Iptables

Me fué difícil entender como funciona iptables, en todas partes te sueltan un rollo sobre tablas, cadenas y comandos o ordenes, o que coño sé. De hecho me leí la página manual de iptables y me quedé igual, sin saber como configurarlo. Todos sabemos que iptables es un firewall que se configura desde consolo (o alguna gui) y que además es el más “famosito”, pero utilizarlo es otro tema aparte.

En internet hay muchos ejemplos de configuraciones de firewall que son extremadamente largas y complicadas. Esta configuración la encontré en uno de los documentos oficiales de CentOS.

$iptables -F

Borra la configuración anterior.

$iptables -A INPUT -i lo -j ACCEPT

Acepta todo el tráfico entrante desde la interfaz local (lo). Esto hace falta ponerlo para que todo funcione bien.

$iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Acepta conexiones entrantes que han sido establecidas previamente.

$iptables -A INPUT -p tcp --dport 5123 -j ACCEPT

Acepta las conexiones entrantes por el puerto 5123, que puede ser cualquier servicio que tengamos configurado, como un programa p2p. También puede ser un rango –dport 5123:5124

$iptables -P INPUT DROP

Establece que hacer por defecto, si no hay ninguna regla establecida para las conexiones entrantes, en este caso es rechazar conexiones entrantes.

$iptables -P FORWARD DROP

FORWARD es sólo necesario para los equipos que actuan de enrutadores.

$iptables -P OUTPUT ACCEPT

Acepta todas las conexiones salientes. En un principio esta bien, pero si lo que estas configurando es un servidor, igual es más seguro poner que deniegue las conexiones salientes por defecto.

$/etc/rc.d/iptables save

Para guardar todo lo que has hecho.

$/etc/rc.d/iptables restart

Para reiniciar el firewall iptables con las nuevas reglas. Si no lo tenias corriendo, sustutuye restart por start. Para iniciarlo como daemon añádelo a la lista de daemons en /etc/rc.conf antes del daemon de red.

Y por último, para que iptables funcione el kernel de linux tiene que ser compilado con el módulo de iptables, si este no es el caso vas a tener que recompilar tu kernel. Antes de hacerlo consúltalo en la documentación de tu sistema operativo. En Archlinux viene activado por defecto (el módulo), así que no tendrás que recompilar el kernel, pero sí que tendrás que ponerlo en la lista de daemons.

Links:

Man page of iptables
Iptables en 21 segundos
Iptables archwiki

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s