Cortafuegos y Linux. Iptables

Anuncio
Introducción
Cortafuegos con Linux
Cortafuegos y Linux. Iptables
Raúl Sánchez Sánchez
raul@um.es
Atica
Miércoles 22 de Septiembre de 2004
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Introducción
Conceptos basicos
Filtrado de paquetes
Cortafuegos de aplicacion
Configuraciones de cortafuegos
Cortafuegos con Linux
Routing en linux
Iptables
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Conceptos basicos
Filtrado de paquetes
Cortafuegos de aplicacion
Configuraciones de cortafuegos
Proxy
I
Aplicación o un dispositivo hardware.
I
Hace de intermediario entre los usuarios de una red local e
Internet.
I
Recibe peticiones de usuarios y las redirige a Internet.
I
Normalmente es un servidor de cache web.
I
Existen proxies para muchos protocolos.
I
No es transparente al usuario (casi siempre).
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Conceptos basicos
Filtrado de paquetes
Cortafuegos de aplicacion
Configuraciones de cortafuegos
Cortafuegos
I
Dispositivos/sistemas que permiten controlar el trafico entre
dos o mas sistemas.
I
Pueden ser:
Router
Equipos bastion
Sistemas operativos modificados
Normalmente es una mezcla de varios
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Conceptos basicos
Filtrado de paquetes
Cortafuegos de aplicacion
Configuraciones de cortafuegos
Cortafuegos (II)
I
Combinacion de elementos software y hardware situado entre
dos redes.
I
Permite restringir el acceso y las comunicaciones entre ambas
segun criterios configurables.
I
Trata de asegurar que se cumplen las politicas de seguridad de
la organizacion.
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Conceptos basicos
Filtrado de paquetes
Cortafuegos de aplicacion
Configuraciones de cortafuegos
Bastion Host
I
Equipo situado en una zona accesible desde el exterior de la
organizacion y protegido para permitir acceso a los recursos de
este de una forma segura.
I
Puede o no ser un firewall.
I
No suele tener modificaciones importantes en el S.O.
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Conceptos basicos
Filtrado de paquetes
Cortafuegos de aplicacion
Configuraciones de cortafuegos
Screening router
I
Router con capacidad de filtrado de paquetes.
I
Implementado en todos los routers modernos.
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Conceptos basicos
Filtrado de paquetes
Cortafuegos de aplicacion
Configuraciones de cortafuegos
Filtrado de paquetes (I)
I
Bloquear todos los paquetes dirigidos a servicios no
autorizados.
I
Bloquear paquetes que conengan opciones dentro de los
datagramas ip como el source routing.
I
Permitir conexiones a determinadas maquinas.
I
Permitir conexiones hacia el exterior.
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Conceptos basicos
Filtrado de paquetes
Cortafuegos de aplicacion
Configuraciones de cortafuegos
Filtrado de paquetes (II)
I
Preferible en router.
I
Necesita pocos recursos hardware?
I
Facil de añadir nuevos protocolos y aplicaciones.
I
Dificil de manejar autenticacion y autorizacion.
I
Linux: ifwadm, ipchains, iptables.
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Conceptos basicos
Filtrado de paquetes
Cortafuegos de aplicacion
Configuraciones de cortafuegos
Filtrado de paquetes (ventajas)
I
Barato: Pc viejo con linux haciendo de router.
I
Mejor opcion para redes sencillas.
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Conceptos basicos
Filtrado de paquetes
Cortafuegos de aplicacion
Configuraciones de cortafuegos
Filtrado de paquetes (desventajas)
I
No se puede hacer un registro pormenorizado de lo que pasa
en la conexion. Solo si se establece o no.
I
No hay proteccion contra el contenido de las conexiones.
I
Las reglas se complican cuando las redes se hacen grandes.
I
Prueba solo con ensayo.
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Conceptos basicos
Filtrado de paquetes
Cortafuegos de aplicacion
Configuraciones de cortafuegos
Cortafuegos de aplicacion
I
Surgen para protocolos TCP interactivos.
I
Aparecen las pasarelas de aplicacion. Requieren la
configuracion de los programas cliente.
I
Linux: Firewall ToolKiT (antiguo).
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Conceptos basicos
Filtrado de paquetes
Cortafuegos de aplicacion
Configuraciones de cortafuegos
Cortafuegos de aplicacion (ventajas)
I
Control total sobre la conexion.
I
Se pueden interpretar los datos de la conexion. Mayor
facilidad a la hora de emplear sistemas de autenticacion
fuertes ( carnet inteligente ...)
I
Logs mucho mas precisos.
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Conceptos basicos
Filtrado de paquetes
Cortafuegos de aplicacion
Configuraciones de cortafuegos
Cortafuegos de aplicacion (desventajas)
I
Configuracion de los clientes.
I
Pasarela para cada protocolo.
I
No se adapta bien al trafico multimedia ni udp.
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Conceptos basicos
Filtrado de paquetes
Cortafuegos de aplicacion
Configuraciones de cortafuegos
Dual Homed Gateway
I
I
I
Sin screening router. El bastion host se situa entre las dos
redes.
Toda la informacion pasa a traves de el.
No permite el trafico directo.
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Conceptos basicos
Filtrado de paquetes
Cortafuegos de aplicacion
Configuraciones de cortafuegos
Screened Host Gateway
I
El bastion host se situa en la red privada.
I
El screening router le redirige el trafico.
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Conceptos basicos
Filtrado de paquetes
Cortafuegos de aplicacion
Configuraciones de cortafuegos
Screened Subnet
I
I
I
I
Se crea una red aislada utilizando dos routers.
Todos los hosts pueden acceder a la red intermedia.
No la pueden atravesar directamente.
Bastion host en la red intermedia.
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Conceptos basicos
Filtrado de paquetes
Cortafuegos de aplicacion
Configuraciones de cortafuegos
DMZ
I
Red separada del resto con servicios para internet.
I
No hay trafico directo entre internet y la red privada.
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
Routing en linux
I
Se recibe el datagrama de IP
I
Se examina el datagrama IP entrante para determinar si el
destino es esta máquina.
I
Si el datagrama es para esta máquina, se procesa localmente.
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
Routing en linux (II)
I
Si no está destinado a esta máquina se realiza una búsqueda
en la tabla de rutas y se reenvı́a por la interfaz adecuada o se
elimina si no encuentra una ruta adecuada.
I
Los datagramas procedentes de procesos locales se tratan de
igual manera: Se encaminan por la interfaz adecuada si existe
una ruta para ellos o se elimina si no existe.
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
Filtrado en Linux
I
El cortafuegos de IP del núcleo de Linux es capaz de aplicar
filtrados en varias etapas de este proceso.
I
Se pueden filtrar los datagramas de IP que:
Entren en su máquina
Reenvios a traves de la maquina
Paquetes Salientes
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
Cadenas de filtrado
I
INPUT
I
OUTPUT
I
FORWARD
I
PREROUTING
I
POSTROTING
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
Cadenas de filtrado
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
iptables
I
Un script de iptables se compone de multiples reglas.
I
Los datagramas deben de ir probando regla tras regla y paran
cuando concuerdan con una de ellas.
I
Normalmente es un script bash que carga las reglas en el
arranque del sistema.
I
Será bueno crear otro script para borrar todas las reglas de
filtrado.
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
Primer ejemplo
I
Un script básico de iptables serı́a ası́:
firewall.sh
#!/bin/sh
# Primer script de iptables del curso de linux
# Polı́ticas por defecto
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
# Vaciando las
/sbin/iptables
/sbin/iptables
/sbin/iptables
/sbin/iptables
/sbin/iptables
/sbin/iptables
tablas
-F
-F INPUT
-F OUTPUT
-F FORWARD
-X
-F -t nat
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
iptables (sintaxis)
I
-A Añade una regla al final.
I
-I Añade una regla al principio.
I
-D Borra.
I
-R Reemplaza.
I
-L Muestra reglas.
I
-F Borra reglas.
I
-P Polı́tica por defecto.
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
iptables (primer ejercicio)
I
crear script que no deje pasar ningún tipo de tráfico hacia y
desde nuestra máquina de manera que parezca que no
tenemos ningun servicio disponible.
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
Segundo ejemplo
I
El script de iptables serı́a ası́:
firewall.sh
#!/bin/sh
# Primer script de iptables del curso de linux
# Polı́ticas por defecto
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
# Vaciando las
/sbin/iptables
/sbin/iptables
/sbin/iptables
/sbin/iptables
/sbin/iptables
/sbin/iptables
tablas
-F
-F INPUT
-F OUTPUT
-F FORWARD
-X
-F -t nat
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
Segundo ejemplo
I
¿Qué problema nos encontramos?
I
Ni siquiera podemos acceder a los servicios localmente. Por
supuesto tampoco podemos enviar ningún tipo de tráfico.
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
iptables (más parámetros)
I
Parámetros básicos:
-p [!]protocolo
-s [!]dirección_origen[/máscara]
-d [!]dirección_destino[/máscara]
-j blanco
-i [!]nombre_de_interfaz_entrada
-o [!]nombre_de_interfaz_salida
[!] -f
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
iptables (Accediendo a los servicios locales)
I
Igual que antes. Añadimos las siguientes lı́neas.
firewall.sh
# loopback rules
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
iptables (más opciones. Extensiones de tcp)
[- -sport [!]
[- -dport [!]
[- -tcp-flags
[[!] - -syn]
[- -tcp-flags
[puerto[:puerto]]]
[puerto[:puerto]]]
[!] máscara comp]
SYN,RST,ACK SYN]
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
iptables (más opciones. Extensiones de udp)
[ -sport [!] [port[:port]]]
[-dport [!] [port[:port]]]
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
iptables (más opciones. Extensiones de icmp y mac)
I
ICMP
[- -icmp-type [!] nombre_de_tipo]
echo-request, echo-reply,
source-quench, time-exceeded,
destination-unreachable,
network-unreachable, host-unreachable,
protocol-unreachable, y port-unreachable.
I
MAC
[- -mac-source [!] address]
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
iptables (Un ejemplo más elaborado)
firewall.sh
#!/bin/sh
# Polı́ticas por defecto
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
# Vaciando las
/sbin/iptables
/sbin/iptables
/sbin/iptables
/sbin/iptables
/sbin/iptables
/sbin/iptables
tablas
-F
-F INPUT
-F OUTPUT
-F FORWARD
-X
-F -t nat
# loopback
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
# www
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -o eth0 --sport 80 -j ACCEPT
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
Destination NAT (DNAT)
I
Alteramos la dirección de destino del primer paquete: esto es,
cambiamos la dirección a donde se dirige la conexión.
I
Antes del encaminamiento, cuando el paquete entra por el
cable.
I
El port forwarding , el balanceo de carga y el proxy
transparente son formas de DNAT.
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
Destination NAT (Ejemplos)
I
Cambia la dirección de destino por 5.6.7.8
iptables -t nat -A PREROUTING -i eth1 -j DNAT --to 5.6.7.8
I
Cambia la dirección de destino por 5.6.7.8, 5.6.7.9 o 5.6.7.10.
iptables -t nat -A PREROUTING -i eth1 -j DNAT --to 5.6.7.8-5.6.7.10
I
Cambia la dirección de destino del tráfico web por 5.6.7.8,
puerto 8080.
iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth1 \
-j DNAT --to 5.6.7.8:8080
I
Redirige los paquetes locales que van a 1.2.3.4 hacia el
dispositivo loopback.
iptables -t nat -A OUTPUT -d 1.2.3.4 -j DNAT --to 127.0.0.1
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
Source NAT (SNAT)
I
Source NAT es cuando alteramos el origen del primer paquete:
esto es, estamos cambiando el lugar de donde viene la
conexión.
I
Source NAT siempre se hace después del encaminamiento,
justo antes de que el paquete salga por el cable.
I
El enmascaramiento es una forma especializada de SNAT.
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
Source NAT (Ejemplos)
I
Cambiar la dirección de origen por 1.2.3.4
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4
I
Cambiar la dirección de origen a 1.2.3.4, 1.2.3.5 o 1.2.3.6
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4-1.2.3.6
I
Cambiar la dirección de origen por 1.2.3.4, puertos 1-1023
iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to 1.2.3.4:1-1023
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
Enmascaramiento
I
Utilizará la dirección de origen de la interfaz por la que el
paquete está saliendo.
I
Pero más importante aún, si el enlace cae, las conexiones (que
se iban a perder de todas maneras) se olvidan, lo que significa
que habrá menos follón cuando la conexión vuelva a la
normalidad con una IP diferente.
I
Enmascarar todo lo que salga por ppp0:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
Ejercicio de Examen
I
Crear script que enmascare a todos los clientes de mi lan la
salida a internet. Ademas, tenemos un servidor web dentro de
la lan y queremos darle acceso a internet.
I
Subred de la lan: 192.168.2.0/24
I
Ip de router: 192.168.2.1 (lan) 155.54.1.60 (internet)
I
Ip apache: 192.168.2.24
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
Redirección
I
Es exactamente lo mismo que hacer DNAT, pero con la
dirección de la interfaz de entrada.
I
Envı́a el tráfico que entra dirigido al puerto 80 (web) a
nuestro proxy squid (transparente)
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 \
-j REDIRECT --to-port 3128
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
Resolución examen (I)
#!/bin/sh
# eth0 Red Local
# eth1 Internet
# Activamos forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# Vaciamos las cadenas de iptables
iptables --flush
iptables -t nat --flush
iptables -t mangle --flush
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
# Politicas
iptables -P
iptables -P
iptables -P
por defecto
INPUT DROP
OUTPUT DROP
FORWARD DROP
# Acceeso a tutiplein para localhost
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
Resolución examen (II)
# Permitimos la entrada por ssh desde el servidor
iptables -A INPUT -s 192.168.2.1 -p tcp --dport 1600 -j ACCEPT
iptables -A OUTPUT -d 192.168.2.1 -p tcp --sport 1600 -j ACCEPT
# Enmascaramos NAT
iptables -A POSTROUTING -t nat -o eth1 -s 192.168.2.0/24
-d 0/0 -j MASQUERADE
# Permitimos conexiones establecidas
iptables -A FORWARD -s 0/0 -o eth0 -d 192.168.2.0/24 -m state --state ESTABLISHED -j ACCEPT
# Permitimos la navegacion por internet a la red local
iptables -A FORWARD -s 192.168.2.0/24 -d 0/0 -j ACCEPT
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
Resolución examen (y III)
# Reedirecciones de los servicios de internet
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -d 155.54.1.60 -j DNAT --to-destination 192.168.2.24
# Reedirecciones de los servicios de internet
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 25 -d 155.54.1.60 -j DNAT --to-destination 192.168.2.24
iptables -A FORWARD -p tcp --dport 110 -d 192.168.2.24 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 110 -d 155.54.1.60 -j DNAT --to-destination 192.168.2.24
iptables -A FORWARD -p tcp --dport 21 -d 192.168.2.24 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 21 -d 155.54.1.60 -j DNAT --to-destination 192.168.2.24
iptables -A FORWARD -p tcp --dport 22 -d 192.168.2.24 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 22 -d 155.54.1.60 -j DNAT --to-destination 192.168.2.24
iptables -A FORWARD -p tcp --dport 53 -d 192.168.2.24 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 53 -d 155.54.1.60 -j DNAT --to-destination 192.168.2.24
iptables -A FORWARD -p udp --dport 53 -d 192.168.2.24 -j ACCEPT
iptables -t nat -A PREROUTING -p udp --dport 53 -d 155.54.1.60 -j DNAT --to-destination 192.168.2.24
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
Logging
I
De alguna manera debemos de registrar lo que está ocurriendo
I
usaremos -j LOG
I
Crearemos una cadena para esto
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
Creando una cadena que rechaza y registra
/sbin/iptables
/sbin/iptables
/sbin/iptables
/sbin/iptables
/sbin/iptables
/sbin/iptables
/sbin/iptables
-N
-F
-A
-A
-A
-A
-A
DUMP
DUMP
DUMP
DUMP
DUMP
DUMP
DUMP
> /dev/null
-p
-p
-p
-p
-j
tcp -j
udp -j
tcp -j
udp -j
DROP
LOG
LOG
REJECT --reject-with tcp-reset
REJECT --reject-with icmp-port-unreachable
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Introducción
Cortafuegos con Linux
Routing en linux
Iptables
Logging (Mandando hacia la cadena nueva)
# Rechazamos y registramos direcciones reservadas que
# llegan por la interfaz externa
/sbin/iptables -A INPUT -i eth1 -s 0.0.0.0/8 -j DUMP
/sbin/iptables -A INPUT -i eth1 -s 1.0.0.0/8 -j DUMP
/sbin/iptables -A INPUT -i eth1 -s 2.0.0.0/8 -j DUMP
/sbin/iptables -A INPUT -i eth1 -s 5.0.0.0/8 -j DUMP
/sbin/iptables -A INPUT -i eth1 -s 7.0.0.0/8 -j DUMP
/sbin/iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DUMP
/sbin/iptables -A INPUT -i eth1 -s 23.0.0.0/8 -j DUMP
/sbin/iptables -A INPUT -i eth1 -s 27.0.0.0/8 -j DUMP
/sbin/iptables -A INPUT -i eth1 -s 31.0.0.0/8 -j DUMP
/sbin/iptables -A INPUT -i eth1 -s 36.0.0.0/8 -j DUMP
/sbin/iptables -A INPUT -i eth1 -s 39.0.0.0/8 -j DUMP
/sbin/iptables -A INPUT -i eth1 -s 41.0.0.0/8 -j DUMP
/sbin/iptables -A INPUT -i eth1 -s 42.0.0.0/8 -j DUMP
/sbin/iptables -A INPUT -i eth1 -s 58.0.0.0/8 -j DUMP
/sbin/iptables -A INPUT -i eth1 -s 59.0.0.0/8 -j DUMP
/sbin/iptables -A INPUT -i eth1 -s 60.0.0.0/8 -j DUMP
/sbin/iptables -A INPUT -i eth1 -s 127.0.0.0/8 -j DUMP
/sbin/iptables -A INPUT -i eth1 -s 169.254.0.0/16 -j DUMP
/sbin/iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DUMP
/sbin/iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DUMP
/sbin/iptables -A INPUT -i eth1 -s 197.0.0.0/8 -j DUMP
/sbin/iptables -A INPUT -i eth1 -s 224.0.0.0/3 -j DUMP
/sbin/iptables -A INPUT -i eth1 -s 240.0.0.0/8 -j DUMP
Raúl Sánchez Sánchez raul@um.es
Cortafuegos y Linux. Iptables
Descargar