BFW Firewall & Router

[Chano]

Holas a todos!
Este es el tutorial que traduje:
viewtopic.php?f=38&t=62483

Esta es la traducción, esta en negrita las cosas que no pude traducir por incohorentes.


Mini tutorial de IPtables

Comandos de Ip tables

- Chain - Conjunto de reglas al final de una cadena (chain). Si un nombre de host es designado como origen o destino, una regla es agregada por cada IP relacionada con ese host.
- D Chain – Borra una o mas reglas de la cadena especificada
- D chain regra_num – Borra la regla residente en la posición indicada para regra_num de la cadena especificada.
- R Chain regra_num – sustituye la regla regra_num de la cadena especificada por una regla dada.
- I Chain regra_num – Inserta una o más reglas al comienzo de una cadena. Si se suministra un nombre de host, como origen o destino, una regla es agregada por cada IP relacionada al Host.
- L [Chain] – Lista todas las regals de una cadena. En caso de que no tenga ninguna cadena especificada se listarán todas las reglas en todas las cadenas.
- F [Chain] – Remueve todas las reglas de una cadena, si no se especifica ninguna cadena, remueve las reglas de todas las cadenas, tambien las del usuario.
- Z [Chain] – Restaura el conteo de datagramas y bytes en todas las reglas de la cadena especificadas para CERO, o para todas las cadenas si ninguna fuera especificada.
- N [Chain] – Crea una cadena definida por el usuario con un nombre especifico
- X [Chain] – Borra la cedena especificada por el usuario o todas si no se especifica una.
- C [Chain] – Verifica el datagrama descripto para la regla especficada contra una cadena especificada. Este comando devuelve un mensaje dewscribiendo como la cadena procesa el datagrama. Es muy util para probar la configuración del router para un posterior analisis.
- P [Chain] – Politicas – Las políticas definen el Standard……
La politicas validas son: ACCEPT, DROP, QUEUE y RETURN.
ACCEPT permite el paso del datagrama
DROP descarta el datagrama
QUEUE pasa el datagrama a una cola para su posterior procesamiento
RETURN Fuerza al código del firewall a regresar a la cadena previa y continua el proceso con la regla siguiente a la que regresó

Reglas:

Las siguientes reglas pueden ser usadas

-p (!)[Protocol] – Define a que protocolo se aplica la regla. El parámetro Protocolo puede ser un valor numérico del archivo /etc/protocol o una de las palabras clave; TCP, UDP o ICMP.
-s (!) [Adress] – Define el origen del paquete al que se le aplicará la regla. El valor puede ser un nombre de host, un nombre de una red o una direccion IP opcionalmente con mascara de red.
-d (!) [Adress] – Define el destino del paquete al que se le aplicará la regla. La dirección y el puerto son definidos usando las mismas reglas que para el origen del paquete
-j Insertada en la regla define el destino del paquete, los valores posibles son ACCEPT, DROP, QUEUE o RETURN.
Es posible especificar una cadena del usuario. También es posible especificar una extensión
-i (!) [Nombre de la Interfase] Define por que interfase va a ser recibido el datagrama. Se puede usar el signo + para definir un nombre parcial de interfase. Por ejemplo eth+ correspondería a todas las interfaces cuyo nombre empiece con eth.
-o (!) [Nombre de la Interfase] Define por que interfase va a ser transmitido el datagrama
-f sin sentido para traducir

El símbolo (!) es utilizado junto a la regla como una negación de la misma.

Ejemplos:

- s 192.168.0.10/32 es equivalente a la direccionde origen 192.168.0.10
- s (¡) 192.168.0.10/32 es equivalente a todas las direcciones menos 192.168.0.10

Opciones:

- v - Termina el comando en Modo verboso. Muy útil ver que es lo que esta haciendo o pasando.
- n – Termina en una forma numérica, no es para nombres de hosts, redes, puertos.
- x – Muestra el valor exacto del paquete y el conteo de bytes en lugar de redondearlo de a miles o millones.
--line-números – Cuando lista las reglas, agrega un número de orden al comienzo de cada regla correspondiente a la posición de la regla en la cadena.

Extensiones:

Iptables es imposible de traducir

Para hacer uso de las extensiones es necesario especificar el nombre usando el parámetro – m [argument] para que IPtables cargue el módulo.

En ocaciones el parámetro utilizado es –p para determinar el protocolo

(En cietos casos el parámetro –m no es necesario, puesto que es cargado automáticamente, por ejemplo cuando se usa TCP, UDP o ICMP)

Extensión TCP: usado con -m tcp -p tcp

-- sport (¡) –port:port – Especifica el puerto de origen del datagrama. Los puertos pueden ser utilizados de a uno o por rango con el limite inferior separado del superior con el sigo “:”, también se puede utilizar (¡) para invertir la expresión.

-- dport (¡) –port:port – Especifica el puerto de destino del datagrama. Los puertos pueden ser utilizados de a uno o por rango con el limite inferior separado del superior con el sigo “:”, también se puede utilizar (¡) para invertir la expresión.

-- tcp-flags (¡) mask comp – Especifica que la regla solo será válida cuando los flags del datagrama coincidan con los especificados en mask comp la máscarca es una lista separada de comas de los flags que deben ser examinados cuando se haga la prueba. Comp es una lista separada de comas de flags que deben ser configuradas. Flags válidos: SYN, ACK, END, RST, URG, PSH, ALL o NONE.

-- syn – Especifica que la regla solo debe buscar datagramas con el bit SYN on y el ACK y END off . Los datagramas con estas opciones son requeridos para comenzar las comunicaciones TCP

Extensión UDP: usado con - m UDP - p UDP

-- sport (¡) –port:port –Este parámetro tiene una función idéntica a cuando es utilizado con TCP

-- dport (¡) –port:port – Este parámetro tiene una función idéntica a cuando es utilizado con TCP

Extensión ICMP: usado con - m ICMP - p ICMP

-- ICMP-TYPE(¡) Especifica el tipo de mensaje que debe satisfacer la regla ICMP. El tipo puede estar determinado por un nombre o un número. Algunos nombres validos son: echo-request, echo-reply, source-quench, teams-exceeded, destionation-unreachable, network-unreachable, host-unreanchable, protocol-unreachable and port-unreachable

Extensión MAC: usado con - m mac

-- mac –source (¡) address –Especifica que la regla encuentre la dirección ethernet del host que transmite el datagrama. Protección contra el IPspoofing.
El Ipspoofing es una técnica para crear direcciones IP falsas y así ejecutar ataques a máquinas en la WEB.
Generalmente se utilizan IP falsa en las redes 10.0.0.0, 172.16.0.0 y 192.168.0.0.

Para bloquear estas direcciones:

Con máquinas con interfase de red:

# iptables - INPUT - s 10.0.0.0/8 - i eth0 - j DROP

# iptables - INPUT - s 172.16.0.0/8 - i eth0 - j DROP

# iptables - INPUT - s 192.168.0.0/8 - i eth0 - j DROP

Con máquinas con interfase MODEM ADSL:

# iptables - INPUT - s 10.0.0.0/8 - i ppp0 - j DROP

# iptables - INPUT - s 172.16.0.0/8 - i ppp0 - j DROP

# iptables - INPUT - s 192.168.0.0/8 - i ppp0 - j DROP


Para garantizar la navegación de nuestros equipos

# iptables - INPUT - m state - state RELATED, ESTABLISHED - j ACCEPT

Sin este comando la estación no navegará. El módulo ip_conntrack permite especificar reglas en concordancia al estado de conexión del paquete. Que se logra con el parámetro – state

NEW – Consulta si el paquete es nuevo
ESTABLISHED – Consulta si el paquete es de una conexión ya establecida
RELATED – Consulta si el paquete esta indirectamente vinculado a una conexión como un mensaje de error.
INVALID – Consulta los paquetes que no puedieron ser identificados por alguna razon. Como una respuesta desconocia de la conexión

Para registrar conexiones a los puertos no autorizados – es importante saber cuando estamos siendo escaneados – y para defendernos de posibles ataques externos, podemos hacer que iptables registre los mensajes de los intentos de conexión a los puertos bloqueados

# iptables - INPUT - s 0.0.0.0/0 - i eth0 - j LOG - log-prefix "Conexiones Prohibidas"

Si quieres cerrar puertos específicos:

# iptables - INPUT - p tcp - dport 21 - j LOG - log-prefix "Servicio: ftp "

# iptables - INPUT - p tcp - dport 23 - j LOG - log-prefix "Servicio: telnet"

El tamaño del mensaje para el parámetro – log-prefix es de 64 caracteres

Para filtrar mensajes “echo-request” del comando ping o traceroute – Trough del comando Ping

Podriamos descubrir que sistema operativo se esta ejecutando en un determinado equipo


Si quisiéramos no responder los pedidos de ping en nuestra máquina:
# iptables - INPUT - p ICMP - ICMP-TYPE echo-request - j DROP

PD: El próximo tuto que traduzca lo voy a leer antes de elegirlo!!!

Saludos

[OnixTeam]

Gracias por el aporte


Revisando para publicación...

Saludos.