Ejemplos Practicos de iptables

7/23/2019 Ejemplos Practicos de iptables

1/16

11/11/2015 IPTABLES I: Ejemplo firewall personal - Tecnico BAT

http://www.tecnicobat.com/iptables-i-ejemplo-firewall-personal/ 1/16

Si eres nuevo aqui, quizas quieras suscribirte a nuestro RSS feed. Gracias por tu visita!

En este post vamos a intentar generar un ejemplo de firewall con iptables en el que por una

tarjeta podamos solo podamos salir a internet y por la otra solo podamos salir al correo

(puerto 25 y 110)

Para realizar esto tendremos que utilizar nica y exclusivamente nuestra Shell.

Empezaremos creando un fichero donde dentro podremos nuestro script de iptables

Teclearemos lo siguiente en la Shell:

Nano fwinmail

Como podemos ver en la captura inferior

Ahora pulsaremos intro para introducirnos dentro del programa nano y as poder editar nuestro

script, podemos observarlo a continuacin.

LINUX, REDES, SEGURIDAD

IPTABLES I: EJEMPLO FIREWALL

PERSONAL30 AGOSTO, 2011 | KOMOOO666 | 1 COMENTARIO

Tecnico BAT
http://www.tecnicobat.com/http://-/?-http://www.tecnicobat.com/author/komooo666/http://www.tecnicobat.com/iptables-i-ejemplo-firewall-personal/http://www.tecnicobat.com/category/seguridad/http://www.tecnicobat.com/category/redes/http://www.tecnicobat.com/category/linux/http://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image00210.jpghttp://www.tecnicobat.com/feed/


2/16



Ahora tendremos que comenzar a escribir nuestro script de iptables

Como en todo script tendremos que indicar con que Shell se ejecuta, as que empezaremosescribiendo lo siguiente tal y como se puede observar en la captura:

#!/bin/bash

Ahora y tambin por cortesa y buenas prcticas tendremos que escribir quien es el autor del

script y que va ha hacer, escribiremos

#Script creado por Komooo666

# Este script filtrara la salida a internet (puerto 80) por la tarjeta eth0

#y el correo (110 y 25) por la eth1

Ahora una vez presentados tanto el autor como el cometido del script nos meteremos de lleno

en el.

Un script de iptables podemos dividirlo en 3 grande bloques como son el reseteo, las polticas

y las reglas.

Empezaremos con el reseteo. En esta primera parte limpiaremos todo la configuracin que

pudiese haber y lo haremos de la siguiente manera:

#En esta parte resetearemos todo lo que pueda haber configurado

#-X borra las reglas, -Z borra los contadores de tramas, -F borra las reglas de usuario#-t nat borra las configuracin de nat,todo firewall es un router.

Estos son los comentarios que escribimos por si alguien quiere reutilizarlo sepa que hace
http://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0087.jpghttp://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0066.jpghttp://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0048.jpg


3/16



cada cosa

Ahora s que empezamos de verdad (Pondremos echos despus del comando de iptables

para que cuando ejecutemos el script vayamos viendo que se est ejecutando, si tenemos unproblema podremos detectarlo de una manera ms rpida y cmoda

iptables -X && echo Borrando reglas..

iptables -Z && echo Borrando contador tramas..

iptables F && echo Borrando reglas usuario..

iptables t nat F && echo Haciendo nat..

Ya hemos acabado de configurar el rea de reseteo y vamos a comenzar a realizar el rea de

polticas.

En nuestro caso la poltica que vamos a utilizar para el firewall es Aceptar. Como ya sabemos

podemos utilizar aceptar o denegar, siendo esta ultima la ms recomendada.

Comenzamos esta nueva rea escribiendo lo siguiente en el script:

#Estas son las polticas en nuestro caso abrimos todo

Iptables P OUTPUT ACCEPT && echo Aceptamos salida

Iptables P INPUT ACCEPT && echo Aceptamos entrada

Iptables P FORWARD DROP && echo Denegamos reenvo

Como podemos observar en la captura inferior, hemos escrito lo mismo y as acabaramos el

rea de polticas. Pero antes vamos a explicar que quiere decir cada una de las lneas. En la

primera estamos diciendo que por poltica (de ah P) aceptamos todo lo que salga de

nuestro firewall hacia fuera (OUTPUT ACCEPT). En segundo lugar, aceptamos cualquier

entrada (-P INPUT ACCEPT) y por ultimo como nuestro firewall es de nuestro PC y no vamos

a tener reenvos los podemos denegar (de ah -P FORWARD DROP)
http://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0126.jpghttp://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0106.jpg


4/16



Tan solo nos quedara el rea de reglas, que vamos a comenzar a continuacin

Empezaremos igual que con el resto de areas, con un comentario como el siguiente,

podernos verlo en siguiente captura

#Estas son las reglas de usuario

A partir de aqu vamos a ir ms despacio y explicaremos cada una de las lneas que vayamos

escribiendo.

En primer lugar dejaremos salir tramas hacia cualquier direccin a travs del protocolo tcp y

cuyo puerto de destino, en la maquina a la que nos vamos a conectar sea el 80

Para ello tendremos que escribir lo siguiente:

Iptables A OUTPUT o eth0 d 0.0.0.0/0 p tcp dport 80 j ACCEPT

Paso a comentaros que el A significa que la regla se aade al final de las que haya, comoesta es la primera, se queda en primer lugar. o significa que la trama saldr por esa tarjeta

de red, en nuestro caso la eth0. d indica la direccin de destino, en nuestro caso es

cualquiera, por eso la red es 0.0.0.0/0. p indica el protocolo por el que se trasmite la trama,

en nuestro caso es tcp. dport es el puerto de la maquina a la que nos conectamos y por el

que se recibir la trama que enviamos nosotros, en este caso nuestro puerto de envio es

aleatorio y es el sistema el que lo selecciona de manera aleatoria. En este caso es l puerto 80

y que nos va a servir para navegar por la web. Por ltimo j indica la accin a realizar por

iptables. En nuestro caso dejamos que salgan las tramas.

Si pensamos un poco, cuando navegamos a travs de internet estamos mandando peticiones

a servidores para que nos devuelvan pginas que queremos leer. Estas pginas las

recibiremos desde su puerto 80 as que tendremos que permitir esta entrada. Tendremos que

escribir lo que aparece a continuacin:

Iptables A INPUT i eth0 s 0.0.0.0/0 p tcp -sport 80 j ACCEPTCon esta sentencia estamos indicando que todas las tramas que desde un maquina remota

hayan salido por el puerto 80 y a travs del protocolo tcp , su entrada sea aceptada por la

eth0.


5/16



Para poder navegar adems tendremos que saber resolver las direcciones, para eso

permitiremos la salida y el paso del DNS. Tambin tendrn que poder encontrar nuestra

maquina.

Tendremos que escribir lo siguiente:

Iptables A OUTPUT o eth0 -d 0.0.0.0/0 p udp -dport 53 j ACCEPT

Iptables A INPUT I eth0 -s 0.0.0.0/0 p udp dport 53 j ACCEPT

La primera sentencia indica que dejamos salir por la tarjeta eth0 las tramas que vayan por el

protocolo udp y cuyo Puerto de destino en la maquina lejana sea el del DNS.

La segunda sentencia indica que deja entrar por la tarjeta eth0 y a travs del protocolo udp

todas las peticiones que vayan al puerto 53 de mi maquina.

Ahora mismo ya estaramos en condiciones de navegar pero faltara cerrar todas las dems

conexiones que no hemos especificado, tenemos que tener en cuenta que las polticas

permiten todos los accesos y que si nos olvidan estas reglas el acceso ser total.

Para cerrar las conexiones tendremos que escribir lo siguiente

Iptables A OUTPUT o eth0 j DROPiptables A INPUT o eth0 j DROP

De esta manera indicamos que todo lo que quiera salir o entrar por la tarjeta eth0 no tiene

permiso para hacerlo.

Si recapitulamos un poco vemos que hemos escrito hasta el momento en el rea de reglas

#Estas son las reglas de usuario

Iptables A OUTPUT o eth0 d 0.0.0.0/0 p tcp dport 80 j ACCEPT

Iptables A INPUT i eth0 s 0.0.0.0/0 p tcp -sport 80 j ACCEPT


Iptables A INPUT I eth0 -s 0.0.0.0/0 p udp dport 53 j ACCEPT

Iptables A OUTPUT o eth0 j DROP


6/16



iptables A INPUT o eth0 j DROP

Como podemos observar en la imagen inferior nuestro script contiene lo mismo que este

documento.

En el script hemos aadido echos al final para poder saber en qu lnea vamos, por si alguna

cosa falla.

Este script filtra por una tarjeta internet y por otra el correo, quiere decir que si una de las

tarjetas no funciona podremos acceder a la funcionalidad que nos de la otra.

En este momento si aplicamos la configuracin del script tan solo podremos salir a internet ynada ms. Vamos a probarlo antes de meternos con la segunda tarjeta y el correo.

En primer lugar tendremos que guardar el documento con control + X y saldremos a la Shell

Una vez salvado hemos realizado un ifconfig para ver el estado de las tarjetas de red y nos haaparecido la imagen inferior. Hasta ahora las tarjetas siempre haban sido eth0 y eth1, ahora

han cambiado as que modificaremos el script y en vez de poner eth0 podremos eth2 y en vez

de eth1 eth3.
http://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0246.jpghttp://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0227.jpghttp://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0207.jpghttp://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0187.jpg


7/16



As nos quedara el script una vez modificado, volvemos a guardarlo y ahora si le vamos a dar

permisos de ejecucin.

Para ello tendremos que ejecutar lo siguiente

Sudo Chmod +x fwinmail

Si pulsamos intro nos pedir contrasea y realizara la accin

Si realizamos ls l deberamos de tener permisos de ejecucin para todos los usuarios en

este fichero

Para que veamos mejor el efecto vamos a dejar al equipo solo con una tarjeta,

desconectaremos la otra.

Para hacer esto nos vamos a VMware y quitamos el check de conectado en la segundatarjeta.

Como podemos apreciar en la imagen inferior al 2 tarjeta ya no luce
http://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0346.jpghttp://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0326.jpghttp://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0307.jpghttp://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0287.jpghttp://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0267.jpg


8/16



En este momento ejecutaremos el script, debera de funcionar la navegacin normal,https

tampoco debera e funcionar.

Tendremos que ejecutar la siguiente orden

Sudo ./fwinmail para ejecutar el script

Como podemos observar se ha ejecutado perfectamente

Ahora veremos si tambin funciona como nosotros queremos,

Si realizamos un ping, no debera de funcionar. Escribiremos pingwww.google.es

Si pulsamos intro, vemos que ha funcionado correctamente y el trafico icmp est bloqueado

como podemos comprobar en la imagen inferior

Intentaremos ahora conectarnos con un servidor pop.

Teclearemos telnet pop.mail.yahoo.com 110

En teora no debera de funcionar
http://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0445.jpghttp://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0425.jpghttp://www.google.es/http://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0406.jpghttp://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0385.jpghttp://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0366.jpg


9/16



Se queda intentando conectar y no lo consigue, parece que funciona ok.

Intentaremos navegar ahora, iremos awww.marca.compara ver cmo van los partidos y as

veremos si tenemos trafico por el puerto 80

Parece que si tenemos navegacin por el puerto 80 de manera correcta.

Ahora lo intentaremos con pginas seguras como https://copia.servidorlinea.com:44371,

Veamos que ocurre, la teora dice que no debera de funcionar.

Lo intenta pero se queda en la misma pgina, sin poder llegar a la web segura
http://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0543.jpghttp://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0523.jpghttps://copia.servidorlinea.com:44371/http://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0505.jpghttp://www.marca.com/http://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0484.jpghttp://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0465.jpg


10/16



Podemos comprobar con iptables L n que se estaba dejando pasar y que no,veamoslo

Buenos parece que esta primera parte la hemos completado sin problema as que vamos a

intentar realizar la segunda parte.

Ahora intentaremos conducir el trfico de correo por la tarjeta 2 cuyo nombre en este caso es

eth3

Tendremos que empezar a insertar lneas en nuestro script antes de las 2 ltimas

Tenemos que dejar pasar pop y smtp, estos puertos son tcp y sus nmeros 110 y 25.

Tendremos que escribir estas lneas en nuestro script.

Iptables A OUTPUT o eth3 d 0.0.0.0/0 p tcp -dport 110 j ACCEPT

iptables A INPUT i eth3 s 0.0.0.0/0 p tcp -sport 110 j ACCEPT

Iptables A OUTPUT o eth3 d 0.0.0.0/0 p tcp -dport 25 j ACCEPT

iptables A INPUT i eth3 s 0.0.0.0/0 p tcp -sport 25 j ACCEPT

Dejaremos pasar DNS al igual que en la primera tarjeta


Iptables A INPUT i eth3 -s 0.0.0.0/0 p udp dport 53 j ACCEPT

Adems cerraremos todo el trfico para esta tarjeta


11/16


12/16



Como antes vamos a intentar probarlo solo y ahora desactivaremos la tarjeta 1 dejando la

tarjeta 2 activa en VMware

Tras realizar este paso guardaremos de nuevo el fichero

Y volveremos a ejecutarlo con la orden sudo ./fwinmail

Si pulsamos intro se ejecuta el script de manera correcta como podemos ver en la imagen

inferior

Ahora solo tenemos activa la tarjeta 2,eth3, y tan solo deberamos de poder conectar con los

puertos de correo 110 y 25 y no deberamos de navegar.

Para probarlo, deberamos de escribir lo siguiente en la Shell

telnet pop.mail.yahoo.com 110

Si pulsamos intro debera de poder conectarse

Vemoslo
http://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0691.jpghttp://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0672.jpghttp://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0652.jpghttp://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0632.jpghttp://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0612.jpg


13/16



Parece que ahora si hemos conectado bien, lo intentaremos con el puerto 25,

Para ello tendremos que teclear:

Telnet smtp.mail.yahoo.com 25

Parece que est funcionando correctamente.

Ahora es el momento justo para probar si funciona la navegacin, iremos de nuevo a

marca.com

Como podemos observar no conecta, parece que nos est saliendo bien el script de iptables.

Ahora vamos a probar ambas tarjetas juntas para ver si funciona de manera correcta

Habilitamos la tarjeta que estaba desconectada y en el VMware tendremos que visualizar las

dos tarjetas como aparecen en la imagen inferior.

Ahora una vez levantada la primera tarjeta volveremos a ejecutar el script

Sudo ./fwinmail para ejecutar el script

Como podemos observar se ha ejecutado perfectamente
http://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image03811.jpghttp://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0751.jpghttp://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0731.jpghttp://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0711.jpg


14/16



Rating: 0(from 0 votes)

Ahora comprobaremos ambas tarjetas.

Para ello intentaremos realizar un telnet al puerto 110 del servidor de yahoo.

Tendremos que teclear lo siguiente

Telenet pop.mail.yahoo.com 110

Parece que nuestra segunda tarjeta est funcionando perfectamente.

Comprobaremos ahora la primera tarjeta, intentaremos navegar a travs de ella. De esta

manera comprobaremos que funciona de manera correcta o no.

Parece que nuestra practica nos ha salido correctamente

Espero que nos pueda servir

Rating: 0.0/5(0 votes cast)
http://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image0506.jpghttp://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image06911.jpghttp://www.tecnicobat.com/wp-content/uploads/2011/08/clip_image04011.jpg


15/16



Mi Seleccion de Temas Relacionados para TI:

LIBROS DE SEGURIDAD PARA DUMMYSHERRAMIENTA ANTIMALWARE > WINLOCKLESSCONEXIN SEGURA Y GRATUITA ENTRE PCS REMOTOSPOR UNA NAVEGACION MAS SEGURA: TUNELES SSHIPTABLES 2: EJEMPLO FIREWALL LAN ( PARTE 2)

(Visited 884 times, 1 visits today)

You may also like:

Cambiar Hora a unControlador deDominio

Doctors SHOCKED:Local mom breaksworld record: 12kg in4wks!HealthNews24.co

Instalacion Zimbra Por una navegacionmas segura: TunelesSSH

Solucin al problemacon neatx y nomachine

Como arrancar conWindows 7 desdegrub

Que es el servicioSVCHOST.EXE

Better Than Botox?!HealthNews24.co

EJEMPLO FIREWALL IPTABLES LINUX REDES SEGURIDAD UBUNTU

45
http://www.tecnicobat.com/tag/ubuntu/http://www.tecnicobat.com/tag/seguridad/http://www.tecnicobat.com/tag/redes/http://www.tecnicobat.com/tag/linux-2/http://www.tecnicobat.com/tag/iptables/http://www.tecnicobat.com/tag/firewall/http://www.tecnicobat.com/tag/ejemplo/http://engine.adzerk.net/r?e=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&s=cyJd-oJbgpBuyzAZdQai_kGSe4Ihttp://www.tecnicobat.com/que-es-el-servicio-svchost-exe/http://www.tecnicobat.com/como-arrancar-con-windows-7-desde-grub/http://www.tecnicobat.com/solucin-al-problema-con-neatx-y-no-machine/http://www.tecnicobat.com/por-una-navegacion-mas-segura-tuneles-ssh/http://www.tecnicobat.com/instalacion-zimbra/http://engine.adzerk.net/r?e=eyJhdiI6ODUwMzgsImF0IjoxNjIsImJ0IjowLCJjbSI6MjU4ODY1LCJjaCI6MTczMTcsImNrIjp7fSwiY3IiOjExNDYzMDMsImRpIjoiZGQzYTc5NzI3YTdlNDNiN2IwMWFkMDE5NGFlYWMyNTYiLCJkbSI6MywiZmMiOjEyMDM2NjIsImZsIjo2MTY4OTcsImlwIjoiMTgxLjE5OS4xMzQuMTAiLCJudyI6OTYwNCwicGMiOjAuMDUsImVjIjowLjExNzMsInByIjo3MDM3NiwicnQiOjMsInN0IjoxMzc0MjUsInVrIjoidWUxLWRhNzdlMmJlYzdlNzQzNDhiODZkOTMzYTIxMmU2YmIwIiwiem4iOjEyNjc1NSwidHMiOjE0NDczMDM2NjUzNTUsInBuIjoiZGl2MSIsInVyIjoiaHR0cDovL3d3dy5oZWFsdGhuZXdzMjQuY28vcGF0aC5waHA_dDIwMmlkPTkzNjAwOCZ0MjAya3c9ZGVzay0xMy1kaWV0aW50bCJ9&s=T_qo5FSYwaWTTKp0EwE98MmFBx8http://www.tecnicobat.com/cambiar-hora-a-un-controlador-de-dominio/http://www.tecnicobat.com/iptables-2-ejemplo-firewall-lan-parte-2/http://www.tecnicobat.com/por-una-navegacion-mas-segura-tuneles-ssh/http://www.tecnicobat.com/conexin-segura-y-gratuita-entre-pcs-remotos/http://www.tecnicobat.com/herramienta-antimalware-winlockless/http://www.tecnicobat.com/libros-de-seguridad-para-dummys/


16/16


UN PENSAMIENTO SOBRE IPTABLES I: EJEMPLO FIREWALL PERSONAL

Pingback: Serie Firewall Iptables
http://www.tecnicobat.com/2011/08/30/serie-firewall-iptables/

Ejemplos Practicos de iptables

Documents

Transcript of Ejemplos Practicos de iptables