendrendremos la lista de IPs. Miramos el número de la izquierda y lo usamos para borrarla.

O para encontrar una ip de origen y borrarla de la regla

COLABORA (/COLABORA/) CONTACTO (/CONTACTO/)

-D : Elimina una o más(http://facebook.com

#4: INSERTAR REGLAS:

iptables -L INPUT -n --line-numbers

Chain INPUT (policy DROP)

Para insertar una regla entre 1 y 2;

iptables -I INPUT 2 -s 202.54.1.2 -j DROP

Para ver las reglas actualizadas

iptables -L INPUT -n --line-numbers

Chain INPUT (policy DROP)

#5: GUARDAR REGLAS

Para guardar reglas en CentOS / RHEL / Fedora

En este ejemplo, eliminamos una ip y guardamos las reglas del ﬁrewall:

iptables -A INPUT -s 202.5.4.1 -j DROP

Para todas las demás distros usamos:

iptables-save > /root/my.active.firewall.rules

#6: RESTAURAR REGLAS

iptables-restore < /root/my.active.firewall.rules

Bajo CentOS / RHEL / Fedora Linux:

service iptables restart

POR DEFECTO CURSOS + MANUALES (/MANUALES-GRATUITOS/)

COLABORA (/COLABORA/) CONTACTO (/CONTACTO/)

iptables -P INPUT DROP

#7.1: SOLO TRÁFICO ENTRANTE BLOQUEADO

iptables -P INPUT DROP

#8: BORRAR DIRECCIONES DE RED

iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j DROP

#9: BLOQUEANDO UNA DIRECIÓN IP CURSOS + MANUALES (/MANUALES-GRATUITOS/)

COLABORA (/COLABORA/) CONTACTO (/CONTACTO/)

#10: BLOQUEAR PETICIONES

iptables -A INPUT -p tcp --dport 80 -j DROP

Para bloquear el puerto 80 para una ip:

iptables -A INPUT -p tcp -s 1.2.3.4 --dport 80 -j DROP

#11: BLOQUEAR IPS DE SALIDA

cyberciti.biz has address 75.126.153.206

COLABORA (/COLABORA/) CONTACTO (/CONTACTO/)

Primero, encontrar la dirección ip de facebook.com