Solicitamos su permiso para obtener datos estadísticos de su navegación en esta web, en cumplimiento del Real Decreto-ley 13/2012. Si continúa navegando consideramos que acepta el uso de cookies.

Aceptar Más información
WINTXCODERS Terminal
[[email protected] ~]:$ Bienvenido a la comunidad
Recuerda que puedes participar en nuestra comunidad registrándote

Autor Tema:  IPTables - Linux cortafuegos  (Leído 505 veces)

0 Usuarios y 1 Visitante están viendo este tema.

WIитX

  • Administrador
  • Conectado
  • *
  • 1364
    7456
    72
  • Texto personal
    I'm not a hacker I'm security professional.
    • Ver Perfil
    • WINTXCODERS.COM
IPTables - Linux cortafuegos
« en: Enero 09, 2015, 09:59:36 pm »
"netfiltes es un conjunto de hooks (Ganchos) dentro del kernel de linux que permiten a los módulos del kernel registrar funciones callbacks con la pila de red. Una función callback registrada se llama entonces para cada paquete que atraviesa el hook correspondiente dentro de la pila de red."

#1: MOSTRANDO EL ESTADO DE NUESTRO FIREWALL

Teclea el siguiente comando como root
Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -L -n -v
Ejemplos de salidas:
Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

El resultado de arriba indica que el firewall no está activo. La siguiente salida es la del firewall activado:
Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
  394 43586 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
   93 17292 ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0
    1   142 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  br0    br0     0.0.0.0/0            0.0.0.0/0
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
    0     0 TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 wanin      all  --  vlan2  *       0.0.0.0/0            0.0.0.0/0
    0     0 wanout     all  --  *      vlan2   0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0
Chain OUTPUT (policy ACCEPT 425 packets, 113K bytes)
 pkts bytes target     prot opt in     out     source               destination
Chain wanin (1 references)
 pkts bytes target     prot opt in     out     source               destination
Chain wanout (1 references)
 pkts bytes target     prot opt in     out     source               destination

Donde,

-L : Muestra las reglas.
-v : Muestra información detallada.
-n : Muestra la dirección ip y puerto en formato numérico. No usa DNS para resolver nombres. Esto acelera la lista.

#1.1:PARA INSPECCIONAR EL FIREWALL CON NÚMERO DE LINEAS:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -n -L -v --line-numbers
Salida:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
Chain INPUT (policy DROP)
num  target     prot opt source               destination
1    DROP       all  --  0.0.0.0/0            0.0.0.0/0           state INVALID
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
4    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
Chain FORWARD (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
2    DROP       all  --  0.0.0.0/0            0.0.0.0/0           state INVALID
3    TCPMSS     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU
4    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
5    wanin      all  --  0.0.0.0/0            0.0.0.0/0
6    wanout     all  --  0.0.0.0/0            0.0.0.0/0
7    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination
Chain wanin (1 references)
num  target     prot opt source               destination
Chain wanout (1 references)
num  target     prot opt source               destination

Podemos usar los números de línea para borrar o añadir nuevas reglas al firewall.

#1.2: MOSTRAR LAS REGLAS DE CADENA DE ENTRADA Y SALIDA:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -L INPUT -n -v
iptables -L OUTPUT -n -v --line-numbers

#2: PARAR / INICIAR / REINICIAR EL FIREWALL

Si usas CentOS / RHEL / Fedora linux:
Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
service iptables stop
service iptables start
service iptables restart

También se puede usar propio comando iptables para detenerlo y borrar todas las reglas.

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

Donde:

-F : Borra todas las reglas.
-X : Borra cadenas
-t table_name : Selecciona una tabla y elimina reglas
-P : Establece la política por defecto (como DROP, REJECT o ACCEPT)

#3: BORRAR REGLAS DEL FIREWALL

Para mostrar los números de línea junto a otra información para reglas existentes:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -L INPUT -n --line-numbers
iptables -L OUTPUT -n --line-numbers
iptables -L OUTPUT -n --line-numbers | less
iptables -L OUTPUT -n --line-numbers | grep 202.54.1.1
Obtendrendremos la lista de IPs. Miramos el número de la izquierda y lo usamos para borrarla. Por ejemplo para borrar la línea 4:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -D INPUT 4
O para encontrar una ip de origen y borrarla de la regla

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -D INPUT -s 202.54.1.1 -j DROP
Donde:

-D : Elimina una o más reglas de la cadena seleccionada.

#4: INSERTAR REGLAS:

Para insertar una o más reglas en la cadena seleccionada como el número de cadena dada usamos la siguiente sintaxis. Primero encontramos el número de línea:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -L INPUT -n --line-numbers
Salida:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
Chain INPUT (policy DROP)
num  target     prot opt source               destination
1    DROP       all  --  202.54.1.1           0.0.0.0/0
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state NEW,ESTABLISHED

Para insertar una regla entre 1 y 2;

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -I INPUT 2 -s 202.54.1.2 -j DROP
Para ver las reglas actualizadas

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -L INPUT -n --line-numbers
Salida:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
Chain INPUT (policy DROP)
num  target     prot opt source               destination
1    DROP       all  --  202.54.1.1           0.0.0.0/0
2    DROP       all  --  202.54.1.2           0.0.0.0/0
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state NEW,ESTABLISHED

#5: GUARDAR REGLAS

Para guardar reglas en CentOS / RHEL / Fedora Linux:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
service iptables save
En este ejemplo, eliminamos una ip y guardamos las reglas del firewall:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -A INPUT -s 202.5.4.1 -j DROP
service iptables save

Para todas las demás distros usamos:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables-save > /root/my.active.firewall.rules
cat /root/my.active.firewall.rules

#6: RESTAURAR REGLAS

Para restaurar reglas desde un archivo llamado /root/my.active.firewall.rules:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables-restore < /root/my.active.firewall.rules
Bajo CentOS / RHEL / Fedora Linux:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
service iptables restart
#7: ESTABLECES POLÍTICAS DE FIREWALL POR DEFECTO

Para borrar todo el tráfico:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -L -v -n
## you will not able to connect anywhere as all traffic is dropped ###
ping cyberciti.biz
wget http://www.kernel.org/pub/linux/kernel/v3.0/testing/linux-3.2-rc5.tar.bz2

#7.1: SOLO TRÁFICO ENTRANTE BLOQUEADO

Para borrar todos los paquetes entrantes / enviados pero permitir el tráfico saliente:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -L -v -n
# *** now ping and wget should work *** ###
ping cyberciti.biz
wget http://www.kernel.org/pub/linux/kernel/v3.0/testing/linux-3.2-rc5.tar.bz2

#8: BORRAR DIRECCIONES DE RED PRIVADAS EN LA INTERFAZ PÚBLICA

IP Spoofing es nada más que para detener los siguientes rangos de direcciones IPv4 para redes privadas en sus interfaces públicas. Los paquetes con direcciones de origen no enrutables deben rechazarse mediante la siguiente sintaxis:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j DROP
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

#9: BLOQUEANDO UNA DIRECIÓN IP (BLOCK IP)

Para bloquear una ip atacante llamada 1.2.3.4:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -A INPUT -s 1.2.3.4 -j DROP
iptables -A INPUT -s 192.168.0.0/24 -j DROP

#10: BLOQUEAR PETICIONES ENTRANTES DE UN PUERTO (BLOCK PORT)

Para bloquear todas las solicitudes de servicio en el puerto 80:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP

Para bloquear el puerto 80 para una ip:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -A INPUT -p tcp -s 1.2.3.4 --dport 80 -j DROP
iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DROP

#11: BLOQUEAR IPS DE SALIDA

Para bloquear el tráfico saliente a un host o dominio en concreto como por ejemplo cyberciti.biz:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
host -t a cyberciti.biz
Salida:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
cyberciti.biz has address 75.126.153.206
Una vez conocida la dirección ip, bloqueamos todo el tráfico saliente para dicha ip así:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -A OUTPUT -d 75.126.153.206 -j DROP
Se puede usar una subred como la siguiente:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -A OUTPUT -d 192.168.1.0/24 -j DROP
iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j DROP

#11.1: EJEMPLO – BLOQUEAR EL DOMINIO FACEBOOK.COM

Primero, encontrar la dirección ip de facebook.com

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
host -t a www.facebook.com
Salida:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
www.facebook.com has address 69.171.228.40
Buscar el CIDR para 69.171.228.40:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
whois 69.171.228.40 | grep CIDR
Salida:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
CIDR:           69.171.224.0/19
Para prevenir el acceso externo a facebook.com:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -A OUTPUT -p tcp -d 69.171.224.0/19 -j DROP
Podemos usar también nombres de dominio:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -A OUTPUT -p tcp -d www.facebook.com -j DROP
iptables -A OUTPUT -p tcp -d facebook.com -j DROP

De la página del man de iptables:

… specifying any name to be resolved with a remote query such as DNS (e.g., facebook.com is a really bad idea), a network IP address (with /mask), or a plain IP address …

#12: LOG Y BORRAR PAQUETES

Escribe lo siguiente para añadir al log y bloquear IP spoofing en una interfaz pública llamada eth1

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix "IP_SPOOF A: "
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

Por defecto el log está en el archivo /var/log/messages

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
tail -f /var/log/messages
grep --color 'IP SPOOF' /var/log/messages

#13: LOG Y BORRAR PAQUETES CON UN NÚMERO LIMITADO DE ENTRADAS AL LOG

El módulo -m limit puede limitar el número de entradas al log creadas por tiempo. Se usa para prevenir que el archivo de log se inunde. Para añadir al log y elminar spoofing cada 5 minutos, en ráfagas de 7 entradas:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix "IP_SPOOF A: "
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

#14: ACEPTAR O DENEGAR TRÁFICO DESDE DIRECCIÓN MAC

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP
## *only accept traffic for TCP port # 8080 from mac 00:0F:EA:91:04:07 * ##
iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT

#15: BLOQUEAR O PERMITIR PETICIONES PING ICMP

Para bloquear peticiones ping ICMP

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP

Las respuestas al ping también se puede limitar a ciertas redes o hosts.

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -A INPUT -s 192.168.1.0/24 -p icmp --icmp-type echo-request -j ACCEPT
Lo siguiente solo acepta limitados tipos de peticiones ICMP:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
### ** assumed that default INPUT policy set to DROP ** #############
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
## ** all our server to respond to pings ** ##
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
Entrar a la web
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
"Es más divertido hacerse pirata que unirse a la marina." (Steve Jobs)
Dudas / Sugerencias: [email protected]

WIитX

  • Administrador
  • Conectado
  • *
  • 1364
    7456
    72
  • Texto personal
    I'm not a hacker I'm security professional.
    • Ver Perfil
    • WINTXCODERS.COM
Re:IPTables - Linux cortafuegos
« Respuesta #1 en: Enero 09, 2015, 10:02:34 pm »
#16: ABRIR UN RANGO DE PUERTOS

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 7000:7010 -j ACCEPT
#17: ABRIR UN RANGO DE DIRECCIONES IP

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
## only accept connection to tcp port 80 (Apache) if ip is between 192.168.1.100 and 192.168.1.200 ##
iptables -A INPUT -p tcp --destination-port 80 -m iprange --src-range 192.168.1.100-192.168.1.200 -j ACCEPT
## nat example ##
iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.1.20-192.168.1.25

#19: BLOQUEAR O ABRIR PUERTOS COMUNES

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
Replace ACCEPT with DROP to block port:
## open port ssh tcp port 22 ##
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT
 
## open cups (printing service) udp/tcp port 631 for LAN users ##
iptables -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 631 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 631 -j ACCEPT
 
## allow time sync via NTP for lan users (open udp port 123) ##
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 123 -j ACCEPT
 
## open tcp port 25 (smtp) for all ##
iptables -A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT
 
# open dns server ports for all ##
iptables -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
 
## open http/https (Apache) server port to all ##
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT
 
## open tcp port 110 (pop3) for all ##
iptables -A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT
 
## open tcp port 143 (imap) for all ##
iptables -A INPUT -m state --state NEW -p tcp --dport 143 -j ACCEPT
 
## open access to Samba file server for lan users only ##
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 137 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 138 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 445 -j ACCEPT
 
## open access to proxy server for lan users only ##
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 3128 -j ACCEPT
 
## open access to mysql server for lan users only ##
iptables -I INPUT -p tcp --dport 3306 -j ACCEPT

#20: RESTRINGIR EL NÚMERO DE CONEXIONES PARALELAS A UN SERVIDOR POR DIRECCION IP DEL CLIENTE.

Se puede usar connlimit para crear algunas restricciones. Para permitir 3 conexiones ssh por cliente:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT
Establecer las peticiones HTTP a 20:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP
donde:

–connlimit-above 3 : Coincide si el número de conexiones existentes está por encima de 3.
–connlimit-mask 24 : Grupos de hosts usando el prefijo de longitud. Para IPv4, debe ser un número entre 0 y 32 (incluyéndolos.)

#21: HOWTO: USE IPTABLES LIKE A PRO

Para más información sobre iptables, échale un vistazo al manual:

man iptables
Para ver la ayuda en general o de un comando específico:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -h
iptables -j DROP -h

#21.1: PROBANDO NUESTRO FIREWALL

Conocer si hay puertos abiertos o no:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
netstat -tulpnEs recomendable instalarse un sniffer como tcpdupm y ngrep para probar la configuración de nuestro firewall.

CONCLUSIÓN

Esta entrada solo lista las reglas básicas para los usuarios nuevos en linux. Se pueden crear reglas más complejas. Requiere una buena comprensión de TCP/IP, tunning del kernel linux via sysctl.conf y un buen conocimiento de nuestra configuración.

Fuente original: cyberciti


MÁS REGLAS CORTESÍA DE JKER

a)a. Reestablece las reglas por defecto.

sudo su
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
IPtables -nL para ver que estan vacias

b)b. Configura la máquina para que sólo se pueda acceder desde ella a las webs
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
y
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
y a ninguna otra.

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -A OUTPUT -d http://www.google.es -j ACCEPT
iptables -A OUTPUT -d http://www.iesgoya.com -j ACCEPT
iptables -A OUTPUT -p tcp –dport 80 -j DROP # Mas exigente –> iptables -A OUTPUT -p all -j DROP
##como google tiene muchas IPs puede que tengamos un problema para ello realizamos lo siguiente antes de la regla EXIGENTE:

iptables -I OUTPUT 1 -d 212.106.221.0/24 -j ACCEPT
iptables -I OUTPUT 1 -d 173.194.0.0/16 -j ACCEPT

MOSTRAR LAS REGLAS QUE LLEVAMOS HASTA EL MOMENTO:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -nL –line-numbers
#Si queremos borrar reglas:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -D OUTPUT 5
c)c. Cierra todos los puertos bien conocidos menos los necesarios para acceder a estas dos webs.

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -A OUTPUT -p TCP –dport 53 -j ACCEPT
iptables -A OUTPUT -p UDP –dport 53 -j ACCEPT
iptables -A OUTPUT -p TCP –dport 1:1024 -j DROP
iptables -A OUTPUT -p UDP –dport 1:1024 -j DROP

d)d. Investiga de qué forma podrías hacer que las peticiones entrantes a tu máquina virtual al puerto 81 por http vayan mediante NAT al puerto 80 de la máquina local (arranca WAMP para comprobar que funciona).

Arrancamos wamp en la maquina fisica y comprobamos que accedemos a wamp desde localhost.
Comprobamos que podemos acceder desde la maquina virtual y se encuentra cortado

Miramos la IP de la maquina virtual.
Ahora desde la maquina fisica intentamos acceder desde el puerto 81 con la IP esa.

Habilitamos el enrutamiento entre tarjetas de red de nuestro equipo:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
echo 1 > /proc/sys/net/ipv4/ip_forward
#Ejecutamos las siguientes reglas

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -t nat -A PREROUTING -p tcp –dport 81 -j DNAT –to- destination 192.168.203.200:80
 
iptables -t nat -A POSTROUTING -s 192.168.203.0/24 -j MASQUERADE

#Para ver las reglas introducidas:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -t nat -nL –line-numbers
e)e. Permite sólo los mensajes entrantes desde la IP del compañero de tu máquina física (prueba desde otro sitio para ver si funciona).

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -A INPUT -s 192.168.203.200 -j ACCEPT
iptables -A INPUT -j DROP
 
iptables -A FORWARD -s 192.168.203.200 -j ACCEPT
iptables -A FORWARD -s -j DROP

f) #Activa el log sobre todas las reglas y verifica que se anotan los mensajes.

Insertamos en IPTABLEs las reglas para activar el log:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
iptables -I FORWARD 1 -j LOG –log-prefix ‘IPTABLESFORWARD: ‘
iptables -I INPUT 1 -j LOG –log-prefix ‘IPTABLESINPUT: ‘
 
iptables -t nat -I PREROUTING 1 -j LOG –log-prefix ‘IPTABLESPREROUTING: ‘
iptables -t nat -I POSTROUTING 1 -j LOG –log-prefix ‘IPTABLESPREROUTING: ‘
iptables -I OUTPUT 1 -j LOG –log-prefix ‘IPTABLESOUTPUT: ‘

NOTA: hay que ponerlas las primeras para que haga log antes de rechazarlo.

#Ahora editamos el archivo:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
gedit /etc/rsyslog.d/50-default.conf
#E incluimos al final:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
kern.warning /var/log/iptables.log



Creador: ALEJANDRO ALCALDE
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
Entrar a la web
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
"Es más divertido hacerse pirata que unirse a la marina." (Steve Jobs)
Dudas / Sugerencias: [email protected]

paulitah.16

  • Visitante
  • Desconectado
  • *
  • 10
    0
    0
    • Ver Perfil
Re:IPTables - Linux cortafuegos
« Respuesta #2 en: Enero 10, 2015, 04:38:14 pm »
Holiii !!

Algo complicado ( Para mi ) .
¿Esto se hace desde la terminal de linux?

Un saludito!

WIитX

  • Administrador
  • Conectado
  • *
  • 1364
    7456
    72
  • Texto personal
    I'm not a hacker I'm security professional.
    • Ver Perfil
    • WINTXCODERS.COM
Re:IPTables - Linux cortafuegos
« Respuesta #3 en: Enero 10, 2015, 04:38:54 pm »

Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
Holiii !!

Algo complicado ( Para mi ) .
¿Esto se hace desde la terminal de linux?

Un saludito!

Exactamente, nada es complicado, todo es ponerse y aprender!
Entrar a la web
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
"Es más divertido hacerse pirata que unirse a la marina." (Steve Jobs)
Dudas / Sugerencias: [email protected]

quuim

  • Visitante
Re:IPTables - Linux cortafuegos
« Respuesta #4 en: Enero 11, 2015, 04:30:13 pm »
Me lo guardo como apuntes rápidos  :D

Root Vuster

  • Aportador
  • Desconectado
  • *
  • 76
    174
    7
  • Texto personal
    [email protected]
    • Ver Perfil
Re:IPTables - Linux cortafuegos
« Respuesta #5 en: Noviembre 23, 2017, 08:31:34 pm »
Algun Tutorial de como instalar todo esto?

Seria Bueno que nos enseñaras por medio de videos, Seriamos la mejor comunidad.

 

Powered by Advanced Topic Prefix Pro