Iniciar / Parar / Reiniciar
services iptables start services iptables stop services iptables restart
Los principales comandos iptables (argumentos de una orenden)
- [-A / -append] Agrega una regla a una cadena
- [-D / -delete] Elimina una regla de una cadena especifica
- [-R / - replace] Remplaza una regla
- [-I / -insert] Inserta una regla en lugar de una cadena.
- [-L / -list] muestra las reglas que le pasamos como argumentos
- [-F / -flush] borra todas las reglas de una cadena
- [-Z / -zero] pone en cero todo los contadores de una cadena
- [-N / -new-chain] permite al usuario crear su propia cadena
- [-X / -delete-chain] borra la cadena especifica
- [-P / -policy] explica al kernel que hacer con los paquetes
- [-E / -rename-chain] cambia el orden de una cadena
Condiciones principales de iptables:
- [-p / -protocol] la regla se aplica un protocolo (TCP / UDP)
- [-s / -src-source] la regla se aplica a la IP de origen.
- [-d / -dst-destination] la regla se aplica a una IP de destino
- [-i / -]in-interface] la regla se aplica a una interfaz de origen como eth0
- [-o / -out-interface] la regla se aplica a una interfaz de destino
Condiciones TCP/UPD
- [sport / -source-port] selecciona o expluye puertos de un determinado origen
- [-dport / -destination-port] selecciona o excluye puertos de un determinado destino
Existes muchas mas configuraciones avanzadas pero las fundamentes ya estan listadas.
Configurar reglas por defecto
La configuración por defecto de un firewall debería ser, en lenguaje legible "bloquear todo excepto [reglas]". Para configura el firewall para que bloquee todas las conexiones debemos ingresar:
iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP
Con esto se bloquea todo acceso y salida así que no tendrás Internet, ahora crearemos las reglas permisivas.
Para aplicar una regla que filtre un determinado puerto
iptables -A INPUT -p tcp –sport 2222
Para bloque el trafico procedente de una determinada ip
iptables -A INPUT -p tcp -m iprange –src-range 192.168.1.13-192.168.2.19 (ejemplo de IP)
Tambien es posible bloquear la MAC con la opcion -mac-source
iptables -A INPUT -m mac –mac-source 00:00:00:00:00:01
Guardar configuracion Iptables
iptables save
Ver el estado del firewall
iptables -L -n -v
los parámetros muestra las lineas abierta, información sobre conexiones y nos devuelve las IP y sus puertos.
Eliminar reglas existentes
iptables -F
Permitir conexiones entrantes
iptables -A INPUT -i [interface] -p [protocolo] –dport [puerto] -m state
Permitir conexiones entrantes port 80
iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT
Permitir conexiones salientes
iptables -A OUTPUT -o [interfaz] -p [protocolo] –sport [puerto] -m state
Permitir conexiones entrantes por 443
iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT
0 Comentarios