7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 1/202

Tutorial de IPtables 1.1.19esOskar Andreasson

  <blueflux@koffein.net>

 

Copyright © 2001-2003 Oskar Andreasson

Se concede permiso para copiar, distribuir y/o modiicar este documento seg!n "ascondiciones de "a #icencia de #ibre $ocumentaci%n de &'( )&'( *ree $ocumentation#icense+, ersi%n 11. siendo "as Secciones nariab"es )nariant Sections+ "antroducci%n y todos sus sub-apartados, con "a ortada indicando Autor Origina" OskarAndreasson y sin te4to en "a Contraportada (na copia de esta "icencia en caste""ano se

inc"uye en e" apartado &'( *ree $ocumentation #icense )tambi5n se inc"uye "a ersi%noicia" en ing"5s+

6odos "os scripts de" presente tutoria" 7uedan cubiertos por "a #icencia !b"ica &enera"de &'( )&'( &enera" ub"ic #icense+ #os scripts son de c%digo "ibre )ree source+. puedes redistribuir"os y/o modiicar"os siguiendo "as condiciones de "a #icencia !b"ica&enera" de &'( )&'( &enera" ub"ic #icense+ pub"icada por "a *undaci%n de" Sot8arede #ibre $istribuci%n )*ree Sot8are *oundation+, ersi%n 2 de "a #icencia

#os scripts se orecen con "a esperan9a de 7ue sean !ti"es, pero S' ''&('A&A:A'6;A. ni si7uiera garant;a imp";cita por CO<:A-='6A o A$=C(AC%' A ('

:O%S6O A:6C(#A: ara m>s deta""es, reerirse a "a #icencia !b"ica &enera" de&'( )&'( &enera" ub"ic #icense+ ?se inc"uye "a ersi%n en caste""ano@

$eber;as haber recibido una copia de "a #icencia !b"ica &enera" de &'( )&'( &enera"ub"ic #icense+ con este tutoria", en "a secci%n titu"ada &'( &enera" ub"ic #icense )ening"5s y en caste""ano+. si no es as;, comun;ca"o a "a *ree Sot8are *oundation, nc, B6emp"e "ace, Suite 330, oston, <A 02111-130D (SA

Dedicatoriasor encima de todo 7uiero dedicar este documento a mi marai""osa noia 'ine" 'unca podr5 apoyarte tanto como t! me has apoyado a m; $eseo hacerte a" menos tan e"i9 comot! me has hecho a m;

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 2/202

6ambi5n 7uiero dedicar este trabaEo a todos "os programadores y encargados de"mantenimiento de #inu4 por su trabaEo tan incre;b"emente duro &racias a 5""os se hace posib"e 5ste marai""oso sistema operatio

Table of Contents

 'otas de "a traducci%nAcerca de" autor C%mo "eer este tutoria":e7uisitos preiosConenciones tipogr>icas1 ntroducci%n

or 7u5 se ha escrito este documentoC%mo se ha escrito65rminos emp"eados en este documento

2 reparatios$%nde conseguir iptab"esConiguraci%n de" n!c"eo )kerne"+Coniguraci%n de "a 9ona de usuarioCompi"ando "as ap"icaciones de "a 9ona de usuarionsta"aci%n en :ed Fat D1

3 Atraesando tab"as y cadenas&enera"idades6ab"a mang"e6ab"a nattab"a *i"ter 

G #a m>7uina de estadosntroducci%n#as entradas de" conntrack =stados de" espacio de usuarioCone4iones 6CCone4iones ($Cone4iones C<Cone4iones por deecto#os protoco"os comp"eEos y e" seguimiento de cone4iones

Sa"ando y restaurando grandes conEuntos de reg"asConsiderando "a e"ocidadnconenientes con "a restauraci%niptab"es-saeiptab"es-restore

H C%mo se escribe una reg"aConceptos >sicos6ab"asComandosComparaciones )matches+Comparaciones gen5ricasComparaciones imp";citasComparaciones e4p";citas

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 3/202

Comparaci%n (nc"ean )sucio+ObEetios/Sa"tos )6argets/Iumps+ObEetio ACC=6ObEetio $'A6ObEetio $:O

ObEetio #O&ObEetio <A:J ObEetio <ASK(=:A$=ObEetio <::O: ObEetio K(=(=ObEetio :=$:=C6ObEetio :=I=C6ObEetio :=6(:'ObEetio S'A6ObEetio 6OSObEetio 66#ObEetio (#O&

D =" archio rcire8a""=Eemp"o de rcire8a""=4p"icaci%n de" rcire8a""Opciones de coniguraci%nCarga inicia" de m%du"os e4traConiguraci%n de /proc$esp"a9amiento de "as reg"as entre cadenas=stab"eciendo "as po";ticas por deecto$einiendo cadenas de usario en "a tab"a *i"ter #a cadena '(6#a cadena *O:LA:$#a cadena O(6(6#a cadena :=:O(6'& de "a tab"a natActiando S'A6 y "a cadena OS6:O(6'&

M Scripts de eEemp"o=structura de" script rcire8a""t4t#a estructurarcire8a""t4trc$<Nire8a""t4trc$FCire8a""t4trc(6'ire8a""t4trctest-iptab"est4trc"ush-iptab"est4t#imit-matcht4tid-o8nert4tSid-o8nert4t6t"-inct4tptab"es-sae

A =4p"icaciones deta""adas sobre comandos especia"esFaciendo un "istado de" conEunto de reg"as actio

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 4/202

Actua"i9ando y aseando tus tab"as rob"emas y preguntas recuentes

rob"emas en "a carga de m%du"osa7uetes cuyo estado es '=L pero cuyo bit S' no se ha estab"ecidoa7uetes S'/ACJ y '=L

roeedores de Acceso a nternet 7ue emp"ean direcciones asignadasermitir peticiones $FC a tra5s de iptab"esrob"emas con m:C $CC

C 6ipos C<$ Otras uentes y en"aces= Agradecimientos* Fistoria"& #icencia de $ocumentaci%n #ibre &'(

0 :=P<(#O1 A#CA#$A$ $=*'CO'=S2 COA #6=:A#3 COA$O =' CA'6$A$G <O$*CACO'=S CO<'A'$O $OC(<='6OSH CO#=CCO'=S $= $OC(<='6OSD A&:=&ACQ' CO' 6:AAIOS '$=='$='6=SM 6:A$(CCQ'B 6=:<'ACQ'10 :=SO'=S *(6(:AS $= =S6A #C='CAC%mo usar esta #icencia para sus documentos 'otas de "a traducci%n

F &'( *ree $ocumentation #icense0 :=A<#=1 A#CA#6 A'$ $=*'6O'S2 =:A6< CO'&3 CO'& ' K(A'66G <O$*CA6O'S CO<''& $OC(<='6SH CO##=C6O'S O* $OC(<='6SD A&&:=&A6O' L6F '$=='$='6 LO:JSM 6:A'S#A6O'B 6=:<'A6O'10 *(6(:= :=SO'S O* 6FS #C='S=Fo8 to use this #icense or your documents

#icencia !b"ica &enera" &'(0 re>mbu"o1 6R:<'OS CO'$CO'=S A:A #A COA, $S6:(CQ' <O$*CACQ'2 C%mo ap"icar estos t5rminos a "os nueos programas

I &'( &enera" ub"ic #icense0 reamb"e

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 5/202

1 6=:<S A'$ CO'$6O'S *O: CO'&, $S6:(6O' A'$<O$*CA6O'2 Fo8 to App"y 6hese 6erms to our 'e8 rograms

J C%digo uente de "os scripts de eEemp"oScript de eEemp"o rcire8a""

Script de eEemp"o rc$<Nire8a""Script de eEemp"o rc(6'ire8a""Script de eEemp"o rc$FCire8a""Script de eEemp"o rc"ush-iptab"esScript de eEemp"o rctest-iptab"es

List of Tables3-1 Fost "oca" de destino )nuestra propia m>7uina+3-2 Fost "oca" de origen )nuestra pr%pia m>7uina+3-3 a7uetes :eeniados )*or8arded+G-1 =stados de espacio de usuarioG-2 =stados internosH-1 6ab"asH-2 ComandosH-3 OpcionesH-G Comparaciones gen5ricasH- Comparaciones 6CH-H Comparaciones ($H-D Comparaciones C<H-M Opciones de comparaci%n ";miteH-B Opciones de "a comparaci%n <ACH-10 Opciones de "a comparaci%n de marcaH-11 Opciones de comparaci%n mu"tipuertoH-12 Opciones de comparaci%n de propietarioH-13 Comparaciones de =stadoH-1G Comparaciones 6OSH-1 Comparaciones 66#H-1H ObEetio $'A6H-1D Opciones de" obEetio #O&H-1M Opciones de" obEetio <A:J H-1B ObEetio <ASK(=:A$=H-20 ObEetio :=$:=C6H-21 ObEetio :=I=C6H-22 ObEetio S'A6H-23 ObEetio 6OSH-2G ObEetio 66#H-2 ObEetio (#O&C-1 6ipos C<

Notas de la traducción

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 6/202

Kuiero e4presar mi agradecimiento a Oskar Andreasson por este tutoria" &racias a 5" todosa7ue""os 7ue deseamos conocer "os secretos de tab"es y por ende "os cortauegos, tenemosuna buena gu;a para empe9ar y ad7uirir un nie" bastante aceptab"e As;mismo 7uiero dar"as gracias a mis compaeros de traducci%n, por "a paciencia y tes%n demostrados or!"timo, me atreo a pedir a todo a7u5" 7ue "ea esta traducci%n 7ue sea condescendiente con

nosotros hemos traducido e" tutoria" de "a meEor manera 7ue hemos sabido, pero puedenhaber a""os y agradecer;amos uestras sugerencias y correcciones

Taier arto" 

Acerca del autorSoy a"guien con demasiados ordenadores ieEos en sus manos 6engo mi propia red de >rea"oca" )#A'+ y deseo 7ue todas "as m>7uinas puedan conectarse a nternet, a" tiempo 7ue "ared interna permanece suicientemente segura =n este sentido, iptab"es es una buenameEora de" antiguo ipchains Con ipchains puedes construir una red medianamente seguradesechando cua"7uier pa7uete entrante )de nternet+ no destinado a unos puertosdeterminados Sin embargo hay temas, como e" *6 pasio, o $CC sa"iente en :C, 7ue p"antean prob"emas =stos sericios asignan puertos en e" seridor, inorman a" c"ientesobre e""os y entonces esperan a 7ue e" c"iente conecte A" principio tue a"gunos prob"emascon e" c%digo de iptab"es y de a"guna manera pens5 7ue no estaba "isto para pub"icar"o yuti"i9ar"o en entornos productios Sin embargo, ahora recomendar;a actua"i9arse acua"7uiera 7ue est5 uti"i9ando ipchains )o inc"uso e" antiguo ip8adm+, a menos 7ue seae"i9 con "os resu"tados 7ue est> obteniendo y no necesite ninguna de "as caracter;sticasadiciona"es 7ue orece iptab"es

Cómo leer este tutorial=ste documento se ha escrito !nicamente para empe9ar a conocer e" marai""oso mundo deiptab"es 'unca se p"ante% para a"bergar inormaci%n sobre a""os de seguridad espec;icosen iptab"es o 'eti"ter Si encuentras a""os o comportamientos e4traos en iptab"es ocua"7uiera de sus componentes, debes contactar con "a "ista de correo de 'eti"ter ycomentar"es e" prob"ema R""os podr>n decirte si en rea"idad es un a""o o si ya est>corregido Aun7ue son muy raros "os a""os de seguridad encontrados en iptab"es o en 'eti"ter, toda;a se cue"an uno o dos de e9 en cuando y se deta""an conenientemente en"a p>gina principa" de 'eti"ter , 7ue es donde debes ir para encontrar inormaci%n sobreestos temas

#o anterior tambi5n imp"ica 7ue "os conEuntos de reg"as )ru"e-sets+ disponib"es en estetutoria" no se han escrito para remediar a""os en 'eti"ter Su ina"idad principa" es mostrarc%mo crear reg"as >ci"mente 7ue so"ucionen todos "os prob"emas con 7ue nos podamos

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 7/202

encontrar or eEemp"o, este tutoria" no e4p"ica c%mo cerrar e" puerto F66 simp"emente por7ue e" seridor 8eb Apache sea u"nerab"e en su ersi%n 1212 )en rea"idad eremosc%mo cerrar"o, pero no por este motio+

=ste documento se ha escrito simp"emente para orecer un manua" bueno y senci""o sobre

c%mo empe9ar con iptab"es, pero siendo a" mismo tiempo "o m>s comp"eto posib"e 'ocontiene ning!n obEetio o reg"a de concordancia 7ue est5n en e" patch-o-matic )"asecci%n de "a 8eb de 'eti"ter 7ue se encarga de orecer "os !"timos desarro""os ap"icab"es a"n!c"eo de iptab"es+, simp"emente por7ue re7uerir;a demasiado esuer9o manteneractua"i9ada una "ista as; Si necesitas inormaci%n sobre estas actua"i9aciones, deber;as "eer)y entender a" 100U+ "os comentarios 7ue acompaan a cada parche y cua"7uier otrodocumento disponib"e en "a 8eb de 'eti"ter 

Reuisitos !re"ios=ste documento re7uiere a"gunos conocimientos sobre #inu4/(ni4, programaci%n enconso"a )she"" scripting+, a"gunos conocimientos b>sicos sobre "as interioridades de" n!c"eo,as; como saber compi"ar tu propio n!c"eo

Fe intentado por todos "os medios e"iminar todos "os re7uisitos preios para aproechar a"m>4imo este documento, pero ciertamente es casi imposib"e no necesitar ciertosconocimientos preios

Con"enciones ti!o#r$ficasara hacer reerencia a comandos, archios y otras inormaciones espec;icas se emp"ean"as siguientes conenciones tipogr>icas

• #os eEemp"os de c%digo y "os resu"tados de "os comandos )"as sa"idas en panta""a+ semuestran con tipogra;a de

ancho fijo

)tipo Courier+, mientras 7ue "os comandos escritos por e" usuario se muestran en

ancho fijo ynegrita

[blueflux@work1 neigh]$ ls

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 8/202

default eth0 lo[blueflux@work1 neigh]$ 

• 6odos "os comandos y nombres de programa se muestran en negrita

• 6odo a7ue""o reerente a" sistema como e" hard8are )"a m>7uina en s;+, "asinterioridades de" n!c"eo )kerne"+ o entes abstractos como "a intera9 de buc"e "oca")"oopback interace+ se muestran en cursia

• #a respuesta de" ordenador se muestra as; en e" te4to

• #os archios y "as rutas de acceso se muestran as; usrlocalbini!tables

C%a!ter 1. IntroducciónPor u& se %a escrito este documento

ueno, encontraba un gran ac;o en "os CQ<Os )FOL6OVs+ e4istentes, en "os cua"esa"taba inormacion sobre "as unciones iptab"es y 'eti"ter de" nueo kerne" 2G4 de#inu4 =ntre otras cosas, oy a intentar responder "as preguntas 7ue a"gunos pod5is tenersobre "as nueas posibi"idades, como "a comparaci%n por estado )state matching+ <uchasde estas cuestiones se i"ustrar>n con un eEemp"o rcire8a""t4t 7ue pod5is usar en uestrosscripts etcrc.d ?S;, este archio se basa en e" CO<O sobre enmascaramiento

)mas7uerading+, para a7ue""os 7ue "o recono9can@

Adem>s hay un pe7ueo gui%n 7ue he escrito por si te ";as tanto como yo durante "aconiguraci%n =st> disponib"e como rc"ush-iptab"est4t 

Cómo se %a escrito

Fe consu"tado a <arc oucher y otras personas de" e7uipo de" n!c"eo de 'et*i"ter #es

agrade9co de todo cora9%n su trabaEo y su ayuda en este tutoria", 7ue escrib; para boing8or"dcom y ahora "o mantengo en mi propio sitio 8eb ro9entu4net =ste documentoos guiar> paso a paso a tra5s de" proceso de coniguraci%n y espero 7ue os ayude acomprender a"go m>s acerca de" pa7uete iptab"es asar5 "a mayor parte de" estudiodesarro""ado a7u; en e" eEemp"o de" archio rcire8a"", ya 7ue encuentro en ese eEemp"ouna buena ;a para aprender a usar iptab"es Fe decidido estudiar s%"amente "as cadenas b>sicas y desde ah; adentrarme en todas y cada una de "as cadenas atraesadas en su ordencorrespondiente $e esta orma e" tutoria" es un po7uito mas comp"icado de seguir, aun7ue

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 9/202

tambi5n es "a orma m>s "%gica Siempre 7ue encuentres a"go di;ci" de comprender,simp"emente ue"e a este tutoria"

T&rminos em!leados en este documento=ste documento contiene a"gunos t5rminos 7ue pueden necesitar e4p"icaciones m>sdeta""adas antes 7ue "os "eas =sta secci%n intentar> cubrir "os m>s obios y c%mo "os heescogido para usar"os en e" documento

$'A6 - $estination 'et8ork Address 6rans"ation )6raducci%n de "a $irecci%n de :ed de$estino+ $'A6 se reiere a "a t5cnica de traducir "a direcci%n de destino de "os pa7uetes,o sea, de cambiar"a Se emp"ea conEuntamente con S'A6 para permitir a arios hosts)m>7uinas+ compartir una so"a direcci%n de cone4i%n con nternet entre todos e""os y a"mismo tiempo 7ue toda;a puedan seguir oreciendo unciones de seridor 'orma"mente

5sto se consigue asignando dierentes puertos a "a direcci%n e4terna )"a direcci%nenrutab"e+ y a continuaci%n inormando a" encaminador/enrutador )router+ de #inu4 d%ndedebe eniar e" tr>ico

S'A6 - Source 'et8ork Address 6rans"ation )6raducci%n de "a $irecci%n de :ed deOrigen+ Se reiere a "as t5cnicas emp"eadas para traducir "a direcci%n de origen de un pa7uete en otra distinta Como en $'A6, se emp"ea para 7ue arios hosts puedan compartir una misma direcci%n de sa"ida a nternet =stas t5cnicas se emp"ean debido a 7ue cadae9 hay menos direcciones de nternet disponib"es a causa de "a propia estructura de G)"a ersi%n H de" protoco"o , H, so"ucionar> este prob"ema+

*"uEo )de datos+ )Stream+ - =ste t5rmino se reiere a una cone4ion 7ue en;a y recibe pa7uetes re"acionados entre s; de a"g!n modo >sicamente, he usado este t5rmino paracua"7uier cone4i%n 7ue en;e 2 % m>s pa7uetes en ambas direcciones =n 6C 5sto puedecorresponder a una cone4i%n 7ue en;a un pa7uete S' y entonces responde con un pa7uete S'/ACJ. pero tambi5n puede ser e7uia"ente a una cone4i%n 7ue en;a un pa7uete S' y responde con un mensaEe C< de seridor )host+ ina"can9ab"e =n otras pa"abras, uso este t5rmino muy "ibremente

=stado )State+ - =ste t5rmino se reiere a en 7u5 estado se encuentra e" pa7uete, de acuerdocon e" est>ndar :*C DB3 - 6ransmission Contro" rotoco" o bien con "os estados de usuarioemp"eados en 'eti"ter/iptab"es 6en en cuenta 7ue "os estados usados interna y

e4ternamente no siguen tota"mente "a especiicaci%n :*C DB3 #a ra9%n principa" es 7ue 'eti"ter tiene hacer arias suposiciones acerca de "as cone4iones y "os pa7uetes

=spacio de usuario )(ser space+ - Con este t5rmino me reiero a cua"7uier cosa 7ue tenga"ugar uera de" n!c"eo or eEemp"o, "a eEecuci%n de iptab"es -h tiene "ugar uera de" n!c"eo,mientras 7ue iptab"es -A *O:LA:$ -p tcp -E ACC=6 tiene "ugar )parcia"mente+ dentrode" n!c"eo, puesto 7ue se aade una nuea reg"a a" conEunto de reg"as

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 10/202

=spacio de" n!c"eo )Jerne" space+ - =sto es m>s o menos "o opuesto a" espacio de usuarioRsto imp"ica "as acciones 7ue tienen "ugar dentro de" n!c"eo y no uera de 5"

C%a!ter '. Pre!arati"os=" obEetio de este cap;tu"o es iniciarte y ayudarte a entender e" pape" 7ue hoy d;a tienen 'eti"ter e iptab"es dentro de #inu4 =ste cap;tu"o deber;a conseguir 7ue est5s "isto parae4perimentar e insta"ar tu cortauegos $>ndo"e e" tiempo necesario y con "a perseeranciaadecuada, conseguir>s 7ue uncione e4actamente como desees 7ue "o haga

Dónde conse#uir i!tables

=" pa7uete de espacio de usuario de iptab"es se puede descargar desde "a  p>gina de inicio de 'eti"ter  =" pa7uete iptab"es tambi5n uti"i9a "as capacidades de" espacio de" n!c"eo, "ascua"es pueden conigurarse durante "a eEecuci%n de make conigure #os pasos necesariosse discutir>n a continuaci%n

Confi#uración del n(cleo )kernel*

ara eEecutar "o m>s b>sico de iptab"es tienes 7ue conigurar "as siguientes opciones en e"n!c"eo mientras eEecutas make conig o uno de sus comandos re"acionados

CO'*&WACJ=6 - =sta opci%n permite 7ue "as ap"icaciones y "as uti"idades 7ue "onecesiten puedan trabaEar directamente con distintos peri5ricos de red =Eemp"os de estasuti"idades son tcpdump o snort

=n sentido estricto, CO'*&WACJ=6 no es necesario para 7ue iptab"esuncione, pero puesto 7ue tiene tantos usos dierentes, he decidido inc"uir"o Sicrees 7ue no "o necesitas, no "o inc"uyas

CO'*&W'=6*#6=: - =sta opci%n se re7uiere cuando as a uti"i9ar tu ordenador comocortauegos o como puerta de en"ace )gate8ay+ con nternet =n otras pa"abras, esimprescindib"e para 7ue uncione cua"7uier cosa de "as 7ue se e4p"ican en este tutoria"=ntiendo 7ue 5so es "o 7ue deseas, ya 7ue est>s "eyendo e" tutoria"

, por supuesto, necesitas aadir "os contro"adores )driers+ necesarios para 7ue tusinterases uncionen correctamente, es decir, e" adaptador =thernet y "as interases y

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 11/202

S# 6odo "o anterior s%"o aade un poco de "o m>s b>sico de iptab"es =n rea"idad no ser>scapa9 de hacer nada rea"mente productio, ya 7ue s%"o aade "a estructura b>sica a" n!c"eoSi 7uieres uti"i9ar "as opciones m>s aan9adas de iptab"es, tendr>s 7ue conigurar "asopciones necesarias en e" n!c"eo A continuaci%n te mostrar5 "as opciones disponib"es enuna ersi%n 2GB b>sica de" n!c"eo y "as e4p"icar5 breemente

CO'*&WW'*WCO''6:ACJ - =ste m%du"o es necesario para eectuar e" seguimientode "as cone4iones =" seguimiento de "as cone4iones "o emp"ean, entre otros, "a traducci%nde direcciones )'A6+ y e" enmascaramiento )<as7uerading+ Si necesitas proteger con uncortauegos "as m>7uinas de una red "oca", deinitiamente debes marcar esta opci%n oreEemp"o, este m%du"o "o necesita e" script rc.firewall.txt  para uncionar

CO'*&WW'*W*6 - =ste m%du"o es necesario si 7uieres hacer seguimiento decone4iones en "as cone4iones *6 uesto 7ue estas cone4iones son bastante di;ci"es demonitori9ar en condiciones norma"es, e" conntrack necesita "o 7ue se denomina un asistentey esta opci%n "o compi"a en e" n!c"eo Si no aades este m%du"o no ser>s capa9 de hacer

transerencias *6 correctamente a tra5s de" cortauegos o "a puerta de en"aceCO'*&WW'*W6A#=S - =sta opci%n es necesaria si 7uieres rea"i9ar a"g!n tipo dei"trado, enmascaramiento )mas7uerading+ o traducci%n de direcciones )'A6+ Aade toda"a estructura de identiicaci%n de iptab"es a" n!c"eo Sin 5sto, no ser>s capa9 de hacer nadaen abso"uto con iptab"es

CO'*&WW'*W<A6CFW#<6 - =ste m%du"o no es imprescindib"e, pero se emp"ea ene" eEemp"o rc.firewall.txt  =sta opci%n aade "a comparaci%n #<6 )";mite+, oreciendo "a posibi"idad de contro"ar e" n!mero de pa7uetes por minuto 7ue se deben comparar,gobernado por "a reg"a adecuada or eEemp"o, con -m "imit --"imit 3/minute comparar;amosun m>4imo de 3 pa7uetes por minuto <ediante este m%du"o tambi5n podemos eitarciertos ata7ues de denegaci%n de sericios )en ing"5s $enia" o Serice attacks, $oSattacks+

CO'*&WW'*W<A6CFW<AC - =ste m%du"o nos permite comparar pa7uetes bas>ndonos en "as direcciones ;sicas <AC cada adaptador de red =thernet tiene su propiadirecci%n <AC, distinta a "a de cua"7uier otro adaptador, aun7ue sea de "a misma marca ymode"o As;, por eEemp"o podremos b"o7uear pa7uetes en unci%n de "a direcci%n <ACuti"i9ada y b"o7uear ordenadores concretos puesto 7ue "a direcci%n <AC de esosordenadores raramente cambia )ya 7ue raramente se sustituye e" adaptador =thernet por unonueo+ 'o se uti"i9a esta opci%n ni en e" eEemp"o rc.firewall.txt  ni en ning!n otro sitio

CO'*&WW'*W<A6CFW<A:J - 'os permite uti"i9ar "a comparaci%n <A:J oreEemp"o, podemos uti"i9ar e" obEetio <A:J para marcar pa7uetes, de orma 7ue m>sade"ante se puedan comparar y i"trar pa7uetes dependiendo de si tienen "a marca o no $ehecho esta opci%n es "a comparaci%n <A:J y m>s ade"ante eremos e" obEetio <A:J

CO'*&WW'*W<A6CFW<(#6O:6 - =ste m%du"o permite 7ue comparemos pa7uetes con un amp"io rango de puertos de origen o de destino 'orma"mente 5sto no ser;a posib"e, pero con este m%du"o s; "o es

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 12/202

CO'*&WW'*W<A6CFW6OS - Con esta comparaci%n podemos comparar pa7uetes en base a su campo 6OS, es decir, su 6ipo de Sericio )Type Of Service+ =" tipo de sericio se puede estab"ecer mediante determinadas reg"as en "a tab"a mang"e y mediante "os comandosip/tc

CO'*&WW'*W<A6CFW6C<SS - =sta opci%n nos orece "a posibi"idad de comparar"os pa7uetes 6C en unci%n de su campo <SS

CO'*&WW'*W<A6CFWS6A6= - A7u; tenemos una de "as mayores noedades respectoa ipchains Con este m%du"o podemos rea"i9ar comparaciones por "uEos de pa7uetes)stateu" matching+ or eEemp"o, si en una cone4i%n 6C ya hemos isto tr>ico en dosdirecciones, "os pa7uetes 7ue "es sigan ser>n considerados como =S6A#SF=$)estab"ecido+, ap"ic>ndo"es por 5""o "as mismas acciones 7ue a "os pa7uetes 7ue iniciaron e""uEo =ste m%du"o se usa amp"iamente en e" eEemp"o rc.firewall.txt 

CO'*&WW'*W<A6CFW('C#=A' - =ste m%du"o nos brinda "a posibi"idad de

comparar pa7uetes , 6C, ($ e C< 7ue no cump"en con "as normas o son in>"idos=n condiciones norma"es se desechar>n estos pa7uetes, pero nunca sabremos si son"eg;timos o no Adem>s, ten en cuenta 7ue esta comparaci%n toda;a est> en asee4perimenta" y puede 7ue no uncione correctamente en todos "os casos

CO'*&WW'*W<A6CFWOL'=: - con esta opci%n tendremos "a oportunidad decomparar en base a" propietario de "a cone4i%n or eEemp"o, podremos permitir acceso anternet !nicamente a" usuario root =ste m%du"o se escribi% para mostrar "o 7ue se pod;a"ograr con e" nueo iptab"es 6en en cuenta 7ue esta comparaci%n es e4perimenta" y puede7ue no "e uncione bien a todo e" mundo

CO'*&WW'*W*#6=: - este m%du"o aade "a tab"a i"ter b>sica 7ue permitir> eectuare" i"trado =n "a tab"a i"ter encontraremos "as cadenas '(6, *O:LA:$ y O(6(6=ste m%du"o es necesario si pretendemos hacer a"g!n tipo de i"trado en "os pa7uetes 7uerecibamos y/o eniemos

CO'*&WW'*W6A:&=6W:=I=C6 - este obEetio nos permite especiicar 7ue se debeeniar un mensaEe de error C< como respuesta a "os mensaEes entrantes, en "ugar desimp"emente desechar"os e ignorar"os 6en en cuenta 7ue "as cone4iones 6C, a" contrario7ue "as C< y "as ($, siempre se reinician o recha9an con un pa7uete 6C :S6

CO'*&WW'*W6A:&=6W<::O: - sire para permitir a "os pa7uetes 7ue seandeue"tos )rebotados+ a" remitente or eEemp"o, si coniguramos un obEetio <::O:en e" puerto de destino F66, en nuestra cadena '(6, y a"guien intenta acceder a este puerto, "e deo"eremos sus pa7uetes y como resu"tado probab"emente acabar> iendo su propia pagina 8eb inicia" )homepage+

CO'*&WW'*W'A6 - este m%du"o permite 7ue se eect!e "a traducci%n de direcci%n dered )net8ork address trans"ation+, o 'A6, en sus dierentes ariantes #a opci%n nos daacceso a "a tab"a nat en iptab"es y es necesaria si 7ueremos hacer reen;o a puertos )portor8arding+, enmascaramiento )mas7uerading+, etc 6en en cuenta 7ue esta opci%n no es

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 13/202

imprescindib"e para e" cortauegos y e" enmascaramiento de una #A', pero deber;astener"o actio a no ser 7ue seas capa9 de asignar direcciones !nicas para cada uno de "oshosts As; pues, esta opci%n es necesaria para 7ue e" script de eEemp"o rc.firewall.txt  uncione correctamente, y es ciertamente imprescindib"e si no puedes asignar direcciones !nicas a cada host

CO'*&WW'*W6A:&=6W<ASK(=:A$= - este m%du"o aade e" obEetio<ASK(=:A$= or eEemp"o, si no sabemos 7u5 direcci%n tenemos para conectar anternet, 5sta ser> "a orma idea" de conseguir "a en e9 de uti"i9ar $'A6 o S'A6 =notras pa"abras, si uti"i9amos $FC, , S# o cua"7uier otra cone4i%n 7ue nos asigne una, necesitamos uti"i9ar este obEetio en "ugar de S'A6 =" enmascaramiento produce unacarga en e" sistema a"go mayor 7ue 'A6, pero uncionar> sin 7ue necesitemos conocer preiamente "a direcci%n

CO'*&WW'*W6A:&=6W:=$:=C6 - este obEetio es !ti" a" emp"ear"o Eunto a pro4iesde ap"icaci%n, por eEemp"o =n e9 de deEar simp"emente 7ue e" pa7uete pase, "o

remapeamos para 7ue se diriEa a nuestra m>7uina "oca" =n otras pa"abras, de esta ormatenemos "a posibi"idad de crear un pro4y transparente

CO'*&WW'*W6A:&=6W#O& - esta opci%n aade e" obEetio #O& y su unciona"idada iptab"es odemos uti"i9ar este m%du"o para registrar determinados pa7uetes en e" sys"ogdy as; er 7u5 "es est> pasando Rsto s%"o ya es inestimab"e de cara a "as auditor;as deseguridad, orenses o de depuraci%n de errores de" script 7ue est5s escribiendo

CO'*&WW'*W6A:&=6W6C<SS - esta opci%n se puede emp"ear para eitar a "osroeedores de Sericios de nternet )Ss+ y a "os seridores 7ue b"o7uean "os pa7uetesC< *ragmentation 'eeded #os eectos de esta acci%n pueden ser p>ginas 8eb 7ue no""eguen, pe7ueos correos 7ue s; ""eguen mientras 7ue "os grandes no "o consigan, "ascone4iones ssh uncionan pero "as cone4iones scp se pierden )mueren+ tras e" sa"udoinicia", =n estos casos podemos uti"i9ar e" obEetio 6C<SS para superar e" prob"emaaEustando nuestro <SS )tamao m>4imo de segmento+ a" <6( )ath <a4imum 6ransmit(nit, unidad m>4ima de transmisi%n+ $e esta orma seremos capaces de trabaEar con "o 7ue"os autores de 'eti"ter ""aman )en "a ayuda para "a coniguraci%n de" kerne"+ crimina""y brain-dead Ss or serers, a"go as; como seridores o Ss abso"utamentedescerebrados

CO'*&WW'*WCO<A6WCFA'S - aade un modo de compatibi"idad con e"obso"eto ipchains 'o con;es en este m%du"o como so"uci%n a "argo p"a9o para reso"er "amigraci%n de "os n!c"eos 22 a "os 2G, ya 7ue es probab"e 7ue desapare9ca con "a ""egadade" n!c"eo 2H

CO'*&WW'*WCO<A6W*LA$< - m%du"o de compatibi"idad con e" obso"etoip8adm 'i se te ocurra recurrir a este m%du"o como so"uci%n a "argo p"a9o

Como puedes obserar hay un buen puado de opciones Acabo de e4p"icar breemente "ostipos de comportamiento e4tras 7ue puedes esperar con cada m%du"o, aun7ue s%"o se tratade "as opciones disponib"es en un n!c"eo 2GB simp"e, sin ning!n e4tra Si 7uieres er m>s

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 14/202

opciones, te recomiendo 7ue mires "as unciones e4istentes en e" patch-o-matic )O<+ de"a 9ona de usuario de 'eti"ter, pues encontrar>s montones de opciones e4tras para e"n!c"eo #os parches de" O< son opciones e4tra 7ue supuestamente se aadir>n a" n!c"eoen e" uturo, pero 7ue toda;a no se han desarro""ado "o suiciente como para aad;rse"os#as ra9ones pueden ser ariadas, como 7ue e" parche toda;a no sea estab"e, o 7ue #inus

6ora"ds no pueda mantener"o, o inc"uso 7ue no 7uiera introducir e" parche en e" desarro""ode" n!c"eo por ser toda;a e4perimenta"

 'ecesitar>s tener compi"adas en e" n!c"eo "as opciones siguientes, o bien tener"as comom%du"os, para 7ue e" script rc.firewall.txt  pueda uncionar Si necesitas ayuda acerca de"resto de opciones necesarias para "os otros scripts, "5ete e" cap;tu"o sobre "os scripts deeEemp"o

• CO'*&WACJ=6

• CO'*&W'=6*#6=:

• CO'*&WW'*WCO''6:ACJ

• CO'*&WW'*W*6

• CO'*&WW'*W:C

• CO'*&WW'*W6A#=S

• CO'*&WW'*W*#6=:

• CO'*&WW'*W'A6

• CO'*&WW'*W<A6CFWS6A6=

• CO'*&WW'*W6A:&=6W#O&

• CO'*&WW'*W<A6CFW#<6

• CO'*&WW'*W6A:&=6W<ASK(=:A$=

Como m;nimo necesitar>s "o anterior para uti"i9ar e" script rc.firewall.txt  ara e" resto descripts e4p"icar5 "o 7ue necesitan en sus respectias secciones or e" momento intentemoscentrarnos en e" eEemp"o principa"

Confi#uración de la +ona de usuario

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 15/202

ara empe9ar eremos c%mo se compi"a e" pa7uete iptab"es =s importante comprender 7ue"a mayor parte de "a coniguraci%n y compi"aci%n de iptab"es a de "a mano de "aconiguraci%n y compi"aci%n de" n!c"eo )kerne"+ $eterminadas distribuciones de #inu4ienen con e" pa7uete iptab"es preinsta"ado, como ocurre por eEemp"o con :ed Fat Sinembargo en esta distribuci%n por deecto est> desactiado y ahora eremos c%mo actiar"o

Com!ilando las a!licaciones de la +ona de usuario

=mpie9a por descomprimir )desempa7uetar+ e" pa7uete iptab"es ara este eEemp"o hemosuti"i9ado e" pa7uete iptables 1.2.6a y e" n!c"eo 2G sin e4tras $escomprime como eshabitua", uti"i9ando e" comando b9ip2 -cd iptab"es-12Hatarb92 X tar -4 - )aun7uetambi5n puedes tec"ear tar -4E iptab"es-12Hatarb92, 7ue con "as ersiones m>s recientesde tar dar> e" mismo resu"tado+ =" pa7uete deber;a haberse descomprimido en un nueodirectorio ""amado iptab"es-12Ha ara una e4p"icaci%n m>s comp"eta de "a compi"aci%n y

"a orma de hacer 7ue uncione e" programa, "5ete e" ichero i!tables"1.#.a%&'()**6ras 5sto, tienes "a opci%n de conigurar e insta"ar m%du"os/opciones e4tra en e" n!c"eo =" procedimiento 7ue describiremos s%"o comprobar> e insta"ar> parches est>ndar 7ue est>n pendientes de inc"uirse en e" n!c"eo. e4isten otros parches de tipo e4perimenta" 7ue s%"oestar>n disponib"es a" seguir otro tipo de coniguraci%n

A"gunos de estos parches son rea"mente e4perimenta"es y no ser;a una buena ideainsta"ar"os Sin embargo, hay montones de comparaciones y obEetiose4tremadamente interesantes en este punto de "a insta"aci%n, as; 7ue no tengas

miedo de, a" menos, echar"es un ista9o

ara empe9ar a insta"ar, eEecutaremos un comando simi"ar a" siguiente desde e"directorio ra;9 de" pa7uete iptab"es

make pending-patches J=:'=#W$:Y/usr/src/"inu4/

#a ariab"e +,-&,*/%- deber;a indicar "a "oca"i9aci%n actua" de tu n!c"eo 'orma"menteeste directorio ser> usrsrclinux, aun7ue puede ser dierente y "o m>s probab"e es 7ueya sepas d%nde se encuentra e" c%digo uente de" n!c"eo

Con e" comando anterior s%"o aadiremos determinados parches 7ue de todasormas est>n a punto de entrar en e" n!c"eo uede 7ue hayan m>s parches yaadidos 7ue "os desarro""adores de 'eti"ter est5n a punto de aadir a" n!c"eo, pero 7ue toda;a no se encuentran "istos para dar este paso (na orma de insta"arestos e4tras es mediante e" siguiente comando

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 16/202

make most-o-pom J=:'=#W$:Y/usr/src/"inu4/

$e esta orma se preguntar> si se insta"an a"gunos aadidos de "o 7ue en "a Eerga de 'eti"ter se ""aman patch-o-matic, pero e"udiendo "os parches m>s e4tremos, ya 7ue puedencausar "a desintegraci%n de" n!c"eo $ate cuenta 7ue se ha dicho se preguntar> por7ue

5sto es "o 7ue har> e" comando preguntar> antes de cambiar a"go en e" c%digo uente de"n!c"eo ara poder insta"ar todo e" materia" presente en e" patch-o-matic necesitar>s eEecutar e" siguiente comando

make patch-o-matic J=:'=#W$:Y/usr/src/"inu4/

 'o o"ides "eer comp"etamente "a ayuda de cada parche antes de hacer nada A"gunos parches destruyen a otros parches, mientras 7ue otros pueden destruir e" n!c"eo si se usan Eunto a otros determinados parches de" patch-o-matic, etc

 'o es imprescindib"e seguir "os pasos anteriores "os pasos anteriores, por 5""o puedes ignorar"os si no 7uieres parchear tu n!c"eo Sin embargo, hay cosas muyinteresantes en e" patch-o-matic a "as 7ue ser;a coneniente echar un ista9o, por "o7ue no estar;a de m>s eEecutar "os comandos aun7ue s%"o uera para er "o 7uecontienen

=n este punto ya has terminado "a parte de "a insta"aci%n reerida a" patch-o-matic y esmomento de compi"ar un nueo n!c"eo uti"i9ando "os nueos parches 7ue hayas aadido a"c%digo uente 'o o"ides conigurar de nueo e" n!c"eo, ya 7ue probab"emente "os nueos parches no se habr>n aadido a!n a "as opciones coniguradas or otra parte, si 7uieres

 puedes compi"ar primero e" programa iptab"es y deEar para e" ina" "a compi"aci%n de"n!c"eo

Compi"a ahora e" programa de 9ona de usuario iptab"es ara 5""o eEecuta e" siguientecomando

make J=:'=#W$:Y/usr/src/"inu4/

#a ap"icaci%n de 9ona de usuario deber;a compi"arse correctamente Si no es as;, tendr>s7ue buscar so"uciones por t; mismo, o puedes subscribirte a "a "ista de correo de 'eti"ter  )en ing"5s+, d%nde tendr>s "a oportunidad de pedir 7ue a"guien te ayude a so"ucionar tus

 prob"emas uede 7ue haya a"go 7ue no aya bien durante "a insta"aci%n, pero no te preocupes intenta pensar de manera "%gica sobre e" prob"ema y aerigua 7u5 es "o 7ue ama", o p;de"e a a"guien 7ue te ayude

Si todo ha ido bien, estar>s preparado para insta"ar "os archios binarios ara 5""o, escribe

make insta"" J=:'=#W$:Y/usr/src/"inu4/

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 17/202

=n principio todo deber;a uncionar en e" programa ara uti"i9ar "os cambios eectuados eniptab"es deber;as recompi"ar y reinsta"ar tu n!c"eo y sus m%du"os, si es 7ue toda;a no "ohas hecho ara una e4p"icaci%n m>s deta""ada de "a insta"aci%n a partir de" c%digo uente de"as ap"icaciones de 9ona de usuario, "ee e" archio %&'()** 7ue iene con e" c%digo uente, pues contiene e4ce"ente inormaci%n sobre todo "o reerente a "a insta"aci%n

Instalación en Red ,at -.1

#a distribuci%n :ed Fat en su ersi%n D1 iene precompi"ada con un n!c"eo 2G4 7uecontiene a 'eti"ter e iptab"es Adem>s, contiene "os programas b>sicos de 9ona de usuario,as; como "os icheros de coniguraci%n necesarios para eEecutar"os Sin embargo, "os de :edFat han desactiado e" pa7uete comp"eto y en su "ugar uti"i9an e" m%du"o ipchains porcompatibi"idad con ersiones anteriores <o"esto, por no decir otra cosa, y uente demu"titud de consu"tas en "as "istas de correo preguntando por 7u5 no unciona iptab"es As;

 pues, echemos un ista9o a c%mo desactiar e" m%du"o ipchains y c%mo insta"ar iptab"es ensu "ugar

#a insta"aci%n por deecto de :ed Fat D1 inc"uye una decepcionante ersi%nantigua de "as ap"icaciones de 9ona de usuario, por "o 7ue es posib"e 7ue deseescompi"ar una nuea ersi%n de estas ap"icaciones, adem>s de insta"ar un n!c"eonueo y persona"i9ado antes de e4igir"e e" m>4imo rendimiento a iptab"es

Antes de empe9ar tendr>s 7ue desactiar "os m%du"os de ipchains de manera 7ue no

ue"an a arrancar de ahora en ade"ante ara conseguir"o deber>s cambiar a"gunosnombres de ichero en "os subdirectorios e4istentes en etcrc.d Con e" siguientecomando tendr>s suiciente

chkconig --"ee" 0123GH ipchains o

(na e9 eEecutado modiicar>s todos "os en"aces irtua"es )sot "inks+ 7ue apuntan a"script etcrc.dinit.di!chains y "os conertir>s en JB2ipchains #a primera "etra,7ue por deecto es una S, "e indica a "os scripts de inicio 7ue se eEecuten A" cambiar"a poruna J se "e indica a "os scripts 7ue terminen e" sericio, o 7ue no "o eEecuten si no estabaarrancado $e esta orma e" sericio ya no arrancar> nunca

Sin embargo, para detener un sericio 7ue se est> eEecutando en este momento necesitamosintroducir otro comando serice, 7ue puede uti"i9arse para actuar sobre sericiosactua"mente en eEecuci%n As; pues, para parar e" sericio ipchains escribiremos

serice ipchains stop

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 18/202

or !"timo, para arrancar e" sericio iptab"es necesitamos saber en 7u5 nie"es de eEecuci%n)run-"ee"s+ 7ueremos 7ue se inicie 'orma"mente ser>n "os nie"es 2, 3 y , 7ue se usan para

• 2 <u"tiusuario sin '*S o "o mismo 7ue e" nie" 3 si no e4iste ninguna red

• 3 <odo mu"tiusuario comp"eto, es decir, e" nie" de eEecuci%n habitua" en e" 7ue setrabaEa

• T11 =ste modo se uti"i9a cuando a" arrancar e" sistema entras directamente en "asT8indo8s )e" modo gr>ico+ Actua"mente cada e9 son m>s "as distribuciones 7ueentran por deecto en este modo

ara conseguir 7ue iptab"es se eEecute en estos nie"es de eEecuci%n, escribiremos

chkconig --"ee" 23 iptab"es on

=s decir, instru;mos a iptab"es para 7ue se eEecute en "os nie"es 2, 3 y Si 7uieres 7ue seeEecute en cua"7uier otro nie", deber>s aadir"o a" comando anterior Sin embargo, ningunode "os otros nie"es deber;a usarse para eEecutar iptab"es, por "o 7ue en rea"idad no necesitasactiar"o en 5""os e" nie" 1 es e" modo monousuario )1 s%"o usuario+, emp"eado cuandonecesitas arreg"ar una insta"aci%n =" nie" G no deber;a usarse y e" nie" H es para apagar e"ordenador

ara actiar e" sericio iptab"es, eEecutaremos

serice iptab"es start

 'o hay ninguna reg"a en e" script de iptab"es ara aadir"as en :ed Fat D1 norma"mente seemp"ean dos m5todos =" primero es editar e" script etcrc.dinit.di!tables,teniendo como eecto secundario no deseado e" hecho de 7ue borrar>s todas "as reg"as siactua"i9aste e" pa7uete iptab"es mediante un :< =" otro m5todo consistir;a encargar/crear e" conEunto de reg"as y "uego guardar"o con e" comando iptab"es-sae, de orma7ue despu5s se carguen autom>ticamente mediante "os scripts rcd

rimero e4p"icaremos c%mo conigurar iptab"es mediante e" socorrido m5todo de copiar y pegar a" script initd de iptab"es ara aadir reg"as 7ue se tengan 7ue eEecutar cuando e"sistema arranca e" sericio, a>de"as en "a secci%n start+, o en "a unci%n start)+ 6en en

cuenta 7ue si aades "as reg"as en "a secci%n start+ no debes o"idar parar "a unci%nstart)+ dentro de esa misma secci%n start+ Adem>s, tampoco o"ides editar "a secci%nstop+ para indicar"e a" script 7u5 debe hacer, por eEemp"o cuando es sistema se est5cerrando )apagando+, o cuando se entre en un nie" de eEecuci%n 7ue no necesite deiptab"es or !"timo, no o"ides repasar "as secciones restart y condrestart 6ambi5ndebes tener en cuenta 7ue todo este trabaEo no serir> de nada si, por eEemp"o, actua"i9asautom>ticamente tus pa7uetes mediante e" :ed Fat 'et8ork, o si actua"i9as mediante e" pa7uete :< de iptab"es

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 19/202

=n cuanto a" segundo m5todo de rea"i9ar "a coniguraci%n, se basa en "os siguientes pasos primero crea un conEunto de reg"as en un ichero de script de ";nea de comandos )un scriptde she""+, o bien directamente con iptab"es, 7ue cump"a con tus necesidades y empie9a ae4perimentar con 5" durante un tiempo Cuando tengas una coniguraci%n 7ue uncionecorrectamente )o a" menos 7ue t! creas 7ue no tiene errores+, uti"i9a e" comando iptab"es-

sae uedes uti"i9ar iptab"es-sae Z /etc/sysconig/iptab"es, con "o 7ue grabar;as e"conEunto de reg"as en e" ichero etcsysconfigi!tables =ste ichero "o usar> en e"uturo e" script rcd de iptab"es para cargar de nueo e" conEunto de reg"as Otra orma deconseguir un resu"tado e7uia"ente es mediante e" comando serice iptab"es sae, 7ueautom>ticamente guardar> e" script en e" ichero etcsysconfigi!tables As;, "a pr%4ima e9 7ue reinicies e" sistema, e" script rcd de iptab"es uti"i9ar> e" comando iptab"es-restore para cargar e" conEunto de reg"as desde e" ichero etcsysconfigi!tablesAtenci%n no me9c"es ambos m5todos, ya 7ue se pueden perEudicar graemente e" uno a"otro y deEar "a coniguraci%n de" cortauegos comp"etamente in!ti"

Cuando hayas terminado todos estos pasos, puedes desinsta"ar "os pa7uetes ipchains e

iptab"es preinsta"ados $e esta orma no permitiremos a" sistema 7ue me9c"e "as nueasap"icaciones de 9ona de usuario de iptab"es con "as ieEas ersiones preinsta"adas Sinembargo, este paso s%"o es necesario si as a insta"ar iptab"es desde e" c%digo uente 'o esraro 7ue e" pa7uete nueo se me9c"e con e" ieEo, puesto 7ue "a insta"aci%n basada en rpminsta"a e" pa7uete en directorios no est>ndar, de orma 7ue "a nuea insta"aci%n nosobreescribir> a "a ieEa ara eectuar "a desinsta"aci%n, escribe

rpm -e iptab"es

como no tiene mucho sentido mantener insta"ado ipchains cuando no "o as a uti"i9arnunca m>s, desinst>"a"o de "a misma orma

rpm -e ipchains

6ras todo 5sto, habr>s ina"i9ado "a actua"i9aci%n de" pa7uete iptab"es mediante e" c%digouente, habiendo seguido "as instrucciones de" c%digo Adem>s ning!n ieEo eEecutab"e,"ibrer;a o ichero au4i"iar permanecer> insta"ado

C%a!ter . Atra"esando tablas / cadenas=n este cap;tu"o hab"aremos de c%mo atraiesan "os pa7uetes "as dierentes cadenas y en7u5 orden 6ambi5n ana"i9aremos e" orden en 7ue "as tab"as son atraesadas <>s ade"anteeremos cu>n a"ioso resu"ta 5sto para escribir nuestras propias reg"as 6ambi5n eremos"os momentos en 7ue ciertos componentes, tambi5n dependientes de" n!c"eo, entran enescena )por poner un eEemp"o, "as dierentes decisiones de enrutado+ Rsto es especia"mentenecesario si pretendemos escribir reg"as en iptab"es para poder cambiar "as reg"as/patronesde enrutado de "os pa7uetes, o sea, si pretendemos conocer e" por 7u5 y e" c%mo "os

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 20/202

 pa7uetes son enrutados, a" hacer por eEemp"o $'A6 y S'A6 por supuesto, noo"idaremos "os bits 6OS )6ype O Serice, o tipo de sericio+

0eneralidadesCuando un pa7uete entra en e" cortauegos )ire8a""+, a"can9a e" hard8are y es procesadoen e" n!c"eo por su drier correspondiente $espu5s e" pa7uete empie9a a recorrer una seriede etapas en e" n!c"eo antes de ser eniado a "a ap"icaci%n adecuada )"oca"mente+, reeniadahacia otro host, o cua"7uier otra operaci%n

=n primer "ugar, echemos un ista9o a un pa7uete destinado a nuestro propio host "oca")nuestra m>7uina+ :ecorrer> "os siguientes pasos antes de ser entregado a "a ap"icaci%n 7ue"o re7uiere

Table 1. ,ost local de destino )nuestra !ro!ia m$uina*

2ta!a Tabla Cadena Comentario

1 =n "os cab"es )por eEemp"o nternet+

2 #"ega a "a intera9 de red )por eEemp"o eth0+

3 mang"e :=:O(6'&=sta cadena se usa norma"mente paramodiicar/deormar )mang"e+ pa7uetes, es decir, cambiar e" 6OS y cosas as;

G nat :=:O(6'&

=sta cadena se usa principa"mente para "a traducci%n de

direcciones de red de destino )$'A6, $estination 'et8ork Address 6rans"ation+ $ebes eitar i"trar en esta cadena ya7ue ser> puenteada )bypassed+ o es7uiada en ciertoscasos

$ecisi%n de enrutamiento, o sea, [est> e" pa7uete destinadoa nuestro host "oca" o debe ser reeniado\, [hacia d%nde\

H mang"e '(6

=n este punto se a"can9a "a cadena '(6 de "a tab"amang"e (saremos esta cadena para modiicar/retocar pa7uetes despu5s de 7ue hayan sido enrutados, pero antesde 7ue se en;en a" proceso de destino

D i"ter '(6

A7u; es donde i"traremos todo e" tr>ico entrantedestinado a nuestro host "oca" 6en en cuenta 7ue todo e"tr>ico entrante pasa a tra5s de esta cadena, sin importar"a intera9 por "a 7ue entre o de d%nde proceda

Mroceso/ap"icaci%n "oca" )es decir, programac"iente/seridor+

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 21/202

$ate cuenta 7ue esta e9 e" pa7uete ha atraesado "a cadena '(6 en "ugar de "a cadena*O:LA:$ y 5sto es bastante "%gico #o m>s probab"e es 7ue ahora a" principio sea "o!nico 7ue te parecer> rea"mente "%gico acerca de c%mo se atraiesan "as tab"as y cadenas, pero conorme sigas pensando en 5""o con e" paso de" tiempo, "o ir>s iendo todo a!n m>sc"aro

Ahora nos centraremos en "os pa7uetes 7ue sa"en de nuestro host y "as etapas por "as 7ue pasan

Table '. ,ost local de ori#en )nuestra !ró!ia m$uina*

2ta!a Tabla Cadena Comentario

1roceso/ap"icaci%n "oca" )es decir, programac"iente/seridor+

2$ecisi%n de enrutamiento Ku5 direcci%n de origen usar,7u5 intera9 de sa"ida usar, y otra inormaci%n 7uenecesita ser recopi"ada

3 mang"e O(6(6A7u; es donde se modiican "os pa7uetes. se sugiere 7ueno i"tres en esta cadena por7ue pueden producirseeectos secundarios

G nat O(6(6=sta cadena puede ser usada para hacer 'A6 a "os pa7uetes 7ue sa"en desde e" ire8a""

i"ter O(6(6A7u; es donde i"tramos "os pa7uetes sa"ientes de nuestrohost "oca"

H mang"e OS6:O(6'&

#a cadena OS6:O(6'& de "a tab"a mang"e se usa

 principa"mente cuando 7ueremos modiicar "os pa7uetesantes de 7ue deEen nuestro host, pero despu5s de tomar"as decisiones de enrutamiento =sta cadena ser>a"can9ada tanto por "os pa7uetes 7ue atraiesan e"cortauegos, como por "os generados por 5" mismo

D nat OS6:O(6'&

A7u; es donde eectuamos "a traducci%n de "asdirecciones de red de origen )S'A6, Source 'et8orkAddress 6rans"ation+ como ya se ha descritoanteriormente =s coneniente 7ue no i"tres en estacadena ya 7ue pueden producirse eectos secundarios ydeterminados pa7uetes podr;an co"arse inc"uso aun7ue se

haya estab"ecido "a po";tica $:O )desechar+ como po";tica por deecto

M Sa"e a" e4terior por a"guna intera9 )por eEemp"o, eth0+

B =n "os cab"es )por eEemp"o, nternet+

=n este eEemp"o estamos asumiendo 7ue e" pa7uete est> destinado a otro host de otra red =" pa7uete sigue "os siguientes pasos, de esta manera

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 22/202

Table . Pauetes Reen"iados )3or4arded*

2ta!a Tabla Cadena Comentario

1 =n "os cab"es )es decir, nternet+

2 #"ega hasta "a intera9 de red )es decir, eth0+

3 mang"e :=:O(6'&=sta cadena se usa norma"mente para modiicar pa7uetes,o sea, para cambiar e" 6OS y acciones simi"ares

G nat :=:O(6'&

=sta cadena se usa principa"mente para hacer $'A6)traducci%n de direcci%n de destino+ =" S'A6)traducci%n de direcci%n de origen+ se rea"i9a m>sade"ante $ebes eitar i"trar en esta cadena ya 7ue enciertos casos ser> puenteada o es7uiada

$ecisi%n de enrutamiento, o sea, [e" pa7uete est>destinado a nuestro propio host "oca", o debe serreeniado\, [hacia d%nde\

H mang"e *O:LA:$

=" pa7uete es eniado a "a cadena *O:LA:$ de "a tab"amang"e Rsto puede aproecharse para necesidades muyespec;icas d%nde 7ueremos modiicar pa7uetes despu5sde "a decisi%n de enrutamiento inicia", pero antes de "a!"tima decision de enrutamiento, hecha Eusto antes de 7uee" pa7uete sea eniado

D i"ter *O:LA:$

=" pa7uete es enrutado hacia "a cadena *O:LA:$So"amente "os pa7uetes reeniados pasan por a7u; y esdonde hacemos todo e" i"trado 6en en cuenta 7ue todos"os pa7uetes reeniados )en cua"7uier direcci%n+ pasan

 por a7u;, as; 7ue necesitar>s pensar en 5""o cuandoescribas tu conEunto de reg"as

M mang"e OS6:O(6'&

=sta cadena se usa para eectuar "os tipos espec;icos demodiicaci%n de pa7uetes )packet mang"ing+ 7ue7ueramos ""ear a cabo despu5s de 7ue todos "os tipos dedecisiones de enrutamiento se hayan tomado, peroestando e" pa7uete a!n en esta m>7uina

B nat OS6:O(6'&

=sta cadena debe ser usada principa"mente y sobretodo para eectuar S'A6 $ebes eitar i"trar a7u; ya 7ueciertos pa7uetes podr;an pasar por de"ante de "a cadena

sin ni si7uiera ro9ar"a A7u; es tambi5n d%nde se rea"i9ae" enmascaramiento )<as7uerading+

10 Sa"e por "a intera9 de sa"ida )por eE eth1+

11 =n "os cab"es de nueo )es decir, "a red "oca"+

Como puedes er hay bastantes pasos 7ue dar =" pa7uete puede ser b"o7ueado encua"7uiera de "as cadenas de iptab"es o en a"g!n otro sitio si est> ma"ormado. sin embargo,

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 23/202

estamos principa"mente interesados en "a parte re"acionada con iptab"es 6en en cuenta 7ueno hay cadenas o tab"as espec;icas para interases dierentes ni nada por e" esti"o #acadena *O:LA:$ es siempre atraesada por todos "os pa7uetes 7ue son reeniados atra5s de este cortauegos/router

]'o uses "a cadena '(6 para i"trar en e" escenario anterior^ '(6 est> pensada s%"amente para nuestro host "oca", no para hacer enrutamientos a ning!notro destino

Femos isto hasta ahora c%mo "as cadenas son atraesadas en tres escenariosindependientes Si dese>ramos hacer un buen es7uema de todo 5sto, podr;a asemeEarse aa"go como

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 24/202

ara ac"arar esta imagen considera "o siguiente si ""ega un pa7uete 7ue no est> destinado anuestra m>7uina "oca", en "a primera decisi%n de enrutamiento ser> dirigido hacia "a cadena*O:LA:$ or otra parte, si e" pa7uete est> destinado a una direcci%n 7ue est> siendoescuchada por nuestra m>7uina "oca", e" pa7uete ser;a eniado a "a cadena '(6 ydespu5s a "a m>7uina "oca"

6ambi5n coniene adertir e" hecho de 7ue "os pa7uetes pueden estar destinados a "am>7uina "oca" y, sin embargo, "a direcci%n de destino ser modiicada por "a cadena:=:O(6'& haciendo 'A6 $ado 7ue 5sto tiene "ugar antes de "a primera decisi%n deenrutamiento, e" pa7uete ser> reisado tras dicho cambio $ebido a 5sto, e" camino a seguir por e" pa7uete )debido a una modiicaci%n de "a de destino+ podr;a cambiar antes de 7ue"a decisi%n de enrutamiento sea tomada $ate cuenta 7ue todos "os pa7uetes ir>n a tra5s deun camino u otro de esta imagen Si haces $'A6 deo"iendo e" pa7uete a "a misma red por "a 7ue ino, seguir> iaEando por e" resto de cadenas hasta 7ue regrese a dicha red

Si crees 7ue necesitas m>s inormaci%n puedes usar e" script rc.test-iptables.txt =ste script de "aboratorio deber;a proporcionarte "as reg"as necesarias paracomprobar c%mo son atraesadas "as tab"as y "as cadenas

Tabla man#le

=sta tab"a debe ser principa"mente usada para modiicar pa7uetes, como ya hemos dichoantes =n otras pa"abras, a7u; puedes usar "ibremente "as comparaciones de modiicaci%n para cambiar e" campo 6OS )6ype O Serice+, entre otras cosas

=s m>s 7ue recomendab"e no usar esta tab"a como i"tro ni $'A6, ni S'A6, ni<as7uerading trabaEan en esta tab"a

ObEetios para "os 7ue !nicamente se destina "a tab"a mang"e

• 6OS

• 66#

• <A:J 

=" 6OS es usado para deinir y/o cambiar e" campo 6ype O Serice de" pa7uete uede serusado para conigurar po";ticas en "a red considerando c%mo deben ser enrutados "os pa7uetes y tareas simi"ares 6en en cuenta 7ue 5ste tema no ha sido pereccionado y no est>rea"mente imp"ementado en nternet, por "o 7ue "a mayor;a de "os routers no hacen caso de"

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 25/202

a"or de este campo y a!n m>s, a eces act!an de manera imperecta sobre "os pa7uetes 7uereciben =n otras pa"abras, no "o uses para pa7uetes 7ue ayan hacia nternet, a menos 7ue7uieras tomar decisiones de enrutamiento sobre e""os con iproute2

=" 66# es usado para cambiar e" campo 66# )6ime 6o #ie+ de un pa7uete y con 5""o

conseguir 7ue "os pa7uetes tengan un 66# espec;ico (na buena ra9%n para hacer"o podr;aser 7ue no 7ueramos ser descubiertos por ciertos proeedores de sericios de internet )S+demasiado isgones a a"gunos Ss no "es gustan "os c"ientes 7ue usan mu"tip"esordenadores baEo una !nica cone4i%n y saben 7ue se trata de una !nica cone4i%n por7ue deun mismo host ""egan pa7uetes con dierentes a"ores de 66# )entre otros muchos signosde"atores+

=" <ark se usa para para marcar )mark+ "os pa7uetes con a"ores espec;icos =stas marcas pueden ser reconocidas posteriormente por "os programas iproute2 para rea"i9ar dierentesenrutamientos dependiendo de "a marca 7ue tengan o no tengan "os pa7uetes 6ambi5n podemos "imitar en ancho de banda y rea"i9ar C"ass ased Kueuing )co"as basadas en

c"ases, CK+ seg!n dichas marcas

Tabla nat

=sta tab"a debe ser usada s%"o para hacer 'A6 )'et8ork Address 6rans"ation+ a "osdierentes pa7uetes =n otras pa"abras, debe ser emp"eada so"amente para traducir e" campoorigen de" pa7uete o e" campo destino 6en en cuenta 7ue ta" como hemos dicho antes, s%"oe" primer pa7uete de un "uEo a"9an9ar> esta cadena $espu5s, a" resto de pa7uetes de"mismo "uEo de datos se "es ap"icar> "a misma acci%n 7ue a" primero #os obEetios 7ue

hacen este tipo de cosas son

• $'A6

• S'A6

• <ASK(=:A$=

=" obEetio $'A6 )$estination 'et8ork Address 6rans"ation+ se emp"ea principa"mente en"os casos donde se tiene una p!b"ica y se 7uiere redirigir "os accesos a" ire8a"" haciaa"g!n otro host )en una 9ona desmi"itari9ada, $<N, por eEemp"o+ $icho de otro modo,cambiamos "a direcci%n de destino de" pa7uete y "o re-enrutamos a otro host

S'A6 )Source 'et8ork Address 6rans"ation+ es principa"mente usada para cambiar "adirecci%n de origen de "os pa7uetes #a mayor;a de "as eces 7uerr>s esconder tus redes"oca"es, $<N, etc (n eEemp"o muy bueno podr;a ser cuando 7ueremos sustituir "asdirecciones de "a red "oca" 7ue est> tras e" cortauegos, por "a direcci%n de" propiocortauegos, 7ue posee una p!b"ica hacia uera Con este obEetio e" ire8a""automaticamente har> S'A6 y de-S'A6 sobre "os pa7uetes, "o cua" hace posib"e 7ue "as

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 26/202

cone4iones proenientes de "a #A' sa"gan a nternet or eEemp"o, si tu red usa1B21HM00/m>scaraWdeWred, "os pa7uetes nunca regresar>n de nternet, por7ue A'A hadesignado dicho rango de direcciones )entre otras+ como priadas y s%"o para ser usadas enredes "oca"es ais"adas

=" obEetio <ASK(=:A$= se usa e4actamente para "o mismo 7ue S'A6, pero<ASK(=:A$= re7uiere un po7uito m>s de trabaEo de" procesador #a ra9%n es 7ue cadae9 7ue ""ega un pa7uete a" obEetio <ASK(=:A$=, autom>ticamente che7uea 7u5direcci%n debe asignar"e, en "ugar de hacer como S'A6, 7ue simp"emente uti"i9a "adirecci%n conigurada <ASK(=:A$= hace posib"e trabaEar con "as direcciones $in>micas por $FC 7ue tu S pueda proporcionarte a tra5s de cone4iones a nternet ;a, o= o S#

tabla 3ilter

#a tab"a i"ter se usa principa"mente para e" i"trado de pa7uetes podemos comparar yi"trar pa7uetes de "a orma 7ue 7ueramos Se trata de" "ugar en 7ue miramos e" contenidode "os pa7uetes y tomamos "a determinaci%n de desechar"os ))$:O++ o aceptar"os))ACC=6++ or supuesto, podemos hacer i"trado antes, pero esta tab"a en particu"ar uediseada para rea"i9ar todas "as operaciones de i"trado Casi todos "os obEetios se puedenusar en esta tab"a 6rataremos 5sto m>s amp"iamente, pero desde ahora ya sabes 7ue estatab"a es e" "ugar correcto para ""ear a cabo e" principa" i"trado

C%a!ter 5. La m$uina de estados=ste cap;tu"o trata sobre "a m>7uina de estados y "a e4p"ica deta""adamente, de orma 7ue""egar>s a comprender c%mo trabaEa 6ambi5n hay una gran cantidad de eEemp"os 7uec"ariican c%mo son tratados "os estados por "a m>7uina de estados estos eEemp"os nosayudar>n a entender"o todo de "a manera m>s pr>ctica posib"e

Introducción

#a m>7uina de estados es una parte especia" de iptab"es 7ue no deber;a ""amarse as;)m>7uina de estados+, puesto 7ue en rea"idad es una m>7uina de seguimiento decone4iones Sin embargo, mucha gente "a conoce por e" primer nombre A "o "argo de"cap;tu"o uti"i9ar5 ambos nombres como si ueran e7uia"entes, aun7ue 5sto no deber;aocasionar demasiados prob"emas =" seguimiento de cone4iones se eect!a para 7ue "aestructura de 'eti"ter sepa cu>" es e" estado de cada cone4i%n espec;ica #os cortauegos7ue trabaEan de esta manera norma"mente se denominan stateu" ire8a""s )cortauegos

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 27/202

7ue consideran "as peticiones y respuestas de una m>7uina como una !nica cone4i%n de unmismo "uEo de datos. podr;amos traducir"o como cortauegos de "uEos+, mientras 7ue "os7ue no "o hacen se denominan non-stateu" ire8a""s )cada petici%n es independiente,aun7ue proenga de "a misma m>7uina. podr;amos traducir"o como cortauegos decone4iones+ #os cortauegos de tipo stateu" son mucho m>s seguros, pues nos permiten

e"aborar conEuntos de reg"as mucho m>s precisos=n iptab"es "os pa7uetes se pueden re"acionar con "as cone4iones mediante cuatro estadosdierentes '=L )nueo+, =S6A#SF=$ )estab"ecido+, :=#A6=$ )re"acionado+ e'A#$ )in>"ido o no >"ido+ #os trataremos en proundidad m>s ade"ante <ediante "acomparaci%n --state podemos contro"ar >ci"mente 7u5 o 7ui5n tiene permiso para iniciarnueas sesiones

6odo e" seguimiento de "as cone4iones "a rea"i9a una estructura especia" de" n!c"eo ""amadaconntrack =" conntrack puede cargarse como m%du"o o como una parte m>s de" n!c"eo, pero sea como sea "a mayor;a de "as eces necesitaremos y pediremos un seguimiento de

cone4iones m>s espec;ico 7ue e" 7ue proporciona por deecto e" motor de" conntrack or5""o, hay unas partes espec;icas 7ue se encargan de "os protoco"os 6C, ($ o C<, entreotros =stos m%du"os captan inormaci%n espec;ica, !nica, de "os pa7uetes, de orma 7ue pueden mantener un seguimiento de cada "uEo de datos #a inormaci%n 7ue recopi"an "osm%du"os se uti"i9a para indicar"e a" conntrack en 7u5 estado se encuentra e" "uEo en cadamomento or eEemp"o, "os "uEos ($ norma"mente se identiican y distinguen por sudirecci%n de destino, su direcci%n de origen, su puerto de destino y su puerto deorigen

=n anteriores n!c"eos ten;amos "a posibi"idad de eEecutar o parar "a desragmentaci%n de pa7uetes, sin embargo, desde 7ue se introduEeron iptab"es y 'eti"ter y en particu"ar desde7ue se introduEo e" seguimiento de cone4iones, esta opci%n ue e"iminada #a ra9%n es 7uee" seguimiento de cone4iones no unciona correctamente sin deragmentar "os pa7uetes, por "o 7ue se ha introducido en e" conntrack y e" proceso se rea"i9a autom>ticamente 'o se puede parar si no paramos tambi5n e" seguimiento de cone4iones =n otras pa"abras, desdee" momento en 7ue se emp"ea e" seguimiento de cone4iones, se emp"ea "a desragmentaci%nde pa7uetes

6odo e" seguimiento de cone4iones se eect!a en "a cadena :=:O(6'&, e4cepto "os pa7uetes generados "oca"mente, 7ue son contro"ados en "a cadena O(6(6 Rsto signiica7ue iptab"es rea"i9ar> todo e" rec>"cu"o de estados en estas dos cadenas de "a tab"a 'at sisomos nosotros "os 7ue eniamos e" pa7uete inicia" de" "uEo, su estado se estab"ece como '=L )nueo+ en "a cadena O(6(6, mientras 7ue a" recibir e" pa7uete de retorno )e" 7uecontesta a" pa7uete inicia"+ e" estado de" "uEo se cambia a =S6A#SF=$ )estab"ecido+en "a cadena :=:O(6'& or e" contrario, si e" primer pa7uete no "o hemos originadonosotros, e" estado '=L se estab"ece en "a cadena :=:O(6'&

Las 6entradas6 del conntrack 

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 28/202

=ntendamos como entrada e" registro 7ue mantiene e" conntrack de cada cone4i%n y toda"a inormaci%n necesaria correspondiente a esa cone4i%n As; pues, eamos una entrada de"conntrack ta" como "a podr;amos encontrar en !rocneti!conntrack y aprendamos ainterpretar"a )en este ichero encontraremos un "istado de todas "as entradas presentes en "a base de datos de" conntrack+ Si tienes cargado e" m%du"o ipWconntrack, un cat de

!rocneti!conntrack podr;a parecerse atc! 11 '&',&( src213#.14.1. dst213#.14.1.3 s!ort25#6 7  d!ort2## [8&-,9*%,/] src213#.14.1.3 dst213#.14.1. s!ort2## 7  d!ort25#6 use2# 

=ste eEemp"o contiene toda "a inormaci%n 7ue e" m%du"o conntrack mantiene para saber en7u5 estado se encuentra una cone4i%n determinada ara empe9ar tenemos e" protoco"o, 7ueen este caso es e" tcp A continuaci%n tenemos "a misma inormaci%n en su notaci%ndecima" e7uia"ente )H+ $espu5s iene e" tiempo de ida restante para esta entrada en particu"ar en e" eEemp"o a esta cone4i%n "e 7uedan 11D segundos, 7ue ir>n disminuyendo

hasta 7ue se ea m>s tr>ico perteneciente a "a cone4i%n Cuando ""ega ese nueo tr>ico e"contador se estab"ece de nueo a su a"or por deecto )a"or 7ue depende de" estado en 7uese encuentra "a cone4i%n en e" momento de recibir nueos pa7uetes+ Sigue "a inormaci%nde" estado actua" en 7ue se encuentra "a entrada =n e" eEemp"o estamos iendo un pa7uete7ue se encuentra en e" estado S'WS='6 =" a"or interno de una cone4i%n es "igeramentedistinto a "os emp"eados e4ternamente por iptab"es =" a"or S'WS='6 nos dice 7uetenemos de"ante una cone4i%n 7ue s%"o a isto un pa7uete 6C S' en una direcci%n$espu5s emos "a direcci%n de origen, "a direcci%n de destino, e" puerto de origen y e" puerto de destino =n este punto emos una c"ae espec;ica 7ue nos indica 7ue no hemosisto ning!n tr>ico de retorno para esta cone4i%n ara terminar, emos "os datos 7ueesperamos en "os pa7uetes de retorno "as direcciones de origen y destino )7ue est>n

inertidas respecto a "as anteriores, ya 7ue e" pa7uete ser> deue"to hacia nosotros+ y "os puertos de origen y destino )tambi5n inertidos respecto a "os anteriores+ As; pues, 5stosson "os a"ores 7ue podr;an ser de nuestro inter5s

#as entradas de" seguimiento de cone4iones pueden tomar dierentes a"ores, todos 5""osespeciicados en "as cabeceras )headers+ disponib"es en "os archioslinuxincludenetfilter"i!:;i!conntrack.h =stos a"ores dependen de"subprotoco"o 7ue estemos usando #os protoco"os 6C, ($ o C< toman "os a"ores por deecto especiicados en linuxincludenetfilter"i!:;i!conntrack.h #oestudiaremos en deta""e a" reisar cada protoco"o, sin embargo, no ahondaremos demasiadoen este cap;tu"o puesto 7ue s%"o se uti"i9an dentro de" conntrack or otra parte, seg!n

cambia e" estado tambi5n cambia e" a"or por deecto de" tiempo 7ue debe transcurrir hastae"iminar "a cone4i%n )e" contador de ida restante de "a cone4i%n e4p"icadoanteriormente+

$esde hace poco hay un nueo parche en e" patch-o-matic de iptab"es ""amadotcp-8indo8-tracking =ste parche aade, entre otras cosas, todos "os tiempos";mite mencionados a ariab"es especia"es de" sysct", con "o 7ue se pueden

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 29/202

cambiar )"os tiempos+ a" instante, mientras e" sistema est> en marcha &racias a5sto ya no es necesario recompi"ar e" n!c"eo cada e9 7ue se deseen cambiar "os";mites de "os contadores de tiempo

=stos ";mites se pueden modiicar uti"i9ando ""amadas a" sistema espec;icas 7ue seencuentran disponib"es en e" directorio !rocsysneti!:;netfilterConcretamente debes buscar "as ariab"es!rocsysneti!:;netfilteri!ct

Cuando una cone4i%n ha isto tr>ico en ambas direcciones, se modiicar> su entrada de"conntrack e"iminando "a c"ae ?(':=#=$@ )7ue nos indica 7ue "a cone4i%n no ha istotr>ico en ambas direcciones+ y aadiendo )casi a" ina" de "a entrada+ "a c"ae ?ASS(:=$@=sta c"ae nos dice 7ue "a cone4i%n est> asegurada y por 5""o no ser> e"iminada sia"can9amos e" ";mite m>4imo de cone4iones simu"t>neas soportadas por e" conntrack, todo

"o contrario a a7ue""as 7ue no est>n marcadas como ?ASS(:=$@, 7ue s; ser>n borradas a"a"can9ar e" ";mite de cone4iones =" n!mero de cone4iones mantenidas en "a tab"a de"seguimiento de cone4iones depende de una ariab"e, 7ue puede estab"ecerse a tra5s de "asunciones de ip-sysct" en "os n!c"eos #inu4 m>s recientes =" a"or por deecto de estaariab"e depende en gran medida de "a cantidad de memoria 7ue tengas insta"ada para 12M< de :A< tendr>s un m>4imo de M1B2 entradas, mientras 7ue con 2H < de :A<""egar>s hasta "as 1H3DH entradas uedes er y modiicar estos a"ores a tra5s de "a propiedad !rocsysneti!:;i!conntrack=ax

2stados del es!acio de usuarioComo has podido er, "os pa7uetes pueden tomar distintos estados dentro de" n!c"eo,dependiendo de" protoco"o considerado Sin embargo, uera de" n!c"eo s%"o tenemos "oscuatro estados descritos anteriormente rincipa"mente estos estados se pueden emp"ear Eunto a "a comparaci%n de estados )state match+, con "o cua" esta comparaci%n ser> capa9 dedierenciar pa7uetes en unci%n de" estado en 7ue se encuentren dentro de" seguimiento decone4iones #os estados >"idos son '=L, =S6A#SF=$, :=#A6=$ e 'A#$ #asiguiente tab"a e4p"ica breemente cada posib"e estado

Table 51. 2stados de es!acio de usuario

2stado 27!licación

 '=L =" estado '=L )nueo+ nos indica 7ue e" pa7uete es e" primero 7ueemos =sto signiica 7ue e" primer pa7uete 7ue e" m%du"o conntrack eaen una cone4i%n ser> eti7uetado de esta manera or eEemp"o, si emosun pa7uete S' 7ue adem>s es e" primero de una cone4i%n, coincidir>con e" criterio de" conntrack y ser> eti7uetado como nueo Sin

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 30/202

2stado 27!licación

embargo, e" primer pa7uete puede 7ue no sea un pa7uete S' y a!n as;ser considerado como '=L =ste comportamiento puede ""ear adeterminados prob"emas en determinados casos, pero tambi5n puede sere4tremadamente !ti" si necesitamos captar cone4iones perdidas de otros

cortauegos, o si una cone4i%n a e4cedido su tiempo de espera, pero enrea"idad no ha sido cerrada

=S6A#SF=$

=" estado =S6A#SF=$ )estab"ecido+ ha isto tr>ico en ambasdirecciones y por tanto admitir> continuamente "os pa7uetes de ese "uEo#as cone4iones estab"ecidas son bastante >ci"es de comprender e"!nico re7uisito para a"can9ar e" estado =S6A#SF=$ es 7ue un hosten;e un pa7uete y obtenga una respuesta de" otro host =" estado '=L)nueo+ cambiar> a" estado estab"ecido en cuanto ""egue un pa7uete derespuesta a" cortauegos )o cuando este pa7uete pase por e" cortauegos+#os mensaEes de error C<, "as redirecciones, , tambi5n se puedenconsiderar como =S6A#SF=$, si hemos eniado un pa7uete 7ue asu e9 genera e" mensaEe de error C<

:=#A6=$

=" estado :=#A6=$ )re"acionado+ es uno de "os m>s comp"eEos (nacone4i%n se considera re"acionada cuando est> "igada a otra cone4i%nya estab"ecida or este motio, para 7ue una cone4i%n se considere enestado :=#A6=$ primero debemos tener otra cone4i%n en estado=S6A#SF=$ "a cone4i%n estab"ecida generar> una cone4i%ne4terna a "a cone4i%n principa", y esta nuea cone4i%n ser> consideradacomo re"acionada siempre 7ue e" m%du"o conntrack pueda entender 7ueest> re"acionada con "a principa" (n buen eEemp"o "as cone4iones *6-data son consideradas como re"acionadas con e" puerto de contro" *6

)*6 contro"+. otro eEemp"o son "as cone4iones $CC generadas con e":C uede uti"i9arse para permitir "as respuestas C<, "astranserencias *6 y "os $CCs )protoco"os de cone4i%n $irecta deC"iente a C"iente+ a tra5s de" cortauegos 6en en cuenta 7ue muchos protoco"os 6C )adem>s de a"gunos ($+ 7ue dependen de estemecanismo son bastante comp"eEos y en;an inormaci%n de "a cone4i%nconEuntamente con "a carga de datos de "os segmentos 6C o ($, por "o7ue re7uieren de m%du"os de ayuda especia"es para ser correctamenteinterpretados

'A#$

=" estado 'A#$ )in>"ido+ imp"ica 7ue e" pa7uete no puede seridentiicado o 7ue no tiene ning!n estado Rsto puede ser debido a arias

ra9ones, como 7ue e" sistema se ha 7uedado sin memoria disponib"e, o amensaEes C< de error 7ue no responden a ninguna cone4i%n conocida 'orma"mente es una buena idea e"iminar )$:O+ todo a7ue""o 7ue seencuentre en este estado

#os anteriores estados pueden usarse conEuntamente con "a comparaci%n --state paradierenciar pa7uetes en unci%n de su estado en e" seguimiento de cone4iones Rsto es "o7ue hace 7ue "a m>7uina de estados sea tan incre;b"emente uerte y eiciente para nuestro

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 31/202

cortauegos =n e" pasado, recuentemente nos e;amos ob"igados a abrir todos "os puertos por encima de" 102G para permitir e" tr>ico de retorno a nuestra red "oca" Con "a m>7uinade estados uncionando ya no es necesario, pues podemos abrir e" cortauegos s%"o para e"tr>ico de retorno, no para todo tipo de tr>ico

Cone7iones TCP

=n esta secci%n y "as siguientes amos a repasar en proundidad "os estados y c%mo songestionados para cada uno de "os tres protoco"os b>sicos 6C, ($ e C< Asimismo,eremos c%mo se gestionan por deecto "as cone4iones si no se pueden inc"uir en ningunode "os anteriores protoco"os =mpe9aremos con e" protoco"o 6C, ya 7ue es un protoco"o de"uEos en s; mismo )stateu" protoco" como ya se ha e4p"icado en "a introducci%n,stateu" imp"icar;a 7ue todos "os pa7uetes de un mismo "uEo son considerados como "amisma cosa, como un todo 7ue ""ega en porciones+. adem>s contiene muchos deta""es

interesantes respecto a "a m>7uina de estados en iptab"es

(na cone4i%n 6C siempre se inicia con e" apret%n de manos en tres pasos )3-8ayhandshake+, 7ue estab"ece y negocia "a cone4i%n sobre "a 7ue se eniar>n "os datos #asesi%n entera se inicia con un pa7uete S', seguido por un pa7uete S'/ACJ yina"mente por un pa7uete ACJ, para conirmar e" estab"ecimiento de "a sesi%n )1-ho"a,[7uieres hab"ar conmigo\, 2-de acuerdo, 3-bien, pues empecemos+ =n este momento"a cone4i%n se estab"ece y est> preparada para empe9ar a eniar datos =" gran prob"ema es[c%mo maneEa e" seguimiento de cone4iones todo este tr>ico\ =n rea"idad de una orma bastante simp"e

A" menos en "o 7ue concierne a" usuario, e" seguimiento de cone4iones trabaEa m>s o menosde "a misma manera para todo tipo de cone4iones Rcha"e un ista9o a" gr>ico de abaEo para er e4actamente en 7u5 estado entra e" "uEo durante "as dierentes ases de "acone4i%n Como puedes obserar, desde e" punto de ista de" usuario e" c%digo de"seguimiento de cone4iones rea"mente no acompaa a" "uEo de "a cone4i%n 6C (na e9 haisto un pa7uete )e" S'+, considera "a cone4i%n como nuea )'=L+ =n cuanto e e" pa7uete de retorno )S'/ACJ+, considera "a cone4i%n como estab"ecida)=S6A#SF=$+ Si piensas en 5""o un momento, entender>s por 7u5 con esta particu"arorma de trabaEar puedes permitir a "os pa7uetes '=L y =S6A#SF=$ 7ue abandonen tured "oca", pero permitiendo !nicamente a "as cone4iones =S6A#SF=$ 7ue ue"an a "ared "oca" y uncionen correctamente or e" contrario, si "a m>7uina de seguimiento de

cone4iones tuiera 7ue considerar todo estab"ecimiento de cone4i%n como '=L, noser;amos capaces de detener "os intentos de cone4i%n desde e" e4terior hacia nuestra red"oca", puesto 7ue tendr;amos 7ue permitir e" retorno de todos "os pa7uetes '=L aracomp"icar"o todo un poco m>s, e4isten arios estados internos m>s dentro de" n!c"eo 7ue seusan para "as cone4iones 6C, pero 7ue no est>n disponib"es en e" espacio de usuario>sicamente siguen "os est>ndares de estados especiicados en RFC 79 - !rotocolo deCo"trol de Tra"s#isio"es, p>ginas 21-23 )en ing"5s+ #os tendremos en cuenta un poco m>sade"ante en esta misma secci%n

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 32/202

Como puedes er, desde e" punto de ista de" usuario es bastante simp"e Sin embargo,desde e" punto de ista de" n!c"eo e" es7uema es un poco m>s comp"eEo eamos uneEemp"o 7ue i"ustra a "a perecci%n c%mo cambian "os estados de "a cone4i%n en "a tab"a!rocneti!conntrack =" primer estado es registrado a "a recepci%n de" primer pa7uete S' de una cone4i%n

tc! 11 '&',&( src213#.14.1.6 dst213#.14.1.56 s!ort21051 7  d!ort2#5 [8&-,9*%,/] src213#.14.1.56 dst213#.14.1.6 s!ort2#5 7  d!ort21051 use21 

Como puedes er en "a entrada anterior, tenemos un estado concreto en e" cua" un pa7uete

S' ha sido eniado )se estab"ece "a bandera S'WS='6+ y 7ue toda;a no ha recibidoninguna respuesta )de ah; "a bandera ?(':=#=$@+ =" siguiente estado interno sea"can9ar> cuando se ea un pa7uete en "a otra direcci%n

tc! 6 '&-,? src213#.14.1.6 dst213#.14.1.56 s!ort21051 7  d!ort2#5 src213#.14.1.56 dst213#.14.1.6 s!ort2#5 d!ort21051 7  use21 

=n este caso hemos recibido e" correspondiente pa7uete S'/ACJ como respuesta =ncuanto ""ega, e" estado cambia una e9 m>s, esta e9 a S'W:=C indica 7ue e" pa7ueteS' origina" ""eg% correctamente y 7ue e" pa7uete S'/ACJ de retorno tambi5n ha

atraesado correctamente e" cortauegos Adem>s, esta entrada de" seguimiento decone4iones ya ha isto tr>ico en ambas direcciones y por 5""o se considera 7ue ha obtenidorespuesta =ste hecho no es e4p";cito, pero se considera asumido de "a misma orma 7ueocurr;a con "a bandera ?(':=#=$@ anterior =" !"timo paso se dar> cuando eamos e" pa7uete ACJ ina" de" apret%n de manos )3-8ay handshake+

tc! ;51333 ,'()*%'A,/ src213#.14.1.6 dst213#.14.1.56 7  s!ort21051 d!ort2#5 src213#.14.1.56 dst213#.14.1.6 7

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 33/202

  s!ort2#5 d!ort21051 use21 

=n este !"timo eEemp"o ya hemos isto e" pa7uete ACJ ina" y "a cone4i%n a entrado en e"estado =S6A#SF=$ )estab"ecida+, a" menos hasta donde ""ega e" contro" de "osmecanismos internos de iptab"es $espu5s de unos pocos pa7uetes m>s, "a cone4i%n seconertir> en ?ASS(:=$@ )asegurada+, ta" como se ha mostrado en "a introducci%n de"cap;tu"o

Cuando una cone4i%n 6C se cierra, "o hace de "a siguiente manera y tomando "ossiguientes estados

Como puedes er, en rea"idad "a cone4i%n nunca se cierra hasta 7ue se en;a e" !"timo pa7uete ACJ 6en en cuenta 7ue este gr>ico s%"o muestra c%mo se cierra una cone4i%n encircunstancias norma"es 6ambi5n puede cerrarse eniando un pa7uete :S6 )reset,reiniciar+ si "a cone4i%n se tiene 7ue recha9ar =n este caso "a cone4i%n ser> cerrada tras un periodo de tiempo predeterminado

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 34/202

=n condiciones norma"es, cuando una cone4i%n 6C se cierra, entra en e" estado6<=WLA6 )tiempo de espera+, 7ue por deecto es de 2 minutos =ste "apso de tiempose emp"ea para 7ue todos "os pa7uetes 7ue se han 7uedado atascados de a"guna manera puedan atraesar igua"mente e" conEunto de reg"as, inc"uso despu5s de 7ue "a cone4i%n sehaya cerrado. de esta orma se dispone de una especie de buer/co"ch%n de tiempo para

7ue "os pa7uetes 7ue se han 7uedado parados en a"g!n enrutador congestionado, puedan""egar a" cortauegos o a" otro e4tremo de "a cone4i%n sin prob"emas

Si "a cone4i%n se reinicia por un pa7uete :S6, e" estado cambia a C#OS= )cerrar+ =staorden imp"ica 7ue "a cone4i%n por deecto dispone de 10 segundos antes de 7ue se cierredeinitiamente #os pa7uetes :S6 no piden consentimiento de ninguna c"ase y cortan "acone4i%n directamente

6ambi5n hay otros estados adem>s de "os 7ue ya se han comentado A continuaci%n tienes"a "ista comp"eta de "os posib"es estados 7ue puede tomar un "uEo 6C y sus tiempos";mites

Table 5'. 2stados internos

2stado Tiem!o l8mite

 'O'= 30 minutos

=S6A#SF=$ d;as

S'WS='6 2 minutos

S'W:=C H0 segundos

*'WLA6 2 minutos

6<=WLA6 2 minutosC#OS= 10 segundos

C#OS=WLA6 12 horas

#AS6WACJ 30 segundos

#S6='Z 2 minutos

=stos tiempos no son de ninguna manera deinitios, ya 7ue pueden cambiar con "asreisiones de" n!c"eo, adem>s de poderse cambiar a tra5s de" sistema de icheros procmediante "as ariab"es !rocsysneti!:;netfilteri!cttc! Sin embargo, en"a pr>ctica "os a"ores por deecto deber;an estar bastante bien deinidos #os tiempos se

indican en Eiies )cent5simas de segundo+, es decir, 3000 signiica 30 segundos

6en en cuenta 7ue "a parte de" espacio de usuario de "a m>7uina de estados no seiEa en "as banderas 6C estab"ecidas en "os pa7uetes 6C Facer 5so norma"mentees una ma"a idea, ya 7ue puedes 7uerer permitir 7ue "os pa7uetes en e" estado '=L puedan atraesar e" cortauegos, pero cuando especiicas "a bandera '=L "o

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 35/202

7ue en "a mayor;a de "as ocasiones 7uieres permitir son "os pa7uetes S'

=n "a imp"ementaci%n actua" de "os estados no ocurre 5sto, ya 7ue inc"uso un pa7uete sin ning!n a"or estab"ecido o sin una bandera ACJ, se considerar> como

 '=L =ste tipo de comparaci%n puede ser !ti" en sistemas con cortauegosredundantes, pero en genera" es una ma";sima idea en tu red persona", d%nde s%"otienes un cortauegos ara eitar este comportamiento puedes usar e" comandoe4p"icado en "a secci%n !a$%etes c%yo estado es &'( pero c%yo bit S)& "o se *aestablecido de" ap5ndice !roble#as y pre+%"tas frec%e"tes Otra orma deconseguir"o es insta"ando "a e4tensi%n tcp-8indo8-tracking 7ue encontrar>s en e" patch-o-matic, 7ue permitir> 7ue e" cortauegos sea capa9 de hacer e" seguimientode "os estados en unci%n de "as coniguraciones de "as entanas 6C

Cone7iones DP#as cone4iones ($ son en s; mismas cone4iones sin "uEo =4isten arias ra9ones para5""o, principa"mente por7ue no imp"ican ning!n estab"ecimiento o cierre de cone4i%n. m>s7ue nada "es a"ta a"g!n tipo de secuenciamiento recibir dos datagramas ($ en un ordenespec;ico no dice nada acerca de" orden en 7ue ueron eniados Sin embargo es posib"eestab"ecer estados en "as cone4iones dentro de" n!c"eo eamos c%mo se puede seguir unacone4i%n y c%mo podr;a erse en e" conntrack

Como puedes obserar, desde e" punto de ista de" espacio de usuario "a cone4i%n se iniciacasi e4actamente de "a misma orma 7ue una cone4i%n 6C nternamente, sin embargo, "ainormaci%n de" conntrack es bastante dierente, pero intr;nsecamente "os deta""es son "osmismos ara empe9ar, eamos "a entrada tras haber eniado e" pa7uete ($ inicia"

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 36/202

ud! 1 #0 src213#.14.1.# dst213#.14.1.6 s!ort215 d!ort210#6 7  [8&-,9*%,/] src213#.14.1.6 dst213#.14.1.# s!ort210#6 7  d!ort215 use21 

Como puedes er en "os dos primeros a"ores, se trata de un pa7uete ($ =" primer a"or

es e" nombre de" protoco"o, mientras 7ue e" segundo es e" n!mero de" protoco"o =s "omismo 7ue se encuentra en "as cone4iones 6C =" tercer a"or indica e" tiempo de idaen segundos 7ue "e 7ueda a esta entrada de estado 6ras 5sto ienen "os a"ores de origen ydestino de" pa7uete 7ue hemos isto, "a bandera ?(':=#=$@, 7ue nos indica 7ue hasta e"momento no ha habido respuesta a" pa7uete, y por in un "istado de "os a"ores 7ue seesperan en "os pa7uetes de respuesta =stos !"timos a"ores son "os mismos 7ue antes peroen sentido inerso =" tiempo de ida )timeout+ por deecto es de 30 segundos

ud! 1 10 src213#.14.1.# dst213#.14.1.6 s!ort215 7  d!ort210#6 src213#.14.1.6 dst213#.14.1.# s!ort210#6 7  d!ort215 use21

 

=n este eEemp"o e" seridor ya ha isto una respuesta a" pa7uete inicia" y "a cone4i%n seconsidera =S6A#SF=$ )estab"ecida+ =ste deta""e no se muestra en e" seguimiento decone4iones, como puedes er #a dierencia principa" es "a ausencia de "a bandera?(':=#=$@ Adem>s e" tiempo de ida por deecto a cambiado a 1M0 segundos en e"eEemp"o ya han pasado 10 segundos y por eso e" a"or es 1D0. en die9 segundos m>s e"a"or disminuir> a 1H0 y as; hasta 7ue se agote e" tiempo Sin embargo, hay un deta""e 7uese ha isto antes y 7ue ahora a"ta "a bandera ?ASS(:=$@ ara 7ue se estab"e9ca esta bandera en e" seguimiento de cone4iones, debe haber habido un m;nimo de tr>ico en "acone4i%n

ud! 1 16 src213#.14.1.6 dst2136.##.3.# s!ort210#6 7  d!ort265 src2136.##.3.# dst213#.14.1.6 s!ort265 7  d!ort210#6 [)''8-,/] use21 

=n este momento "a cone4i%n ya est> asegurada =ste eEemp"o parece e4actamente igua" 7uee" anterior, e4cepto por "a bandera ?ASS(:=$@ Si "a cone4i%n no es uti"i9ada en 1M0segundos, entonces caduca =ste tiempo )1M0 segundos+ es un a"or re"atiamente baEo, pero deber;a ser suiciente para "a mayor;a de "os casos Cada e9 7ue un pa7uete coincidecon "os a"ores indicados en e" pa7uete inicia" )"os a"ores 7ue se esperan de "os pa7uetesde respuesta ya comentados antes+ y atraiesa e" cortauegos, e" contador ue"e a" a"or

 por deecto, igua" 7ue ocurre con e" resto de estados internos

Cone7iones IC:P

#os pa7uetes C< no pueden estar m>s "eEos de ser cone4iones de "uEo )o stateu"connections+, ya 7ue s%"o se usan para e" contro" de "as cone4iones y nunca deber;an

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 37/202

estab"ecer ninguna cone4i%n por s; mismos Sin embargo, hay cuatro tipos C< 7uegenerar>n pa7uetes de retorno y 7ue presentan 2 estados dierentes estos mensaEes C< pueden tomar "os estados '=L )nueo+ y =S6A#SF=$ )estab"ecido+ #os tipos C<de "os 7ue hab"amos son =cho re7uest )petici%n de eco+ y su rep"y )respuesta o =chorep"y+, 6imestamp re7uest )petici%n de marca de tiempo, e" a"or de" momento e4acto en

7ue se en;a e" pa7uete+ y su rep"y, normation re7uest )petici%n de inormaci%n+ y surep"y, y por !"timo Address mask re7uest )petici%n de m>scara de subred+ y su rep"y $e5stos, "os tipos timestamp re7uest e inormation re7uest est>n obso"etos y "o m>s probab"ees 7ue simp"emente se puedan desechar Sin embargo, "os mensaEes de =cho se emp"ean enarias coniguraciones, como hacer pings a "os hosts #as peticiones de m>scara desubred )Address mask re7uests+ no se sue"en uti"i9ar, pero pueden ser !ti"es en ocasiones ya"e "a pena permitir"es 7ue atraiesen e" cortauegos ara tener una idea de c%mo uncionauna cone4i%n de este tipo, eamos "a siguiente imagen

Como puedes obserar, e" host en;a una petici%n de eco )echo re7uest+ a" destinatario y e"cortauegos considera e" pa7uete como nueo )'=L+ =" destinatario responde con unarespuesta de eco )echo rep"y+ 7ue e" cortauegos considera mediante e" estado estab"ecido)=S6A#SF=$+ Cuando ya se ha isto "a primera petici%n de eco, se crea "a siguienteentrada en e" i!conntrack

ic=! 1 #6 src213#.14.1. dst213#.14.1.10 ty!e24 code20 7  id2550#3 [8&-,9*%,/] src213#.14.1.10 dst213#.14.1. 7  ty!e20 code20 id2550#3 use21

 

Como ya te habr>s dado cuenta, esta entrada es un poco dierente a "as entradas est>ndar para "os pa7uetes 6C y ($ emos e" protoco"o, su n!mero, e" tiempo de ida 7ue "e7ueda a "a entrada, as; como "as direcciones de origen y destino #a dierencia ienedespu5s tenemos 3 campos nueos ""amados type )tipo+, code )c%digo+ e id)identidad/identiicaci%n+ =n rea"idad no son nada especia"es e" a"or type indica e" tipoC< y e" a"or code indica e" c%digo C< 6odos 5""os est>n disponib"es en e" ap5ndice

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 38/202

Tipos ,C!  =" a"or de id indica e" C< $ cada pa7uete C< toma un a"or $ )deidentiicaci%n+ cuando se en;a y a" responder e" receptor tambi5n estab"ece este mismo $.de esta orma a" ""egar "a respuesta a" host 7ue eni% "a petici%n se puede unir esa respuestaa "a petici%n C< correcta

=n e" siguiente campo o"emos a encontrar "a bandera ?(':=#=$@ 7ue hemos istoanteriormente Como entonces, "a entrada de" seguimiento de cone4iones 7ue estamosiendo imp"ica 7ue s%"o se ha isto tr>ico en una direcci%n or !"timo emos "os datos7ue se esperan en e" pa7uete de respuesta C<, 7ue obiamente son "os a"ores inicia"es pero inertidos or "o 7ue respecta a" tipo y a" c%digo, se cambian por "os a"oresadecuados a" pa7uete de retorno, de orma 7ue una petici%n de eco se transorma en unarespuesta de eco, etc =" C< $, "%gicamente, se mantiene id5ntico a" pa7uete de petici%n

=" pa7uete de respuesta se considera como =S6A#SF=$, ta" como ya se ha e4p"icadoSin embargo, sabemos con seguridad 7ue tras "a respuesta C< no habr> abso"utamente

ning!n tr>ico "ega" en "a misma cone4i%n or esta ra9%n "a entrada de" seguimiento decone4iones es destruida en cuanto "a respuesta ha atraesado "a estructura de 'eti"ter

=n cada uno de "os casos anteriores "a petici%n se considera como nuea )'=L+, mientras7ue "a respuesta se considera como estab"ecida )=S6A#SF=$+ <>s e4actamente,cuando e" cortauegos e un pa7uete de petici%n "o considera como nueo, mientras 7uecuando e" host en;a un pa7uete de respuesta a "a petici%n, se considera como estab"ecido

Rsto imp"ica 7ue e" pa7uete de respuesta debe seguir e" criterio iEado en "a entradade" seguimiento de cone4iones, para poder ser considerado como estab"ecido, de "a

misma manera 7ue ocurre en e" resto de tipos de tr>ico

#as peticiones C< tienen un tiempo de ida por deecto de 30 segundos, 7ue puedescambiar en "a entrada !rocsysneti!:;netfilteri!ctic=!ti=eout =ngenera" 5ste es un buen a"or, ya 7ue permitir> captar "a mayor;a de pa7uetes en tr>nsito

Otra parte important;sima de C< es e" hecho de 7ue se emp"ea para indicar"e a "os hosts7u5 ha pasado con "as cone4iones ($ y 6C o con "os intentos de cone4i%n or estemotio "as respuestas C< muy a menudo ser>n reconocidas como re"acionadas):=#A6=$+ con cone4iones o intentos de cone4i%n (n eEemp"o senci""o ser;a e" de "os

mensaEes C< Fost unreachab"e )mensaEe de host ina"can9ab"e, no se puede ""egar a" host+e C< 'et8ork unreachab"e )mensaEe de red ina"can9ab"e, no se puede ""egar hasta "ared+ =ste tipo de mensaEes se en;an autom>ticamente de ue"ta a nuestro host cuando e" pa7uete no consigue eectuar "a cone4i%n con un host por7ue "a red o e" host de destinoest>n uera de sericio, de manera 7ue e" !"timo enrutador )router+ 7ue intente conectar cone" destino nos contestar> con un mensaEe C< dici5ndonos "o 7ue ocurre =n este caso "arespuesta C< se considera como un pa7uete re"acionado ):=#A6=$+ =" siguientegr>ico deber;a ac"arar "o 7ue ocurre

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 39/202

=n e" eEemp"o eniamos un pa7uete S' a una direcci%n concreta 5sto es consideradocomo una nuea cone4i%n )'=L+ por e" cortauegos Sin embargo no se puede ""egar a "ared a "a 7ue se est> intentando eniar e" pa7uete, por "o 7ue un router )e" !"timo+ nosdeue"e un error C< de red ina"can9ab"e =" c%digo de seguimiento de cone4iones puede reconocer este pa7uete como re"acionado ):=#A6=$+ gracias a "a entrada yae4istente, por "o 7ue "a respuesta C< es correctamente eniada a" c"iente 7ue gener% e" pa7uete inicia" y, si todo a bien, 5ste abortar> "a cone4i%n <ientras tanto e" cortauegos yahabr> e"iminado "a entrada de" seguimiento de cone4iones, puesto 7ue sabe 7ue se trata deun mensaEe de error

=" mismo comportamiento se e4perimenta con "as cone4iones ($ si tienen prob"emascomo en e" caso anterior 6odo mensaEe C< deue"to como respuesta a cone4iones ($es considerado como re"acionado ):=#A6=$+ Obsera e" siguiente gr>ico

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 40/202

=n esta ocasi%n se en;a un pa7uete ($ a" host =sta cone4i%n ($ se considera comonuea '=L Sin embargo "a red est> prohibida administratiamente por a"g!n cortauegoso router antes de ""egar a destino y por 5""o nuestro cortauegos recibe un mensaEe C< 'et8ork rohibited )red prohibida+ =" cortauegos sabe 7ue este mensaEe C< de errorest> re"acionado con "a cone4i%n ($ abierta y "o en;a como un pa7uete :=#A6=$

)re"acionado+ a" c"iente Acto seguido, e"imina "a entrada de" seguimiento de cone4ionesmientras e" c"iente recibe e" mensaEe y aborta "a cone4i%n

Cone7iones !or defecto

=n a"gunos casos e" conntrack no sabe c%mo gestionar un protoco"o espec;ico, bien sea por7ue no conoce e" protoco"o o por7ue no sabe c%mo unciona =n estos casos sigue uncomportamiento por deecto, como ocurre por eEemp"o con '=6#6, <(T y =& =" procedimiento seguido es b>sicamente e" mismo 7ue en e" seguimiento de "as cone4iones

($ e" primer pa7uete se considera como nueo )'=L+ y e" tr>ico de respuesta ysubsiguiente es considerado como estab"ecido )=S6A#SF=$+

Cuando se emp"ea e" comportamiento por deecto todos "os pa7uetes aectados tendr>n e"mismo tiempo de ida )timeout+ por deecto, 7ue se puede estab"ecer a tra5s de "aariab"e !rocsysneti!:;netfilteri!ctgenericti=eout =" a"or pordeecto es de H00 segundos )10 minutos+ =n unci%n de" tipo de tr>ico 7ue est5sintentando eniar a tra5s de un en"ace 7ue uti"ice este comportamiento por deecto, es posib"e 7ue necesites cambiar"o, especia"mente si est>s conectado a tra5s de sat5"ite o a"gosimi"ar, pues "a comunicaci%n puede ""egar a tardar bastante tiempo

Los !rotocolos com!le;os / el se#uimiento de cone7iones

$eterminados protoco"os son m>s comp"eEos 7ue otros, "o cua" imp"ica 7ue a "a hora derea"i9ar e" seguimiento de cone4iones e" trabaEo ser> m>s di;ci" uenos eEemp"os de 5""oson "os protoco"os CK, :C y *6 Cada uno de 5""os inc"uye inormaci%n dentro de" b"o7ue de datos de "os pa7uetes, por "o 7ue para uncionar correctamente re7uieren deasistentes especia"es para e" seguimiento de cone4iones

=mpecemos por eEemp"o con e" proco"o *6 =ste protoco"o comien9a abriendo una !nicacone4i%n ""amada sesi%n *6 contro" )sesi%n de contro" tp+ =n cuanto eniamoscomandos a tra5s de esta sesi%n, se abren otros puertos para transportar e" resto de datosre"acionados con esos comandos =stas cone4iones se pueden crear de dos manerasactiamente o pasiamente Cuando una cone4i%n se genera actiamente, e" c"iente *6en;a a" seridor un puerto y una direcci%n a "os 7ue conectarse 6ras 5sto e" c"iente *6abre e" puerto indicado y e" seridor conecta con 5" desde su propio puerto 20 )conocidocomo *6-$ata+, eniando datos a tra5s de 5"

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 41/202

=" prob"ema radica en 7ue e" cortauegos no tiene conocimiento de esas cone4iones e4tras,ya 7ue son negociadas a tra5s de" b"o7ue de datos 7ue transporta e" pa7uete )"o 7ue seconoce como pay"oad o carga de inormaci%n. recordemos 7ue a grosso modo un pa7uete tiene una cabecera con inormaci%n sobre "a cone4i%n y un b"o7ue de datos 7ue es "o 7uedesea e" host 7ue "o recibe+ $ebido a 5sto e" cortauegos no ser> capa9 de saber 7ue deber;a

deEar conectarse a" seridor con e" c"iente a tra5s de estos puertos concretos#a so"uci%n a" prob"ema pasa por aadir un asistente especia" a" m%du"o de" seguimiento decone4iones, 7ue escanear> "os datos de "a cone4i%n de contro" para detectar sinta4is einormaci%n espec;icas cuando encuentre "a inormaci%n adecuada, "a aadir> en unanuea entrada eti7uetada como re"acionada ):=#A6=$+ y gracias a esta nuea entrada e"seridor ya ser> capa9 de eectuar un seguimiento de "a cone4i%n Obsera "a siguienteimagen para entender "os estados cuando e" seridor *6 ya ha creado "a cone4i%n con e"c"iente

=" tp pasio )assie *6+ unciona comp"etamente a "a inersa e" c"iente *6 "e indicaa" seridor 7ue 7uiere determinados datos, a "o 7ue e" seridor responde con una direcci%n y un puerto a "os 7ue conectarse 6ras recibir estos datos, e" c"iente se conectar> a ese puerto desde su propio puerto 20 )e" puerto *6-data+ y coger> "os datos en cuesti%n Sitienes un seridor *6 tras tu cortauegos, necesitar>s de este m%du"o adem>s de "osm%du"os est>ndar de iptab"es para permitir 7ue "os c"ientes desde nternet puedan conectarcorrectamente con tu seridor *6 $e igua" orma necesitar>s e" m%du"o si erese4tremadamente restrictio con tus usuarios y s%"o 7uieres deEar 7ue uti"icen seridoresF66 y *6 de nternet, b"o7ueando cua"7uier otro puerto Obsera "a siguiente imagen ysu re"aci%n con e" tp pasio )assie *6+

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 42/202

A"gunos asistentes de" conntrack ya est>n disponib"es en e" n!c"eo, m>s concretamente, ene" momento de escribir estas ";neas "os protoco"os *6 e :C ya disponen de estosasistentes Si no puedes encontrar en e" n!c"eo "os asistentes 7ue necesitas, debes echar unista9o a" patch-o-matic, en "a secci%n de 9ona de usuario de iptab"es podr>s encontrar m>sasistentes de" conntrack, como es e" caso de "os protoco"os nta"k o F323 Si no est>ndisponib"es en e" patch-o-matic, toda;a dispones de a"gunas opciones m>s, como e" CS)Concurrent ersioning System+ de iptab"es, si recientemente a entrado en 5" O tambi5n puedes ponerte en contacto con "a "ista de correo 'eti"ter-dee" y preguntar si est>disponib"e Si no "o est> y no est> p"aneado aadir"o, te 7uedas so"o y "o m>s probab"e es7ue 7uieras "eer e" CQ<O de :usty :usse"" :usty :usse""Vs (nre"iab"e 'eti"ter FackingFOL-6O )en ing"5s+, de" cua" tienes un en"ace en e" ap5ndice Otras f%e"tes y e"laces 

#os asistentes de" conntrack pueden ser compi"ados est>ticamente o como m%du"os en e"n!c"eo Si se compi"an como m%du"os puedes cargar"os con e" siguiente comando

=od!robe i!conntrack 

6en en cuenta 7ue e" seguimiento de cone4iones no tiene nada 7ue er con "a traducci%n dedirecciones )'A6+, por "o 7ue es posib"e 7ue necesites m>s m%du"os si tambi5n est>s'A6eando )traduciendo+ "as cone4iones or eEemp"o, si 7uisieras traducir "as direccionesy rea"i9ar un seguimiento de "as cone4iones *6, necesitar;as tambi5n e" m%du"o 'A66odos "os asistentes 'A6 tienen e" mismo preiEo en su nombre ipWnatW, seguido por e"

nombre de" asistente en cuesti%n or eEemp"o, e" asistente para *6 con 'A6 )traducci%nde direcciones+ se ""amar;a ipWnatWtp y e" m%du"o :C se ""amar;a ipWnatWirc #osasistentes de" conntrack siguen "a misma reg"a de nomenc"atura, por "o 7ue e" asistente de"conntrack para :C se ""amar;a ipWconntrackWirc, mientras 7ue e" asistente para *6 ser;aipWconntrackWtp

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 43/202

C%a!ter <. =al"ando / restaurando#randes con;untos de re#las

=" pa7uete iptab"es tiene dos herramientas muy !ti"es, especia"mente cuando te enrentas aconEuntos de reg"as muy grandes =stas herramientas son iptab"es-sae e iptab"es-restore, yse usan respectiamente para sa"ar y restaurar conEuntos de reg"as en un ormato deichero espec;ico, 7ue parece bastante dierente de" c%digo de" int5rprete de comandos)she""+ est>ndar 7ue puedes er en e" resto de" tutoria"

Considerando la "elocidad

(na de "as ra9ones m>s conincentes para uti"i9ar "os comandos iptab"es-sae e iptab"es-

restore es 7ue ace"eran considerab"emente "a carga y "a copia de "os conEuntos de reg"as m>sgrandes =" principa" prob"ema a" eEecutar un script en "a ";nea de comandos 7ue contengareg"as de iptab"es, es 7ue cada e9 7ue se inoca a iptab"es en e" script se procede en primer "ugar a e4traer e" conEunto de reg"as comp"eto de" espacio de" n!c"eo de 'eti"ter, para acontinuaci%n insertar, aadir o eectuar e" cambio 7ue sea necesario por e" comandoespec;ico or !"timo, deo"er> e" conEunto de reg"as desde su propia memoria a" espaciode" n!c"eo (ti"i9ando un script, estas operaciones se eEecutan en cada una de "as reg"as 7ue7ueramos insertar y consecuentemente cada e9 cuesta m>s e4traer e insertar e" conEunto dereg"as, pues cada e9 hay m>s reg"as en e" conEunto

ara reso"er este prob"ema se han creado "os comandos iptab"es-sae e iptab"es-restore ="

 primero )iptab"es-sae+ se usa para guardar e" conEunto de reg"as en un ichero de te4to conun ormato especia", mientras 7ue iptab"es-restore carga ese ichero de te4to de nueo en e"n!c"eo #o meEor de todo 5sto es 7ue cargan y guardan e" conEunto de reg"as mediante unas%"a petici%n iptab"es-sae captar> e" conEunto de reg"as comp"eto de" n!c"eo y "o guardar>en un ichero en un s%"o paso. iptab"es-restore cargar> en e" n!c"eo un conEunto de reg"asespec;ico en un paso por cada tab"a O sea, en e9 de copiar e" conEunto de reg"as desde e"n!c"eo, 7ue en un eEemp"o grande podr;a signiicar repetir e" proceso 30000 eces )sihubieran 30000 reg"as+ y despu5s o"er"o a cargar en e" n!c"eo otras tantas eces, podremos copiar desde e" n!c"eo de una e9 y o"er a cargar en e" n!c"eo en 3 pasos)suponiendo 7ue hayan s%"o 3 tab"as+

Como puedes comprender, estas herramientas son e4actamente "o 7ue necesitas si est>strabaEando con una gran cantidad de reg"as y debes insertar"as en e" conEunto de reg"as Sinembargo tienen sus inconenientes, como discutiremos a continuaci%n

Incon"enientes con la restauración

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 44/202

=s posib"e 7ue te est5s preguntando si iptab"es-restore soporta de a"guna manera "os scripts "a respuesta es 7ue de momento no, y "o m>s probab"e es 7ue nunca "o haga =ste es e" principa" prob"ema deriado de" uso de iptab"es-restore, puesto 7ue no podr>s hacer unagran cantidad de tareas con estos icheros or eEemp"o [7u5 ocurre cuando tienes unacone4i%n a "a 7ue se "e asigna dinamicamente su direcci%n y 7uieres captar esta direcci%n

cada e9 7ue e" ordenador arranca para uti"i9ar"a en tus scripts\ Con iptab"es-restore, 5stoes pr>cticamente imposib"e

(na posibi"idad de conseguir"o es crear un pe7ueo script 7ue primero capte "os a"ores7ue 7uieres usar en "as reg"as, despu5s bus7ue ciertas c"aes en e" ichero creado poriptab"es-sae y "as sustituya por "os a"ores captados anteriormente (na e9 ""egados a este punto, puedes sa"ar e" ichero modiicado en un ichero tempora" y uti"i9ar e" comandoiptab"es-restore para cargar "os nueos a"ores Sin embargo 5sta manera de proceder causaun mont%n de prob"emas y no podr>s uti"i9ar correctamente iptab"es-sae, pues probab"emente e"iminar> "os a"ores aadidos manua"mente )por e" script+ =n deinitia esuna so"uci%n, cuando menos, poco acertada

Otra posib"e so"uci%n ser;a cargar "os icheros con iptab"es-restore y a continuaci%n eEecutar un script 7ue inserte reg"as m>s din>micas en "os "ugares adecuados or descontado, estamanera de proceder es tan poco acertada como "a anterior #a cuesti%n de ondo es 7ueiptab"es-restore no est> adaptado para a7ue""as coniguraciones d%nde "as direcciones seasignan a" cortauegos din>micamente, o d%nde deseas dierentes comportamientosdependiendo de "os a"ores de determinadas opciones de coniguraci%n

Otro inconeniente de iptab"es-restore e iptab"es-sae es 7ue de momento no son p"enamente unciona"es =" prob"ema radica en "os pocos usuarios 7ue uti"i9an estoscomandos y por tanto son pocos "os 7ue buscan a""os, de orma 7ue es posib"e 7ue a"gunascomparaciones y obEetios se inserten ma", y 5sto ""ee a comportamientos e4traos o noesperados A pesar de todo, aun7ue e4isten estos prob"emas, recomendar;a encarecidamenteuti"i9ar estas herramientas, ya 7ue deber;an uncionar perectamente bien para "a mayor;ade conEuntos de reg"as, siempre 7ue no contengan a"gunos de "os nueos obEetios ocomparaciones 7ue no sabe c%mo maneEar conenientemente =n un par de rases si tusconEuntos de reg"as no est>n abso"utamente a "a !"tima, estas herramientas uncionancomo ca;das de" cie"o

i!tablessa"e

=" comando iptab"es-sae es una herramienta para guardar e" conEunto de reg"as e4istenteen iptab"es a un ichero 7ue puede uti"i9ar iptab"es-restore =ste comando es bastante >ci"de usar y s%"o tiene dos argumentos Rcha"e un ista9o a" siguiente eEemp"o para entender "asinta4is apropiada de" comando

iptab"es-sae ?-c@ ?-t tabla@

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 45/202

#a opci%n -c "e indica a iptab"es-sae 7ue guarde tambi5n "os a"ores e4istentes en "oscontadores de bytes y de pa7uetes Rsto puede ser !ti" si 7ueremos reiniciar e" cortauegossin perder "os a"ores de estos contadores, 7ue serir>n, por eEemp"o, para continuar connuestras rutinas estad;sticas sin prob"emas or supuesto e" a"or por deecto es noconserar "os datos de "os contadores

#a opci%n -t indica a iptab"es-sae 7u5 tab"as guardar Sin este argumento e" comandoguardar> en e" ichero todas "as tab"as disponib"es A continuaci%n tienes un eEemp"o de "asa"ida 7ue puedes esperar de" comando iptab"es-sae si no tienes ning!n conEunto de reg"ascargado )"%gicamente "a sa"ida es en ing"5s+

B Cenerated by i!tables"sa:e :1.#.a on Ded )!r #; 10E13E1 #00#filterE%&98( ),9( [;0;E13]EFG-D)-/ ),9( [0E0]EG8(98( ),9( [650E;55]GHH%(B o=!leted on Ded )!r #; 10E13E1 #00#

B Cenerated by i!tables"sa:e :1.#.a on Ded )!r #; 10E13E1 #00#=angleE9-,-G8(%&C ),9( [;61E##00]E%&98( ),9( [;61E##00]EFG-D)-/ ),9( [0E0]EG8(98( ),9( [63;E;161]E9G'(-G8(%&C ),9( [63;E;161]GHH%(B o=!leted on Ded )!r #; 10E13E1 #00#B Cenerated by i!tables"sa:e :1.#.a on Ded )!r #; 10E13E1 #00#natE9-,-G8(%&C ),9( [0E0]E9G'(-G8(%&C ),9( [5E;60]

EG8(98( ),9( [5E;60]GHH%(B o=!leted on Ded )!r #; 10E13E1 #00#

Como puedes er "os comentarios comien9an con e" signo _ Cada tab"a se marca as;`nombre-tab"aZ, como por eEemp"o `mang"e A continuaci%n, dentro de cada tab"a seencuentran "as especiicaciones de "as cadenas y "as reg"as (na especiicaci%n de cadena essimi"ar a nombre-cadenaZ po";tica-cadenaZ ?contador-pa7uetesZcontador-bytesZ@=" nombre de cadena puede ser, por eE, :=:O(6'&, "a po";tica ya se ha descrito antes y puede ser ACC=6 or otra parte, "os contadores de pa7uetes y de bytes son "os mismos7ue obtenemos con iptab"es -# - or !"timo, cada dec"araci%n de tab"a ina"i9a con "ac"ae CO<<6 =sta c"ae nos indica 7ue en ese punto debemos eniar a" n!c"eo todas "asreg"as 7ue se han ido "eyendo

=" eEemp"o anterior es bastante b>sico y por 5""o considero 7ue es apropiado mostrar un bree eEemp"o 7ue contiene un pe7ueo ,ptables-save Si 7uisi5ramos eEecutar iptab"es-saecon 5ste conEunto de reg"as cargado en e" n!c"eo, "a sa"ida ser;a a"go simi"ar a )otra e9, ening"5s+

B Cenerated by i!tables"sa:e :1.#.a on Ded )!r #; 10E13E66 #00#

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 46/202

filterE%&98( /-G9 [1E##3]EFG-D)-/ /-G9 [0E0]EG8(98( /-G9 [0E0]") %&98( "= state ""state -,*)(,/I,'()*%'A,/ "j ),9(") FG-D)-/ "i eth0 "= state ""state -,*)(,/I,'()*%'A,/ "j ),9(") FG-D)-/ "i eth1 "= state ""state &,DI-,*)(,/I,'()*%'A,/ "j ),9(

") G8(98( "= state ""state &,DI-,*)(,/I,'()*%'A,/ "j ),9(GHH%(B o=!leted on Ded )!r #; 10E13E66 #00#B Cenerated by i!tables"sa:e :1.#.a on Ded )!r #; 10E13E66 #00#=angleE9-,-G8(%&C ),9( [64E5#;;6]E%&98( ),9( [64E5#;;6]EFG-D)-/ ),9( [0E0]EG8(98( ),9( [431E4#5;]E9G'(-G8(%&C ),9( [431E4#5;]GHH%(B o=!leted on Ded )!r #; 10E13E66 #00#B Cenerated by i!tables"sa:e :1.#.a on Ded )!r #; 10E13E66 #00#

natE9-,-G8(%&C ),9( [1E##3]E9G'(-G8(%&C ),9( [5E;60]EG8(98( ),9( [5E;60]") 9G'(-G8(%&C "o eth0 "j '&)( ""to"source 136.#55.13#.1GHH%(B o=!leted on Ded )!r #; 10E13E66 #00#

Como puedes er, a cada comando se "e ha aadido como preiEo "os contadores de bytes y pa7uetes, puesto 7ue se ha emp"eado "a opci%n -c en e" comando =4cepto 5ste deta""e, "a";nea de comandos es casi igua" a" script =" !nico prob"ema ahora es c%mo guardar "a sa"idade" comando en un ichero, aun7ue "a so"uci%n es bastante simp"e y ya deber;as conocer"a si

has trabaEado con #inu4 antes s%"o se trata de dirigir "a sa"ida de" comando hacia un icherocon e" nombre 7ue desees Rsto puede parecerse a

iptab"es-sae -c Z /etc/iptab"es-sae

=" comando anterior guardar> e" conEunto de reg"as con "os a"ores de sus contadores en unichero ""amado etci!tables"sa:e

i!tablesrestore

=" comando iptab"es-restore se emp"ea para o"er a cargar en e" n!c"eo e" conEunto dereg"as guardado con iptab"es-sae Sin embargo, por ahora carga toda "a inormaci%n desde"a entrada est>ndar y no desde un ichero #a sinta4is es

iptab"es-restore ?-c@ ?-n@

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 47/202

=" argumento -c reestab"ece "os contadores de bytes y pa7uetes y es "a opci%n 7ue debesusar cuando 7uieras o"er a cargar "os a"ores guardados con iptab"es-sae de estoscontadores #a opci%n tambi5n puede escribirse en su orma e4tendida --counters

=" argumento -n "e indica a iptab"es-restore 7ue no sobreescriba "as reg"as e4istentes en "a

tab"a o tab"as en 7ue est5 escribiendo =" comportamiento por deecto de iptab"es-restore ese"iminar cua"7uier reg"a pree4istente #a opci%n en su ersi%n "arga ser;a --no"ush

ara cargar conEuntos de reg"as con e" comando iptab"es-restore tenemos arias a"ternatias,aun7ue eremos "a m>s simp"e y m>s uti"i9ada

cat /etc/iptab"es-sae X iptab"es-restore -c

Simp"iicando con 5""o imprimiremos en "a sa"ida est>ndar )"a panta""a+ e" contenido de"conEunto de reg"as e4istente en e" icheroetci!tables"sa:e y a continuaci%n esa sa"idase dirigir> a" comando iptab"es-restore, 7ue captar> e" conEunto de reg"as y "o cargar> en e"

n!c"eo, inc"uyendo "os a"ores de "os contadores de bytes y pa7uetes Rsta es "a orma m>ssenci""a de comen9ar a usar e" comando, aun7ue e" eEemp"o anterior se puede modiicarhasta "a saciedad, con dierentes posibi"idades de redireccionamiento de "a sa"ida Sinembargo, 5sto se sa"e de" obEetio de 5ste cap;tu"o y preiero deEar a" "ector 7ue e4perimente por su cuenta

=" conEunto de reg"as deber;a ahora estar cargado correctamente en e" n!c"eo y todo deber;auncionar Si no es as;, probab"emente has cometido a"g!n a""o a" escribir "os comandos, ohabr>s encontrado un bug

C%a!ter >. Cómo se escribe una re#la=n este cap;tu"o se desarro""ar> en proundidad c%mo escribir tus propias reg"as (na reg"a puede deinirse como "as instrucciones 7ue seguir> e" cortauegos a" b"o7uear o permitirdierentes cone4iones y pa7uetes en una cadena espec;ica Cada ";nea 7ue escribas yaadas a una cadena se debe considerar una reg"a 6ambi5n repasaremos "as comparaciones b>sicas 7ue tienes disponib"es y c%mo uti"i9ar"as, as; como "os dierentes obEetiosdisponib"es y c%mo puedes crear nueos obEetios )es decir, nueas sub-cadenas+

Conce!tos ?$sicos

Como ya se ha dicho, cada reg"a es una ";nea 7ue "ee e" n!c"eo para saber 7u5 hacer con un pa7uete Si todos "os criterios )o comparaciones+ se cump"en, entonces se eEecuta "ainstrucci%n obEetio )o sa"to+ 'orma"mente deber;as escribir tus reg"as con una estructurasimi"ar a 5sta

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 48/202

iptab"es ?-t tabla@ comando ?comparaci%n )match+@ ?obEetio/sa"to )target/Eump+@

=n ning!n sitio se especiica 7ue "a instrucci%n obEetio )e" sa"to+ deba ser "a !"tima unci%nde "a ";nea Sin embargo, deber;as seguir esta estructura para conseguir 7ue sea "o m>s"egib"e posib"e $e todas ormas, "a mayor;a de "as reg"as 7ue eas se han escrito de esta

orma As; pues, si "ees un script de otra persona, "o m>s seguro es 7ue recono9cas "aestructura y entiendas >ci"mente "a reg"a

Si 7uieres uti"i9ar cua"7uier otra tab"a 7ue no sea "a est>ndar, puedes especiicar"a en "a parte 7ue dice ?tab"a@ Sin embargo, no es necesario especiicar 7u5 tab"a usar, puesto 7ue por deecto iptab"es uti"i9a "a tab"a i"ter )i"tro+ para inc"uir todos "os comandos 6ampocoes preciso 7ue especii7ues "a tab"a Eusto en ese punto de "a reg"a #a erdad es 7ue puedeestar casi en cua"7uier parte de "a ";nea $e todas ormas, est> m>s o menos aceptado 7ue seespecii7ue "a tab"a a" principio

=so s;, debes tener en cuenta 7ue e" comando deber;a ser siempre "o primero, o a "o sumo

 Eusto detr>s de "a especiicaci%n de "a tab"a Se emp"ea e" comando para decir"e a" programa 7u5 hacer, como por eEemp"o insertar o aadir una reg"a a" ina" de una cadena, o borrar una reg"a eremos 5sto en deta""e m>s ade"ante

#a comparaci%n es "a parte de "a reg"a eniada a" n!c"eo 7ue especiica e" car>cter concretode" pa7uete, "o cua" "o dierencia de todos "os dem>s pa7uetes A7u; es d%nde se puededeterminar de 7u5 direcci%n iene e" pa7uete, de 7u5 intera9 de red, "a destino, e" puerto, e" protoco"o o cua"7uier cosa Fay un mont%n de comparaciones dierentes 7ue pueden emp"earse y 7ue se er>n en deta""e en este cap;tu"o

or !"timo tenemos e" obEetio de" pa7uete Si todas "as comparaciones se cump"en para un

 pa7uete, "e decimos a" n!c"eo 7u5 hacer con 5" or eEemp"o, podemos hacer 7ue en;e e" pa7uete a otra cadena 7ue hayamos creado y 7ue es parte de esta tab"a odemos hacer 7uedeseche e" pa7uete y no haga nada m>s con 5", o podemos eniar una respuesta espec;ica a"remitente 6ambi5n estudiaremos "os deta""es en este cap;tu"o

Tablas

#a opci%n -t especiica 7u5 tab"a uti"i9ar or deecto se emp"ea "a tab"a i"ter, aun7ue se puede usar cua"7uiera de "as siguientes tab"as )ten en cuenta 7ue este es un corto resumen

de" cap;tu"o travesa"do tablas y cade"as+

Table >1. Tablas

Tabla Descri!ción

nat #a tab"a nat se emp"ea principa"mente para "a traducci%n de direcciones de red)'et8ork Address 6rans"ation+ #os pa7uetes 7ue son i"trados por esta tab"a

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 49/202

Tabla Descri!ción

acaban con sus s modiicadas, de acuerdo con nuestras reg"as )"as de "a tab"a+$e todos "os pa7uetes de un mismo "uEo, s%"o e" primero pasa por esta tab"aasumiendo 7ue se permite e" paso de" primer pa7uete de un "uEo, a" resto de pa7uetes de" ese "uEo se "es ap"ican autom>ticamente "as mismas acciones

rea"i9adas con e" primer pa7uete )sus s son 'A6-eadas o i"tradas por "a tab"a 'A6. o se enmascaran. + =n otras pa"abras, s%"o e" primer pa7uete pasa por "atab"a 'A6 y a" resto de" "uEo se "e trata e4actamente igua" sin necesidad de pasar por "a tab"a =sta es "a ra9%n principa" por "a 7ue no deber;as hacer ning!n i"tradoen esta tab"a, y "o comentaremos en deta""e m>s ade"ante #a cadena:=:O(6'& se emp"ea para modiicar "os pa7uetes en cuanto ""egan a"cortauegos #a cadena O(6(6 se uti"i9a para modiicar "os pa7uetes generados"oca"mente )es decir, en e" cortauegos+ antes de tomar "a decisi%n de enrutado)direccionamiento+ or !"timo "a cadena OS6:O(6'& se usa para modiicar"os pa7uetes 7ue est>n a punto de abandonar e" cortauegos

mang"e

=sta tab"a se emp"ea principa"mente para retocar pa7uetes =ntre otras cosas, se puede cambiar e" contenido de dierentes pa7uetes y e" de sus cabeceras oreEemp"o, se pueden cambiar "os campos 66#, 6OS o <A:J Se debe tener encuenta, sin embargo, 7ue modiicar e" campo <A:J no es rea"mente un cambiode" pa7uete, pero se estab"ece su a"or para e" pa7uete dentro de" espacio de"n!c"eo Otras reg"as o programas pueden usar ese a"or m>s ade"ante para i"trar oeectuar un enrutado aan9ado. tc es un eEemp"o #a tab"a consta de cinco cadenas:=:O(6'&, OS6:O(6'&, O(6(6, '(6 y *O:LA:$:=:O(6'& se emp"ea para modiicar "os pa7uetes en cuanto ""egan a"cortauegos y antes de 7ue a"cancen "a decisi%n de enrutado OS6:O(6'& seemp"ea para modiicar "os pa7uetes en cuanto "as decisiones de enrutado se hantomado O(6(6 se emp"ea para modiicar "os pa7uetes generados "oca"mente,antes de 7ue a"cancen "a decisi%n de enrutado '(6 se emp"ea para modiicar pa7uetes 7ue se han redirigido a" ordenador "oca", pero antes de 7ue "a ap"icaci%nde" espacio de usuario ""egue a er "a inormaci%n *O:LA:$ se emp"ea paramodiicar pa7uetes 7ue acaban de pasar por "a primera decisi%n de enrutado, peroantes de 7ue ""eguen a "a !"tima decisi%n de enrutado 6en en cuenta 7ue esta tab"ano puede emp"earse para cua"7uier tipo de traducci%n de direcciones de red)'et8ork Address 6rans"ation+ o enmascaramiento )<as7uerading+ "a tab"a nat es"a 7ue tiene esa unci%n

i"ter 

#a tab"a i"ter se deber;a emp"ear e4c"usiamente para i"trar pa7uetes oreEemp"o, se pueden $:O )desechar+, #O& )aadir a un registro de sucesos+,

ACC=6 )aceptar+ o :=I=C6 )recha9ar+ pa7uetes sin prob"emas, igua" 7ue en e"resto de tab"as 6enemos tres cadenas en esta tab"a "a primera )*O:LA:$+ se usa para todos "os pa7uetes 7ue no se generan "oca"mente y 7ue no est>n destinados anuestra m>7uina )e" cortauegos, en otras pa"abras+ '(6 se emp"ea en todos "os pa7uetes 7ue se destinan a nuestra m>7uina )e" cortauegos+, mientras 7ueO(6(6 se emp"ea para todos "os pa7uetes generados "oca"mente

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 50/202

6odo "o anterior deber;a haber ac"arado "os conceptos b>sicos sobre "as tres tab"asdierentes 7ue hay disponib"es $eben usarse para prop%sitos comp"etamente dierentes yadem>s deber;as saber c%mo uti"i9ar cada una de "as cadenas e4istentes Si no comprendesc%mo se usan, es >ci" 7ue introdu9cas un aguEero en e" cortauegos 7ue tarde o tempranodescubrir> y e4p"otar> a"guien a se han discutido en proundidad "as tab"as y cadenas en

 travesa"do tablas y cade"as Si no "o entiendes a "a perecci%n, te recomiendo 7ueue"as a "eer"o hasta 7ue "o comprendas tota"mente

Comandos

=n esta secci%n trataremos "os distintos comandos y 7u5 se puede hacer con e""os (ncomando "e indica a iptab"es 7u5 hacer con e" resto de "a reg"a 7ue eniamos a" ana"i9ador 'orma"mente desearemos aadir o e"iminar a"go en una tab"a determinada =n iptab"esest>n disponib"es "os siguientes comandos

Table >'. Comandos

Comando -A, --append

=Eemp"o iptab"es -A '(6

$escripci%n=ste comando aade "a reg"a a" ina" de "a cadena #a reg"a siempre se pondr>"a !"tima en e" conEunto de reg"as y "%gicamente se comprobar> "a !"tima, a noser 7ue posteriormente aadas m>s reg"as con este mismo comando

Comando -$, --de"ete

=Eemp"o iptab"es -$ '(6 --dport M0 -E $:O, iptab"es -$ '(6 1

$escripci%n

=ste comando borra una reg"a de "a cadena =sto puede hacerse de dosmaneras bien introduciendo "a reg"a comp"eta a comparar )como en e"eEemp"o anterior+, bien especiicando e" n!mero de reg"a 7ue deseas e"iminarSi emp"eas e" primer m5todo, deber>s escribir e4actamente "o mismo 7ue hayaen "a cadena a borrar Si emp"eas e" segundo m5todo, deber>s sea"ar e"n!mero e4acto 7ue tiene "a reg"a en "a cadena "as reg"as est>n numeradas progresiamente desde "a primera, empe9ando con e" n!mero 1

Comando -:, --rep"ace

=Eemp"o iptab"es -: '(6 1 -s 1B21HM01 -E $:O

$escripci%n=ste comando sustituye "a entrada e4istente en "a ";nea especiicada *uncionade "a misma orma 7ue e" comando --de"ete, pero en "ugar de e"iminarcomp"etamente "a entrada, "a sustituye por una nuea =" uso m>s habitua" deeste comando puede ser "a e4perimentaci%n con iptab"es

Comando -, --insert

=Eemp"o iptab"es - '(6 1 --dport M0 -E ACC=6

$escripci%n Se inserta una reg"a en "a posici%n de "a cadena 7ue especii7uemos =n e"

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 51/202

eEemp"o anterior se insertar> en "a posici%n n 1 en "a cadena '(6, por "o7ue a partir de entonces ser> "a primera reg"a en esa cadena

Comando -#, --"ist

=Eemp"o iptab"es -# '(6

$escripci%n

=ste comando orece una "ista de todas "as entradas de "a cadena especiicada=n e" eEemp"o "a "ista mostrar> todas "as entradas de "a cadena '(6 Sinembargo est> permitido no especiicar ninguna cadena en particu"ar, con "ocua" e" comando "istar> todas "as cadenas de "a tab"a especiicada )paraespeciicar tab"as, "ee "a secci%n Tablas+ =" resu"tado ina" depende de otrasopciones eniadas a" ana"i9ador, como pueden ser -n, -, etc

Comando -*, --"ush

=Eemp"o iptab"es -* '(6

$escripci%n

=ste comando e"imina todas "as reg"as de una cadena, comen9ando desde "a7ue se ha especiicado =s e7uia"ente a borrar cada reg"a una a una, pero

 bastante m>s r>pido Se puede emp"ear sin opciones, con "o 7ue borrar> todas"as reg"as de todas "as cadenas en "a tab"a especiicada

Comando -N, --9ero

=Eemp"o iptab"es -N '(6

$escripci%n

=ste comando ob"iga a comen9ar desde cero a todos "os contadores de unacadena especiicada, o de todas "as cadenas de una tab"a Si has uti"i9ado "aopci%n - de" comando -#, probab"emente habr>s isto e" contador de pa7uetes a" principio de cada campo ara poner a cero este contador, uti"i9a"a opci%n -N =sta unci%n hace "o mismo 7ue -#, sa"o 7ue -N no hace ning!n"istado de "as reg"as Si se emp"ean Euntas -# y -N )"o cua" es correcto+, "as

cadenas ser>n "istadas primero y "uego "os contadores se reiniciar>n )se pondr>n a cero+

Comando -', --ne8-chain

=Eemp"o iptab"es -' a""o8ed

$escripci%n

=ste comando hace 7ue e" n!c"eo cree una nuea cadena con e" nombreespeciicado en "a cadena especiicada =n e" eEemp"o anterior se crea unacadena ""amada a""o8ed 6en en cuenta 7ue no puede haber ninguna cadena nining!n obEetio con e" mismo nombre

Comando -T, --de"ete-chain

=Eemp"o iptab"es -T a""o8ed

$escripci%n =ste comando borra de "a tab"a "a cadena especiicada ara 7ue uncione, nodebe haber ninguna reg"a 7ue est5 re"acionada con "a cadena 7ue se a a borrar =n otras pa"abras, deber>s borrar o cambiar todas "as reg"as 7ue tengana"g!n ;ncu"o con esa cadena antes de borrar"a Si se usa e" comando sinopciones, todas "as cadenas creadas por e" usuario ser>n e"iminadas y s%"o permanecer>n a7ue""as 7ue pertene9can a "a tab"a especiicada, es decir,a7ue""as 7ue se insta"an con iptab"es A modo de eEemp"o, si escribimos

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 52/202

iptab"es --de"ete-chain -t i"ter "o 7ue conseguiremos ser> e"iminar todas "ascadenas de usuario de "a tab"a i"ter, permaneciendo "as cadenas por deectode esta tab"a. si, en cambio, escribimos iptab"es --de"ete-chain, iptab"esconsidera 7ue especiicamos "a tab"a por deecto )"a tab"a i"ter+, con "o cua" e"resu"tado ser> e4actamente e" mismo 7ue en e" eEemp"o anterior

Comando -, --po"icy=Eemp"o iptab"es - '(6 $:O

$escripci%n

=ste comando hace 7ue e" n!c"eo estab"e9ca "a po";tica u obEetio por deectoen una cadena 6odos "os pa7uetes 7ue no coincidan con ninguna reg"aemp"ear>n esa po";tica de "a cadena #os obEetios permitidos son $:O yACC=6 )pueden haber m>s. en;ame un correo si es as;+

Comando -=, --rename-chain

=Eemp"o iptab"es -= a""o8ed disa""o8ed

$escripci%n

=" comando -= hace 7ue iptab"es cambie e" nombre de una cadena de" primer

a" segundo nombre =n e" eEemp"o anterior cambiar;amos e" nombre de "acadena de allowed )permitido+ a disallowed )no permitido+ 6en en cuenta7ue 5sto no aecta a "a orma de actuar de "a tab"a, sino 7ue es simp"emente uncambio cosm5tico

Siempre deber;as escribir una ";nea comp"eta de comando, a no ser 7ue s%"o 7uieras er "aayuda de iptab"es o conocer "a ersi%n de" comando ara mostrar "a ersi%n, emp"ea "aopci%n - y para "a ayuda, usa "a opci%n -h amos, como siempre

Ahora amos a er unas cuantas opciones 7ue pueden usarse con arios comandosObserar>s 7ue se indica con 7u5 comandos se pueden emp"ear y 7u5 resu"tados orecen

6en en cuenta 7ue no se inc"uye ninguna opci%n 7ue aecte a reg"as o comparaciones =stasotras opciones se er>n en proundidad m>s ade"ante

Table >. O!ciones

Opci%n -, --erbose

Comandos con"os 7ue seemp"ea

--"ist, --append, --insert, --de"ete, --rep"ace

$escripci%n =ste comando orece una sa"ida deta""ada )comp"eta, descriptia+ y se

emp"ea principa"mente con e" comando --"ist =n este caso se mostrar> "adirecci%n de "a intera9, "as opciones de "a reg"a y "as m>scaras 6OSAs;mismo, tambi5n se inc"uyen "os contadores de bytes y pa7uetes paracada reg"a =stos contadores emp"ean "as abreiaturas J )41,000+, <)41,000,000+ y & )41,000,000,000+ ara obtener e" tamao e4acto, puedes emp"ear "a opci%n -4, descrita m>s ade"ante Si se usa esta opci%ncon "os comandos --append, --insert, --de"ete o --rep"ace, e" programamostrar> inormaci%n deta""ada sobre c%mo se ha interpretado "a reg"a, si

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 53/202

se ha insertado correctamente, etc

Opci%n -4, --e4act

Comandos con"os 7ue seemp"ea

--"ist

$escripci%n

=sta opci%n e4pande "as numeraciones, o sea, no se emp"ean "os m!"tip"osJ, < o &, si no 7ue se en "os pa7uetes y bytes e4actos de "os contadoresde "a reg"a en cuesti%n =sta opci%n s%"o es !ti" con e" comando --"ist y notiene ning!n inter5s en "os dem>s comandos

Opci%n -n, --numeric

Comandos con"os 7ue seemp"ea

--"ist

$escripci%n

=sta opci%n muestra a"ores num5ricos "as direcciones y "os puertos se

"istar>n con sus n!meros y no con sus nombres de seridor, red oap"icaci%n S%"o se uti"i9a con --"ist e ignora "a opci%n por deecto detraducir todos "os a"ores num5ricos a seridores y nombres )donde sea posib"e+

Opci%n --"ine-numbers

Comandos con"os 7ue seemp"ea

--"ist

$escripci%n=mp"eando esta opci%n con --"ist, cada reg"a se "istar> con su n!mero de";nea uede ser coneniente saber 7u5 n!mero tiene cada reg"a a" insertar

reg"as =sta opci%n s%"o tiene eecto con e" comando --"istOpci%n -c, --set-counters

Comandos con"os 7ue seemp"ea

--insert, --append, --rep"ace

$escripci%n

=sta opci%n se usa cuando se crea o modiica una reg"a de orma 7ue sereinicia"i9an sus contadores de pa7uetes y bytes #a sinta4is ser;a a"go as;--set-counters 20 G000, "o cua" "e dir;a a" n!c"eo 7ue iEara e" contador de pa7uetes a 20 y e" contador de bytes a G000

Opci%n --modprobe

Comandos con"os 7ue seemp"ea

6odos

$escripci%n =sta opci%n se emp"ea para indicar"e a iptab"es 7u5 m%du"o uti"i9ar a" probar m%du"os o a" aadir"os a" n!c"eo Se puede usar por eEemp"ocuando e" comando modprobe no est> en ning!n directorio de "a ruta de b!s7ueda $e esta orma e" programa sabr> 7u5 hacer si se necesita un

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 54/202

m%du"o 7ue no se ha cargado preiamente =sta opci%n se puede uti"i9arcon todos "os comandos

Com!araciones )6matc%es6*=n esta secci%n hab"aremos sobre "as comparaciones Fe decidido agrupar "ascomparaciones en cinco categor;as dierentes para empe9ar tenemos "as co#paracio"es +e"/ricas, 7ue pueden usarse en todas "as reg"as. a continuaci%n ienen "as co#paracio"esTC!  7ue s%"o pueden ap"icarse a "os pa7uetes 6C. despu5s ienen "as co#paracio"es0!  y "as comparaciones C<, 7ue s%"o se ap"ican a pa7uetes ($ e C<respectiamente. por !"timo 7ueda un grupo de comparaciones especia"es, como "as deestado, "as de propietario, comparaciones ";mite, etc =ste !"timo grupo se ha c"asiicado ensubcategor;as, aun7ue en rea"idad no tienen por 7u5 ser comparaciones dierentes =spero7ue esta c"asiicaci%n sea ra9onab"e y todo e" mundo pueda entender"a

Com!araciones #en&ricas

(na comparaci%n gen5rica es un tipo de comparaci%n 7ue est> siempre disponib"e, sea cua"sea e" protoco"o con e" 7ue trabaEemos y sin importar 7u5 e4tensiones de comparaci%n sehayan cargado no se necesitan par>metros especia"es para emp"ear"as Fe inc"u;do a7u; "acomparaci%n --protoco", aun7ue podr;a parecer m>s adecuado 7ue estuiera en "ascomparaciones de protoco"o or eEemp"o, si 7ueremos emp"ear una comparaci%n 6C,necesitaremos usar "a comparaci%n --protoco" con "a opci%n 6C Sin embargo --protoco"

tambi5n es una comparaci%n por s; misma, ya 7ue puede usarse para comparar protoco"osespec;icos #as siguientes comparaciones siempre est>n disponib"es

Table >5. Com!araciones #en&ricas

Comparaci%n -p, --protoco"

=Eemp"o iptab"es -A '(6 -p tcp

$escripci%n =sta comparaci%n se emp"ea para comprobar "a presencia de "os siguientes protoco"os 6C, ($, C< o sus respectios a"ores num5ricos, ta" comose especiican en e" archio endtermYprotoco"st4ttit"eZ Si no puedeidentiicar uno de 5""os deo"er> un error =" protoco"o puede correspondera uno de "os tres mencionados, aun7ue tambi5n puede corresponder a6O$OS )A##+ A## signiica 7ue se corresponde con todos "os protoco"os )6C, ($ e C<+ =" comando tambi5n acepta "istas de protoco"os de"imitados por comas, por eE udp,tcp 7ue buscar;a pa7uetes($ y 6C Si a esta comparaci%n se "e especiica e" a"or cero )0+ ser>como si se especiicaran 6O$OS )A##+ "os protoco"os )5ste es e" a"or pordeecto si no se usa "a comparaci%n --protoco"+ 6ambi5n se puede inertir "a

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 55/202

comparaci%n con e" s;mbo"o ^. o sea 7ue --protoco" ^ tcp 7uiere decir 7ue setienen 7ue comparar todos "os protoco"os e4cepto e" 6C )o sea, ($ eC<+

Comparaci%n -s, --src, --source

=Eemp"o iptab"es -A '(6 -s 1B21HM11

$escripci%n

=sta es "a comparaci%n de" origen, 7ue se basa en "a direcci%n de origende "os pa7uetes =" uso gen5rico compara direcciones !nicas, como192.16.1.1 Sin embargo tambi5n acepta m>scaras de red en un ormato debit C$:, especiicando e" n!mero de unos )1+ en "a parte i97uierda de "am>scara de red cada n!mero es e" e7uia"ente decima" de un n!mero binariode M bits, en e" 7ue "a combinaci%n de 1s y 0s en cadenas de ochon!meros, e7uia"e a un a"or decima". por eE, M unos seguidos en binarioe7uia"en a 2 y si tenemos M unos, punto, M unos, punto, M unos, punto, Mceros, en notaci%n decima", "a 7ue todos gastamos, tenemos2220 Rsto signiica 7ue podemos indicar 324 )tres eces ocho,

sumados+ para emp"ear una m>scara de red 255.255.255. As; podemoscomparar rangos comp"etos de direcciones , como nuestras redes "oca"es osegmentos de red tras un cortauegos, especiic>ndo"o m>s o menos as;192.16..324 )con e""o se buscar;an pa7uetes 7ue cayeran dentro de" rango192.16..1- 192.16..254+ Otra orma de hacer"o es con una m>scara dered tradiciona" 255.255.255.255 )es decir, 192.16..3255.255.255.+6ambi5n se puede inertir "a comparaci%n escribiendo e" s;mbo"o ^ siemp"eamos una comparaci%n como --source ^ 1B21HM00/2G, "o 7ueconseguiremos es comparar todos "os pa7uetes 7ue 'O proengan de" rango192.16..x or deecto se comparan todas "as direcciones

Comparaci%n -d, --dst, --destination

=Eemp"o iptab"es -A '(6 -d 1B21HM11

$escripci%n

#a comparaci%n --destination )destino+ se usa en unci%n de "adirecci%n/direcciones de destino de "os pa7uetes Se emp"ea casi igua" 7ue "acomparaci%n --source y tiene "a misma sinta4is, e4cepto 7ue se basa en saber a d%nde se diriEen "os pa7uetes ara comparar un rango de direcciones , podemos especiicar una m>scara de orma ortodo4a o indicando e"n!mero de unos )1+ contados desde "a parte i97uierda de "a m>scara de red)como en --source, "a notaci%n C$: se basa en n!meros binarios, ormadoscon ristras de unos y ceros 7ue e7uia"en a n!meros decima"es+ or eE192.16..3255.255.255. y 192.16..324 son e7uia"entes 6ambi5n se

 puede inertir "a comparaci%n con e" s;mbo"o ^, o sea 7ue --destination ^1B21HM01 buscar> todos "os pa7uetes 7ue no ayan destinados a "adirecci%n 192.16..1

Comparaci%n -i, --in-interace

=Eemp"o iptab"es -A '(6 -i eth0

$escripci%n =sta comparaci%n "a emp"earemos para reconocer a tra5s de 7u5 intera9 proiene un pa7uete entrante =sta opci%n s%"o es >"ida en "as cadenas

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 56/202

'(6, *O:LA:$ y :=:O(6'&, deo"iendo un error si se usa encua"7uier otro sitio Si no especiicamos una intera9 concreta, por deecto seasume e" a"or , 7ue se emp"ea para comparar una cadena de "etras yn!meros. o sea 7ue por deecto e" n!c"eo comparar> todos "os pa7uetes sinimportar"e a tra5s de 7u5 intera9 ienen =" s;mbo"o tambi5n puede

aadirse a" tipo de intera9, de orma 7ue eth reisar> "os pa7uetes 7ueentren por cua"7uier tarEeta de red =thernet 6ambi5n es posib"e inertir e"signiicado de esta opci%n con ayuda de" s;mbo"o ^ #a ";nea tendr> unasinta4is parecida a -i ^ eth0, 7ue aceptar> "os pa7uetes de todas "as interaces=thernet por donde ""egan datos, e4cepto "a intera9 eth0

Comparaci%n -o, --out-interace

=Eemp"o iptab"es -A *O:LA:$ -o eth0

=4p"icaci%n

=sta comparaci%n se emp"ea con "os pa7uetes 7ue est>n a punto deabandonar "a intera9 de sa"ida 6en en cuenta 7ue esta comparaci%n s%"oest> disponib"e en "as cadenas O(6(6, *O:LA:$ y OS6:O(6'&, de

hecho son Eusto "as opuestas a "as de "a comparaci%n --in-interace Aparte de5sto, ambas uncionan pr>cticamente igua" #a e4tensi%n imp"ica comparar todas "as tarEetas de" mismo tipo, es decir eth contro"ar> todas "as tarEetaseth y de orma simi"ar "os dem>s casos ara inertir e" signiicado de "acomparaci%n puedes usar e" s;mbo"o ^ de "a misma orma 7ue en --in-interace Si no se especiica ninguna comparaci%n --out-interace, pordeecto se comparan todas "as tarEetas, independientemente de d%nde aya e" pa7uete

Comparaci%n -, --ragment

=Eemp"o iptab"es -A '(6 -  

$escripci%n

=sta comparaci%n se emp"ea para che7uear "a segunda y "a tercera partes deun pa7uete ragmentado #a ra9%n de e""o es 7ue cuando e4isten pa7uetesragmentados no hay manera de saber ni "as direcciones de origen/destino de"os pa7uetes, ni "os tipos C<, ni otros tantos deta""es necesarios Adem>s"os pa7uetes ragmentados pueden emp"earse en ciertos casos como armasde ata7ue contra otros ordenadores *ragmentos de pa7uetes como 5stos noser>n che7ueados por otras reg"as y por 5""o se ha creado esta comparaci%nComo iene siendo habitua", esta opci%n puede combinarse con e" s;mbo"o ^.sin embargo en este caso e" s;mbo"o debe preceder a "a comparaci%n, esdecir ^ - Cuando esta comparaci%n se inierte, se comparan s%"o "ascabeceras de "os pa7uetes y/o "os pa7uetes no ragmentados O "o 7ue es "o

mismo, en cua"7uier pa7uete ragmentado se comparar> e" primerragmento, pero no e" segundo, ni e" tercero, As;mismo se comparar>cua"7uier pa7uete no ragmentado durante "a transmisi%n :ecuerda 7uesiempre puedes usar "as muy buenas opciones de deragmentaci%n 7ue hayen e" n!c"eo or otra parte, si usas e" seguimiento de cone4iones te dar>scuenta 7ue no aparece ning!n pa7uete ragmentado, puesto 7ue se procesan"os ragmentos antes de 7ue ""eguen a cua"7uier tab"a o cadena de iptab"es

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 57/202

Com!araciones im!l8citas

=sta secci%n describe "as comparaciones 7ue se cargan imp";citamente, o sea, de ormatota"mente autom>tica, como por eEemp"o cuando se compara --protoco" tcp sin ning!ncriterio aadido Actua"mente hay tres grupos de comparaciones imp";citas, uno para cada

uno de "os tres protoco"os principa"es Son "as co#paracio"es TC! , co#paracio"es 0!  yco#paracio"es ,C!  =" grupo de comparaciones basadas en 6C contiene un conEunto decriterios singu"ares 7ue s%"o est>n disponib"es para "os pa7uetes 6C $e "a misma maneraact!an "os criterios de "os grupos para ($ e C< or otra parte, pueden habercomparaciones e4p";citas 7ue se carguen cuando se "es indica )e4p";citamente+ y"%gicamente estas comparaciones no son autom>ticas, si no 7ue debes especiicar"ascorrectamente ara 5sto deber>s emp"ear "a opci%n -m o --match, 7ue e4p"icar5 m>sade"ante

Com!araciones TCP=stas comparaciones son espec;icas de" protoco"o y s%"o est>n disponib"es a" trabaEar con pa7uetes y "uEos 6C ara emp"ear"as debes indicar --protoco" tcp en "a ";nea de comandosantes de empe9ar a uti"i9ar"as or e""o --protoco" tcp debe estar a "a i97uierda de "ascomparaciones espec;icas de" protoco"o Como ya se ha dicho, estas comparaciones secargan autom>ticamente

Table ><. Com!araciones TCP

Comparaci%n --sport, --source-port

=Eemp"o iptab"es -A '(6 -p tcp --sport 22$escripci%n =sta comparaci%n se emp"ea para comparar pa7uetes bas>ndose en su

direcci%n de origen Si no se indica nada se comparan todos "os puertosorigen #a comparaci%n puede tener un nombre de sericio o bien e" n!merode un puerto Si especiicas un nombre de sericio, 5ste debe e4istir en e"ichero 3etc3services, puesto 7ue iptab"es emp"ea este archio para interpretar "os nombres de "os sericios Si especiicas e" puerto por su n!mero, "a reg"ase cargar> "igeramente m>s r>pido, ya 7ue iptab"es no tiene 7ue buscar e"nombre de sericio Sin embargo, "a comparaci%n puede ""egar a ser un pocom>s di;ci" de "eer 7ue si emp"earas e" nombre de" sericio Si est>sescribiendo un conEunto de reg"as de 200 % m>s reg"as, ciertamente deber;asusar n!meros de puerto, puesto 7ue "a dierencia es rea"mente notab"e )enuna m>7uina "enta, esto puede signiicar hasta 10 segundos de dierencia sihas conigurado un conEunto de unas 1000 reg"as+ 6ambi5n puedes usar "acomparaci%n --source-port para comparar cua"7uier rango de puertos, como por eE --source-port 22M0, en 7ue se comparar>n "os pa7uetes 7ue proengan de "os puertos 22 a M0 Si se omite e" primer puerto de" rango, seasume 7ue 7uieres empe9ar por e" 0 )es una opci%n imp";cita+, o sea 7ue

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 58/202

--source-port M0 buscar> pa7uetes 7ue proengan de "os puertos 0 a M0 de"a misma orma, si e" !"timo puerto es e" 7ue se omite, imp";citamente se est>designando e" puerto H3. as;, --source-port 22 imp"icar> buscar pa7uetes7ue proengan de cua"7uier puerto entre e" 22 y e" H3 Si iniertes e"orden de "os puertos, si no "os especiicas de menor a mayor, iptab"es

interpreta autom>ticamente e" rango correcto si escribes --source-portM022, iptab"es interpretar> --source-port 22M0 or e""o, si por a"g!n motio"o 7ue rea"mente deseas es e" rango desde e" puerto M0 hasta e" H3 ydesde e" 0 a" 22 )"o 7ue puede entenderse por M022+, debes hacer uso de"s;mbo"o ^, con "o 7ue escribir>s --source-port ^ 23DB $ate cuenta 7ue a primera ista "a !nica dierencia es e" s;mbo"o de e4c"amaci%n, pero e"signiicado ar;a mucho )en este caso se ignoran todos "os puertos entre e"23 y e" DB, como dese>bamos+ As;mismo con --source-port ^ 22 secomparar>n todos "os pa7uetes e4cepto a7ue""os 7ue proengan de" puerto22 $ebes saber tambi5n 7ue esta comparaci%n no acepta puertos m!"tip"es orangos de puertos m!"tip"es separados por comas ara mayor inormaci%n

sobre este tema, "5ete "a e4tensi%n de comparaci%n mu"tipuertoComparaci%n --dport, --destination-port

=Eemp"o iptab"es -A '(6 -p tcp --dport 22

$escripci%n

=sta comparaci%n busca pa7uetes 6C bas>ndose en e" puerto de destino(ti"i9a "a misma sinta4is 7ue "a comparaci%n --source-port, por "o 7ue acepta puertos, rangos de puertos e inersiones 6ambi5n corriEe e" orden de "osrangos de puertos )M022 se "eer> 22M0+ y se asumen "os a"ores 0 y H3en caso de no indicar e" primer o e" !"timo puerto, respectiamente )M0 y22 , respectiamente+ =sta comparaci%n tampoco acepta puertos o rangosm!"tip"es separados por comas )para eso est> "a e4tensi%n de comparaci%n

mu"tipuerto+Comparaci%n --tcp-"ags

=Eemp"o iptab"es -p tcp --tcp-"ags S',*',ACJ S'

$escripci%n =sta comparaci%n busca en "as banderas )"ags+ de "os pa7uetes 6C araempe9ar "a comparaci%n "ee una "ista de banderas para comparar )unam>scara+ y despu5s "ee una "ista de banderas 7ue deben estar estab"ecidascon e" a"or 1, o sea estar actiadas Ambas "istas deben estar de"imitadas por comas #a comparaci%n reconoce "as banderas S', ACJ, *', :S6,(:& y SF, adem>s de interpretar "as pa"abras A## )todas+ y 'O'=)ninguna+ A## y 'O'= casi no necesitan e4p"icaci%n A## signiica 7ue se

deben emp"ear todas "as banderas, mientras 7ue 'O'= signiica no usarninguna bandera para "a comparaci%n $e a7u; 7ue --tcp-"ags A## 'O'=signii7ue 7ue se deben che7uear todas "as banderas 6C y comprobar sininguna de e""as est> actiada =sta opci%n tambi5n puede ser inertida pore" s;mbo"o ^, es decir, si se especiica ^ S',*',ACJ S', "o 7ue seobtiene es una comparaci%n 7ue bus7ue todos "os pa7uetes 7ue tenganactiados "os bits ACJ y *', pero no e" bit S' "a m>scara de b!s7uedainc"uye "as banderas S', *' y ACJ, por "o 7ue se che7uear>n s%"o estas

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 59/202

 banderas. entonces, si uera una b!s7ueda directa, se determinar;a si "a bandera S' est> actiada, a" contrario 7ue "as *' y ACJ, 7ue a" noinc"uirse en "a segunda "ista deber;an estar desactiadas. sin embargo, a" seruna comparaci%n inertida se buscar> 7ue *' y ACJ s; est5n actiadas y7ue S' no est5 actiada $ate cuenta tambi5n 7ue "as comas no deben

inc"uir espacios )puedes er "a sinta4is correcta en e" eEemp"o de arriba+Comparaci%n --syn

=Eemp"o iptab"es -p tcp --syn

$escripci%n

Se puede decir 7ue "a comparaci%n --syn es una re"i7uia de "os d;as deipchains y 7ue permanece para garanti9ar "a compatibi"idad con ieEas reg"asy para aci"itar "a transici%n de ipchains a iptab"es Se usa para comparar pa7uetes 7ue tengan actiado e" bit S' y 7ue no tengan actiados "os bitsACJ y :S6 =s decir, hace "o mismo 7ue "a comparaci%n --tcp-"agsS',:S6,ACJ S' =stos pa7uetes se emp"ean principa"mente paraso"icitar nueas cone4iones a un seridor Si b"o7ueas estos pa7uetes "o 7ue

consigues en "a pr>ctica es b"o7uear cua"7uier intento de cone4i%n desde e"e4terior Sin embargo, no habr>s b"o7ueado "as cone4iones hacia e" e4teriory este a""o es e" 7ue e4p"otan muchos ata7ues de hoy en d;a )por eE,hackear/romper "a integridad y seguridad de un sericio "eg;timo y a partirde ah; insta"ar un programa o eEecutab"e simi"ar 7ue permita iniciar unacone4i%n e4istente hacia tu host, en "ugar de abrir un nueo puerto en e"host+ =sta comparaci%n tambi5n puede ser inertida con e" s;gno dee4c"amaci%n )^+ de esta orma ^ --syn Rsto hace 7ue se recono9can "os pa7uetes con "os bits :S6 o ACJ actiados, o sea, "os pa7uetes de unacone4i%n ya estab"ecida

Comparaci%n --tcp-option

=Eemp"o iptab"es -p tcp --tcp-option 1H

$escripci%n

=sta comparaci%n se emp"ea para i"trar pa7uetes dependiendo de susopciones 6C (na Opci%n 6C )6C Option+ es una parte espec;ica de "acabecera de cada pa7uete 7ue consta de 3 campos dierentes =" primerotiene un tamao de M bits y nos dice 7u5 Opciones se emp"ean en e" "uEo ="segundo tambi5n es de M bits y nos dice 7u5 tamao tiene e" campo deopciones #a ra9%n para 7ue e4ista este campo indicando e" tamao es 7ue"as Opciones 6C son, a"ga "a redundancia, opciona"es ara seguir "osest>ndares no necesitamos imp"ementar todas "as opciones, sin% 7uesimp"emente podemos mirar 7u5 tipo de opci%n es y si "a soportamos, puesto

7ue de no soportar"a miraremos cu>" es e" tamao de" campo y entoncesignoraremos esta parte de "os datos de" pa7uete =sta comparaci%n se emp"ea para buscar dierentes opciones 6C dependiendo de sus a"ores decima"es6ambi5n puede ser inertido con ^, de orma 7ue "a comparaci%n bus7uetodas "as opciones pero ignore "a opci%n indicada ara er una "istacomp"eta con todas "as opciones 5cha"e un ista9o a  ,"ter"et '"+i"eeri"+Tas Force, 7ue mantiene una "ista de todos "os n!meros est>ndar emp"eadosen nternet

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 60/202

Com!araciones DP

=sta secci%n describe "as comparaciones 7ue s%"o trabaEar>n con pa7uetes ($ =n cuanto

especiicas "a comparaci%n --protoco" ($, "as opciones se cargan imp";citamente )sin 7uehaga a"ta indicar"as+ y autom>ticamente ya est>n disponib"es :ecuerda 7ue "os pa7uetes($ no est>n orientados a "a cone4i%n y por 5""o no e4isten banderas para estab"ecer sua"or en e" pa7uete de orma 7ue indi7uen cu>" es "a uti"idad de" datagrama )como abrir ocerrar una cone4i%n+ o si !nicamente siren para eniar datos As;mismo, tampocore7uieren ning!n tipo de reconocimiento si se pierden, simp"emente se han perdido )si notenemos en cuenta "os mensaEes de error C<+ Rsto signiica 7ue hay muchas menoscomparaciones con "as 7ue trabaEar en pa7uetes ($, comparados con "os pa7uetes 6CCabe destacar 7ue "a m>7uina de estados trabaEa con todo tipo de pa7uetes, a pesar de 7ue"os pa7uetes ($ e C< se entienden como protoco"os sin cone4i%n <>s a!n, "a m>7uinade estados trabaEa pr>cticamente igua" con "os pa7uetes ($ 7ue con "os 6C

Table >>. Com!araciones DP

Comparaci%n --sport, --source-port

=Eemp"o iptab"es -A '(6 -p udp --sport 3

$escripci%n

=sta comparaci%n trabaEa e4actamente igua" 7ue su hom%nima en 6C y seemp"ea para hacer comparaciones basadas en "os puertos ($ de origenAcepta rangos de puertos, puertos !nicos e inersiones, con "a mismasinta4is 7ue "o hace "a hom%nima en 6C para especiicar un rangoindicar>s e" puerto inicia" y e" ina" )por eE 22M0+, con "o cua" secomparar>n "os puertos ($ inc"u;dos entre ambos )desde e" 22 hasta e" M0,en e" eEemp"o+. si e" a"or inicia" se omite se asumir> e" a"or 0. si se omitee" puerto ina", se asume e" puerto H3. si e" puerto con a"or m>s a"to seindica antes 7ue e" puerto con a"or m>s baEo, iptab"es entender> e" rangoinerso )si se escribe M022, se entiende 22M0+ #as comparaciones con un!nico puerto ($ ser>n simi"ares a" eEemp"o inicia" ara inertir "ase"ecci%n de puertos, aade e" s;mbo"o de e4c"amaci%n ^, como en --source- port ^ 3 )con e""o se comparar>n todos "os puertos e4cepto e" 3+ #acomparaci%n puede interpretar nombres de sericios, siempre 7ue est5ndisponib"es en e" archio  3etc3services Sin embargo, no se aceptan puertosm!"tip"es ni rangos m!"tip"es separados por comas ara m>s inormaci%nsobre este tema "5ete "a e4tensi%n de comparaciones mu"tipuerto

Comparaci%n --dport, --destination-port

=Eemp"o iptab"es -A '(6 -p udp --dport 3

$escripci%n odemos decir "o mismo en 5sta y en "a comparaci%n anterior =se4actamente "o mismo 7ue su hom%nima en 6C, a e4cepci%n 7ue a7u; secomparan puertos ($ compara pa7uetes basados en su puerto ($ dedestino Acepta rangos de puertos, puertos !nicos e inersiones ara

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 61/202

reconocer un s%"o puerto, usar>s por eE --destination-port 3. en cambio, para inertir "a se"ecci%n usar>s --destination-port ^ 3 =n e" primer caso "acomparaci%n buscar> todos "os pa7uetes dirigidos a" puerto 3, mientras 7ueen e" segundo caso )e" inertido+ se buscar>n todos "os pa7uetes e4cepto "osdirigidos a" puerto 3 =n e" caso de un rango de puertos, puedes escribir

--destination-port M1B, con "o cua" se captar>n todos "os pa7uetes dirigidos a"os puertos comprendidos entre e" M y e" 1B Si se omite e" primer puerto, seasume e" a"or 0 Si por e" contrario se omite e" segundo, se asumir> e" a"orH3 Si se inierte e" orden de "os puertos )1BM+, e" programa "os reordenaautom>ticamente )se conierte en M1B+ =sta comparaci%n no admite puertosy rangos m!"tip"es )para e""o e4iste "a e4tensi%n de comparaci%nmu"tipuerto+

Com!araciones IC:P

#os pa7uetes C< son inc"uso m>s e;meros, tienen una ida m>s corta, 7ue "os pa7uetes($, dado 7ue no est>n orientados a "a cone4i%n =" protoco"o C< se usa principa"mente para comunicaci%n de errores, contro" de cone4iones y tareas simi"ares C< no es un protoco"o subordinado a" protoco"o , sin% m>s bien un protoco"o 7ue meEora a" protoco"o y "e ayuda a gestionar "os errores #as cabeceras de "os pa7uetes C< son muysimi"ares a "as cabeceras , pero presentan arias dierencias #a principa" caracter;stica deeste protoco"o es "a cabecera de tipo, "a cua" nos indica para 7u5 es e" pa7uete oreEemp"o, si intentamos acceder a una direcci%n inaccesib"e, norma"mente recibiremos unC< host unreachab"e )mensaEe C< de host ina"can9ab"e+ como respuesta ara er una"ista comp"eta de "os tipos C<, "ee e" ap5ndice Tipos ,C!  S%"o hay una comparaci%nespec;ica para pa7uetes C< y es de esperar 7ue sea suiciente con 5""a =sta

comparaci%n se carga imp";citamente a" emp"ear "a comparaci%n --protoco" C< ytenemos acceso a e""a autom>ticamente :ecuerda 7ue todas "as comparaciones gen5ricas se pueden usar con e""a, por "o 7ue nos podemos centrar en "as direcciones de origen y destino

Table >-. Com!araciones IC:P

Comparaci%n --icmp-type

=Eemp"o iptab"es -A '(6 -p icmp --icmp-type M

$escripci%n

=sta comparaci%n se usa para especiicar e" tipo C< a comparar #os tiposC< se pueden especiicar por su a"or num5rico o por su nombre #os

a"ores num5ricos est>n deinidos en e" :*C DB2 ara obtener un "istadocomp"eto de "os nombres C<, eEecuta iptab"es --protoco" icmp --he"p en "a";nea de comandos o mira en e" ap5ndice Tipos ,C!  =sta comparaci%ntambi5n puede ser inertida con e" s;mbo"o ^, como en --icmp-type ^ M 6enen cuenta 7ue a"gunos tipos C< est>n obso"etos, mientras 7ue otros pueden ser pe"igrosos para un host desprotegido, puesto 7ue pueden )entreotras cosas+ redirigir pa7uetes a "ugares incorrectos

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 62/202

Com!araciones e7!l8citas

#as comparaciones e4p";citas son a7ue""as 7ue se deben cargar espec;icamente con "aopci%n -m o --match or eE, "as comparaciones de estado e4igen aadir "a directia -mstate antes de introducir "a comparaci%n 7ue deseas usar A"gunas de estas comparaciones

 pueden ser espec;icas de un protoco"o Otras pueden ser independientes de "os protoco"os,como "as de "os estados de cone4i%n '=L )'(=O. e" primer pa7uete de una cone4i%n7ue toda;a no est> estab"ecida+, =S6A#SF=$ )=S6A#=C$O. una cone4i%n 7ue yaest> registrada en e" n!c"eo+, :=#A6=$ ):=#ACO'A$O. una nuea cone4i%n 7ue hasido creada por otra cone4i%n ya estab"ecida y m>s antigua+, etc =4isten unas cuantas, porotra parte, 7ue pueden haber eo"ucionado con prop%sitos e4perimenta"es o de prueba, osimp"emente para mostrar de 7u5 es capa9 iptab"es Rsto signiica 7ue no todas estascomparaciones tienen una ap"icaci%n directa o !ti" a primera ista Sin embargo es perectamente posib"e 7ue en tu caso concreto encuentres uti"idad a a"guna comparaci%nespec;ica Adem>s, cada e9 hay m>s con cada nuea ersi%n de iptab"es y 7ue "esencuentres uti"idad depender> en gran medida de tu imaginaci%n y tus necesidades #a

dierencia entre comparaciones cargadas imp";cita o e4p";citamente es 7ue "as imp";citas secargar>n autom>ticamente cuando, por eE, compares "as propiedades de "os pa7uetes 6C,mientras 7ue "as e4p";citas nunca se cargar>n autom>ticamente es tarea enteramente tuya7ue descubras y acties "as comparaciones e4p";citas

Com!aración L8mite

#a comparaci%n "imit )";mite o "imitaci%n+ debe ser cargada de orma e4p";cita mediante "aopci%n -m "imit Como eEemp"o t;pico, esta comparaci%n puede usarse para "imitar e"

registro de actiidad de reg"as espec;icas Rsto es, puedes comprobar 7ue "os pa7uetes nohayan e4cedido un determinado a"or, a partir de" cua" se "imita e" registro de ese eento encuesti%n magina un ";mite de tiempo puedes "imitar "as eces 7ue una reg"a puede sera"can9ada en un periodo de tiempo dado, como cuando 7uieres minimi9ar "os eectos de unata7ue de denegaci%n de sericio por desbordamiento ) oS + Rste es su principa" uso, pero hay m>s, por supuesto #a comparaci%n tambi5n puede ser inertida escribiendo e"s;mbo"o ^ antes de "a comparaci%n ";mite -m "imit ^ --"imit /s, 7ue 7uiere decir 7ue todos"os pa7uetes se comparar>n despu5s de sobrepasar e" ";mite de eces por segundo

ara amp"iar "a e4p"icaci%n, se puede decir 7ue es b>sicamente como un monederoirtua" Consideremos un monedero de" 7ue sacamos T monedas para gastar y a" 7ueintroducimos monedas cada cierto tiempo T se deine dependiendo de cu>ntos pa7uetesrecibimos 7ue concuerdan con "a comparaci%n, por "o 7ue suponiendo 7ue son 3 pa7uetes,sacaremos de" monedero 3 monedas en esa unidad de tiempo #a opci%n --"imit nos dicecon cu>ntos pa7uetes )monedas+ re""enaremos e" monedero por unidad de tiempo, mientras7ue --"imit-burst indica "a cantidad de monedas inicia"es de" monedero, as; como cu>ntas deesas monedas admite e" monedero As; pues, escribiendo --"imit 3/minute --"imit-burst ,crearemos un monedero con monedas. si recibimos a continuaci%n pa7uetesseguidos 7ue concuerden con "a comparaci%n, como resu"tado e" monedero se aciar>6ras 20 segundos, e" monedero se re""ena con otra moneda )recordemos 7ue se re""ena a

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 63/202

ra9%n de 3 por minuto+ y a ese ritmo seguir> re""en>ndose hasta 7ue se a"cance e" topeimpuesto por e" --"imit-burst o hasta 7ue sean usadas y e" monedero ue"a a estar ac;o

amos a er otro eEemp"o a"go m>s rea"ista para ac"arar meEor e" uncionamiento

1 Creamos una reg"a 7ue contenga "a siguiente comparaci%n -m "imit --"imit /second--"imit-burst 10/second =" contador se estab"ece con un a"or inicia" de 10 Cada pa7uete 7ue coincida con e" i"tro de "a reg"a resta una unidad a" contador

2 :ecibimos una serie de pa7uetes )1-2-3-G--H-D-M-B-10+ 7ue coinciden con "a reg"a,todos 5""os en 1/1000 de segundo

3 Ahora e" contador est> a cero )ac;o+ y "os pa7uetes 7ue coincidan con "a reg"a noser>n i"trados por 5sta y sa"tar>n a "a siguiente reg"a si e4iste, o en caso de noe4istir seguir>n "a po";tica por deecto de "a cadena

G or cada 1/ de segundo sin pa7uetes 7ue coincidan, e" contador aumenta unaunidad hasta e" a"or m>4imo de 10 1 segundo despu5s de haber recibido "os 10 pa7uetes anteriores, o"eremos a aceptar hasta pa7uetes seguidos

por supuesto, e" contador ir> descontando 1 unidad por cada pa7uete correcto 7uese reciba

Table >@. O!ciones de com!aración l8mite

Comparaci%n --"imit

=Eemp"o iptab"es -A '(6 -m "imit --"imit 3/hour 

$escripci%n

<ediante esta opci%n se estab"ece e" a"or m>s a"to de" ratio medio decomparaciones positias para "a comparaci%n "imit Se especiica medianteun a"or num5rico y un a"or opciona" de medida de" tiempo #as unidadesde tiempo aceptadas actua"mente son /second )segundo+, /minute)minuto+, /hour )hora+ y /day )d;a+ =" a"or por deecto es de 3 cada hora, o"o 7ue es "o mismo 3/hour As; pues, con esta opci%n se consigue indicar a"imit cu>ntas eces se "e permite actuar a "a comparaci%n por unidad detiempo )por cada minuto, por eE+

Comparaci%n --"imit-burst

=Eemp"o iptab"es -A '(6 -m "imit --"imit-burst

$escripci%n <ediante esta opci%n "e dices a iptab"es e" n!mero m>4imo de pa7uetes 7ueconcuerden con "a comparaci%n en un tiempo determinado =ste n!mero )"acantidad de pa7uetes 7ue han ""egado a "a comparaci%n+ disminuye en unaunidad por cada unidad de tiempo )deinida por "a opci%n --"imit+ en 7ue e"eento no se presenta )no ""ega ning!n pa7uete+, hasta ""egar a" a"or m;nimo)1+ Si se repite e" eento )empie9an a ""egar pa7uetes+, e" contador se aincrementando hasta 7ue ""ega a" tope estab"ecido por --"imit-burst, para

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 64/202

o"er a empe9ar )si no ""egan pa7uetes e" contador disminuye, mientras 7uecuando an ""egando aumenta hasta e" umbra" deinido por --"imit-burst+ ="a"or por deecto es #a manera m>s simp"e de comprobar c%mo uncionaesta opci%n es uti"i9ando e" eEemp"o  8i#it-#atc*.txt  Con 5" podr>scomprobar por t; mismo c%mo unciona simp"emente eniando pings a

dierentes intera"os de tiempo y con dierentes a"ores tope 6odas "asrespuestas de eco )echo rep"ies+ ser>n b"o7ueadas hasta 7ue se ue"a aa"can9ar e" umbra" ";mite

Com!aración :AC

#a comparaci%n <AC )=thernet <edia Access Contro", o contro" de acceso a tarEetas=thernet+ se usa para comparar pa7uetes en unci%n de su direcci%n <AC de origen ?<ACsource address. 5sta es "a direcci%n ;sica de "a tarEeta de red =thernet se trata de un c%digoregistrado en e" hard8are de "a tarEeta 7ue "a hace !nica rente a todas "as dem>s tarEetas

abricadas y por abricar, es decir, no deber;a haber dos tarEetas =thernet con "a mismadirecci%n <AC@ or ahora esta comparaci%n est> un poco "imitada, aun7ue en e" uturo es posib"e 7ue eo"ucione y sea m>s !ti" nsistamos un poco esta comparaci%n SQ#Ocompara pa7uetes en unci%n de su direcci%n <AC de O:&='

6en en cuenta 7ue para usar este m%du"o "o cargamos e4p";citamente con "a opci%n-m mac digo 5sto por7ue mucha gente se pregunta si "a opci%n correcta nodeber;a ser -m mac-source, pero no es e" caso

Table >9. O!ciones de la com!aración :AC

Comparaci%n --mac-source

=Eemp"o iptab"es -A '(6 -m mac --mac-source 000000000001

$escripci%n

Como ya se ha dicho, esta comparaci%n se emp"ea para buscar pa7uetes bas>ndose en su direcci%n <AC de origen #a direcci%n <AC indicada debetener e" siguiente aspecto ::::: , pues de "o contrario noser;a correcta )e" programa "a considerar;a una direcci%n i"ega"+ #acomparaci%n tambi5n puede ser inertida con ^, y se parecer> a --mac-source^ 000000000001 =n este eEemp"o se aceptar>n todos "os pa7uetes

e4cepto a7ue""os 7ue proengan de "a tarEeta =thernet especiicada )"a 7uetenga "a direcci%n <AC 000000000001+ 6en en cuenta 7ue "asdirecciones <AC s%"o se emp"ean en "as redes de tipo =thernet, por "o 7ues%"o ser> iab"e emp"ear "a comparaci%n con tarEetas =thernet Adem>s, s%"oser> >"ida en "as cadenas :=:O(6'&, *O:LA:$ e '(6 y enninguna m>s

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 65/202

Com!aración :ark 

=sta e4tensi%n se emp"ea para comparar pa7uetes bas>ndose en "as marcas 7ue tenganestab"ecidas (na marca )mark+ es un campo especia" mantenido por e" n!c"eo, 7ue seasocia a "os pa7uetes mientras iaEan por e" ordenador #as marcas pueden usarse por

dierentes rutinas de" n!c"eo para tareas como "a coniguraci%n y e" i"trado de" tr>ico Foy por hoy s%"o e4iste una manera de estab"ecer una marca en #inu4 y 5sta es mediante e"obEetio <A:J en iptab"es Anteriormente se estab"ec;a con e" obEetio *L<A:J deipchains y por 5""o hay gente 7ue toda;a se reiere a *L<A:J en tareas aan9adas deenrutado =" campo marca se estab"ece mediante un n!mero entero positio de entre "osG2BGBHD2BH a"ores posib"es en un entorno de 32 bits O sea, 7ue es m>s bien di;ci" 7ue puedas erte "imitado por este a"or durante bastante tiempo

Table >1. O!ciones de la com!aración de marca

Comparaci%n --mark 

=Eemp"o iptab"es -t mang"e -A '(6 -m mark --mark 1

$escripci%n

=mp"eamos "a comparaci%n para buscar pa7uetes 7ue hayan sido marcadoscon anterioridad #as marcas pueden estab"ecerse gracias a" obEetio<A:J, 7ue ser> tratado en "a pr%4ima secci%n 6odos "os pa7uetes 7ueatraiesan 'eti"ter reciben un campo de marca )mark ie"d+ especia" y seasocian a 5" Cabe destacar 7ue este mark ie"d no se propaga ni dentro niuera de" pa7uete, sin% 7ue permanece en e" ordenador 7ue "o cre% Si e"campo marca coincide con "a marca, entonces hay concordancia =" campomarca es un n!mero entero positio, por "o 7ue pueden haber un m>4imo deG2BGBHD2BH marcas dierentes )en entornos de 32 bits+ 6ambi5n puedesuti"i9ar una m>scara en "a marca, con "o cua" su aspecto se podr> parecer a--mark 1/1 Si se especiica "a m>scara se eectuar> una suma "%gica )A'$+con "a marca especiicada antes de eEecutar "a comparaci%n

Com!aración :ulti!uerto

#a e4tensi%n mu"tiport se emp"ea para especiicar puertos m!"tip"es y rangos de puertosm!"tip"es Si no tui5ramos "a unciona"idad de esta comparaci%n, necesitar;amos escribirm!"tip"es reg"as de" mismo tipo simp"emente para comparar dierentes puertos no contiguos)7ue no se pueden especiicar mediante un rango+

 'o puedes emp"ear "a comparaci%n est>ndar de puertos Eunto a "a comparaci%nm!"tip"e de puertos en "a misma reg"a. por eE, no puedes escribir --sport102GH333 -m mu"tiport --dport 21,23,M0, puesto 7ue simp"emente nouncionar>n "as dos a "a e9, sin% 7ue iptab"es eEecutar> e" primer e"emento de "areg"a e ignorar> e" otro )en este caso ignorar> "a comparaci%n mu"tipuerto+

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 66/202

Table >11. O!ciones de com!aración multi!uerto

Comparaci%n --source-port

=Eemp"o iptab"es -A '(6 -p tcp -m mu"tiport --source-port 22,3,M0,110

$escripci%n

<ediante esta comparaci%n se buscar>n "os puertos de origen indicados, 7ueser>n como m>4imo 1 #os puertos se de"imitar>n mediante comas, comoen e" eEemp"o #a comparaci%n s%"o se puede emp"ear conEuntamente con "ascomparaciones -p tcp o -p udp >sicamente es una ersi%n amp"iada de "acomparaci%n est>ndar --source-port

Comparaci%n --destination-port

=Eemp"o iptab"es -A '(6 -p tcp -m mu"tiport --destination-port 22,3,M0,110

$escripci%n

$e "a misma orma 7ue "a anterior, se comparan puertos m!"tip"es, aun7ueesta e9 son "os puertos de destino de "os pa7uetes 6ambi5n presenta e"";mite de una "ista con un m>4imo de 1 puertos y s%"o puede uti"i9arse Euntoa -p tcp o -p udp

Comparaci%n --port

=Eemp"o iptab"es -A '(6 -p tcp -m mu"tiport --port 22,3,M0,110

$escripci%n

=sta e4tensi%n puede emp"earse para comparar pa7uetes bas>ndose en su puerto de origen/destino *unciona igua" 7ue "as dos anteriores, con "asmismas "imitaciones, pero con "a dierencia de 7ue s%"o se aceptar>n pa7uetes 7ue proengan y se destinen a" mismo puerto. en e" eEemp"oestar;amos hab"ando de pa7uetes 7ue proengan de" puerto 22 y ayan a" puerto 22, proengan de" 3 y ayan a" 3, etc

Com!aración Pro!ietario )O4ner*

#a e4tensi%n o8ner se emp"ea para comparar pa7uetes en unci%n de "a identidad de" proceso 7ue "os cre% Se puede especiicar como "a identiicaci%n )$+ de" proceso de"usuario 7ue eEecut% "a orden en cuesti%n. este usuario puede ser e" grupo, e" proceso, "asesi%n o e" comando en s; mismo =sta e4tensi%n se cre% origina"mente para demostrar de7u5 es capa9 iptab"es #a comparaci%n o8ner s%"o unciona en "a cadena O(6(6 porra9ones obias es pr>cticamente imposib"e encontrar a"guna inormaci%n sobre "a identidadde" proceso 7ue eni% e" pa7uete desde e" otro e4tremo y menos a!n si e4iste a"g!n puntointermedio entre e" origen y e" destino nc"uso en "a cadena O(6(6 no tiene uncomportamiento muy iab"e, pues ciertos pa7uetes pueden no tener un propietario )comoocurre por eEemp"o con "as dierentes respuestas C<, ya 7ue 5stas nunca ser>n aceptadas por "a comparaci%n+

Table >1'. O!ciones de com!aración de !ro!ietario

Comparaci%n --uid-o8ner 

=Eemp"o iptab"es -A O(6(6 -m o8ner --uid-o8ner 00

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 67/202

$escripci%n

=n esta comparaci%n se aceptar>n todos "os pa7uetes 7ue hayan sidogenerados por e" usuario especiicado )en ing"5s se hab"a de (ser $ o ($,siendo 00 "a $ de" eEemp"o+ As; pues, con esta reg"a podemos i"trar pa7uetes dependiendo de" usuario 7ue "os haya creado (na uti"idad podr;aser b"o7uear cua"7uier intento de abrir una cone4i%n uera de" cortauegos,

siempre 7ue e" usuario no sea e" administrador )superuser, su o root+Otro posib"e uso ser;a b"o7uear a cua"7uier usuario 7ue intente eniar pa7uetes por e" puerto F66 e4cepto a" usuario http )con "o 7ueminimi9amos "os ata7ues de troyanos 7ue trabaEen a tra5s de ese puerto+

Comparaci%n --gid-o8ner 

=Eemp"o iptab"es -A O(6(6 -m o8ner --gid-o8ner 0

$escripci%n

=n este caso se compara e" grupo a" 7ue pertenece e" usuario 7ue crea e" pa7uete )en ing"5s, &roup $ o &$+ Con esta opci%n podemos b"o7uear atodos "os usuarios 7ue no pertene9can a" grupo net8ork, de orma 7ue s%"o5stos !"timos puedan acceder a nternet. o como ya se ha dicho antes,

 permitir s%"o a "os miembros de" grupo http crear pa7uetes 7ue sa"gan por e" puerto F66

Comparaci%n --pid-o8ner 

=Eemp"o iptab"es -A O(6(6 -m o8ner --pid-o8ner DM

$escripci%n

=n este caso se comparan "os pa7uetes en unci%n de" n!mero de proceso7ue "o gener% )en ing"5s, rocess $ o $+ =sta comparaci%n es un pocom>s comp"icada de usar, pero un eEemp"o podr;a ser a" 7uerer "imitar e"en;o de pa7uetes por e" puerto F66 suponiendo 7ue e" proceso n!meroDM )$ DM+ sea e" !nico 7ue debe tener permiso, escribiendo "a reg"a de"eEemp"o "o "ograr;amos, eso s;, siempre y cuando este proceso no est5

diidido en arios procesos para"e"os )threaded+ ara aci"itar "as cosas, podemos escribir un pe7ueo script 7ue capte e" $ de" demonio deseadodesde "a sa"ida generada por e" comando ps y cree una reg"a para ese $ Amodo de eEemp"o tienes una reg"a en !id-ow"er.txt 

Comparaci%n --sid-o8ner 

=Eemp"o iptab"es -A O(6(6 -m o8ner --sid-o8ner 100

$escripci%n Como en e" resto de" grupo, esta comparaci%n busca pa7uetes bas>ndose en"a identiicaci%n de sesi%n emp"eada por e" programa 7ue genera "os pa7uetes )en ing"5s, Session $ o S$+ =" a"or de" S$ de un proceso es e"de" proceso mismo y todos "os subprocesos creados a partir de 5" =stos

subprocesos pueden ser procesos para"e"os )threads+ o hiEos de" procesoorigina" A modo de eEemp"o, en un e7uipo con e" F66$ diidido en procesos para"e"os, todos estos procesos F66$ hiEos deber;an tener e"mismo S$ 7ue su proceso padre )e" proceso F66$ origina"+. "a mayor;ade "os demonios F66$ uncionan de esta manera, como Apache y :o4en, por citar a"guno ara mostr>rte"o tienes a tu disposici%n un pe7ueo script""amado Sid-ow"er.txt  Con unos cuantos reto7ues este script podr;aeEecutarse cada hora de orma 7ue compruebe si e" F66$ rea"mente est>

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 68/202

en marcha, arranc>ndo"o si no es as; y en ese caso modiicandoadecuadamente "a cadena O(6(6

Com!aración de 2stado

#a e4tensi%n state )estado+ se emp"ea conEuntamente con e" c%digo de seguimiento decone4iones )connection tracking+ de" n!c"eo #a comparaci%n de estado accede a "am>7uina de seguimiento de cone4iones y aerigua en 7u5 estado se encuentra e" pa7ueteRste procedimiento unciona con pr>cticamente todos "os protoco"os, inc"uyendo a7ue""os7ue no poseen estado, como e" C< y e" ($ =n cua"7uier caso por deecto habr> unintera"o de espera para "a cone4i%n, a partir de" cua" ser> e"iminada de "a base de datos deseguimiento de cone4iones #a comparaci%n se debe cargar e4p";citamente aadiendo -mstate a "a reg"a, teniendo acceso a partir de entonces a una nuea comparaci%n ""amadaestado =" concepto de comparaci%n de estado se trata en proundidad en e" cap;tu"o  8a#;$%i"a de estados, ya 7ue es un tema bastante e4tenso

Table >1. Com!araciones de 2stado

Comparaci%n --state

=Eemp"o iptab"es -A '(6 -m state --state :=#A6=$,=S6A#SF=$

$escripci%n

=sta opci%n "e indica a "a comparaci%n state )estado+ 7u5 pa7uetes deben sercomparados, en unci%n de sus estados or ahora hay G estados 7ue puedanser uti"i9ados 'A#$, =S6A#SF=$, '=L y :=#A6=$ )in>"ido,estab"ecido, nueo y re"acionado, respectiamente+ 'A#$ imp"ica 7uee" pa7uete no est> asociado a ning!n "uEo o cone4i%n conocida y 7ue puede

contener datos o cabeceras err%neas =S6A#SF=$ indica 7ue e" pa7uete pertenece a una cone4i%n ya estab"ecida, tota"mente >"ida y 7ue ha istoun "uEo de pa7uetes en ambas direcciones '=L signiica 7ue e" pa7uete hacreado o est> creando una nuea cone4i%n, o 7ue est> asociado a unacone4i%n 7ue toda;a no ha isto pa7uetes en ambas direcciones or!"timo, :=#A6=$ es para pa7uetes 7ue empie9an una nuea cone4i%n peroest>n asociados a otra cone4i%n ya estab"ecida )como puede ocurrir en unatranserencia de datos *6, o en un error C< asociado a una cone4i%n6C o ($+ 6en en cuenta 7ue e" estado '=L ignora "os bits S' en "os pa7uetes 6C 7ue est>n intentando empe9ar una nuea cone4i%n, por "o 7ueno debe ser usado sin modiicar en "os casos en 7ue e4ista s%"o un

cortauegos y no haya ba"ance de carga entre dierentes cortauegos Sinembargo, pueden haber circunstancias donde 5sto sea !ti" ara mayorinormaci%n sobre c%mo uti"i9ar"o, "ee e" cap;tu"o 8a #;$%i"a de estados

Com!aración TO=

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 69/202

#a comparaci%n 6OS puede emp"earse para comparar pa7uetes bas>ndose en su campo6OS )6OS ie"d+ 6OS es "a abreiatura de 6ype O Serice )6ipo de Sericio+, tiene untamao de M bits y se encuentra en "as cabeceras =sta comparaci%n se cargae4p";citamente cuando aadimos -m tos a "a reg"a =" 6ipo de Sericio se sue"e usar parainormar a "os hosts intermedios por "os 7ue an pasando "os pa7uetes de "a ""egada de un

"uEo y de su contenido )bueno, en rea"idad no hace eso, pero inorma sobre cua"7uierre7uerimiento espec;ico de" "uEo, como por eE si tiene 7ue reeniarse "o m>s r>pidamente posib"e, o si necesita 7ue se "e permita contener tanta inormaci%n como sea posib"e+ $e7u5 manera maneEen "os routers y administradores esa inormaci%n depende e4c"usiamentede 5""os #a mayor;a "a ignora, mientras 7ue a"gunos intentan maneEar "os "uEos y datos de"a manera m>s acorde a "a inormaci%n de" 6OS

Table >15. Com!araciones TO=

Comparaci%n --tos

=Eemp"o iptab"es -A '(6 -p tcp -m tos --tos 041H

$escripci%n

=sta comparaci%n se usa ta" como se ha descrito y puede i"trar pa7uetes enunci%n de su campo 6OS y "a inormaci%n 7ue contiene Rsto es de uti"idad,entre otras cosas, a" trabaEar conEuntamente con iproute2 y con uncionesaan9adas de #inu4, marcando pa7uetes para un uso posterior #acomparaci%n reconoce como opci%n un a"or he4adecima" o tambi5nnum5rico, aun7ue posib"emente tambi5n acepte uno de "os nombresresu"tantes de eEecutar iptab"es -m tos -h =n e" momento de escribir e"tutoria", se reconocen "os siguientes nombres/a"ores/a"ores he4adecima"es<inimi9e-$e"ay 1H )0410+, <a4imi9e-6hroughput M )040M+, <a4imi9e-:e"iabi"ity G )040G+, <inimi9e-Cost 2 )0402+ y 'orma"-Serice 0 )0400+<inimi9e-$e"ay se reiere a minimi9ar e" retardo en dar curso a "os pa7uetes)eEemp"os de sericios est>ndar 7ue "o re7uieren son te"net, SSF y *6-contro"+ <a4imi9e-6hroughput imp"ica un rendimiento tan grande como sea posib"e )un protoco"o est>ndar podr;a ser *6-data+ <a4imi9e-:e"iabi"ity pide 7ue se ma4imice "a iabi"idad de una cone4i%n y 7ue se emp"een ";neastan iab"es como sea posib"e )por eE para OO6 y 6*6+ <inimi9e-Cost pide 7ue se minimice e" coste de pa7uetes 7ue atraiesan cada ;ncu"ointermedio hasta e" c"iente o e" seridor )por eE encontrando "a ruta 7uecueste menos de atraesar. a"gunos protoco"os 7ue podr;an re7uerir 5sto son:6S ):ea" 6ime Stream Contro" rotoco"+ y otros protoco"os de transportede "uEos de ideo/radio+ 'orma"-Serice, por !"timo, podr;a serir paracua"7uier protoco"o 7ue no tenga necesidades especia"es

Com!aración TTL

#a comparaci%n 66# se emp"ea para i"trar pa7uetes en unci%n de su campo 66# )6ime 6o#ie, tiempo de ida+, e" cua" se encuentra en "as cabeceras =ste campo contiene M bitsde datos y su a"or a disminuyendo en una unidad cada e9 7ue e" pa7uete es procesado

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 70/202

 por un host intermedio entre e" host origen y e" destinatario Si e" a"or 66# ""ega a ser 0, setransmite a" remitente un mensaEe inorm>ndo"e de" prob"ema =ste mensaEe es un C<tipo 11 c%digo 0 )e" 66# ha tomado a"or nu"o durante e" tr>nsito+ o c%digo 1 )e" 66# hatomado a"or nu"o durante e" reensamb"aEe+ =sta comparaci%n !nicamente eect!a uni"trado dependiendo de" a"or de" 66# de "os pa7uetes, pero sin cambiar nada ara cargar

esta comparaci%n, necesitas aadir -m tt" a "a reg"aTable >1<. Com!araciones TTL

Comparaci%n --tt"

=Eemp"o iptab"es -A O(6(6 -m tt" --tt" H0

$escripci%n

Con esta opci%n se especiica e" a"or 66# a comparar =ste a"or ser> detipo num5rico y se comparar> con e" a"or presente en cada uno de "os pa7uetes 'o hay inersi%n posib"e y no hay otras opciones A modo deeEemp"o, se puede emp"ear para eectuar che7ueos en busca de a""os )debug+en tu red "oca", como podr;an ser hosts de "a red "oca" 7ue parecen tener prob"emas para conectar con otros hosts situados en nternet. o tambi5n se puede emp"ear para encontrar posib"es troyanos 7ue se hayan introducido entu red Sin embargo su uso es re"atiamente "imitado y su uti"idad depende principa"mente de tu imaginaci%n or eEemp"o, se pueden encontrar hostscon a"ores anorma"es de 66# )debidos posib"emente a una pi"a 6C/ ma"imp"ementada, o a una simp"e ma"a coniguraci%n+

Com!aración 6nclean6 )6sucio6*

#a comparaci%n unc"ean no tiene opciones y s%"o necesita 7ue sea cargada e4p";citamentecuando 7uieras usar"a Sin embargo, debes tener en cuenta 7ue se considera e4perimenta" y puede 7ue no uncione bien en todo momento, as; como tampoco se preocupar> de todos"os pa7uetes sucios o todos "os prob"emas #a comparaci%n unc"ean intenta i"trar pa7uetes 7ue parecen ma"ormados o inusua"es, como a7ue""os pa7uetes con cabecerasincorrectas, checksums )sumas de eriicaci%n+ incorrectos, =ste i"tro puede uti"i9arse, por eEemp"o, para desechar )$:O+ cone4iones y para buscar "uEos incorrectos. pero debesrecordar 7ue a" no uncionar siempre correctamente, puede cortar cone4iones correctas o"ega"es

Ob;eti"osB=altos )Tar#etsBum!s*

Cuando "a comparaci%n de una reg"a encuentra un pa7uete 7ue coincide con "as condiciones7ue impone )ta" como hemos isto hasta ahora+, se recurre a" obEetio/sa"to d%nde se "eindica a "a reg"a 7u5 debe hacer con ese pa7uete Fay dos obEetios b>sicos 7ue trataremos primero ACC=6 y $:O, pero antes de empe9ar eamos breemente c%mo se eect!a unsa"to

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 71/202

#a orden de sa"to se eEecuta de "a misma manera 7ue "a orden de obEetio, e4cepto en 7ue e"sa"to necesita 7ue e4ista una cadena dentro de "a misma tab"a a "a 7ue pueda dirigirse aracrear una cadena, ta" como ya se ha e4p"icado, se uti"i9a e" comando -' or eEemp"o,supongamos 7ue 7ueremos crear una cadena en "a tab"a i"ter ""amada tcpWpackets, por "o7ue escribiremos

i!tables "& tc!!ackets

 

A partir de entonces podremos reerirnos a esa cadena para eectuar un sa"to siempre 7ue "onecesitemos

i!tables ") %&98( "! tc! "j tc!!ackets

 

$e esta orma todos "os pa7uetes 6C sa"tar>n desde "a cadena '(6 hasta "a cadenatcpWpackets y ser>n i"trados por 5""a Si a"g!n pa7uete ""ega a" ina" de "a cadena y no ha

habido una concordancia )e" pa7uete no presenta coincidencias con "as reg"as de "a cadena+,o"er> a "a cadena origina" )en nuestro caso "a cadena '(6+ Eusto despu5s de "a reg"a7ue origin% e" sa"to y seguir> pasando por e" resto de reg"as de esta cadena or e" contrario,si a"guna de "as reg"as de "a cadena tcpWpackets acepta )ACC=6+ "os pa7uetes, 5stoseectuar>n e" sa"to/obEetio de "a reg"a y seguir>n su curso por e" resto de cadenas, sin pasarnunca por e" resto de reg"as de "a cadena de origen )'(6+ ara mayor inormaci%n dec%mo "os pa7uetes atraiesan "as tab"as y cadenas, "5ete e" cap;tu"o  travesa"do tablas ycade"as

or otra parte, "os obEetios especiican "a acci%n a eEecutar con e" pa7uete en cuesti%n As;,se podr> aceptar )ACC=6+ o desechar )$:O+ e" pa7uete dependiendo de "o 7ue

7ueramos hacer =4isten adem>s otra serie de acciones 7ue podemos 7uerer hacer con e" pa7uete, y "as describiremos m>s ade"ante $ebes tener en cuenta 7ue sa"tar a un obEetio puede dar dierentes resu"tados, dependiendo de" 7ue se trate A"gunos obEetios har>n 7uee" pa7uete deEe de atraesar una cadena espec;ica y todas "as superiores a 5""a, como se hadescrito antes )buenos eEemp"os de 5""o son $:O y ACC=6+ "as reg"as 7ue son paradasno pasar>n ninguna reg"a m>s, ni de esa misma cadena, ni de ninguna cadena superior a5""a )superiores ser>n a7ue""as 7ue han producido sa"tos hacia "a cadena actua" "a cadena A produce un sa"to a "a cadena y 5sta !"tima a "a cadena C, donde e" pa7uete se para ena"guna reg"a y por tanto deEa de atraesar "a cadena C y sus superiores, "a A y "a + OtrosobEetios pueden eectuar a"guna acci%n sobre e" pa7uete, despu5s de" cua" 5ste continuar> pasando por e" resto de reg"as or eEemp"o tenemos "os obEetios #O&, (#O& y 6OS con

5""os podemos registrar "os pa7uetes, modiicar"os y despu5s pas>rse"os a otras reg"as en e"mismo conEunto de cadenas odemos 7uerer hacer 5sto para, por eEemp"o, poder modiicartanto e" a"or de" 66# como e" de" 6OS de un pa7uete/"uEo espec;ico A"gunos obEetiosaceptan opciones adiciona"es )7u5 a"or 6OS uti"i9ar, +, mientras otros no necesitanopciones ob"igatoriamente )aun7ue se puedan inc"uir si se desea, como ocurre con "os preiEos de "os registros, "os puertos 7ue se enmascarar>n, + ntentaremos inc"uir todosestos puntos ta" como describamos "os obEetios, as; 7ue empecemos a er 7u5 tipo deobEetios hay

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 72/202

Ob;eti"o ACC2PT

=ste obEetio no necesita ninguna opci%n adiciona" =n cuanto "a especiicaci%n de "a

comparaci%n es satisecha por un pa7uete y se indica ACC=6 )aceptar+ como obEetio, "areg"a se acepta y e" pa7uete no contin!a atraesando ni "a cadena actua", ni cua"7uier otrade "a misma tab"a Adierte sin embargo 7ue un pa7uete 7ue haya sido aceptado por unacadena toda;a podr;a atraesar "as cadenas de otras tab"as y podr;a ser desechado en 5""asara emp"ear este obEetio no hay m>s 7ue indicar -E ACC=6

Ob;eti"o DNAT

=" obEetio $'A6 se emp"ea para eectuar traducciones de direcciones de red de destino

)$estination 'et8ork Address 6rans"ation+, 7ue signiica 7ue se emp"ea para reescribir "adirecci%n %9 de destino de un pa7uete Con este obEetio en "a reg"a, en cuanto un pa7uete coincide con "a comparaci%n, 5" y todos "os pa7uetes pertenecientes a ese mismo"uEo de datos er>n modiicada su direcci%n de destino y ser>n redirigidos a "ared/host/dispositio adecuado =ste obEetio puede ser e4tremadamente !ti" cuando, por eE,tienes un host eEecutando e" seridor 8eb dentro de una red "oca" ) 8& +, pero sin una rea" 7ue orecer"e y 7ue sea >"ida en nternet =ntonces puedes indicar"e a" cortauegos 7uecuando ""eguen pa7uetes dirigidos a su propio puerto F66 "os reen;e hacia e" seridor8eb rea" dentro de "a red "oca" 6ambi5n se pueden especiicar todo un rango de direcciones de destino y e" mecanismo $'A6 escoger> a"eatoriamente "a direcci%n de destino para cada "uEo de datos <ediante este sistema seremos capaces de abordar una especie de

 ba"ance de cargaObsera 7ue e" obEetio $'A6 s%"o est> disponib"e en "as cadenas :=:O(6'& yO(6(6 de "a tab"a nat, as; como a7ue""as cadenas a "as 7ue "as dos anteriores hayandirigido un sa"to )es decir, cua"7uier cadena a "a 7ue se haya sa"tado desde una de "as dosmencionadas+ nsistimos en 7ue "as cadenas 7ue contengan obEetios $'A6 no puedenusarse desde otras cadenas, como podr;a ser e" caso de "a cadena OS6:O(6'&

Table >1>. Ob;eti"o DNAT

Opci%n --to-destination

=Eemp"o iptab"es -t nat -A :=:O(6'& -p tcp -d 1G23HD --dport M0 -E $'A6--to-destination 1B21HM11-1B21HM110

$escripci%n #a opci%n --to-destination "e indica a" mecanismo $'A6 7u5 de $estinoestab"ecer en "a cabecera y d%nde eniar "os pa7uetes 7ue concuerden cone" i"tro =" eEemp"o anterior eniar> todos "os pa7uetes destinados a "adirecci%n 1G23HD a un rango de direcciones 8& , en este caso e" rango1B21HM11 a 1B21HM110 6en en cuenta 7ue, ta" como se ha dicho, un "uEo

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 73/202

concreto siempre usar> e" mismo host, mientras 7ue a cada "uEo se "e asignar>a"eatoriamente una direcci%n a "a 7ue siempre ser>n destinados todos "os pa7uetes de ese "uEo 6ambi5n se podr;a haber especiicado una so"adirecci%n , en cuyo caso siempre estar;amos conectados a" mismo host6ambi5n podemos aadir un puerto o rango de puertos a "os 7ue ser>

redirigido e" tr>ico ara e""o s%"o tenemos 7ue aadir e" puerto o rango de puertos despu5s de , como en --to-destination 1B21HM11M0 para un puerto !nico, o como en --to-destination 1B21HM11M0-100 para un rango de puertos Como puedes er, "a sinta4is es "a misma para "os obEetios $'A6 yS'A6, aun7ue es eidente 7ue "os resu"tados de uno y otro son tota"mentedierentes or otra parte, "as especiicaciones de puertos s%"o son >"idas ena7ue""as reg"as d%nde se especii7uen "os protoco"os 6C o ($ en "a opci%n--protoco"

uesto 7ue e" obEetio $'A6 e4ige bastante trabaEo para uncionar correctamente, hedecidido amp"iar "a e4p"icaci%n sobre c%mo usar"o ara empe9ar estudiaremos un pe7ueo

eEemp"o acerca de c%mo deber;an hacerse "as cosas norma"mente 7ueremos pub"icarnuestro sitio 8eb aproechando nuestra cone4i%n a nternet, aun7ue s%"o tenemos unadirecci%n y e" seridor F66 se encuentra en nuestra red interna =" cortauegos tiene "adirecci%n e4terna '=6W, nuestro seridor F66 tiene "a direcci%n internaF66W y por !"timo e" cortauegos tiene "a direcci%n interna #A'W #o primero7ue hay 7ue hacer es aadir "a siguiente reg"a a "a cadena :=:O(6'& de "a tab"a nat

i!tables "t nat ") 9-,-G8(%&C ""dst $%&,(%9 "! tc! ""d!ort 40 "j /&)(""to"destination $A((9%9 

$esde ahora todos "os pa7uetes 7ue proengan de nternet y se diriEan a" puerto M0 denuestro cortauegos, ser>n redirigidos a nuestro seridor F66 interno Si "o compruebasdesde nternet, todo deber;a uncionar perectamente ero, [7u5 ocurre cuando intentasconectar desde un host de "a misma red "oca" a "a 7ue pertenece e" seridor F66\Senci""o, simp"emente no podr>s =n rea"idad 5ste es un prob"ema de enrutadocomen9aremos estudiando "o 7ue ocurre en e" caso norma" ara mantener "a estructura de"eEemp"o, consideremos 7ue "a m>7uina e4terna tiene una direcci%n =T6WOT

1 =" pa7uete deEa e" host )con =T6WOT+ 7ue 7uiere conectar con "a p>gina 8eb para dirigirse a '=6W

2 =" pa7uete ""ega a" cortauegos3 =" cortauegos eect!a "a traducci%n $'A6 en e" pa7uete y "o en;a a tra5s de"

resto de cadenas

G =" pa7uete deEa e" cortauegos y iaEa hacia F66W

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 74/202

=" pa7uete ""ega a" seridor F66 y "a m>7uina F66 responde a tra5s de"cortauegos )siempre 7ue "a base de datos de enrutado tenga deinido e" cortauegoscomo e" puente entre "a red "oca" y =T6WOT+ =n genera" 5ste ser> e" puente pordeecto de" seridor F66

H =" cortauegos deshace "a traducci%n 7ue hab;a hecho con $'A6 sobre e" pa7uete,de orma 7ue parece 7ue es e" cortauegos e" 7ue responde

D =" pa7uete de respuesta iaEa de ue"ta a" c"iente =T6WOT

Ahora consideremos 7u5 ocurre si e" pa7uete se origina en un c"iente de "a misma red a "a7ue pertenece e" seridor F66 =" c"iente tiene "a direcci%n #A'WOT, mientras e"resto de m>7uinas mantienen "os mismos a"ores )nombres+

1 =" pa7uete deEa #A'WOT para dirigirse a '=6W

2 =" pa7uete ""ega a" cortauegos3 =" pa7uete sure "a traducci%n $'A6 y todas "as acciones necesarias se toman en

consecuencia, si bien a" pa7uete no se "e eect!a ninguna traducci%n S'A6 ymantiene "a misma direcci%n de origen

G =" pa7uete sa"e de" cortauegos y a"can9a e" seridor F66

=" seridor F66 intenta responder a" pa7uete y obsera en "as bases de datos deenrutado 7ue e" pa7uete iene de una m>7uina "oca" de "a misma red, por "o 7ueintenta eniar e" pa7uete directamente a "a direcci%n de origen )7ue a partir de ese

momento se conierte en "a direcci%n de destino+H =" pa7uete ""ega a" c"iente, 7ue no sabe 7u5 hacer puesto 7ue e" pa7uete deue"to no

 proiene de" host a" 7ue eni% "a petici%n origina" or 5""o e" c"iente desecha e" pa7uete y contin!a esperando "a respuesta aut5ntica

#a so"uci%n m>s simp"e para este prob"ema es eectuar "a traducci%n S'A6 a todos "os pa7uetes 7ue entren a" cortauegos y a "os 7ue sabemos 7ue tambi5n se "es a a ap"icar "atraducci%n $'A6 or eE, consideremos "a siguiente reg"a amos a eectuar una traducci%nS'A6 a "os pa7uetes 7ue entren a" cortauegos y est5n destinados a F66W en e" puertoM0, de orma 7ue parecer> 7ue proengan de #A'W Rsto or9ar> a" seridor F66 adeo"er "os pa7uetes a tra5s de" cortauegos, 7ue inertir> "a traducci%n $'A6 y "osreeniar> a" c"iente #a reg"a ser> a"go as;

i!tables "t nat ") 9G'(-G8(%&C "! tc! ""dst $A((9%9 ""d!ort 40 "j '&)( 7""to"source $*)&%9

 

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 75/202

:ecuerda 7ue "a cadena OS6:O(6'& se procesa en !"timo "ugar, despu5s de" resto decadenas, por "o 7ue e" pa7uete ser> retraducido cuando ""egue a esa cadena espec;ica or 5""o comparamos "os pa7uetes en unci%n de su direcci%n interna

=sta !"tima reg"a aectar> seriamente e" registro de actiidades, por "o 7ue esa"tamente recomendab"e no emp"ear este m5todo, si bien e" eEemp"o toda;a es>"ido para a7ue""os 7ue no pueden permitirse crear una 9ona desmi"itari9ada)$<N+ espec;ica o a"go parecido #o 7ue ocurrir> es 7ue e" pa7uete ""egar> desdenternet, sus direcciones ser>n traducidas por S'A6 y por $'A6, ""egando porin a" seridor F66 )por eEemp"o+ =" seridor s%"o er> una petici%n 7ue ienede" cortauegos y, por tanto, registrar> todas "as peticiones de nternet como siinieran de" cortauegos

6ambi5n pueden haber consecuencias m>s serias iensa en un seridor S<6 de"a red "oca" 5ste admite peticiones desde "a red interna y tienes conigurado e"

cortauegos de orma 7ue rediriEa e" tr>ico S<6 hacia e" seridor #o 7ue hascreado en "a pr>ctica es un seridor S<6 uniersa" ?en ing"5s se ""ama openre"ay S<6 serer, es decir, un seridor de correo 7ue acepta serir mensaEes 7ueno ha escrito ning!n usuario "oca", ni an destinados a ning!n usuario "oca"@, ]conun registro de eentos horroroso^

As; pues, ser> meEor 7ue resue"as estos prob"emas conigurando un seridor $'Sdistinto y separado para tu red "oca", o creando una 9ona desmi"itari9ada)$e<i"itari9ed None, $<N+ separada de "a red interna =sta !"tima opci%n es "a preerida, si es 7ue tienes e" dinero necesario para 5""o

[Crees 7ue ya est> todo so"ucionado\ ueno, por ahora s;, sa"o 7ue consideres un !"timoaspecto dentro de todo este cuadro [Ku5 pasar;a si e" cortauegos intenta acceder a"seridor F66\ [$%nde ir> a parar\ Como puede suponerse, intentar> acceder a su propioseridor F66 y no a" seridor 7ue hay en F66W ara corregir este prob"emanecesitamos aadir una reg"a $'A6 m>s a "a cadena O(6(6 Siguiendo con e" eEemp"oanterior, "a reg"a podr;a 7uedar as;

i!tables "t nat ") G8(98( ""dst $%&,(%9 "! tc! ""d!ort 40 "j /&)( 7""to"destination $A((9%9

 

Con esta !"tima reg"a todo deber;a uncionar perectamente todas a7ue""as redes 7ue no pertene9can a "a misma red de" seridor F66 uncionar>n como "a seda. todos "os hosts de"a misma red de" seridor F66 podr>n conectar sin tropie9os. por !"timo, e" cortauegosser> capa9 de eectuar cone4iones por s; mismo 6odo unciona bien y no tiene por 7u5haber ning!n tipo de prob"ema

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 76/202

Cabe destacar 7ue estas reg"as s%"o contro"an c%mo se eect!an "as traducciones$'A6 y S'A6 or 5""o, 7ui9> necesites otras reg"as en "a tab"a i"ter )en "acadena *O:LA:$+ para 7ue "os pa7uetes puedan atraesar e" resto de cadenas 'o o"ides 7ue todos "os pa7uetes han pasado primero por "a cadena

:=:O(6'& y pueden haber cambiado sus direcciones de destino debido a"$'A6 de esta !"tima cadena

Ob;eti"o DROP

=" obEetio $:O )desechar+ hace precisamente 5so desechar o tirar pa7uetes y no gastar ni !n segundo m>s de trabaEo de" procesador en 5""os (n pa7uete 7ue ""egue a una reg"a,coincida e4actamente con e" patr%n de b!s7ueda de "a comparaci%n y sea desechado, ser>inmediatamente b"o7ueado 6en en cuenta 7ue esta acci%n puede ""egar a tener en

determinadas ocasiones un eecto no deseado, ya 7ue puede deEar sockets )cone4iones host-hard8are+ muertos en cua"7uier host (na so"uci%n m>s acertada, cuando se puedan darestas circunstancias, es usar e" obEetio :=I=C6 )recha9ar+, especia"mente si 7uieresimpedir 7ue "os esc>ners de puertos recoEan demasiada inormaci%n priada, como 7u5 puertos tienes i"trados y otros deta""es o"iendo a" obEetio, si se eect!a "a acci%n $:Oa un pa7uete dentro de una subcadena, este pa7uete ya no ser> procesado en ninguna de "ascadenas principa"es de ninguna tab"a e" pa7uete estar> muerto de inmediato y, como yase ha dicho antes, e" obEetio no eniar> ninguna inormaci%n en ninguna direcci%n, nisi7uiera a intermediarios como "os routers )se puede decir 7ue a partir de "a acci%n dedesechar e" pa7uete es como si 5ste nunca hubiera e4istido+

Ob;eti"o LO0

=" obEetio #O& se ha diseado especia"mente para registrar inormaci%n deta""ada sobre"os pa7uetes Rsto podr;a considerarse i"ega", o simp"emente como una orma de buscardeectos y a""os =ste obEetio orece inormaci%n espec;ica sobre "os pa7uetes, como "amayor;a de "as cabeceras y otros datos considerados interesantes Rsto se consigue atra5s de" sericio de registro de" n!c"eo, norma"mente sys"ogd, y puede ser "e;dadirectamente con "os registros de dmesg, o bien mediante otros programas =s un obEetioe4ce"ente para depurar y ainar tus conEuntos de reg"as, puesto 7ue puedes er 7u5 pa7uetes

an d%nde y 7u5 reg"as se ap"ican en 7u5 pa7uetes 6ambi5n puede ser una gran idea usar e"obEetio #O& en "ugar de" obEetio $:O mientras est>s testeando una reg"a de "a 7ue noest>s seguro a" 100U en un cortauegos en sericio 7ue est5 usando m>s gente, pues unerror en e" conEunto de reg"as puede causar prob"emas seeros de conectiidad a todos "osusuarios si est>s generando un registro rea"mente e4tenso, puede 7ue encuentresinteresante e" obEetio (#O&, ya 7ue puede escribir "os registros directamente en bases dedatos como "as de <ySK#

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 77/202

Si obtienes registros de eentos directamente en panta""a y no es 5so "o 7ue7uieres, no bus7ues e" prob"ema en iptab"es o en 'eti"ter, sin% m>s bien en "aconiguraci%n de tu sys"ogd )"o m>s probab"e es 7ue e" prob"ema est5 en e" icheroetcsyslog.conf+ ara inormaci%n sobre este tipo de prob"ema, rep>sate "a

ayuda escribiendo en "a ";nea de comando man sys"ogcon

=" obEetio #O& hoy por hoy tiene opciones 7ue pueden ser interesantes si necesitasinormaci%n espec;ica, o si 7uieres estab"ecer dierentes opciones con a"ores espec;icos#as e4p"icamos a continuaci%n

Table >1-. O!ciones del ob;eti"o LO0

Opci%n --"og-"ee"

=Eemp"o iptab"es -A *O:LA:$ -p tcp -E #O& --"og-"ee" debug

$escripci%n

=sta es "a opci%n con "a 7ue "e indicas a iptab"es y a sys"og 7u5 nie" deregistro uti"i9ar ara er una "ista comp"eta de nie"es de registro, "5ete e"manua" de syslog.conf 'orma"mente se presentan "os siguientes nie"es deregistro )o prioridades, como norma"mente se "es sue"e ""amar+ debug, ino,notice, 8arning, 8arn, err, error, crit, a"ert, emerg y panic =" nie" error es e"mismo 7ue err, 8arn es "o mismo 7ue 8arning y panic es "o mismo 7ueemerg Sin embargo "a primera opci%n de cada pareEa se considera obso"eta yest> condenada a desaparecer, por "o 7ue no uses error, 8arn ni panic #a prioridad deine "a seeridad de" mensaEe registrado 6odos "os mensaEes seregistran a tra5s de" sericio orecido por e" n!c"eo O sea 7ue escribiendo

kernYino /ar/"og/iptab"es en tu ichero syslog.conf y deEando acontinuaci%n 7ue todos tus mensaEes de #O& de iptab"es usen e" nie" deinormaci%n de registro )ino+, causar> 7ue todos "os mensaEes apare9can en e"ichero :arlogi!tables :ecuerda 7ue tambi5n pueden haber otrosmensaEes de otras partes de" n!c"eo 7ue uti"icen "a prioridad de inormaci%nSi 7uieres conocer m>s deta""es acerca de" registro, te recomiendo 7ue "eas "osmanua"es de sys"og y syslog.conf, as; como otros CO<Os )FOL6Os+ yayudas pub"icadas en nternet

Opci%n --"og-prei4

=Eemp"o iptab"es -A '(6 -p tcp -E #O& --"og-prei4 '(6 packets

$escripci%n=sta opci%n "e dice a iptab"es 7ue aada un preiEo espec;ico a todos "osmensaEes de" registro, "o cua" es !ti" a" emp"ear ap"icaciones como grep paraeectuar un seguimiento de prob"emas espec;icos y de registros generados por dierentes reg"as =" preiEo puede tener hasta 2B caracteres, inc"uyendoespacios en b"anco y otros caracteres especia"es

Opci%n --"og-tcp-se7uence

=Eemp"o iptab"es -A '(6 -p tcp -E #O& --"og-tcp-se7uence

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 78/202

$escripci%n

=sta opci%n aadir> "os n!meros de "a Secuencia 6C )6C Se7uence+ a cadamensaEe registrado =" n!mero de "a Secuencia 6C es un n!mero especia"7ue identiica a cada pa7uete e indica d%nde encaEa dentro de una secuencia6C, adem>s de c%mo debe ser reensamb"ado un "uEo 6en en cuenta 7ue estaopci%n constituye un riesgo de seguridad si "os registros pueden ser "e;dos por 

usuarios no autori9ados o hasta por e" resto de" mundo $e "a misma orma esun riesgo e" acceso no autori9ado a cua"7uier registro 7ue contenga datosgenerados por iptab"es

Opci%n --"og-tcp-options

=Eemp"o iptab"es -A *O:LA:$ -p tcp -E #O& --"og-tcp-options

$escripci%n

=sta opci%n registra "as dierentes opciones presentes en "as cabeceras de "os pa7uetes 6C y puede ser !ti" cuando se intentan depurar "os a""os o "o 7ue pudiera ""egar a ir ma" #a opci%n no tiene ninguna ariab"e ni nada parecido,como "e ocurre a "a mayor;a de opciones de #O&

Opci%n --"og-ip-options

=Eemp"o iptab"es -A *O:LA:$ -p tcp -E #O& --"og-ip-options

$escripci%n

Con "a opci%n --"og-ip-options registraremos "a mayor;a de opciones presentesen "as cabeceras de "os pa7uetes 6rabaEa e4actamente igua" 7ue "a opci%n--"og-tcp-options, sa"o por7ue trabaEa sobre "as opciones Rsto puede ser!ti" a" tratar de depurar o perseguir determinados de"incuentes, adem>s de para corregir errores )de "a misma orma 7ue "a anterior opci%n+

Ob;eti"o :AR 

=" obEetio <A:J se usa para estab"ecer marcas )marks+ de 'eti"ter asociadas a pa7uetesespec;icos =ste obEetio s%"o es >"ido en "a tab"a mang"e y no uncionar> uera de 5""a#os a"ores de "as marcas pueden usarse conEuntamente con "as capacidades de enrutadoaan9ado de #inu4, de orma 7ue se en;en dierentes pa7uetes por dierentes rutas y 7ue se"es pueda indicar 7ue usen dierentes discip"inas para hacer co"a )7disc+, ara mayorinormaci%n acerca de" enrutado aan9ado, p>sate por 8i"%x dva"ced Ro%ti"+ a"d TrafficCo"trol <O(-TO 6en en cuenta 7ue e" a"or de "a marca no se estab"ece en e" pa7uetemismo, sin% 7ue es un a"or asociado a" pa7uete dentro de" n!c"eo $icho de otro modo no puedes esperar 7ue estab"eciendo una <A:Ja en un pa7uete, ese a"or permane9ca enotro host Si es 5so "o 7ue buscas, meEor mira en e" obEetio 6OS, 7ue modiicar> e" a"or6OS de "a cabecera

Table >1@. O!ciones del ob;eti"o :AR 

Opci%n --set-mark  

=Eemp"o iptab"es -t mang"e -A :=:O(6'& -p tcp --dport 22 -E <A:J --set-mark 2

$escripci%n #a opci%n --set-mark se necesita para estab"ecer una marca, 7ue tomar> una"or entero or eEemp"o, podemos estab"ecer una marca con un a"or 2 en

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 79/202

un "uEo espec;ico de pa7uetes, o en todos "os pa7uetes de un host espec;ico,y eectuar un enrutado aan9ado sobre ese "uEo/host para incrementar odisminuir e" ancho de banda de "a red,

Ob;eti"o :A=E2RAD2

=" obEetio <ASK(=:A$= se usa b>sicamente de "a misma orma 7ue e" obEetio S'A6, pero sin re7uerir ninguna opci%n --to-source #a ra9%n es 7ue e" obEetio <ASK(=:A$=se cre% para trabaEar, por eE, con cone4iones te"e%nicas est>ndar )dia"-up+, o concone4iones $FC, 7ue obtienen direcciones din>micas a" conectar a "a red en cuesti%nRsto 7uiere decir 7ue s%"o debes usar e" obEetio <ASK(=:A$= con cone4iones asignadas din>micamente, en "as 7ue antes de conectar con e" S no sabemos "a direcci%n7ue tendremos Si tienes una cone4i%n est>tica, debes emp"ear e" obEetio S'A6 en su"ugar

=nmascarar una cone4i%n signiica 7ue estab"eces "a direcci%n uti"i9ada por una tarEetade red espec;ica, en "ugar de uti"i9ar "a opci%n --to-source, por "o 7ue "a direcci%n seobtiene autom>ticamente de "a inormaci%n de "a tarEeta espec;ica =" obEetio<ASK(=:A$= tambi5n tiene "a particu"aridad de 7ue "as cone4iones se o"idan, se pierden, cuando una intera9 se iene abaEo )o como se sue"e decir, se cue"ga+, "o cua" ese4tremadamente bueno si matamos una intera9 espec;ica =n este caso, si hubi5ramosuti"i9ado e" obEetio S'A6, podr;amos haber ""egado a tener un mont%n de datos ieEos deseguimiento de cone4i%n, 7ue podr;an haber estado "otando por "a memoria durante d;as,deorando casi toda "a memoria de seguimiento de cone4iones As; pues e"enmascaramiento es, en genera", "a opci%n adecuada a" trabaEar con ";neas te"e%nicasest>ndar, d%nde probab"emente se nos asignar> una dierente cada e9 7ue conectemos

=n estos casos a" desconectar "a cone4i%n se pierde tota"mente, puesto 7ue se nos asignauna dierente a" reconectar, por "o 7ue resu"ta bastante tonto mantener "as entradase4istentes de" seguimiento de cone4iones

A pesar de todo, es posib"e usar e" obEetio <ASK(=:A$= en "ugar de" S'A6 aun7uetengas una est>tica, si bien no es coneniente puesto 7ue genera un gasto e4tra derecursos y pueden haber uturas inconsistencias 7ue desbaratar>n tus scripts y "os har>nin!ti"es

:ecuerda 7ue e" obEetio <ASK(=:A$= s%"o es >"ido en "a cadena OS6:O(6'& de"a tab"a nat, igua" 7ue e" obEetio S'A6 Adem>s, e" obEetio <ASK(=:A$= acepta una

opci%n, aun7ue 5sta sea opciona"

Table >19. Ob;eti"o :A=E2RAD2

Opci%n --to-ports

=Eemp"oiptab"es -t nat -A OS6:O(6'& -p 6C -E <ASK(=:A$= --to-ports102G-31000

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 80/202

$escripci%n

#a opci%n --to-ports se uti"i9a para estab"ecer e" puerto o puertos origen de "os pa7uetes sa"ientes uedes especiicar un so"o puerto, como en --to-ports102, o puedes especiicar un rango de puertos, como en --to-ports 102G-3000)con "os puertos inicia" y ina" de" rango separados por un gui%n+ =sta ormade indicar"o diiere de "a se"ecci%n por deecto de S'A6, ta" como se describe

en Ob=etivo S&T  #a opci%n --to-ports s%"o es >"ida si en "a reg"a seespeciican "os protoco"os 6C o ($ mediante "a comparaci%n --protoco"

Ob;eti"o :IRROR 

=" obEetio <::O: es !nicamente e4perimenta" y de demostraci%n, por "o 7ue est>saisado para no uti"i9ar"o puede dar como resu"tado buc"es ininitos )entre otras "inde9as+7ue desembo7uen en serias $enegaciones de Sericio )$enia" o Serice, $oS+ =steobEetio se emp"ea para inertir "os campos de origen y destino en "a cabecera y despu5sretransmitir e" pa7uete =sto puede crear eectos rea"mente diertidos y apuesto a 7ue

gracias a este obEetio m>s de un endemoniado cracker ha penetrado en su propioordenador =" resu"tado de uti"i9ar este obEetio es simp"e, por decir"o de a"guna maneradigamos 7ue estab"ecemos un obEetio <::O: para e" puerto M0 de" ordenador A y e"host )7ue proiene de yahoocom+ 7uiere acceder a" seridor F66 de" host A. en estascondiciones e" obEetio <::O: deo"er> a" host de yahoo "a p>gina 8eb de su propioseridor F66 en ahoocom

$ebes tener en cuenta 7ue e" obEetio <::O: s%"o es >"ido cuando se uti"i9a en "ascadenas '(6, *O:LA:$ y :=:O(6'&, as; como en a7ue""as cadenas deinidas por uno mismo y 7ue sean ""amadas desde a"guna de "as anteriores cadenas Adem>s, "os pa7uetes sa"ientes deriados de este obEetio no pasan por ninguna de "as cadenas norma"es

de "as tab"as i"ter, nat o mang"e, "o 7ue puede dar "ugar a buc"es ininitos y un rosario de prob"emas 7ue pueden deriar en do"ores de cabe9a impreistos or eEemp"o, un host puede eniar un pa7uete camu"ado )spooed+ con un 66# de 2 a otro host 7ue uti"ice e"obEetio <::O:, de orma 7ue pare9ca 7ue e" pa7uete iene de un tercer host 7uetambi5n usa e" obEetio <::O:. como consecuencia e" pa7uete ir> y o"er> de une4tremo a" otro incesantemente, hasta 7ue se comp"eten e" n!mero de sa"tos )hops+deinidos. si s%"o hay un sa"to entre hosts, e" pa7uete ir> y endr> 2G0-2 eces )no est>ma" para un cracker, pues eniando 1, kbytes de datos ser> capa9 de consumir 3M0 kbytesde "a cone4i%n. siempre teniendo en cuenta 7ue 5ste ser;a e" meEor resu"tado para e" cracker,script kiddie, noato, o como 7uiera ""am>rse"e+

Ob;eti"o E22

=" obEetio K(=(= se emp"ea para poner en co"a "os pa7uetes dirigidos a programas yap"icaciones de" =spacio de (suario Se usa con programas o uti"idades 7ue son e4ternos aiptab"es y puede uti"i9arse, por eE, en contabi"idad de red, o con ap"icaciones espec;icas yaan9adas 7ue i"tren o den sericios de cach5 )pro4y+ a "os pa7uetes 'o desarro""aremos

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 81/202

este obEetio en proundidad, puesto 7ue "a programaci%n de esas ap"icaciones e4cede "osobEetios de este tutoria" para empe9ar costar;a mucho tiempo y adem>s esadocumentaci%n no tendr;a nada 7ue er con "a programaci%n de 'eti"ter e iptab"es. todo5sto deber;a estar perectamente descrito en CO<O rogramar 'eti"ter  ) 'eti"terFacking FOL-6O+

Ob;eti"o R2DIR2CT

=" obEetio :=$:=C6 sire para redirigir pa7uetes y "uEos hacia "a m>7uina Rsto 7uieredecir 7ue podemos redirigir todos "os pa7uetes destinados a "os puertos F66 hacia uncach5 F66 como s7uid, o hacia nuestro host #os pa7uetes generados "oca"mente sonmapeados a "a direcci%n 12D001, o "o 7ue es "o mismo, se reescribe "a direcci%n dedestino con "a de nuestro host en "os pa7uetes 7ue son reeniados o acciones simi"ares ="obEetio :=$:=C6 es e4tremadamente recomendab"e si 7ueremos un sericio de cach5

transparente, donde "os hosts de "a red "oca" ni si7uiera adierten 7ue e4iste un cach5)pro4y+

Como iene siendo habitua", este obEetio s%"o unciona en determinadas cadenas, 7ue eneste caso son :=:O(6'& y O(6(6, ambas de "a tab"a nat As;mismo, tambi5n es>"ido en cua"7uier cadena creada por e" usuario, siempre 7ue sea ""amada por una de "asanteriores cadenas en cuanto a "as posib"es opciones, se reducen a una

Table >'. Ob;eti"o R2DIR2CT

Opci%n --to-ports

=Eemp"o iptab"es -t nat -A :=:O(6'& -p tcp --dport M0 -E :=$:=C6 --to-portsM0M0

$escripci%n

#a opci%n --to-ports especiica e" puerto o rango de puertos de destino 7ue sedebe usar Sin esta opci%n, e" puerto de destino nunca se modiica Sideseamos especiicar un so"o puerto, escribiremos --to-ports M0M0, mientras7ue si deseamos un rango de puertos escribiremos --to-ports M0M0-M0B0. eneste !"timo caso "e estamos indicando a" obEetio :=$:=C6 7ue rediriEa "os pa7uetes a "os puertos comprendidos entre e" M0M0 y e" M0B0 Comosupondr>s, esta opci%n s%"o est> disponib"e en a7ue""as reg"as 7ueespecii7uen e" protoco"o 6C o bien e" ($ con "a comparaci%n --protoco", puesto 7ue no tendr;a sentido en ning!n otro "ugar

Ob;eti"o R22CT

=" obEetio :=I=C6 )recha9ar+ unciona b>sicamente igua" 7ue e" obEetio $:O, aun7ueen este caso s; 7ue se deue"e un mensaEe de error a" host 7ue eni% e" pa7uete b"o7ueado=" obEetio :=I=C6, hoy por hoy, s%"o es >"ido en "as cadenas '(6, *O:LA:$ y

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 82/202

O(6(6 o sus sub-cadenas. despu5s de todo, son "as !nicas cadenas donde tiene sentidouti"i9ar este obEetio $e momento s%"o hay una opci%n 7ue modii7ue su orma de trabaEar, pero en cambio tiene un mont%n de ariab"es d%nde escoger )"a mayor;a son >ci"es deentender, siempre 7ue tengas un conocimiento b>sico sobre 6C/+

Table >'1. Ob;eti"o R22CT

Opci%n --reEect-8ith

=Eemp"o iptab"es -A *O:LA:$ -p 6C --dport 22 -E :=I=C6 --reEect-8ith tcp-reset

$escripci%n

=sta opci%n "e indica a :=I=C6 7u5 respuesta deo"er a" host 7ue en;a e" pa7uete 7ue estamos recha9ando (na e9 tenemos un pa7uete 7ue coincidecon "a comparaci%n de una reg"a en "a 7ue hemos especiicado este obEetio,"o primero 7ue hara nuestro host es eniar "a respuesta asociada y entonces sedesechar> e" pa7uete, ta" como "o desechar;a e" obEetio $:O Foy por hoytenemos disponib"es "os siguientes tipos de recha9o icmp-net-unreachab"e,icmp-host-unreachab"e, icmp-port-unreachab"e, icmp-proto-unreachab"e,icmp-net-prohibited y icmp-host-prohibited =" mensaEe de error por deecto7ue se deue"e a" host es port-unreachab"e 6odos "os mensaEes anterioresson mensaEes de error C< y pueden deinirse a tu gusto uedes encontrarinormaci%n acerca de sus ariados prop%sitos en e" ap5ndice Tipos ,C! 6ambi5n tenemos "a opci%n echo-rep"y, aun7ue s%"o se puede usar con reg"as7ue capten pa7uetes C< ping ?cuando e" host A hace ping sobre e" host ,"o 7ue intenta saber es si est> disponib"e, si )en principio+ podr;a contactarcon 5"@ or !"timo hay una opci%n m>s ""amada tcp-reset, 7ue s%"o puedeusarse Eunto a" protoco"o 6C =sta opci%n "e dice a :=I=C6 7ue en;e un pa7uete 6C :S6 como respuesta #os pa7uetes 6C :S6 se emp"ean paracerrar de una orma e"egante cone4iones 6C abiertas Si 7uieres saber m>ssobre 6C :S6 "5ete este documento RFC 79 - !rotocolo de Co"trol deTra"s#isio"es 6a" como se describe en e" manua" de iptab"es )man iptab"es+,e" principa" uso de esta opci%n es b"o7uear sondeos )pruebas+ deidentiicaci%n, cosa 7ue ocurre recuentemente a" eniar correo a seridoresde correo ma" conigurados, 7ue de otra orma no aceptar>n tu correo

Ob;eti"o R2TRN

=" obEetio :=6(:' har> 7ue e" pa7uete 7ue est> atraesando una cadena pare a""; donde

se encuentre con e" obEetio. si est> en una sub-cadena, e" pa7uete continuar> atraesando"a cadena superior desde donde "a deE%. si, por e" contrario, es una cadena principa" )ta"como "a cadena '(6+, se eEecutar> "a po";tica por deecto sobre e" pa7uete #a po";tica por deecto norma"mente est> deinida como ACC=6, $:O o a"go simi"ar

or eEemp"o, un pa7uete entra en "a cadena '(6 y ""ega a una reg"a en "a 7ue coincidecon su comparaci%n y 7ue tiene deinida "a acci%n --Eump CA$='AW$=W=I=<#O comoobEetio. como consecuencia e" pa7uete empe9ar> a atraesar "a CA$='AW$=W=I=<#O

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 83/202

hasta 7ue ""egue a una reg"a donde coincida con "a comparaci%n y cuyo obEetio sea --Eump:=6(:'. entonces o"er> a "a cadena '(6 y seguir> desde "a reg"a siguiente a "a 7ue produEo e" sa"to Otro eEemp"o ser;a 7ue e" pa7uete ""egara a una reg"a de "a cadena '(6y se "e ap"icara "a acci%n --Eump :=6(:', a consecuencia de "o cua" se "e ap"icar;ainmediatamente "a po";tica por deecto y abandonar;a esta cadena, para seguir por e" resto

de cadenas de "a tab"a, si "as hay

Ob;eti"o =NAT

=" obEetio S'A6 se emp"ea para eectuar "as traducciones de direcci%n de red de origen)Source 'et8ork Address 6rans"ation+, "o cua" imp"ica 7ue este obEetio reescribir> "adirecci%n de origen en "a cabecera de" pa7uete )5sto es deseab"e cuando arios hoststienen 7ue compartir una cone4i%n a nternet+ As; pues, podemos actiar e" reen;o de pa7uetes a nie" de n!c"eo y escribir una reg"a S'A6 7ue cambiar> "a direcci%n de

origen de todos "os pa7uetes 7ue sa"gan de "a red "oca", por "a direcci%n de origen denuestra cone4i%n a nternet Si no se eectuara esta traducci%n, e" mundo e4terior no sabr;ad%nde eniar "os pa7uetes de respuesta, puesto 7ue "a mayor;a de "as redes internas uti"i9an"as direcciones especiicadas por e" A'A para "as redes "oca"es Si "os pa7uetes ""egaranta" cua", nadie sabr;a 7ui5n "os ha eniado =" obEetio S'A6 eect!a todas "as traduccionesnecesarias para ""ear a cabo esa tarea, haciendo 7ue todos "os pa7uetes 7ue sa"gan de "a red"oca" pare9ca 7ue sa"en de un host concreto )por eE e" cortauegos+

=" obEetio S'A6 s%"o es >"ido en "a tab"a nat y dentro de "a cadena OS6:O(6'&S%"o e" primer pa7uete de una cone4i%n es modiicado por S'A6, despu5s de" cua" todos"os pa7uetes pertenecientes a "a misma cone4i%n ser>n modiicados de "a misma manera

7ue e" primero e" primer pa7uete ""ega a" cortauegos y entra en "a tab"a nat, d%nde pasa en primer "ugar por "a cadena :=:O(6'& y se "e modiica "a direcci%n de destino con$'A6. a continuci%n ""ega a "a cadena OS6:O(6'& y se "e modiica "a direcci%n deorigen con S'A6. despu5s sigue su curso a tra5s de" resto de tab"as, cadenas y reg"as. encambio e" segundo y siguientes pa7uetes de" mismo "uEo ni si7uiera tocan "a tab"a nat, sin%7ue se "es ap"ican directamente "as mismas traducciones 7ue a" primer pa7uete =ntre otrasra9ones, es por esta orma de trabaEar de "a tab"a nat por "o 7ue no se recomienda i"trar en5""a

Table >''. Ob;eti"o =NAT

Opci%n --to-source=Eemp"o

iptab"es -t nat -A OS6:O(6'& -p tcp -o eth0 -E S'A6 --to-source1BG23H01-1BG23H01H0102G-32000

$escripci%n #a opci%n --to-source se emp"ea para especiicar 7u5 direcci%n origen debeuti"i9ar e" pa7uete #a orma m>s simp"e de usar esta opci%n es indicar "adirecci%n 7ue deseamos uti"i9ar como direcci%n de origen en "ascabeceras Si desearamos ba"ancear "a carga entre arias direcciones ,

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 84/202

 podemos uti"i9ar un rango separado por un gui%n =n e" caso de" eEemp"oanterior e" rango se presenta como 1BG23H01-1BG23H01H0Considerando este rango, "a direcci%n de origen de cada "uEo 7ue creemosser> asignada a"eatoriamente a cua"7uier direcci%n de "as 7ue comprenda e"rango y todos "os pa7uetes de cada "uEo particu"ar usar>n siempre "a misma

. es decir, en e" momento de abrir una cone4i%n se crea un "uEo de datos a"7ue se "e asignar> una direcci%n de origen de" rango y todos "os pa7uetes deese "uEo tendr>n "a misma direcci%n de origen. cuando se cree otro "uEo se"e asignar> otra 7ue compartir>n todos "os pa7uetes de" "uEo 6ambi5n podemos especiicar a S'A6 un rango de puertos, con "o cua" todos "os puertos de origen ser>n coninados a "os puertos indicados =n e" eEemp"oanterior esta caracter;stica se indica mediante un rango despu5s de dos puntos, es decir, 102G-32000 ero todo 5sto s%"o es >"ido si en a"guna parte de "a comparaci%n se ha especiicado -p tcp o -p udp Adem>s, iptab"essiempre intentar> eitar "a a"teraci%n de un puerto, pero si dos hosts intentanusar "os mismos puertos, iptab"es "e asignar> otro puerto a uno de e""os Si no

se especiica ning!n rango de puertos, entonces todos "os puertos por debaEode" 12 se asignar>n a otros puertos por debaEo de" 12 )siempre 7ue seanecesario, c"aro+ $e "a misma manera, todos "os 7ue est5n entre "os puertos12 y 1023 ser>n asignados a puertos por debaEo de" 102G A" resto de puertosse "es asignar> un a"or de 102G o superior 6a" como ya se ha dicho, iptab"esintentar> mantener e" puerto origen usado por "a estaci%n de trabaEo 7ue crea"a cone4i%n Adem>s, ;Eate 7ue todo 5sto no hace reerencia en ning!nmomento a "os puertos de destino, por "o 7ue si un c"iente intenta estab"ecercontacto con un seridor F66 7ue est> uera de" cortauegos, no se "easignar> a" puerto *6 contro"

Ob;eti"o TO=

=" obEetio 6OS se emp"ea para estab"ecer e" campo 6ipo de Sericio )6ype o Serice+ de"a cabecera =ste campo tiene un tamao de M bits y se usa para ayudar a direccionar)enrutar+ "os pa7uetes Rste es uno de "os campos 7ue pueden usarse directamente eniproute2 y su subsistema de po";ticas de enrutado a"e "a pena destacar 7ue si contro"asarios cortauegos y enrutadores separados, 5sta es "a !nica manera de diundir inormaci%nde encaminamiento )enrutado+ Eunto a "os pa7uetes 7ue circu"an entre esos enrutadores ycortauegos Como ya se ha comentado, e" obEetio <A:J )7ue estab"ece una <A:Jaasociada a un pa7uete espec;ico+ s%"o est> disponib"e dentro de" n!c"eo y no se puede

eniar Eunto con e" pa7uete Si necesitas eniar inormaci%n de enrutado con un pa7uete o"uEo espec;icos, debes recurrir a" campo 6OS, pues se dise% para 5so

=n "a actua"idad hay muchos enrutadores en nternet 7ue trabaEan muy ma" con este tema, por "o 7ue puede ser bastante in!ti" intentar modiicar e" campo 6OS antes de eniar "os pa7uetes a nternet Como mucho "os enrutadores no prestar>n atenci%n a" campo 6OS =ne" peor de "os casos, "o "eer>n y har>n a"guna cosa incorrecta Sin embargo, ta" como se hadicho antes, e" campo 6OS puede ser muy !ti" si tienes una LA' ):ed de Prea =4tensa+ o

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 85/202

una #A' ):ed de Prea #oca"+ de dimensiones respetab"es y con m!"tip"es enrutadores $ehecho tienes "a posibi"idad de dar"e a "os pa7uetes dierentes encaminamientos y preerencias, bas>ndote en e" a"or de su 6OS )aun7ue 5sto s%"o puedas tener"o baEo contro"en tu propia red+

=" obEetio 6OS s%"o es capa9 de estab"ecer a"ores o nombres espec;icos a "os pa7uetes =stos a"ores predeinidos se pueden encontrar en "os archios de"kerne" inc"ude )icheros de c%digo uente de" n!c"eo+, o m>s e4actamente en e"archio *inuxi!.h #as ra9ones son muchas y de hecho no deber;as necesitarning!n otro a"or. sin embargo, hay ormas de superar esta "imitaci%n para eitar"a "imitaci%n de s%"o poder estab"ecer a"ores nomina"es )con nombres+ a "os pa7uetes, puedes usar e" parche *6OS disponib"e en !asec%red 8i"%x >er"el patc*es, 8eb mantenida por <atthe8 & <arsh. sin embargo, ]s5 e4tremadamentecaute"oso con este parche^, pues nunca deber;as tener "a necesidad de uti"i9arning!n a"or aparte de "os a"ores por deecto, a e4cepci%n de casos e4tremos

6en en cuenta 7ue este obEetio s%"o es >"ido dentro de "a tab"a mang"e y no puedeusarse uera de 5""a

6ambi5n es importante 7ue entiendas 7ue a"gunas ieEas ersiones de iptab"es)122 o anteriores+ proporcionan una imp"ementaci%n incomp"eta de este obEetioy no corrigen "a suma de comprobaci%n )checksum+ de" pa7uete a "a hora demodiicar"o, por "o 7ue generan ma" "os pa7uetes y como resu"tado necesitan unaretransmisi%n Rsto "o m>s probab"e es 7ue ob"igue a una nuea modiicaci%n y

con 5""o 7ue e" cic"o ue"a a empe9ar, dando como resu"tado 7ue "a cone4i%nnunca uncione

=" obEetio 6OS s%"o tiene "a opci%n 7ue e4p"ico a continuaci%n

Table >'. Ob;eti"o TO=

Opci%n --set-tos

=Eemp"o iptab"es -t mang"e -A :=:O(6'& -p 6C --dport 22 -E 6OS --set-tos 0410

$escripci%n =sta opci%n "e dice a" procedimiento de modiicaci%n 6OS 7u5 a"orestab"ecer en "os pa7uetes 7ue coincidan con e" i"tro =ste a"or es num5rico)he4adecima" o decima"+ Como e" a"or 6OS tiene M bits, e" n!mero estar>comprendido entre 0 y 2 )en he4adecima" entre 0400 y 04**+ :ecuerda7ue en e" obEetio 6OS est>ndar est>s "imitado a "os a"ores nomina"es )connombre+ disponib"es, 7ue deber;an estar m>s o menos estandari9ados =stosa"ores est>ndar son <inimi9e-$e"ay ?minimi9ar e" retardo@ )a"ordecima"/dec 1H, a"or he4adecima"/he4 0410+, <a4imi9e-6hroughput

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 86/202

?ma4imi9ar e" rendimiento@ )a"or dec M, a"or he4 040M+, <a4imi9e-:e"iabi"ity ?ma4imi9ar "a iabi"idad@ )a"or dec G, a"or he4 040G+, <inimi9e-Cost ?minimi9ar e" coste@ )a"or dec 2, a"or he4 0402+ % 'orma"-Serice?sericio norma"@ )a"or dec 0, a"or he4 0400+ =" a"or por deecto en "amayor;a de pa7uetes es 'orma"-Serice, % 0 Adem>s, obiamente puedes

uti"i9ar "os nombres en "ugar de "os a"ores he4adecima"es )y iceersa+ paraestab"ecer e" a"or 6OS. sin embargo, norma"mente se recomienda uti"i9ar e"nombre, pues "os a"ores asociados con "os nombres pueden cambiar en e"uturo ara er una "ista comp"eta de "os a"ores descriptios, eEecuta en "a";nea de comandos iptab"es -E 6OS -h =sta "ista se considera comp"eta en "aersi%n 12 de iptab"es y deber;a seguir as; por un tiempo

Ob;eti"o TTL

=ste obEetio necesita de" parche 66# de" patch-o-matic, en e" directorio ra;9, en*ttp:33www."etfilter.or+3doc%#e"tatio"3i"dex.*t#l?F@ - 8as Fre$%e"tly sed@%estio"s A!re+%"tas Frec%e"tesB oficiales de &etfilter. ste es ta#bi/" %" b%e"l%+ar de co#ie"Do c%a"do e#pieDas a pre+%"tarte $%/ *ace" iptables y &etfilter.

=" obEetio 66# se usa para modiicar e" campo 6ime 6o #ie de "a cabecera (naap"icaci%n !ti" para 5sto puede ser cambiar todos "os a"ores 6ime 6o #ie a" mismo a"oren todos "os pa7uetes dirigidos a" e4terior de "a red (na ra9%n para necesitar 5sto es 7uetengas un ,S!  abusio 7ue no te permita tener m>s de una m>7uina conectada a "a mismacone4i%n de nternet, y 7ue "o persiga actiamente =stab"eciendo todos "os a"ores 66# a"

mismo a"or "e har>s un poco m>s di;ci" )a" S+ darse cuenta de "o 7ue est>s haciendo As; pues, podemos estab"ecer e" a"or 66# de todos "os pa7uetes de sa"ida a un a"orestandari9ado, como HG, 7ue es e" a"or est>ndar de" n!c"eo de #inu4

ara m>s inormaci%n sobre c%mo estab"ecer e" a"or por deecto usado por #inu4, "5ete e"ip-sysctl.txt , 7ue puedes encontrar en e" ap5ndice Otras f%e"tes y e"laces 

=" obEetio 66# s%"o es >"ido en "a tab"a mang"e y en ninguna tab"a m>s $e momentotiene 3 opciones 7ue describo a continuaci%n

Table >'5. Ob;eti"o TTL

Opci%n --tt"-set

=Eemp"o iptab"es -t mang"e -A :=:O(6'& -i eth0 -E 66# --tt"-set HG

$escripci%n #a opci%n --tt"-set "e dice a" obEetio 66# 7u5 a"or 66# estab"ecer en e" pa7uete (n a"or de reerencia bastante correcto podr;a estar a"rededor de HG,un a"or ni muy a"to ni muy baEo #o 7ue no debes hacer es estab"ecer una"or demasiado a"to, pues puede aectar a tu red "oca" y adem>s resu"ta un

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 87/202

 poco inmora", puesto 7ue e" pa7uete puede empe9ar a rebotar entre dosenrutadores ma" conigurados y cuanto m>s a"to sea e" 66#, m>s ancho de banda consumir> innecesariamente en un caso as; =ste obEetio puedeemp"earse para "imitar "o a"eEados 7ue pueden estar nuestros c"ientes, como por eE en e" caso de "os seridores $'S, d%nde no 7ueremos 7ue "os c"ientes

est5n muy "eEosOpci%n --tt"-dec

=Eemp"o iptab"es -t mang"e -A :=:O(6'& -i eth0 -E 66# --tt"-dec 1

$escripci%n

#a opci%n --tt"-dec hace 7ue se decremente e" tiempo de ida de" pa7uete unacantidad e7uia"ente a" a"or indicado tras "a opci%n )en e" eEemp"o, e"decremento indicado es de uno+ As; pues, si e" 66# de un pa7uete entrante esde 3 y hemos estab"ecido un decremento --tt"-dec 3, e" pa7uete er> reducidosu 66# hasta e" a"or GB #a ra9%n de esta dierencia estriba en 7ue e" c%digode gesti%n de redes reducir> autom>ticamente e" 66# en un punto, por "o 7uee" pa7uete surir> un decremento de 31, desde 3 hasta GB <ediante este

sistema podemos "imitar "o a"eEados 7ue pueden estar "os usuarios de nuestrossericios or eEemp"o, "os usuarios siempre deben usar un $'S cercano, y enconsecuencia podemos comparar todos "os pa7uetes 7ue deEen nuestroseridor $'S y reducir e" 66# en arias unidades or supuesto, "a opci%n--set-tt" es m>s adecuada para este uso

Opci%n --tt"-inc

=Eemp"o iptab"es -t mang"e -A :=:O(6'& -i eth0 -E 66# --tt"-inc 1

$escripci%n

#a opci%n --tt"-inc es "a opuesta a "a anterior, es decir, se incrementa e" 66#en una cantidad e4presada a continuaci%n de "a opci%n 6en en cuenta 7ue eneste caso e" c%digo de gesti%n de redes tambi5n act!a autom>ticamente

reduciendo e" 66# en 1, por "o 7ue si escribimos --tt"-inc G, un pa7ueteentrante con un 66# de 3 deEar> e" host con un a"or 66# de H, 5sto es,3G-1 Con esta opci%n podemos hacer nuestro cortauegos un poco m>sinisib"e a "os tra9adores de rutas )traceroutes+, entre otras cosas a" estab"ecer e" a"or 66# de "os pa7uetes entrantes a un a"or m>s a"to, conseguimos 7uee" cortauegos se ocu"te a "os tra9adores #os tra9adores de rutas sonuti"idades amadas y odiadas a" mismo tiempo, puesto 7ue aci"itaninormaci%n e4ce"ente sobre prob"emas con "as cone4iones y d%nde ocurren,si bien a" mismo tiempo "e orecen a" hacker/cracker 7ue te haya "oca"i9adomuy buena inormaci%n sobre tus cone4iones con e" e4terior ara er un bueneEemp"o de c%mo puedes usar"o, mira e" script Ttl-i"c.txt 

Ob;eti"o LO0

=ste obEetio se emp"ea para proporcionar capacidades de registro en e" espacio de usuarioa "os pa7uetes 7ue concuerden Si un pa7uete coincide con "a comparaci%n de" i"tro )de "areg"a+ y se ha estab"ecido e" obEetio (#O&, "a inormaci%n de" pa7uete es diundidamediante una mu"tidiusi%n )mu"ticast+, Eunto con e" pa7uete entero, a tra5s de una

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 88/202

cone4i%n irtua" de red )net"ink socket+ A partir de entonces, uno o arios procesos deespacio de usuario pueden subscribirse a arios grupos de mu"tidiusi%n y recibir e" pa7uete Rsta es una capacidad m>s comp"eta y soisticada de registro 7ue hasta ahora s%"outi"i9an iptab"es y 'eti"ter y 7ue tiene mucha m>s capacidad para e" registro de pa7uetes=ste obEetio nos permite registrar inormaci%n en bases de datos <ySK#, entre otras,

haciendo m>s >ci" "a b!s7ueda de pa7uetes espec;icos y e" agrupamiento de entradas deregistro uedes encontrar "as ap"icaciones de espacio de usuario de (#O&$ en  !;+i"a del  proyecto 08OE

Table >'<. Ob;eti"o LO0

Opci%n --u"og-n"group

=Eemp"o iptab"es -A '(6 -p 6C --dport 22 -E (#O& --u"og-n"group 2

$escripci%n

#a opci%n --u"og-n"group "e dice a" obEetio (#O& a 7u5 grupo de cone4i%nde red eniar e" pa7uete =4isten 32 grupos de cone4i%n de red, 7ue seespeciican con un n!emero de" 1 a" 32, o sea 7ue si 7ueremos contactar cone" grupo , simp"emente escribiremos --u"og-n"group =" grupo por deectoes e" 1

Opci%n --u"og-prei4

=Eemp"oiptab"es -A '(6 -p 6C --dport 22 -E (#O& --u"og-prei4 SSF connectionattempt

$escripci%n

#a opci%n --u"og-prei4 trabaEa igua" 7ue e" preiEo de" obEetio #O&est>ndar esta opci%n "e aade un preiEo deinido por e" usuario a todas "asentradas de registro =ste preiEo puede tener hasta 32 caracteres y esrea"mente !ti" para dierenciar distintos mensaEes de registro y de d%ndeienen

Opci%n --u"og-cprange

=Eemp"o iptab"es -A '(6 -p 6C --dport 22 -E (#O& --u"og-cprange 100

$escripci%n

#a opci%n --u"og-cprange "e indica a (#O& cu>ntos bytes de" pa7uete eniara" demonio de espacio de usuario de (#O& Si especiicamos un a"or de100, copiaremos 100 bytes de" tota" de" pa7uete a" espacio de usuario, "o cua"en principio inc"uir> "a cabecera comp"eta, m>s a"gunos datos b>sicos de" pa7uete Si por e" contrario especiicamos 0, se copiar> e" pa7uete entero a"espacio de usuario sin importar su tamao =" a"or por deecto es 0, y por "otanto se copiar> e" pa7uete comp"eto a" espacio de usuario

Opci%n --u"og-7thresho"d=Eemp"o iptab"es -A '(6 -p 6C --dport 22 -E (#O& --u"og-7thresho"d 10

$escripci%n =sta opci%n indica e" n!mero de pa7uetes a poner en co"a dentro de" n!c"eoantes de eniar rea"mente "os datos a" espacio de usuario or eEemp"o, siestab"ecemos un umbra" de 10 como en e" eEemp"o, e" n!c"eo acumu"ar> 10 pa7uetes antes de transmitir"os a" espacio de usuario mediante un s%"omensaEe mu"ti-parte =" a"or por deecto es 1 a causa de "a compatibi"idad

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 89/202

con ersiones m>s antiguas )e" demonio de" espacio de usuario no sab;a c%momaneEar mensaEes mu"ti-parte+

C%a!ter -. 2l arc%i"o rc.fire4all=ste cap;tu"o tratar> sobre una coniguraci%n eEemp"o de" cortauegos y c%mo podr;a 7uedar e" script Femos emp"eado una coniguraci%n b>sica, para despu5s proundi9ar en su ormade trabaEar y en 7u5 modiicaciones "e hemos hecho Con 5""o obtendremos una ideagenera" de c%mo reso"er dierentes prob"emas y de "o 7ue necesitas pensar antes de poner atrabaEar tus scripts Se puede uti"i9ar ta" cua" con a"gunos cambios en "as ariab"es, aun7ueno es recomendab"e puesto 7ue es posib"e 7ue no uncione correctamente Eunto a "aconiguraci%n de tu red Sin embargo, si tienes una coniguraci%n muy b>sica, es m>s 7ue probab"e 7ue uncione bastante bien con s%"o hacer"e a"gunos cambios

6en en cuenta 7ue pueden haber ormas m>s eicientes de crear un conEunto dereg"as, pero e" script se ha escrito con "a "egibi"idad en mente, de orma 7uecua"7uiera pueda entender"o sin necesidad de tener grandes conocimientos de programaci%n ASF )ASF scripting+ antes de "eer"o

2;em!lo de rc.fire4all

$e acuerdo, ya tienes todo "isto y est>s preparado para reisar un eEemp"o de script deconiguraci%n O a" menos deber;as estar"o si has ""egado hasta a7u; =" eEemp"orc.firewall.txt  )tambi5n inc"u;do en e" ap5ndice Cdi+o f%e"te de los scripts de e=e#plo+ es bastante "argo pero sin demasiados comentarios =n e9 de buscar "os comentarios, terecomiendo 7ue "eas e" script entero para tener una idea genera" y "uego ue"as a estas";neas para obtener todos "os deta""es pr>cticos

27!licación del rc.fire4all

O!ciones de confi#uración

#a primera secci%n 7ue obserar>s en e" eEemp"o rcire8a""t4t es "a de "a coniguraci%nSiempre deber;a ser modiicada, pues contiene "a inormaci%n 7ue resu"ta imprescindib"e para tu coniguraci%n actua" or eEemp"o, tu direcci%n norma"mente ser> distinta, por "ocua" se especiica a7u; #a ariab"e '=6W siempre deber;a ser una direcci%n >"ida,si es 7ue tienes una )si no es as;, probab"emente deber;as er  rc.<C!.firewall.txt , pero detodas ormas sigue "eyendo este script, ya 7ue orece una introducci%n de bastantes cosas

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 90/202

interesantes+ $e" mismo modo, "a ariab"e '=6W*AC= debe sea"ar a" adaptadoruti"i9ado para tu cone4i%n a nternet, como puede ser eth0, eth1, ppp0, tr0, etc, por nombrar unos pocos de "os adaptadores posib"es

=ste script no contiene ninguna coniguraci%n especia" para $FC o o=, por "o 7ue

estas secciones permanecen ac;as #o mismo ocurre con e" resto de secciones ac;as, 7uesin embargo se mantienen para 7ue puedas er "as dierencias entre "os dierentes scripts deuna orma m>s eectia Si por a"g!n motio necesitaras estas coniguraciones, siempre puedes crear una me9c"a a partir de "os dierentes scripts o tambi5n crear e" tuyo propiodesde cero

#a secci%n Coniguraci%n de "a red "oca" )#A'+ inc"uye "a mayor;a de "as opcionesnecesarias de coniguraci%n de tu #A' or eEemp"o, necesitas especiicar e" nombre y "adirecci%n de "a intera9 ;sica conectada a tu #A', as; como e" rango 7ue uti"i9a "a red"oca"

As;mismo, podr>s obserar 7ue hay una secci%n de coniguraci%n de" host "oca" Sinembargo es casi seguro 7ue no tendr>s 7ue cambiar ning!n a"or en esta secci%n, puesto7ue norma"mente uti"i9ar>s 12D001 como direcci%n y "a intera9 casi con todaseguridad se ""amar> "o

or in, Eusto baEo "a coniguraci%n de" host "oca", er>s una bree secci%n perteneciente aiptab"es =n principio s%"o contiene "a ariab"e 6A#=S, 7ue "e indica a" script "asituaci%n correcta de "a ap"icaci%n iptab"es en tu insta"aci%n =" "ugar concreto puede ariara"go, aun7ue a" compi"ar a mano e" pa7uete iptab"es "a ruta por deecto esusrlocalsbini!tables Sin embargo, muchas distribuciones sit!an "a ap"icaci%n enotro directorio, como puede ser usrsbini!tables, por eEemp"o

Car#a inicial de módulos e7tra

ara empe9ar, emos 7ue se comprueba si "os archios de dependencias de m%du"os est>nactua"i9ados eEecutando e" comando /sbin/depmod -a A continuaci%n se cargan "os m%du"os7ue se re7uerir>n en e" script =ita siempre cargar m%du"os 7ue no ayas a necesitar y si es posib"e trata de eitar tener m%du"os s%"o por si acaso a no ser 7ue "os ayas a usar #ara9%n de 5sto es por seguridad, ya 7ue de otra manera supondr> un esuer9o e4tra escribirreg"as adiciona"es As;, si por eEemp"o 7uieres tener soporte para "os obEetios #O&,

:=I=C6 y <ASK(=:A$= y no "os tienes compi"ados est>ticamente en e" n!c"eo, deber>scargar "os m%du"os como sigue

sbinins=od i!t*GCsbinins=od i!t-,J,(sbinins=od i!tH)'K8,-)/,

 

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 91/202

=n 5ste y "os dem>s scripts de eEemp"o or9amos "a carga de m%du"os, "o cua" puede originar a""os durante e" proceso de carga =stos a""os pueden deberse amuchos actores y generar>n mensaEes de error Si a"guno de "os m%du"os m>s b>sicos no se cargan, e" error m>s probab"e es 7ue e" m%du"o o unciona"idad est5

compi"ado est>ticamente en e" n!c"eo ara m>s inormaci%n a" respecto, "5ete "asecci%n !roble#as e" la car+a de #d%los de" ap5ndice !roble#as y pre+%"tas frec%e"tes

Seguimos con "os m%du"os no re7ueridos y encontramos "a opci%n de cargar e" m%du"oiptWo8ner, 7ue entre otras cosas se puede uti"i9ar para permitir !nicamente a determinadosusuarios "a posibi"idad de estab"ecer determinadas cone4iones =ste m%du"o no se uti"i9a ene" presente eEemp"o, pero b>sicamente podr;as permitir s%"o a" usuario root estab"ecercone4iones *6 y F66 con redhatcom y $:O )deneg>rse"o/desechar+ a todos "osdem>s 6ambi5n puedes denegar e" acceso desde tu m>7uina hacia nternet a todos "os

usuarios e4cepto a tu propio usuario )t! mismo+ y a root, "o cua" puede no gustar a "osdem>s, pero estar>s un poco m>s seguro ante "os ata7ues tipo bouncing )de orma 7ue pare9ca 7ue "a cone4i%n "a rea"i9a tu host+ y ante "os ata7ues en 7ue e" hacker s%"o uti"i9ar>tu host como m>7uina intermedia ara mayor inormaci%n sobre "a comparaci%n iptWo8ner "5ete "a secci%n Co#paraci" !ropietario AOw"erB de" cap;tu"o C#o se escribe %"a re+la

=n este momento tambi5n podemos cargar m%du"os e4tra para "a comparaci%n de estados6odos "os m%du"os 7ue meEoran e" comportamiento de" c%digo de comparaci%n de estados yde seguimiento de "as cone4iones se ""aman ipWconntrackW` e ipWnatW` #os asistentes parae" seguimiento de "as cone4iones son m%du"os especia"es 7ue "e indican a" n!c"eo c%mohacer un seguimiento adecuado de cone4iones de un tipo espec;ico Sin estos asistentes, e"

n!c"eo no sabr> 7u5 buscar a" intentar hacer un seguimiento de esas cone4iones espec;icasor otra parte, "os asistentes 'A6 son a su e9 e4tensiones de "os anteriores asistentes y "eindican a" n!c"eo 7u5 buscar en pa7uetes espec;icos, adem>s de c%mo interpretar"os para7ue "as cone4iones uncionen or eEemp"o, *6 es un protoco"o comp"eEo por deinici%n,7ue en;a "a inormaci%n de cone4i%n dentro de" contenido de" pa7uete As; pues, si una detus m>7uinas 'A6eadas conecta con un seridor *6 de nternet, eniar> su propiadirecci%n de "a red "oca" dentro de" pa7uete y "e indicar> a" seridor *6 7ue rea"ice "acone4i%n con esa direcci%n uesto 7ue "as direcciones "oca"es no son >"idas uera de tu propia red "oca", e" seridor *6 no sabr> 7u5 hacer con 5""as y "a cone4i%n se perder> #osasistentes *6 'A6 eect!an "as conersiones necesarias en estas cone4iones, de manera7ue e" seridor *6 sabr> con 7ui5n debe estab"ecer "a cone4i%n =" mismo caso ocurre con

"as transerencias )en;os+ $CC de archios y "os chats #a creaci%n de este tipo decone4iones precisa "a direcci%n y "os puertos con "os 7ue conectar a tra5s de" protoco"o:C, "o cua" e4ige ciertas traducciones Sin estos asistentes determinadas tareas con *6e :C se podr>n ""ear a cabo, 7u5 duda cabe, pero habr> otras 7ue no or eEemp"o, ser>scapa9 de recibir icheros mediante $CC, pero no podr>s eniar"os R""o es debido a "amanera de estab"ecer cone4iones de $CC A" iniciar una cone4i%n, "e indicas a" receptor7ue 7uieres eniar"e un ichero y d%nde debe conectarse Sin "os asistentes para "a cone4i%n$CC, este aiso inicia" parecer> indicar"e a" receptor 7ue debe conectarse a a"g!n host de su

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 92/202

 propia red "oca" )"a de" receptor+ Como resu"tado "a cone4i%n se perder> Sin embargo,cuando seas t! e" 7ue descargue icheros no habr> prob"emas puesto 7ue "o m>s probab"e es7ue e" 7ue te diga d%nde debes conectar, te en;e "a direcci%n correcta

Si est>s e4perimentando prob"emas con "os m:C $CCs y tu cortauegos, mientras7ue todo unciona perectamente con otros c"ientes :C, "5ete "a secci%n !roble#as co" #,RC CC  de" ap5ndice !roble#as y pre+%"tas frec%e"tes

=n e" momento de escribir estas ";neas, s%"o e4iste "a opci%n de cargar m%du"os 7ue aadansoporte para "os protoco"os *6 e :C Si necesitas una e4p"icaci%n m>s prounda sobreestos m%du"os )conntrack y nat+, "ee e" ap5ndice  !roble#as y pre+%"tas frec%e"tes6ambi5n se pueden encontrar asistentes para seguimiento de cone4iones )conntrack+ de tipoF323 )entre otros+ en e" patch-o-matic, as; como otros asistentes para 'A6 ara poderuti"i9ar"os tienes 7ue uti"i9ar e" patch-o-matic y compi"ar tu propio n!c"eo ara er una

e4p"icaci%n deta""ada de c%mo hacer 5sto, "5ete e" cap;tu"o !reparativos

6en en cuenta 7ue necesitas cargar "os m%du"os ipWnatWirc e ipWnatWtp si 7uieres7ue uncione correctamente "a traducci%n de direcciones )'et8ork Addres6rans"ation+ tanto en e" protoco"o *6 como en e" :C Adem>s, tendr>s 7uecargar "os m%du"os ipWconntrackWirc e ipWconntrackWtp antes de cargar "osm%du"os 'A6 anteriores Se emp"ean de "a misma orma 7ue "os m%du"osconntrack y permitir>n a" ordenador eectuar traducciones 'A6 en estos dos protoco"os

Confi#uración de B!roc

=s ahora cuando arrancamos e" reen;o ) or8arding+ a" eniar e" a"or 1 a!rocsysneti!:;i!forward con e" comando siguiente

echo 1 Z /proc/sys/net/ipG/ipWor8ard

uede a"er "a pena pensar d%nde y cu>ndo arrancamos e" reen;o =n este

script, como en e" resto de este tutoria", se arranca antes de crear cua"7uier tipo dei"tros )o sea, "os conEuntos de reg"as de iptab"es+ =sto imp"ica 7ue durante un bree "apso de tiempo e" cortauegos aceptar> e" reen;o de cua"7uier tipo detr>ico desde cua"7uier "ugar, estando este "apso comprendido entre unmi"isegundo y a"gunos minutos, dependiendo de" script 7ue estemos eEecutando yde "a e"ocidad de "a m>7uina As; pues, "a gente interesada )"os chicos ma"os+tendr> su oportunidad de atraesar e" cortauegos Como podr>s comprender enrea"idad esta opci%n deber;a eEecutarse desp%/s de crear todas "as reg"as de"

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 93/202

cortauegos, si bien he decidido hacer"o antes para mantener una estructuraconsistente en todos "os scripts

Si necesitaras soporte para s din>micas, como cuando usas S#, o $FC, puedesactiar "a siguiente opci%n )i!dynaddr+ eEecutando "o siguiente

echo 1 Z /proc/sys/net/ipG/ipWdynaddr

Si e4iste cua"7uier otra opci%n 7ue necesites arrancar, debes hacer"o de "a orma indicada en"os dos eEemp"os anteriores =4isten otros documentos 7ue e4p"ican c%mo hacer"o de otramanera, aun7ue 5sto 7ueda uera de "os obEetios de" tutoria" uedes "eer un buen )y corto+documento sobre e" sistema proc disponib"e con e" n!c"eo y 7ue tambi5n tienes en e"ap5ndice Otras f%e"tes y e"laces =ste ap5ndice es un buen punto de partida cuando bus7ues inormaci%n de >reas espec;icas 7ue no hayas encontrado a7u;

=" script rc.firewall.txt, as; como e" resto de scripts de este tutoria", contieneuna pe7uea secci%n de coniguraciones no re7ueridas de proc, "as cua"es puedenser un buen punto de partida cuando a"go no unciona ta" como deseas Sinembargo, no cambies nada antes de saber 7u5 signiica

Des!la+amiento de las re#las entre cadenas

=n esta secci%n se describir>n breemente "as a"ternatias 7ue he escogido en e" tutoria" en"o 7ue concierne a "as cadenas espec;icas de usuario y a"gunas opciones m>s espec;icasde" script rc.firewall.txt uedo estar e7uiocado en "a orma de enocar a"gunostemas, pero espero e4p"icar"os con sus posib"es prob"emas a""; donde ocurran y en e"momento en 7ue ocurran Adem>s tambi5n se recuerda breemente e" cap;tu"o  travesa"dotablas y cade"as =speremos 7ue "a ayuda de un eEemp"o rea" sea suiciente para 7uerecuerdes c%mo se atraiesan "as tab"as y cadenas

Fe dispuesto "as dierentes cadenas de usuario de orma 7ue ahorren e" m>4imo de C(,manteniendo a" mismo tiempo "a m>4ima seguridad y "egibi"idad posib"es =n "ugar dedeEar a "os pa7uetes 6C atraesar "as reg"as C<, ($ y 6C, simp"emente escoEo "os

 pa7uetes 6C y "es hago atraesar una cadena de usuario $e esta orma no sobrecargamosen e4ceso e" sistema #a siguiente imagen intentar> e4p"icar "os undamentos sobre e"camino 7ue sigue un pa7uete entrante a" atraesar 'eti"ter Con todo 5""o espero ac"arar "osobEetios de este script 6oda;a no amos a discutir deta""es espec;icos, pues 5sto se har>m>s ade"ante, en este mismo cap;tu"o =n rea"idad es una simp"iicaci%n de "a imagen 7ue puedes encontrar en e" cap;tu"o travesa"do tablas y cade"as, d%nde se discuti% e" procesocomp"eto en proundidad

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 94/202

as>ndonos en este gr>ico, amos a deEar c"aro 7u5 nos hemos p"anteado #a tota"idad deeste eEemp"o asume 7ue e" escenario a" 7ue nos reerimos tiene una red "oca" conectada a uncortauegos y e" cortauegos conectado a nternet 6ambi5n se asume 7ue tenemos unadirecci%n est>tica para conectar con nternet )todo "o contrario a cuando uti"i9amos$FC, , S# u otros+ =n este caso, 7ueremos permitir a" cortauegos 7ue act!e comoseridor de ciertos sericios de nternet y adem>s coniamos p"enamente en nuestra red"oca", por "o 7ue no b"o7uearemos ning!n tr>ico desde 5sta or in, este script tiene como

 principa" prioridad permitir !nicamente e" tr>ico 7ue e4p";citamente deseamos permitirara conseguir"o, estab"eceremos "as po";ticas por deecto de "as cadenas como $:O)desechar+ =n "a pr>ctica 5sto e"iminar> todas "as cone4iones y pa7uetes 7ue no hayamos permitido e4p";citamente dentro de nuestra red o nuestro cortauegos

=n otras pa"abras, deseamos 7ue "a red "oca" pueda conectar con nternet uesto 7ue "a red"oca" es de p"ena conian9a, deseamos permitir todo tipo de tr>ico desde "a red hacianternet Sin embargo, nternet es una red a "a 7ue no concedemos conian9a a"guna, por "o7ue deseamos b"o7uear cua"7uier acceso desde 5""a hacia nuestra red "oca" As; pues, en base a estas premisas genera"es, eamos 7u5 debemos hacer y 7u5 es "o 7ue no 7ueremos nidebemos hacer

ara empe9ar, ya hemos dicho 7ue deseamos 7ue "a red "oca" sea capa9 de conectarse a

nternet ara conseguir"o necesitaremos traducir mediante 'A6 todos "os pa7uetes, ya 7uening!n ordenador de "a red "oca" tiene una direcci%n rea" ?reiri5ndonos a "a cone4i%ndirecta a nternet@ Rsto "o haremos dentro de "a cadena :=:O(6'&, 7ue se crea a" ina"de este script =sto signiica 7ue tambi5n tendremos 7ue eectuar a"g!n i"trado en "a cadena*O:LA:$, ya 7ue de "o contrario cua"7uiera desde e" e4terior tendr> acceso tota" anuestra red Coniamos a" m>4imo en "a red "oca" y por 5""o permitimos espec;icamentetodo tr>ico desde 5sta hacia nternet a 7ue no 7ueremos permitir a nadie de" e4terioracceder a "a red "oca", b"o7uearemos todo tr>ico desde e" e4terior e4cepto "as cone4iones

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 95/202

estab"ecidas y "as re"acionadas, "o cua" signiica 7ue permitiremos todo e" tr>ico de retornodesde nternet hacia "a red "oca"

=n cuanto a" cortauegos, 7ui9> estemos a"go cortos de capita", o 7ui9> deseemos orecera"gunos sericios a "os naegantes de nternet As; pues, hemos decidido permitir e" accesoa F66, *6, SSF e $='6$ a tra5s de" cortauegos 6odos estos protoco"os est>ndisponib"es en e" cortauegos, por "o 7ue deben ser admitidos en "a cadena '(6, as;

como tambi5n debe estar permitido todo e" tr>ico de retorno )hacia nternet+ a tra5s de "acadena O(6(6 Sin embargo, seguimos coniando comp"etamente en "a red "oca" y tantoe" peri5rico de buc"e "oca" como su direcci%n tambi5n son de conian9a $ebido a 5sto7ueremos aadir reg"as especia"es para permitir todo e" tr>ico desde "a red "oca" as; como"a intera9 de buc"e "oca" Adem>s, no 7ueremos permitir e" tr>ico de pa7uetes espec;icoso cabeceras de pa7uetes espec;icas en coyunturas espec;icas, as; como tampoco deseamos7ue determinados rangos de direcciones puedan a"can9ar e" cortauegos desde nternet)por eEemp"o, e" rango de direcciones 10000/M est> reserado para "as redes "oca"es, dea7u; 7ue norma"mente no 7ueramos deEar pasar pa7uetes proenientes de este rango, ya 7ueen un B0U de "os casos ser>n intentos de acceso a"seados mediante spooing. sin embargo,antes de imp"ementar 5sto, debes tener en cuenta 7ue determinados roeedores deSericios de nternet uti"i9an este rango en sus propias redes. si te interesa una e4p"icaci%nm>s deta""ada sobre este prob"ema, "ee e" cap;tu"o !roble#as y pre+%"tas frec%e"tes+

uesto 7ue tenemos un seridor *6 eEecut>ndose en e" seridor y deseamos 7ue "os pa7uetes atraiesen e" menor n!mero de reg"as posib"es, aadimos una reg"a a" principio de"a cadena '(6 7ue permita e" paso a todo e" tr>ico estab"ecido y re"acionado or "amisma ra9%n deseamos diidir "as reg"as en subcadenas, de manera 7ue "os pa7uetes s%"otengan 7ue atraesar e" menor n!mero de reg"as posib"e Con 5""o conseguiremos 7ue e"conEunto de reg"as consuman e" menor tiempo posib"e con cada pa7uete, e"iminandoredundancias en "a red

=n este script decidimos diidir "os dierentes pa7uetes seg!n "as ami"ias de protoco"os, por eEemp"o 6C, ($ o C< 6odos "os pa7uetes 6C atraiesan una cadena espec;ica""amada tcpWpackets, 7ue contendr> reg"as para todos "os puertos y protoco"os 6C 7ue7ueramos permitir Adem>s, deseamos eectuar a"gunos che7ueos e4tra a "os pa7uetes 6C, por "o 7ue nos gustar;a crear otra subcadena para todos a7ue""os pa7uetes 7ue seanaceptados por uti"i9ar n!meros de puerto >"idos en e" cortauegos $ecidimos ""amar a estasubcadena a""o8ed, y debe contener unos pocos che7ueos para acabar de aceptar "os pa7uetes =n cuanto a "os pa7uetes C<, atraesar>n "a cadena icmpWpackets Cuando sedecidi% e" contenido de esta cadena, no se i% necesario rea"i9ar ning!n che7ueo e4tra antes

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 96/202

de aceptar "os pa7uetes, siempre 7ue coincidieran con "os tipos y c%digos permitidos. as; pues se aceptan directamente or !"timo tenemos 7ue maneEar "os pa7uetes ($ y "oseniaremos a "a cadena udpWpackets 6odos "os pa7uetes 7ue coincidan con "os tipos permitidos ser>n aceptados de inmediato sin m>s che7ueos

$ado 7ue estamos trabaEando con una red re"atiamente pe7uea, esta m>7uina tambi5n seuti"i9a como estaci%n de trabaEo secundaria y para imponer una carga e4tra debido a 5""o,7ueremos permitir 7ue determinados protoco"os espec;icos puedan contactar con e"cortauegos, como speak ree"y e CK

or !"timo, tenemos "a cadena O(6(6 a 7ue coniamos bastante en e" cortauegos, permitimos casi todo e" tr>ico de sa"ida 'o eectuamos ning!n b"o7ueo espec;ico deusuario, as; como tampoco eectuamos ning!n b"o7ueo de protoco"os espec;icos Sinembargo, no 7ueremos 7ue "a gente uti"ice esta m>7uina para camu"ar )spoo+ pa7uetes 7uedeEen e" cortauegos, por "o 7ue s%"o permitiremos e" tr>ico desde "as direcciones asignadasa" cortauegos #o m>s probab"e es 7ue imp"ementemos 5sto aadiendo reg"as 7ue acepten)ACC=6+ todos "o pa7uetes 7ue deEen e" cortauegos siempre 7ue procedan de una de "asdirecciones 7ue "e han sido asignadas, siendo desechados como po";tica por deecto

todos "os 7ue no cump"an esta premisa

2stableciendo las !ol8ticas !or defecto

Casi a" comen9ar e" proceso de creaci%n de nuestro conEunto de reg"as, estab"ecemos "as po";ticas por deecto en "as dierentes cadenas con un comando bastante simp"e, como puedes er a continuaci%n

iptab"es ?- cadenaf po";ticaf@

#a po";tica por deecto se uti"i9a siempre 7ue "os pa7uetes no coincidan con ninguna reg"ade ninguna cadena or eEemp"o, supongamos 7ue ""ega un pa7uete 7ue no encaEa enninguna reg"a de todas "as 7ue tenemos en nuestro conEunto de reg"as Si 5sto ocurredebemos decidir 7u5 debe pasar"e a" pa7uete en cuesti%n y es a7u; donde entra en escena "a po";tica por deecto

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 97/202

Se cuidadoso con "a po";tica por deecto 7ue estab"eces en "as cadenas de otrastab"as, pues no est>n pensadas para i"trar como "a tab"a *#6=: y puedendesembocar en comportamientos rea"mente e4traos

Definiendo cadenas de usario en la tabla 3ilter

Ahora ya tienes una buena idea de 7u5 7ueremos conseguir con e" cortauegos, as; 7ueempecemos con "a creaci%n de" conEunto de reg"as =s e" momento de cuidarnos deespeciicar todas "as reg"as y cadenas 7ue deseamos crear y uti"i9ar, as; como todos "osconEuntos de reg"as en "as cadenas

$espu5s de esta introducci%n, empe9aremos por crear "as dierentes cadenas especia"es 7uenecesitamos, mediante e" comando -' #as nueas cadenas se crean ac;as, sin ninguna

reg"a en 5""as, y ta" como ya se ha dicho son icmpWpackets, tcpWpackets, udpWpackets y "acadena a""o8ed, 7ue es uti"i9ada por "a cadena tcpWpackets #os pa7uetes entrantes por'=6W*AC=, de tipo C<, ser>n redirigidos a "a cadena icmpWpackets #os pa7uetes detipo 6C, ser>n redirigidos a "a cadena tcpWpackets y "os pa7uetes de tipo ($ a "a cadenaudpWpackets 6odo 5sto se e4p"ica en proundidad m>s ade"ante, en "a secci%n  8a cade"a ,&!0T  Crear una cadena es bastante senci""o, pues s%"o consiste en una corta dec"araci%nsimi"ar a

iptab"es ?-' cadena@

=n "as secciones siguientes desarro""aremos amp"iamente cada una de "as cadenas 7ue

acabamos de crear eremos c%mo son y 7u5 reg"as contendr>n, as; como 7u5conseguiremos con 5""as

La cadena 6badFtc!F!ackets6

#a cadena badWtcpWpackets se ha concebido para contener reg"as 7ue inspeccionen "os pa7uetes entrantes e identii7uen cabeceras ma"ormadas, entre otros prob"emas As; pues,decidimos inc"uir !nicamente dos i"tros e" primero b"o7uea todos "os pa7uetes 6Centrantes 7ue sean considerados como nueos )'=L+, pero no tengan estab"ecido e" bit

S'. e" segundo b"o7uea "os pa7uetes S'/ACJ 7ue se consideren nueos )'=L+ =stacadena se puede uti"i9ar para comprobar posib"es inconsistencias como "as anteriores, otambi5n como "os che7ueos de puertos S , etc 6ambi5n podemos aadir reg"as 7ue bus7uen e" estado 'A#$

Si deseas entender a ondo e" '=L not S', deber;as "eerte "a secci%n  !a$%etes c%yoestado es &'( pero c%yo bit S)& "o se *a establecido de" ap5ndice !roble#as y pre+%"tas frec%e"tes, acerca de" estado '=L and non-S' de "os pa7uetes 7ue atraiesan otras

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 98/202

reg"as aEo determinadas circunstancias a estos pa7uetes se "es puede permitir atraesar e"cortauegos, aun7ue en e" BBU de "os casos no 7uerremos 7ue pasen, por "o 7ue registramossu ""egada en "os registros )"ogs+ y "os desechamos )$:O+

=" motio para recha9ar):=I=C6+ "os pa7uetes S'/ACJ 7ue se consideran nueos es

muy simp"e Se describe en proundidad en "a secci%n  !a$%etes S)&3C> y &'(  de"ap5ndice !roble#as y pre+%"tas frec%e"tes >sicamente, hacemos 5sto como cortes;ahacia otros hosts, ya 7ue "es preendr> de ata7ues de predicci%n de secuencia num5rica)se7uence number prediction attack+

La cadena 6allo4ed6

Si un pa7uete 7ue ""ega a "a intera9 '=6W*AC= es de" tipo 6C, iaEar> por "a cadenatcpWpackets, y si "a cone4i%n es a tra5s de un puerto en e" 7ue permitimos e" tr>ico,desearemos hacer a"gunos che7ueos ina"es para er si rea"mente "e permitiremos e" paso a" pa7uete o no 6odo estos che7ueos ina"es se rea"i9an en "a cadena a""o8ed )permitido+

=mpe9amos comprobando si estamos ante un pa7uete S' Si es as;, "o m>s probab"e es7ue sea e" primer pa7uete de una nuea cone4i%n, por "o 7ue, obiamente, "e permitimos e" paso =ntonces comprobamos si e" pa7uete procede de una cone4i%n estab"ecida)=S6A#SF=$+ o re"acionada ):=#A6=$+ Si "o es, de nueo permitimos e" paso (nacone4i%n =S6A#SF=$ es a7u5""a 7ue ha isto tr>ico en ambas direcciones y puesto7ue nos hemos encontrado con un pa7uete S', "a cone4i%n debe estar en e" estado=S6A#SF=$, de acuerdo con "a m>7uina de estados #a !"tima reg"a de esta cadenadesechar> )$:O+ todo "o dem>s Rsto iene a eng"obar todo a7u5""o 7ue no ha istotr>ico en ambas direcciones, es decir, o no hemos respondido a" pa7uete S', o est>nintentando empe9ar una cone4i%n mediante un pa7uete no-S' &o e4iste ningunauti"idad pr>ctica en comen9ar una cone4i%n sin un pa7uete S', a e4cepci%n de "a gente7ue est> haciendo escaneo de puertos Fasta d%nde yo s5, no hay actua"mente ningunaimp"ementaci%n de 6C/ 7ue soporte "a apertura de una cone4i%n 6C con a"go dierentea un pa7uete S', por "o 7ue casi con tota" certe9a se tratar> de un escaneo de puertos y esrecomendab"e desechar )$:O+ estos intentos de cone4i%n

La cadena 6tc!F!ackets6

#a cadena tcpWpackets especiica 7u5 puertos se podr>n a"can9ar desde nternet a tra5s de"cortauegos Sin embargo, hay m>s che7ueos para estos pa7uetes, ya 7ue "os eniamos a "acadena a""o8ed, descrita anteriormente

#a opci%n -A tcpWpackets "e indica a iptab"es en 7u5 cadena debe aadir "a nuea reg"a, "acu>" se inc"uir> a" ina" de "a "ista de reg"as de esa cadena #a opci%n -p 6C especiica e" primer re7uisito a cump"ir por e" pa7uete, es decir, debe ser un pa7uete 6C. de "a mismaorma, -s 0/0 busca )compara+ "as direcciones de origen, empe9ando por "a 0000 con

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 99/202

m>scara de red 0000, es decir todas "as direcciones de origen Aun7ue 5ste es e"comportamiento por deecto, "o indico para 7ue todo 7uede "o m>s c"aro posib"e )en estecaso todos "os puertos de origen cump"ir>n e" re7uisito e4igido por "a reg"a+ #a opci%n--dport 21 indica e" puerto de destino 21, o sea 7ue si e" pa7uete est> destinado a" puerto 21,cump"ir> e" !"timo criterio de se"ecci%n de "a reg"a Si todos "os criterios coinciden, e"

 pa7uete ser> eniado a "a cadena a""o8ed Si no coincide con a"guna de "as opciones, ser>deue"to a "a cadena origina" )"a 7ue gener% e" sa"to a "a cadena tcpWpackets+

6a" como 7ueda e" eEemp"o, permito e" puerto 6C 21, o sea, e" puerto de contro" *6,emp"eado para contro"ar "as cone4iones *6 Rsto unido a 7ue m>s a"ante se permiten todas"as cone4iones re"acionadas ):=#A6=$+, permitir> "as cone4iones tp ASAS yAC6AS, pues en principio e" m%du"o ipWconntrackWtp ya se habr> cargado Si no7ueremos permitir ning!n tipo de cone4i%n *6, podemos descargar )o no cargar+ e"m%du"o ipWconntrackWtp y borrar )o no aadir+ "a ";nea 6A#=S -A tcpWpackets -p6C -s 0/0 --dport 21 -E a""o8ed de" ichero rc.firewall.txt

=" puerto 22 es e" SSF y emp"ear este puerto cuando deEas a cua"7uiera acceder a tum>7uina mediante she"", es deinitiamente mucho meEor 7ue permitir e" acceso mediantete"net por e" puerto 23 6en en cuenta 7ue est>s trabaEando con un cortauegos y siempre esuna ma"a idea permitir a a"guien m>s 7ue t! mismo cua"7uier tipo de acceso a "a m>7uinade" cortauegos #os usuarios con acceso a" cortauegos siempre deben "imitarse a" m;nimoimprescindib"e y ninguno m>s

=" puerto M0 es e" de F66, o sea, tu seridor 8eb orra esta ";nea si no 7uieres eEecutar unseridor 8eb directamente en tu cortauegos

, por !"timo, se permite e" puerto 113, 7ue es e" $='6$ y puede ser necesario para

a"gunos protoco"os como :C, para trabaEar correctamente 6en en cuenta 7ue puede serinteresante uti"i9ar "as "ibrer;as oidentd si 7uieres eectuar traducciones 'A6 de arios hostsen tu red "oca" oidentd admite peticiones de retransmisi%n de $='6$ a "as m>7uinascorrectas de tu red "oca"

Si necesitas aadir m>s puertos abiertos en e" script, parece bastante obio c%mo deber;ashacer"o simp"emente copia y pega una de "as ";neas de "a cadena tcpWpackets y cambia e" puerto 7ue necesitas abrir

La cadena 6ud!F!ackets6

Si se nos presenta un pa7uete ($ en "a cadena '(6, "o eniamos a "a cadenaudpWpackets, d%nde comen9aremos "as comprobaciones empe9ando por e" protoco"o con -p($ y despu5s comprobaremos 7ue proiene de cua"7uier direcci%n comen9ando por "a0000 y con m>scara de red 0000, o sea, 7ue de nueo cua"7uier direcci%n de origen es>"ida Sin embargo s%"o aceptamos puertos ($ espec;icos 7ue 7ueramos mantenerabiertos para hosts de nternet uedes obserar 7ue no necesitamos abrir aguEerosdependiendo de" puerto de origen de" host 7ue en;a e" pa7uete, ya 7ue de 5""o se deber;a

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 100/202

ocupar "a m>7uina de estados S%"o necesitamos abrir puertos en nuestro host si amos aeEecutar un seridor en a"g!n puerto ($, como e" seridor $'S, etc #os pa7uetes 7ue""eguen a" cortauegos y sean parte de una cone4i%n ya estab"ecida )por nuestra red "oca"+,ser>n aceptados autom>ticamente por "as reg"as --state =S6A#SF=$,:=#A6=$ de" principio de "a cadena '(6

6a" como est> e" eEemp"o, 'O aceptamos )ACC=6+ pa7uetes ($ entrantes por e" puerto3, pues es e" puerto usua" cuando se eect!an b!s7uedas $'S Obsera 7ue "a reg"a est>ah;, pero por deecto est> comentada )_+ y por 5""o no se aceptan pa7uetes destinados a" puerto 3 Si deseas 7ue tu cortauegos act!e como seridor $'S, e"imina e" s;mbo"o decomentario )para permitir e" tr>ico por 5se puerto+

ersona"mente tambi5n permito e" acceso por e" puerto 123, 7ue es e" emp"eado por '6 )o 'et8ork 6ime rotoco"+ =ste protoco"o se emp"ea para aEustar "a hora de" re"oE de tuordenador de acuerdo a "a hora de ciertos seridores de horas )time serers+ 7ue poseenre"oEes #%y precisos #a mayor;a de "a gente probab"emente no uti"i9a este protoco"o y por

5""o por deecto no est> permitido e" acceso a este puerto A" igua" 7ue antes, s%"o tienes 7uee"iminar e" s;mbo"o de comentario para actiar "a reg"a

=n e" eEemp"o autori9amos e" uso de" puerto 20DG, emp"eado por ciertas ap"icaciones#%lti#edia en tiempo rea", como speak ree"y, con "a 7ue puedes hab"ar con otra gente entiempo rea" )"%gicamente a tra5s de nternet+, mediante unos a"taoces y un micr%ono o bien unos auricu"ares con micro Si no deseas uti"i9ar este sericio, simp"emente comenta "a";nea )_+

=" puerto G000 es e" de" protoco"o CK $eber;a ser un protoco"o conocid;simo, usado por"a ap"icaci%n de <irabi"is denominada CK Fay a" menos 2 % 3 c"ones dierentes de CK para #inu4 y es uno de "os programas de chat m>s amp"iamente diundido $udo 7ue senecesiten m>s e4p"icaciones

(na e9 en este punto, tienes disponib"es dos reg"as m>s para cuando e4perimentes unn!mero e4cesio de entradas en e" registro debidas a distintas circunstancias #a primerareg"a b"o7uear> "os pa7uetes de diusi%n )broadcast packets+ hacia e" rango de puertos entree" 13 y e" 13B =ste tipo de pa7uetes "os emp"ean 'etOS o S< para gran parte de "osusuarios de "as p"ataormas de <icrosot Con 5""o b"o7uearemos todas "as entradas deregistro 7ue pudi5ramos tener a causa de :edes <icrosot desde e" e4terior de nuestra red"oca" #a segunda reg"a tambi5n se ha creado para eitar "os prob"emas de un e4cesion!mero de entradas en e" registro, pero en este caso se encarga de "as peticiones $FC 7ue proienen de" e4terior Rsto es especia"mente cierto si tu red e4terior se basa en una red detipo =thernet no conmutado, donde "os c"ientes reciben sus direcciones a tra5s de$FC =n estas circunstancias y debido !nicamente a 5""o, puedes erte barrido por unagran cantidad de registros

6en en cuenta 7ue "as dos !"timas reg"as son especia"mente opciona"es, puesto 7uehabr> 7uien tenga inter5s en conserar este tipo de registros Si est>s teniendo

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 101/202

 prob"emas por un e4cesio n!mero de entradas "eg;timas en e" registro, prueba ae"iminar "as originadas por estas c"ases de pa7uetes 6ambi5n hay a"gunas reg"asm>s de" mismo tipo Eusto antes de "as reg"as de registro en "a cadena '(6

La cadena 6icm!F!ackets6

A7u; es donde decidimos 7u5 tipos C< permitiremos Si un pa7uete C< ""ega a tra5sde "a intera9 eth0 hasta "a cadena '(6, "o eniamos a "a cadena icmpWpackets ta" comoya se ha e4p"icado en "os casos anteriores =s entonces cuando comprobamos a 7u5 tipoC< pertenece y si "e permitimos e" paso o no or e" momento, s%"o permito e" paso a "as peticiones de eco C< )=cho re7uests+, a" tiempo de ida de" pa7uete nu"o durante e"tr>nsito )66# e7ua"s 0 during transit+ y a" tiempo de ida nu"o durante e" reensamb"ado)66# e7ua"s 0 during reassemb"y+ #a ra9%n para no permitir e" paso a ning!n otro tipo

C< como opci%n por deecto es 7ue pr>cticamente todos 5""os deben ser gestionados por"as reg"as para e" estado pa7uete re"acinado ):=#A6=$+

Si un pa7uete C< es eniado como respuesta a un pa7uete e4istente o a un "uEode pa7uetes, se considera como re"acionado ):=#A6=$+ con e" "uEo origina" aram>s inormaci%n sobre "os estados, "5ete e" cap;tu"o 8a #;$%i"a de estados

A continuaci%n e4p"icar5 "as ra9ones por "as 7ue permito estos tipo de pa7uetes C< "as peticiones de eco se uti"i9an para pedir una respuesta de eco de "a m>7uina destino, "o cua"

sire principa"mente para hacer pings a otros hosts y er si est>n disponib"es en a"gunared Sin esta reg"a "os dem>s hosts no ser>n capaces de hacer ping sobre nuestra m>7uina yno podr>n saber si estamos disponib"es en a"guna cone4i%n de red Fay 7ue destacar sinembargo 7ue hay 7uien e"imina esta reg"a, simp"emente por7ue no desean ser istos )serdetectab"es+ en nternet orrando esta reg"a consigues 7ue cua"7uier ping 7ue ""egue a tucortauegos sea in!ti", ya 7ue e" cortauegos no "e contestar>

=n cuanto a" tiempo e4cedido )66# e7ua"s 0 during transit o bien 66# e7ua"s 0 duringreassemb"y+, nos conendr> 7ue "os pa7uetes C< de este tipo tengan permiso paraatraesar e" cortauegos siempre 7ue deseemos conocer "a ruta hasta un host )o sea, eectuar un trace-route+, o tambi5n en "os casos en "os 7ue un pa7uete 7ue hayamos eniado a

a"can9ado e" estado 6ime 6o #ieY0 y deseemos recibir notiicaci%n de" eentoor eEemp"o, cuando eect!as un trace-route a a"guien, empie9as eniando un pa7uete con66# Y 1, "o cua" imp"ica 7ue en e" primer sa"to entre hosts )en e" primer hop+ e" 66# sereduce en una unidad y se igua"a a 0, de orma 7ue se en;a de ue"ta un pa7uete C< detipo 6ime =4ceeded desde e" primer punto de "a ruta de acceso 7ue ""ea a" host 7uetratamos de "oca"i9ar =ntonces se en;a otro pa7uete, pero esta e9 con 66# Y 2 y en e"segundo hop "a pasare"a )gate8ay+ deo"er> un C< 6ime =4ceeded, con "o 7ue ya se

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 102/202

conocen "os dos primeros puntos de "a ruta Continuando de manera an>"oga se ""egar>hasta e" host 7ue deseamos a"can9ar, con "o 7ue conoceremos "a ruta comp"eta y podremossaber 7u5 host intermedio tiene prob"emas

ara er un "istado comp"eto de "os tipos C<, "5ete e" ap5ndice Tipos ,C!  ara m>s

inormaci%n acerca de "os tipos C< y su uti"i9aci%n, te recomiendo "eer "os siguietesdocumentos e inormes

•  !rotocolo de e"sa=es de Co"trol de ,"ter"et  por :a"ph La"den

•  RFC 792 - !rotocolo de e"sa=es de Co"trol de ,"ter"et  por I oste"

$ebo adertir 7ue desde tu punto de ista puedo estar e7uiocado a" b"o7ueara"gunos de "os tipos C<, pero en mi caso todo unciona perectamente despu5sde b"o7uear todos "os tipos C< a "os 7ue no permito e" paso

La cadena INPT

6a" como "a he deinido en e" script, "a cadena '(6 uti"i9a principa"mente otras cadenas para hacer su trabaEo $e esta orma no sobrecargamos demasiado a iptab"es y uncionar>mucho meEor en m>7uinas "entas, 7ue de otra manera desechar;an pa7uetes en situacionesde mucha carga para e" sistema Rsto "o conseguimos a" buscar deta""es concretos 7uedeber;an coincidir en "os pa7uetes de" mismo tipo, eni>ndo"os entonces a cadenasespeciicadas por e" usuario Actuando as; podremos subdiidir nuestro conEunto de reg"as

de orma 7ue cada pa7uete deba atraesar e" menor n!mero de reg"as y con 5""o e"cortauegos surir> una menor carga debida a" i"trado de pa7uetes

ara empe9ar rea"i9amos ciertas comprobaciones para encontrar pa7uetes ma"ormados oincorrectos "o conseguimos eniando todos "os pa7uetes 6C a "a cadena badWtcpWpackets,"a cua" inc"uye unas pocas reg"as para comprobar ma"ormaciones o anoma";as 7ue nodeseamos aceptar ara una e4p"icaci%n comp"eta, "ee "a secci%n 8a cade"aGbadHtcpHpacetsG  de este cap;tu"o

=s ahora cuando empe9amos a buscar tr>ico de "as redes 7ue norma"mente son deconian9a, como e" procedente de" adaptador de red "oca" )"anWiace+, o e" tr>ico entrante y

sa"iente de nuestra intera9 de buc"e "oca" )"oopback interace, "oWiace+, inc"uyendotambi5n todas nuestras direcciones actua"mente asignadas )y 5sto signiica todas,inc"uyendo nuestra direcci%n de nternet+ as>ndonos en "o anterior hemos decididoaadir "a reg"a 7ue permite "a actiidad de "a red "oca" )#A'+ a" principio, ya 7ue en nuestrocaso "a red "oca" genera m>s tr>ico 7ue "a cone4i%n de nternet R""o permite una menorsobrecarga ya 7ue se debe comparar cada pa7uete en cada reg"a, por "o 7ue es una buenaidea aeriguar 7u5 tipo de tr>ico atraiesa con m>s recuencia e" cortauegos Cuandosepamos "a carga re"atia de cada tipo, podremos reordenar "as reg"as para 7ue sean m>s

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 103/202

eicientes, produciendo as; una menor sobrecarga a" cortauegos y una menor congesti%n detu red

Antes de empe9ar con "as reg"as aut5nticas 7ue deciden 7u5 permitimos o no desde "aintera9 de nternet, tenemos una reg"a re"acionada conigurada para reducir "a carga de"

sistema =s una reg"a de estado 7ue permite e" paso a todos "os pa7uetes 7ue sean parte deun "uEo =S6A#SF=$ )estab"ecido+ o bien :=#A6=$ )re"acionado+ con "a direcci%n de nternet =4iste una reg"a e7uia"ente en "a cadena a""o8ed, "o cua" es redundante ya7ue antes de ""egar a esa cadena, en este punto de" script "os pa7uetes ya son i"trados Sinembargo "a reg"a --state =S6A#SF=$,:=#A6=$ de "a cadena a""o8ed se hamantenido por arias ra9ones, entre "as 7ue se encuentra e" deseo de a"gunos de podercortar y pegar esta unci%n

6ras 5""o y toda;a en "a cadena '(6, i"tramos todos "os pa7uetes 6C 7ue ""eguen a "aintera9 '=6W*AC=, eni>ndo"os a "a cadena tcpWpackets $espu5s se eect!a "a mismaoperaci%n con "os pa7uetes ($, eni>ndo"os a "a cadena udpWpackets or !"timo "os

 pa7uetes C< son eniados a "a cadena icmpWpackets 'orma"mente un cortauegos recibir> un mayor n!mero de pa7uetes 6C, en menorcantidad "os pa7uetes ($ y por !"timo "os C< Sin embargo ten en cuenta 7ue 5sto es "onorma" pero no tiene por 7u5 ser tu caso gua" 7ue hicimos con "as reg"as espec;icas de"tipo de tr>ico de "a red, es coneniente aeriguar 7u5 pa7uetes causan un mayor tr>ico para reordenar conenientemente estas tres reg"as =s preciso tener en cuenta 7ue unam>7uina e7uia"ente a un entium , con una tarEeta =thernet de 100<bit trabaEando a p"ena potencia, puede c"audicar ante un simp"e conEunto de 100 reg"as ma" escrito =simportante tener"o en cuenta a "a hora de escribir e" conEunto de reg"as para tu red "oca"

Ahora nos encontramos con una reg"a e4tra, 7ue por deecto es opciona" )_+ y puedeuti"i9arse para eitar un e4cesio n!mero de registros en e" caso de 7ue tengas una red de<icrosot en e" e4terior de" cortauegos #inu4 "os c"ientes con sistema operatio <icrosottienen "a ma"a costumbre de eniar tone"adas de pa7uetes de mu"tidiusi%n )mu"ticast+ a"rango 22G000/M, por "o 7ue tenemos "a oportunidad de b"o7uear esos pa7uetes de orma7ue no inunden "os registros 6ambi5n hay dos reg"as m>s 7ue hacen a"go parecido en "acadena udpWpackets, descrita en 8a cade"a G%dpHpacetsG 

Antes de ""egar a "a po";tica por deecto de "a cadena '(6, registramos e" tr>ico 7ue nose ha i"trado a!n, de manera 7ue seamos capaces de encontrar posib"es prob"emas y/oa""os puede 7ue sean pa7uetes 7ue simp"emente no 7ueremos deEar pasar, puede sera"guien intentando hacernos a"go ma"o, o puede ser un prob"ema de nuestro cortauegos 7ueno deEa pasar a"g!n tr>ico 7ue deber;a estar permitido =n cua"7uier caso 7ueremossaber"o, de orma 7ue podamos so"ucionar e" prob"ema $e todas ormas no registramosm>s de 3 pa7uetes por minuto, ya 7ue no 7ueremos inundar "os registros con basura y con5""o ""enar por comp"eto "a partici%n de" registro. adem>s, inc"u;mos un preiEo a todas "asentradas para saber de d%nde proen;an

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 104/202

6odo "o 7ue no haya sido i"trado ser> desechado )$:O+ por "a po";tica por deecto de "acadena '(6, 7ue ha sido estab"ecida casi a" principio de este script, en "a secci%n 'stablecie"do las polIticas por defecto

La cadena 3ORGARD

=sta cadena tiene muy pocas reg"as en e" escenario 7ue estab"ecimos a" principio 6enemosuna reg"a 7ue en;a todos "os pa7uetes a "a cadena badWtcpWpackets, 7ue ya ha sido descritaanteriormente y se ha deinido de manera 7ue pueda ser emp"eada por arias cadenas,independientemente de" tipo de pa7uete 7ue "a atraiese

$espu5s de este primer che7ueo para buscar pa7uetes 6C incorrectos, tenemos "as reg"as principa"es de "a cadena *O:LA:$ #a primera reg"a permite e" tr>ico sin restriccionesdesde nuestra intera9 de red "oca" )#A'W*AC=+ hacia cua"7uier otra intera9 =n otras

 pa"abras, permite todo e" tr>ico desde nuestra #A' hacia nternet #a segunda reg"a permite e" tr>ico estab"ecido y re"acionado )=S6A#SF=$, :=#A6=$+ de ue"ta atra5s de" cortauegos =s decir, permite 7ue "os pa7uetes pertenecientes a cone4ionesiniciadas por nuestra red interna "uyan "ibremente hacia nuestra red =stas reg"as sonnecesarias para 7ue nuestra red "oca" sea capa9 de acceder a nternet, ya 7ue "a po";tica pordeecto de "a cadena *O:LA:$ se ha estab"ecido preiamente como $:O )desechar+Rsta es una orma de actuar bastante inte"igente, ya 7ue permitir> "a cone4i%n a nternet a"os hosts de nuestra red "oca", pero a" mismo tiempo b"o7uear> a "os hosts de nternet 7ueest5n intentando conectar con nuestros hosts internos

or !"timo, igua" 7ue hicimos en "a cadena '(6, tenemos una reg"a 7ue registrar> "os

 pa7uetes 7ue de a"guna manera no tengan permiso para pasar a tra5s de "a cadena*O:LA:$ Con 5""o probab"emente eremos a"gun caso de pa7uete incorrectamenteormado, entre otros prob"emas (na causa posib"e pueden ser "os intentos de ata7ue dehackers, aun7ue otras eces simp"emente ser>n pa7uetes ma"ormados =sta reg"a es pr>cticamente "a misma 7ue "a de "a cadena '(6, sa"o por e" preiEo de registro, 7ue eneste caso es 6 *O:LA:$ packet died #os preiEos se emp"ean usua"mente paraseparar entradas de registro y pueden emp"earse para distinguir registros y saber 7u5cadenas "os produEeron, as; como a"gunas opciones de "as cabeceras

La cadena OTPTuesto 7ue esta m>7uina s%"o "a uti"i9o yo y es a" mismo tiempo cortauegos y estaci%n detrabaEo, permito pr>cticamente todo "o 7ue proiene de "as direcciones de origen siguientes#OCA#FOS6W, #A'W o S6A6CW Cua"7uier otra direcci%n deber;a ser unintento de spooing )camu"aEe de direcciones+, aun7ue dudo 7ue nadie 7ue cono9ca pudierahacer 5sto en mi m>7uina or !"timo registramos todo a7ue""o 7ue resu"te desechado si sedesecha, deinitiamente 7uerremos saber por 7u5, de manera 7ue podamos ataEar e"

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 105/202

 prob"ema uede 7ue sea un as7ueroso error, o 7ue sea un pa7uete e4trao 7ue ha sidocamu"ado )spooed+ 6ras registrar"os, desechamos )$:O+ "os pa7uetes como po";tica por deecto

La cadena PR2ROTIN0 de la tabla nat

#a cadena :=:O(6'& es b>sicamente "o 7ue indica su nombre rea"i9a "a traducci%n dedirecciones de red en "os pa7uetes, antes de 7ue ""eguen a "a decisi%n de asignaci%n de ruta7ue "es eniar> a "as cadenas '(6 o *O:LA:$ de "a tab"a i"ter #a !nica ra9%n por "a7ue nos reerimos a esta cadena en e" script es 7ue nos sentimos ob"igados a repetir 7ue 'O$==S eectuar ning!n tipo de i"trado en 5""a #a cadena :=:O(6'& s%"o esatraesada por e" primer pa7uete de un "uEo, "o cua" signiica 7ue todos "os dem>s pa7uetesde" "uEo ser>n tota"mente ignorados por esta cadena 6a" como est> deinido este script, nouti"i9amos en abso"uto "a cadena :=:O(6'&, si bien es e" "ugar donde deber;amos

trabaEar si 7uisi5ramos hacer a"guna traducci%n $'A6 en pa7uetes espec;icos por eEemp"osi 7uisieras a"bergar tu seridor 8eb dentro de tu red "oca" ara m>s inormaci%n acerca de"a cadena :=:O(6'&, "5ete e" cap;tu"o travesa"do tablas y cade"as

#a cadena :=:O(6'& no debe usarse para ning!n tipo de i"trado puesto 7ue,entre otras causas, esta cadena s%"o es atraesada por e" primer pa7uete de un "uEo#a cadena :=:O(6'& debe usarse !nicamente para eectuar traducciones dedirecciones de red, a no ser 7ue sepas rea"mente "o 7ue est>s haciendo

Acti"ando =NAT / la cadena PO=TROTIN0

As; pues, nuestro !"timo cometido es tener en uncionamiento "a traducci%n de direcciones)'et8ork Address 6rans"ation+, [no\ or "o menos "o es para m; ara empe9ar aadimosuna reg"a a "a tab"a nat, en "a cadena OS6:O(6'&, 7ue traducir> todos "os pa7uetes7ue sa"gan de nuestra intera9 conectada a nternet =n mi caso se trata de "a intera9 eth0Sin embargo, e4isten ariab"es espec;icas aadidas a todos "os scripts de eEemp"o 7ue pueden usarse para conigurar autom>ticamente estos a"ores #a opci%n -t "e indica aiptab"es en 7u5 tab"a insertar "a reg"a, 7ue en nuestro caso es "a tab"a nat =" comando -Aindica 7ue 7ueremos agregar )Append+ una nuea reg"a a una cadena e4istente ""amada

OS6:O(6'&, mientras 7ue -o '=6W*AC= indica 7ue buscar> todos "os pa7uetessa"ientes a tra5s de "a intera9 '=6W*AC= )o eth0, como a"or por deecto en estescript+ or !"timo deinimos e" obEetio para 7ue eect!e un S'A6 a "os pa7uetes =s decir,todos "os pa7uetes 7ue concuerden con esta reg"a er>n traducida su direcci%n de origen, para 7ue pare9ca 7ue proienen de tu intera9 de nternet 6en en cuenta 7ue debes deinir"a direcci%n 7ue se "es asignar> a "os pa7uetes sa"ientes en e" obEetio S'A6 mediante "aopci%n --to-source

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 106/202

=n este script hemos decidido uti"i9ar e" obEetio S'A6 en "ugar de <ASK(=:A$=)enmascarar+ debido a dos ra9ones "a primera es 7ue este script se supone 7ue trabaEa en uncortauegos con direcci%n est>tica. "a segunda ra9%n es consecuencia de "a primera, ya7ue resu"ta m>s r>pido y eiciente uti"i9ar e" obEetio S'A6, siempre 7ue sea posib"e orsupuesto, tambi5n se ha usado para mostrar c%mo podr;a uncionar y c%mo deber;a

uti"i9arse en un caso rea" Si no tienes direccion est>tica, deinitiamente deber;as pensar en cambiar a" obEetio <ASK(=:A$=, 7ue orece una orma simp"e y senci""a de traducir "as direcciones y 7ue adem>s captar> autom>ticamente "a direcci%n a uti"i9ar Rstoconsume un poco m>s de potencia de" sistema, pero a"dr> "a pena si uti"i9as $FC, poreEemp"o Si 7uieres saber m>s acerca de c%mo unciona e" obEetio <ASK(=:A$=, "5etee" script rc.<C!.firewall.txt 

C%a!ter @. =cri!ts de e;em!lo=" obEetio de este cap;tu"o es dar una e4p"icaci%n sucinta de cada script disponib"e con estetutoria", as; como un ista9o genera" de "os scripts y "os sericios 7ue orecen #os scriptsno son en modo a"guno perectos y es posib"e 7ue no se aEusten e4actamente a tusnecesidades =n otras pa"abras eres t! e" 7ue debes aEustar "os scripts a tus necesidades ="resto de" tutoria" deber;a ayudarte a eectuar "os cambios necesarios #a primera secci%n de"tutoria" ersa acerca de "a estructura estab"ecida en cada script, con "o cua" deber;a ser m>s>ci" entender cada apartado de "os scripts

2structura del scri!t rc.fire4all.t7t6odos "os scripts de este tutoria" se han escrito basados en una estructura espec;ica #ara9%n es 7ue deben estar bastante pareEos y ser >ci"mente dierenciab"es entre e""os $ichaestructura deber;a estar suicientemente documentada en este bree cap;tu"o, d%nde seintenta proporcionar una pe7uea e4p"icaci%n de por 7u5 se han escrito todos "os scripts de"a manera en 7ue se ha hecho y por 7u5 se ha escogido esa estructura

A pesar de 7ue 5sta es "a estructura e"egida, ten presente 7ue 7ui9> no es "aestructura 7ue m>s te coniene para tus scripts =s simp"emente "a estructura 7ue

yo he escogido, ya 7ue se aEusta a "a necesidad de 7ue sea >ci" de "eer y de seguir,de acuerdo con mi "%gica

La estructura

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 107/202

=sta es "a estructura 7ue todos "os scripts de este tutoria" deber;an seguir Si diieren en a"goser> probab"emente un error por mi parte, a no ser 7ue se diga espec;icamente e" por 7u5 seha abandonado "a estructura

1 Co"fi+%raci" - =n primer "ugar nos encontramos con "as opciones de

coniguraci%n 7ue todos "os scripts deben usar #as opciones de coniguraci%n debenser casi siempre "o primero en cua"7uier script en ";nea de comandos )she""-script+

1  ,"ter"et  - =ste es e" apartado de coniguraci%n reerente a "a cone4i%n anternet uedes sa"tarte este apartado si no tienes ninguna cone4i%n anternet 6en en cuenta 7ue podr;a haber m>s subsecciones 7ue "as "istadasa7u;, pero s%"o a7u5""as reerentes a nuestra cone4i%n a nternet

1  <C!  - Si se re7uieren opciones espec;icas para $FC en e" script,"as coniguraremos a7u;

2  !!!o'  - Si e4iste "a posibi"idad de 7ue e" usuario 7uiera usar estescript en concreto y por cua"7uier motio resu"ta 7ue est> usando unacone4i%n o=, aadiremos "as opciones espec;icas a7u;

2  8&  - Si hay una #A' habi"itada detr>s de" cortauegos )ire8a""+,aadiremos "as opciones pertinentes en esta secci%n Rsto ser> "o m>s probab"e, de a7u; 7ue esta secci%n est5 casi siempre habi"itada

3  J  - Si hay a"guna ra9%n para 5""o, aadiremos "as opciones deconiguraci%n de una $<N )Nona $esmi"itari9ada+ en este punto #amayor parte de "os scripts carecen de esta secci%n, principa"mente por7ue

ninguna red casera norma" o pe7uea red de empresa tendr> $<NsG  8ocal*ost  - =stas opciones pertenecen a nuestro host "oca" =s muy

improbab"e 7ue estos a"ores cambien, pero "os hemos puesto comoariab"es de todas ormas =n principio no deber;a haber motios para hacercambios en estas ariab"es

iptables - =sta secci%n contiene "a coniguraci%n espec;ica de iptab"es =n "amayor;a de scripts y situaciones, s%"o se re7uiere una ariab"e 7ue indi7ued%nde est> ubicado e" archio binario )eEecutab"e+ iptab"es

H Otras - Si e4iste cua"7uier otra opci%n o ariab"e concreta debe ser inc"uida,antes 7ue en cua"7uier otro sitio, en su subsecci%n )si pertenecen a "acone4i%n a nternet, deben co"ocarse en dicha subsecci%n, etc+ Si no an enninguna, entonces deben co"ocarse directamente en a"g!n "ugar entre "asopciones de coniguraci%n

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 108/202

2 Car+a de #d%los - =sta secci%n de" script debe a"bergar una "ista de m%du"os #a primera parte debe contener "os m%du"os re7ueridos )necesarios+, mientras 7ue "asegunda contendr> "os no re7ueridos

6en en cuenta 7ue a"gunos modu"os 7ue permiten aumentar "a seguridad oaadir determinados sericios o posibi"idades, se pueden haber aadidoaun7ue no est5n estrictamente re7ueridos Cuando as; suceda,norma"mente se mencionar> e4presamente en "os scripts de eEemp"o

1  od%los re$%eridos - =sta secci%n deber;a contener "os m%du"os re7ueridosy, posib"emente, "os m%du"os 7ue meEoren "a seguridad o aadan sericiosespecia"es a" administrador o a "os c"ientes

2  od%los &o re$%eridos - =sta secci%n contendr> "os m%du"os 7ue no son

re7ueridos para operaciones norma"es 6odos estos modu"os aparecen pordeecto como si ueran comentarios, por "o 7ue si 7uieres aadir e" sericio7ue proporcionan, deber>s e"iminar e" s;mbo"o de comentario )_+

3 Co"fi+%raci" proc - =sta secci%n tratar> cua"7uier coniguraci%n especia" 7uenecesite e" sistema de icheros proc )5ste es un sistema irtua" creado baEodemanda 7ue permite interactuar con e" n!c"eo y "os procesos 7ue se eEecutan en 5"+Si a"gunas opciones son re7ueridas, ser>n "istadas como ta"es, pero si no es as; seescribir>n por deecto como comentarios y se "istar>n baEo "as coniguraciones no-re7ueridas de proc #a mayor;a de "as coniguraciones proc !ti"es ser>n "istadasa7u;, pero ni mucho menos se inc"uir>n todas

1 Co"fi+%raci" proc re$%erida - =sta secci%n debe contener todas "asconiguraciones proc re7ueridas por e" script en cuesti%n 6ambi5n podr;acontener posib"emente coniguraciones 7ue aumenten "a seguridad o 7ue pueden aadir sericios o posibi"idades especia"es para e" administrador o"os c"ientes

2 Co"fi+%raci" proc "o-re$%erida - =sta secci%n debe contener "asconiguraciones proc no-re7ueridas 7ue podr;an resu"tar uti"es 6odas e""asse escriben como si ueran comentarios por7ue no son necesarias para 7ue e"script trabaEe =sta "ista est> "eEos de contener todas "as coniguraciones de

 procG  'scrit%ra de las re+las - $espu5s de todo "o anterior, e" script ya debe estar "isto

 para 7ue se inserte e" conEunto de reg"as Fe decidido c"asiicar todas "as reg"as tras"a tab"a y "os nombres de "as cadenas 6odas "as cadenas espec;icas de usuario secrean antes de 7ue hagamos nada en "as cadenas por deecto de" sistema 6ambi5nhe decidido organi9ar "as cadenas y sus reg"as espec;icas en e" mismo orden en 7ueson mostradas con e" comando iptab"es -#

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 109/202

1 Tabla Filter  - Antes 7ue nada amos directos a "a tab"a i"ter y a sucontenido =n primer "ugar debemos conigurar "as po";ticas de "a tab"a

1 Co"fi+%raci" de las polIticas - empe9amos por conigurar todas "as po";ticas por deecto para "as cadenas de" sistema 'orma"mente

 pondr5 "a po";tica $:O por deecto en "as cadenas de "a tab"a i"tery espec;icamente usar5 "a po";tica ACC=6 para "os sericios y"uEos 7ue yo 7uiera permitir $e esta manera podremos eitar 7ue "agente use puertos 7ue no 7ueremos 7ue est5n disponib"es

2 Creaci" de las cade"as especIficas del %s%ario - en este puntocreamos todas "as cadenas propias 7ue 7ueremos usar m>s tarde enesta tab"a 'o podremos reerirnos a estas cadenas en "as de" sistemasi no est>n ya creadas, por "o 7ue debemos ""egar a 5""as "o antes posib"e

3 Crear los co"te"idos de las cade"as creadas por el %s%ario - despu5sde crear "as cadenas espec;icas de usuario, podemos escribir todas"as reg"as 7ue ""ear>n esas cadenas #a !nica ra9%n 7ue tengo paraescribir estos datos en este punto es por tener "as cadenas propias ysus reg"as "o m>s Euntas posib"e Sin embargo puedes poner"as m>sade"ante en e" script, es decisi%n tuya

G Cade"a ,&!0T  - ""egados a7u; ya no nos 7uedan muchas m>s cosas7ue hacer en "a tab"a i"ter, as; 7ue nos adentramos en "a cadena'(6 Ahora es cuando debemos aadir todas "as reg"as a "a cadena'(6

=s en este momento cuando empe9amos a seguir "a sa"ida de" comandoiptab"es -#, como podr>s combrobar 'o hay ra9%n para 7ue contin!escon esta estructura, pero no obstante, trata de eitar me9c"ar datos dedierentes tab"as y cadenas, ya 7ue puede hacerse muy duro "eer ycomprender e" conEunto de reg"as, as; como encontrar "a so"uci%n a posib"es prob"emas

Cade"a FOR(R - amos a aadir "as reg"as a "a cadena

*O:LA:$ 'ing!n comentario acerca de esta decisi%nH Cade"a O0T!0T  - "o !"timo 7ue 7ueda por hacer en "a tab"a i"ter es

aadir "as reg"as 7ue an en "a cadena O(6(6 =n principio nodeber;a haber mucho por hacer en esta cadena

2 Tabla "at  - despu5s de "a tab"a anterior, centramos nuestra atenci%n en "atab"a nat Abordamos esta tab"a despu5s de "a tab"a i"ter debido a arias

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 110/202

ra9ones reerentes a estos scripts para empe9ar no 7ueremos actiar todo e"mecanismo de reen;o )or8arding+ y "a unci%n 'A6 en una etapademasiado temprana, pues posib"emente podr;a deEar pasar "os pa7uetes atra5s de" cortauegos en un momento err%neo )es decir, cuando e" 'A6 seactia, pero ninguna reg"a de i"trado ha arrancado toda;a+ Adem>s, eo "a

tab"a nat como una especie de capa 7ue est> por encima de "a tab"a i"ter y7ue "a rodea de a"guna manera As; pues "a tab"a i"ter deber;a ser e" n!c"eo,mientras 7ue "a tab"a nat actuar;a como una capa 7ue "a recubre y por !"timo"a tab"a mang"e rodear;a a "a tab"a nat como una segunda capa Rsto puedeser err%neo desde a"g!n punto de ista, pero no est> demasiado "eEos de "area"idad

1 Co"fi+%rar las polIticas - antes 7ue nada estab"ecemos "as po";ticas por deecto en "a tab"a nat 'orma"mente estoy satisecho con "a po";tica por deecto 7ue hemos estab"ecido a" principio, es decir,ACC=6 =sta tab"a no debe ser usada para i"trar y no debemos b"o7uear "os pa7uetes a7u;, ya 7ue pueden ocurrir a"gunas cosasrea"mente eas en dichos casos debido a nuestras presunciones $eEoestas cadenas coniguradas como ACC=6 puesto 7ue no hay ra9%n para no hacer"o

2 Creaci" de las cade"as especIficas del %s%ario - ahora crearemoscua"7uier cadena espec;ica de" usuario 7ue 7ueramos aadir a "atab"a nat 'orma"mente no tengo ninguna, pero he aadido estasecci%n de todas ormas, s%"o por si acaso 6en en cuenta 7ue "ascadenas espec;icas de" usuario deben ser creadas antes de 7ue puedan ser usadas en "as cadenas de" sistema

3 Creaci" del co"te"ido de las cade"as especIficas del %s%ario -ahora es e" momento de aadir "as reg"as a "as cadenas 7ue ir>n en "atab"a nat odemos decir "o mismo 7ue con "as cadenas espec;icasde" usuario en "a tab"a i"ter Aadimos estas reg"as a7u;, ya 7ue noeo ra9%n a"guna para no hacer"o

G Cade"a !R'RO0T,&E - #a cadena :=:O(6'& es "a usada parahacer $'A6 a "os pa7uetes en caso de 7ue tengamos "a necesidad dehacer"o =n "a mayor;a de "os scripts esta caracter;stica no se usa, ocomo m;nimo est> en orma de comentario. 5sto es as; para no abrirenormes aguEeros hacia nuestra red "oca" sin tener conocimiento de5""os =n a"gunos scripts tenemos esta cadena habi"itada por deecto,ya 7ue e" !nico prop%sito de dichos scripts es proeer de ta"essericios

Cade"a !OSTRO0T,&E - "a cadena OS6:O(6'& se usa bastante a menudo en "os scripts 7ue he escrito, puesto 7ue "a mayor parte de 5""os se basan en e" hecho de 7ue tienes una o m>s redes"oca"es 7ue 7uieres deender de nternet mediante un cortauegos

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 111/202

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 112/202

M  !OSTRO0T,&E c*ai" - hasta este momento apenas hay inormaci%nen ning!n script de este tutoria" 7ue contenga reg"as a7u;

=speremos 7ue todo 5sto ayude a entender meEor c%mo est> estructurado cada script y por7u5 est> estructurado de dicha manera

6en en cuenta 7ue estas descripciones son e4tremadamente brees, y principa"mente deben ser istas e4c"usiamente como una bree e4p"icaci%n dec%mo y por 7u5 "os scripts han sido diididos como se ha hecho 'adie dice 7ue5sta sea "a !nica y meEor manera de hacer"o

rc.fire4all.t7t

=" script rcire8a""t4t es e" centro neur>"gico en e" 7ue se basan e" resto de scripts ="cap;tu"o 'l arc*ivo rc.firewall  deber;a e4p"icar detenidamente cada deta""e de" scriptrincipa"mente se ha escrito para una red "oca" casera dua", como por eEemp"o cuandotienes una red "oca" y una cone4i%n a nternet =ste script tambi5n asume 7ue tienes unadirecci%n est>tica para "a cone4i%n a nternet, por "o 7ue no usa ni $FC, ni , niS#, ni ning!n otro protoco"o 7ue te asigne autom>ticamente una direcci%n Si "o 7ue

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 113/202

 buscas es un script 7ue uncione con esas coniguraciones, meEor 5cha"e un ista9o a" scriptrc.<C!.firewall.txt 

=" script rc.firewall.txt necesita 7ue "as siguientes opciones sea compi"adasest>ticamente en e" n!c"eo, o bien compi"adas como m%du"os Sin a"guna de 5""as 7uedar>

 pena"i9ado en mayor o menor medida, puesto 7ue habr>n unciona"idades re7ueridas,necesarias en e" script, 7ue 7uedar>n inuti"i9ab"es As;mismo, conorme ayas cambiando e"script para adapt>rte"o, posib"emente necesitar>s m>s opciones compi"adas en e" n!c"eo)dependiendo siempre de "o 7ue 7uieras uti"i9ar+

• CO'*&W'=6*#6=:

• CO'*&WW'*WCO''6:ACJ

• CO'*&WW'*W6A#=S

• CO'*&WW'*W<A6CFW#<6

• CO'*&WW'*W<A6CFWS6A6=

• CO'*&WW'*W*#6=:

• CO'*&WW'*W'A6

• CO'*&WW'*W6A:&=6W#O&

rc.D:H.fire4all.t7t

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 114/202

=" script rc$<Nire8a""t4t a destinado a a7ue""os 7ue tienen una :ed nterna deConian9a )6rusted nterna" 'et8ork+, una Nona $esmi"itari9ada )$e-<i"itari9ed None+ y

una Cone4i%n a nternet )nternet Connection+ #a Nona $esmi"itari9ada en este caso es'A6-eada 1-a-1 y re7uiere 7ue hagas a"go de so"apamiento )a"iasing+ en tu cortauegos,5sto es, debes conseguir 7ue "a m>7uina recono9ca pa7uetes de m>s de una Fay ariasormas de conseguir"o una es estab"ecer "a traducci%n 'A6 de 1 a 1. si dispones de unasubred comp"eta, otra orma ser;a crear una subred, d>ndo"e a" cortauegos una a "a e9interna y e4terna A partir de a7u;, puedes estab"ecer "as s en "as m>7uinas de "a 9ona$<N ta" como desees Sin embargo, ten encuenta 7ue este sistema te robar> dos s una para "a direcci%n de diusi%n )broadcast+ y otra m>s para "a direcci%n de red A" ina" esdecisi%n tuya 7u5 imp"ementar, pero este tutoria" s%"o te dar> "as herramientas paraconseguir conigurar "a parte de" cortauegos y de" 'A6, siendo e" resto tarea tuya, puesto7ue no te indicar> 7u5 debes hacer a partir de ah; )5sto se sa"e uera de "a intenci%n de"

tutoria"+

=" script rc$<Nire8a""t4t re7uiere "as siguientes opciones compi"adas en e" n!c"eo, biende orma est>tica, bien en orma de m%du"os Sin estas opciones a" menos disponib"es en e"n!c"eo, no ser>s capa9 de uti"i9ar "a unciona"idad de" script O sea, 7ue obtendr>s unmont%n de errores respecto a m%du"os, obEetios/sa"tos o comparaciones no encontrados Sitienes en mente eectuar un contro" de" tr>ico o a"go simi"ar, debes asegurarte 7ue tambi5ntienes todas "as opciones necesarias compi"adas en e" n!c"eo

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 115/202

• CO'*&W'=6*#6=:

• CO'*&WW'*WCO''6:ACJ

• CO'*&WW'*W6A#=S

• CO'*&WW'*W<A6CFW#<6

• CO'*&WW'*W<A6CFWS6A6=

• CO'*&WW'*W*#6=:

• CO'*&WW'*W'A6

• CO'*&WW'*W6A:&=6W#O&

Como puedes er en "a imagen, necesitas tener dos redes internas con este script (nauti"i9a e" rango 1B21HM00/2G y se trata de una :ed nterna de Conian9a #a otra uti"i9ae" rango 1B21HM10/2G, trat>ndose de "a Nona $esmi"itari9ada a "a 7ue "e eectuaremos"a traducci%n 'A6 1-a-1 or eEemp"o, si a"guien desde nternet en;a un pa7uete a nuestra/&'%9, uti"i9aremos $'A6 para eniar e" pa7uete a nuestro $'S en "a red $<N Cuandoe" $'S comprueba e" pa7uete, "o en;a a "a direcci%n de" $'S de "a red interna y no a "a de" $'S e4terno Si e" pa7uete no hubiera sido traducido, e" $'S nunca hubierarespondido a" pa7uete eamos a continuaci%n un pe7ueo eEemp"o de" aspecto de" c%digo$'A6

$%9()*,' "t nat ") 9-,-G8(%&C "! (9 "i $%&,(%F), "d $/&'%9 7""d!ort 65 "j /&)( ""to"destination $/HL/&'%9 

Rsto iene a signiicar "os siguiente para empe9ar, "a traducci%n $'A6 s%"o se puedeeectuar en "a cadena :=:O(6'& de "a tab"a nat $espu5s, buscamos e" protoco"o 6Cen nuestra intera9 $%&,(%F), con "a de destino 7ue coincida con nuestra $/&'%9 y7ue est5 dirigido a" puerto 3, 7ue es e" puerto 6C para "as transerencias de 9ona entreseridores de nombres Si tenemos un pa7uete con estas caracter;sticas, hacemos 7ueeect!e un sa"to $'A6 =n resumen, eectuamos un $'A6 $espu5s de 5sto especiicamosd%nde 7ueremos 7ue aya e" pa7uete mediante "a opci%n --to-destination y "e damos e"a"or $/HL/&'%9 )"a de" $'S de nuestra red $<N+ As; es como trabaEa b>sicamente

e" $'A6 Cuando "a respuesta a" pa7uete $'A6eado se en;a a tra5s de" cortauegos,autom>ticamente se des-$'A6ea

#"egados a este punto, deber;as comprender suicientemente bien c%mo unciona todo, demanera 7ue no te suponga ning!n prob"ema importante comprender bastante bien estescript Si hay a"go 7ue no entiendes y no ha sido tratado en e" resto de" tutoria", en;ame uncorreo, pues probab"emente sea un a""o por mi parte

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 116/202

rc.D,CP.fire4all.t7t

=" script rc$FCire8a""t4t es casi id5ntico a" origina" )rc.firewall.txt + Sin embargo, eneste caso no se usa "a ariab"e S6A6CW, "o cua" es "a mayor dierencia con e" scriptorigina" )rcire8a""t4t+ #a ra9%n es 7ue no uncionar;a en una cone4i%n con din>mica#os cambios necesarios en e" script origina" son m;nimos, pero ha habido gente 7ue me ha preguntado c%mo so"entar e" prob"ema de "as s din>micas, as; 7ue este script ser> una buena so"uci%n para todos "os 7ue tengan "as mismas dudas =ste script es >"ido para todosa7ue""os 7ue uti"icen cone4iones $FC, y S# para acceder a nternet

=" script rc./A9.firewall.txt re7uiere "as siguientes opciones compi"adasest>ticamente en e" n!c"eo, o a" menos como m%du"os, para uncionar correctamente

• CO'*&W'=6*#6=:

• CO'*&WW'*WCO''6:ACJ

• CO'*&WW'*W6A#=S

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 117/202

• CO'*&WW'*W<A6CFW#<6

• CO'*&WW'*W<A6CFWS6A6=

• CO'*&WW'*W*#6=:

• CO'*&WW'*W'A6

• CO'*&WW'*W6A:&=6W<ASK(=:A$=

• CO'*&WW'*W6A:&=6W#O&

#os cambios principa"es eectuados a" script consisten en "a supresi%n de "a ariab"e'()(%%9, como ya he dicho, y de todas "as reerencias a 5""a =n "ugar de uti"i9ar"a, e"script eEecuta "a mayor parte de" i"trado a tra5s de "a ariab"e %&,(%F), =s decir, se hacambiado -d S6A6CW por -i '=6W*AC= >sicamente 5stos son "os !nicos cambiosnecesarios

$e todas ormas, hay a"gunas cosas m>s en "as 7ue debemos pensar a no podemos i"traren "a cadena '(6 en unci%n de, por eEemp"o, --in-interace #A'W*AC= --dst'=6W Rsto nos ob"iga a i"trar !nicamente bas>ndonos en interases en a7ue""os casosd%nde "as m>7uinas internas deben acceder a "a direccionab"e de nternet (n bueneEemp"o es cuando eEecutamos un seridor F66 en nuestro cortauegos si nos dirigimos a"a p>gina principa", "a cua" contiene en"aces est>ticos a su mismo host )7ue puede tenera"guna so"uci%n de dns din>mico, o dyndns+, nos encontraremos con un prob"ema rea"mente pe"iagudo #a m>7uina 'A6eada "e preguntar> a" $'S por "a de" seridor F66, para"uego intentar acceder a esa Si i"tr>semos bas>ndonos en "a intera9 y en "a , "am>7uina 'A6eada ser;a incapa9 de ""egar a" seridor F66, puesto 7ue "a cadena '(6simp"emente desechar;a "os pa7uetes Rsto tambi5n puede ap"icarse de a"guna orma en e"caso de 7ue tengamos una est>tica, pero a7u; tenemos "a oportunidad de eitar e" prob"ema aadiendo reg"as 7ue che7ueen si hay pa7uetes destinados a "a %&,(%9 7ue proengan de "a intera9 #A', en cuyo caso "os aceptar>

Como puedes obserar, puede ser una buena idea conseguir un script )o escribir"o+ 7uegestione m>s ra9onab"emente "as s din>micas As;, por eEemp"o podemos escribir unscript 7ue capte "a a tra5s de iconig y "a asigne a una ariab"e, tras e" arran7ue inicia"de "a cone4i%n a nternet (na buena orma de conseguir"o ser;a emp"ear "os scripts i!"u! 7ue orece pppd, entre otros programas (n buen sitio para buscar scripts es "a p>gina 8ebsobre iptab"es "inu4guru9org, d%nde podr>s encontrar y descargar montones de 5""os=ncontrar>s e" en"ace en e" ap5ndice Otras f%e"tes y e"laces

=" script rc./A9.firewall.txt puede ser un poco m>s inseguro 7ue e"rc.firewall.txt, por "o 7ue te sugiero 7ue uti"ices 5ste !"timo a" no ser tan

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 118/202

susceptib"e a ata7ues desde e" e4terior

Adem>s, e4iste "a posibi"idad de aadir a"go parecido a "o siguiente en tus scripts

%&,(%92Mifconfig $%&,(%F), N gre! inet N cut "d E "f # N 7cut "d O O "f 1M 

Con 5""o se captar;a autom>ticamente "a direcci%n de "a ariab"e '=6W*AC=, buscando "a ";nea 7ue contuiera "a direcci%n y e"iminando todo "o innecesario hastaobtener una direcci%n maneEab"e ara hacer todo 5sto de una manera m>s e"aborada, puedes ap"icar "as porciones de c%digo disponib"es en e" script retreieipt4t, 7ue captar>nautom>ticamente tu direcci%n de nternet a" eEecutar"o 6en en cuenta 7ue, en cambio,con 5""o se pueden obtener comportamientos a"go e4traos, como cone4iones ra"enti9adasdesde y hacia e" cortauegos en "a parte interna #os comportamientos e4traos m>s

comunes se describen en "a siguiente "ista

1 Si e" script se eEecuta desde otro script, 7ue a su e9 es eEecutado por, por eEemp"o,e" demonio , todas "as cone4iones actias en ese momento se co"gar>n, debidoa "as reg"as '=L not S' )"5ete e" cap;tu"o  !a$%etes c%yo estado es &'( peroc%yo bit S)& "o se *a establecido+ =s posib"e eitar"o si, por eEemp"o, e"iminas "asreg"as '=L not S', aun7ue esta so"uci%n es cuestionab"e

2 Si tienes reg"as 7ue son est>ticas y siempre tienen 7ue estar actias, es bastantedi;ci" aadir y borrar reg"as cont;nuamente sin daar "as ya e4istentes or eEemp"o,si 7uieres b"o7uear todos "os intentos de cone4i%n a" cortauegos proenientes de "os

hosts de tu #A' y, a" mismo tiempo, eEecutar un script desde e" demonio ,[c%mo "o consigues sin borrar "as reg"as actias 7ue est>n b"o7ueando tu #A'\

3 uede comp"icarse innecesariamente, ta" como se ha isto, "o cua" puede ""ear acomprometer "a seguridad Si e" script se mantiene simp"e, es m>s >ci" descubrir prob"emas y mantener un orden

rc.TIN.fire4all.t7t

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 119/202

=" script rc(6'ire8a""t4t, a" contrario 7ue e" resto de scripts, b"o7uear> "a red "oca")#A'+ 7ue haya por detr>s nuestro =s decir, 7ue no nos iaremos de nadie en ninguna red a"a 7ue estemos conectados Adem>s tampoco permitiremos a a7ue""os 7ue est5n en nuestra

#A' 7ue puedan hacer nada e4cepto tareas espec;icas en nternet #o !nico 7ue permitiremos ser> e" acceso a "os sericios O3, F66 y *6 de nternet 6ampoco permitimos e" acceso a" cortauegos a "os usuarios internos en mayor medida 7ue "osusuarios desde nternet

=" script rc.8(%&.firewall.txt re7uiere 7ue "as opciones "istadas m>s abaEo se compi"enest>ticamente, o como m%du"os, en e" n!c"eo Sin una o m>s de 5""as, tendr> uncomportamiento deectuoso puesto 7ue habr>n unciona"idades necesarias 7ue no podr>nemp"earse Adem>s, conorme ayas modiicando e" script seg!n tus necesidades, posib"emente necesites m>s opciones compi"adas en e" n!c"eo

• CO'*&W'=6*#6=:

• CO'*&WW'*WCO''6:ACJ

• CO'*&WW'*W6A#=S

• CO'*&WW'*W<A6CFW#<6

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 120/202

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 121/202

rc.flus%i!tables.t7t

=" script rc"ush-iptab"est4t en rea"idad no se deber;a ""amar un script en s; mismo #o 7uehar> es reiniciar y "aar"e "a cara a todas tus tab"as y cadenas =" script comien9a porestab"ecer "a po";tica por deecto a ACC=6 en "as cadenas '(6, O(6(6 y

*O:LA:$ de "a tab"a i"ter 6ras 5sto, reiniciar> "as po";ticas por deecto de "as cadenas:=:O(6'&, OS6:O(6'& y O(6(6 de "a tab"a nat Se hace todo 5sto en primer"ugar para no tener 7ue preocuparnos de cone4iones cerradas y pa7uetes 7ue no puedenentrar =" script est> pensado para conigurar y depurar errores en tu cortauegos, por "o 7ues%"o tenemos en cuenta e" trabaEo de abrir e" cortauegos y reiniciar todo a sus a"ores pordeecto

6ras 5""o se "impian todas "as cadenas, en primer "ugar en "a tab"a i"ter y a continuaci%n en"a tab"a 'A6 $e esta orma nos aseguramos 7ue no hay reg"as redundantes escondidas porcua"7uier sitio Cuando ya se ha conseguido 5sto, se sa"ta a "a siguiente secci%n, d%nde borraremos todas "as cadenas especiicadas por e" usuario en "as tab"as 'A6 y i"ter 6ras

este paso se considera eEecutado e" script Sin embargo, puedes considerar necesario aadirreg"as para "impiar "a tab"a mang"e, si es 7ue "a uti"i9as

(n apunte ina" determinadas personas me han escrito pidi5ndome 7ue aada estescript en e" script origina" rcire8a"" uti"i9ando "a sinta4is de :ed Fat #inu4, deorma 7ue escribas a"go parecido a rcire8a"" start y e" script se eEecute Sinembargo no "o oy a hacer ya 7ue 5ste es un tutoria" y deber;a ser entendido principa"mente como un "ugar d%nde encontrar ideas, por "o 7ue no deber;a""enarse de scripts de she"" ?";nea de comandos@ y sinta4is e4traas Aadir ta"esunciona"idades har;a "os scripts di;ci"es de "eer desde e" punto de ista 7ue me he

 propuesto, ya 7ue e" tutoria" se ha escrito con "a "egibi"idad como pi"arundamenta" y as; seguir> siendo

Limitmatc%.t7t

=" script "imit-matcht4t es un test de che7ueo de menor importancia 7ue te permitir>comprobar "a comparaci%n ";mite )"imit match+ y er c%mo unciona Carga e" script yempie9a a eniar pa7uetes ping a dierentes intera"os para er cu>"es atraiesan e"cortauegos y con 7u5 recuencia "o consiguen 6odas "as echo rep"ies )respuestas de eco+ser>n b"o7ueadas hasta 7ue se a"cance de nueo e" umbra" de" burst "imit

Pido4ner.t7t

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 122/202

=" script pid-o8nert4t es un pe7ueo eEemp"o 7ue muestra c%mo podemos usar "acomparaci%n $ o8ner ?propietario de" n!mero de identiicaci%n de proceso@ 'o hacenada !ti", pero deber;as ser capa9 de eEecutar"o y er en "a sa"ida de iptab"es -# - 7ue "areg"a est> uncionando

=ido4ner.t7t

=" script sid-o8nert4t es otro pe7ueo eEemp"o, 7ue en este caso muestra c%mo podemosusar "a comparaci%n S$ o8ner 'o hace nada !ti", pero deber;as ser capa9 de eEecutar"oy er en "a sa"ida de iptab"es -# - 7ue "a reg"a est> uncionando

Ttlinc.t7t

(n pe7ueo script de eEemp"o tt"-inct4t =ste script muestra c%mo hacer inisib"e a"cortauegos/enrutador rente a tra9adores de ruta )traceroutes+, 7ue de otra orma orecer;an bastante inormaci%n a posib"es atacantes

I!tablessa"e

(n pe7ueo script de eEemp"o uti"i9ado en e" cap;tu"o Salva"do y resta%ra"do +ra"des

co"=%"tos de re+las y 7ue i"ustra c%mo se puede usar e" comando iptab"es-sae =ste scriptno es unciona", por "o 7ue no deber;a usarse para otra cosa distinta a tener"o comoreerencia

A!!endi7 A. 27!licaciones detalladassobre comandos es!eciales

,aciendo un listado del con;unto de re#las acti"oara conseguir un "istado de" conEunto de reg"as 7ue est>s emp"eando, debes eEecutar unaopci%n especia" de" comando iptab"es, 7ue ya hemos desarro""ado breemente en e" cap;tu"oC#o se escribe %"a re+la $eber>s escribir "o siguiente

iptab"es -#

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 123/202

Con 5""o obtendr>s un "istado de" conEunto de reg"as con a"gunas transormaciones para 7uesea m>s "egib"e or eE, "os puertos se traducir>n seg!n "as e7uia"encias presentes en e"archio etcser:ices y "as direcciones ser>n traducidas seg!n "os nombrese7uia"entes 7ue recono9ca e" seridor $'S =n concreto 5sto !"timo puede dar "ugar aa"g!n prob"ema intentar> reso"er )traducir+ direcciones de "a red "oca" )como

1B21HM11 % 1B21HM00/1H+ a nombres m>s "egib"es )como puede ser 888goog"ecom+.sin embargo estas direcciones son priadas y no podr> reso"er nada, con "o cua" e"comando parecer> co"garse mientras intenta traducir "a ara eitar este prob"ematendremos 7ue hacer a"go simi"ar a

iptab"es -# -n

Otra cosa 7ue puede ser interesante es poder er a"gunas estad;sticas sobre cada po";tica,reg"a y cadena odemos conseguir"o aadiendo "a opci%n )"ag+ erbose )deta""ado+

iptab"es -# -n -

 'o o"ides 7ue tambi5n es posib"e enumerar "as tab"as nat y mang"e mediante "a opci%n -t.as;

iptab"es -# -t nat

Adem>s hay unos cuantos icheros a "os 7ue puede ser interesante echar un ista9o en e"sistema de icheros !roc or eEemp"o, puede interesarnos saber 7u5 cone4iones hayactua"mente en "a tab"a de seguimiento de cone4iones esta tab"a contiene "as dierentescone4iones 7ue se est>n monitori9ando en este momento y sire como tab"a b>sica d%ndeconocer e" estado en 7ue actua"mente se encuentra una cone4i%n =sta tab"a no se puede

editar, y aun7ue se pudiera, no ser;a una buena idea ara er"a puedes eEecutar e" siguientecomando

cat /proc/net/ipWconntrack X "ess

Con e" anterior comando eremos todas "as cone4iones monitori9adas, si bien puederesu"tar a"go di;ci" entender"o todo

Actuali+ando / 6aseando6 tus tablas

Si en a"g!n momento estropeas tus tab"as de iptab"es, hay comandos para arreg"ar"as, deorma 7ue no tendr>s 7ue reiniciar e" sistema a me han preguntado sobre 5sto en un parde ocasiones, as; 7ue he pensado contestar a7u; si has aadido una reg"a por error, "o m>ssenci""o es cambiar e" par>metro -A por e" -$ en "a ";nea 7ue has aadido por error iptab"esencontrar> esa ";nea err%nea y "a borrar>. si tuieras arias ";neas e4actamente igua"es en "acadena, borrar> "a primera cadena 7ue encuentre y sea coincidente con "a reg"a 7ue deseas

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 124/202

 borrar Si 5sto no es "o 7ue deseas, puedes intentar usar "a opci%n -$ como sigue iptab"es-$ '(6 10, eEemp"o 7ue borrar;a "a d5cima reg"a de "a cadena '(6

6ambien hay situaciones en "as 7ue 7uerr>s borrar una cadena entera ara 5sto, puedes usar "a opci%n -* por eE, con iptab"es -* '(6 borrar>s "a cadena '(6 entera, aun7ue no

modiicar>s su po";tica por deecto, 7ue si est> estab"ecida como $:O )desechar+, con e"eEemp"o anterior b"o7uear>s comp"etamente "a cadena '(6 )todo pa7uete 7ue entre enesta cadena ser> desechado+ ara modiicar "a po";tica por deecto de "a cadena, ha9 "omismo 7ue hiciste para estab"ecer"a, por eEemp"o iptab"es - '(6 ACC=6 )en esteeEemp"o cambiar>s de desechar a aceptar "os pa7uetes+

Fe creado un pe7ueo script )disponib"e tambi5n como un ap5ndice+ 7ue "impiar> yreinicia"i9ar> tus tab"as de iptab"es, "o cua" puede 7ue creas coneniente cuando 7uieras poner a punto e" archio rc.firewall.txt S%"o un apunte, si has estado trasteando en "atab"a mang"e, este script no borrar> nada en 5""a, aun7ue es bastante simp"e aadir "as pocas";neas de c%digo necesarias para hacer"o #a ra9%n es simp"e no uti"i9o "a tab"a mang"e para

nada en e" script rc.firewall.txt

A!!endi7 ?. Problemas / !re#untasfrecuentes

Problemas en la car#a de módulos

uedes tener a"g!n prob"ema a "a hora de cargar m%du"os or eEemp"o, pueden habererrores 7ue indi7uen 7ue no e4iste ning!n m%du"o con ese nombre A modo de eEemp"o, pueden tener e" siguiente aspecto )como podr>s er a "o "argo de" tutoria", "os eEemp"os nose han traducido y contin!an en ing"5s, ya 7ue todo e" sistema 'eti"ter/iptab"es se ha programado en ing"5s y de esta manera estudiar>s "os mensaEes con e" aspecto m>s simi"ar acomo puedas er"os en tu propio ordenador+

ins=odE i!tablefilterE no =odule by that na=e found

6raducci%n no se ha encontrado ning!n m%du"o con ese nombre Sin embargo no hay por7u5 preocuparse =se o esos m%du"os posib"emente hayan sido compi"ados est>ticamente en

e" n!c"eo )kerne"+ =sto ser> "o primero 7ue tendr>s 7ue comprobar cuando intentesso"ucionar e" prob"ema #a orma m>s senci""a de saber si "os m%du"os ya se han cargado osi se han compi"ado est>ticamente en e" n!c"eo, es eEecutar un comando 7ue uti"ice esaunciona"idad espec;ica y er "o 7ue ocurre =n e" caso anterior no se ha podido cargar "atab"a de i"trado )tab"a i"ter+ Si esta unciona"idad no est> cargada, seremos incapaces deuti"i9ar "a tab"a de i"trado, por "o 7ue podremos probar con

i!tables "t filter "*

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 125/202

 

Con 5""o se deber;an "istar todas "as cadenas de "a tab"a i"ter, o bien podr;a a""ar Si todo escorrecto, e" resu"tado puede ser semeEante a "o siguiente )dependiendo si tienes a"guna reg"aen "a tab"a o no+

hain %&98( P!olicy ),9(Qtarget !rot o!t source destination

hain FG-D)-/ P!olicy ),9(Qtarget !rot o!t source destination

hain G8(98( P!olicy ),9(Qtarget !rot o!t source destination

 

Si no tienes "a tab"a i"ter cargada obtendr>s un error parecido a

i!tables :1.#.6E canOt initialiRe i!tables table MfilterOE (able 7  does not exist Pdo you need to ins=odSQ9erha!s i!tables or your kernel needs to be u!graded. 

=ste error ya es a"go m>s serio, puesto 7ue para empe9ar nos dice 7ue no tenemos esaunciona"idad compi"ada en e" n!c"eo Adem>s, no es posib"e encontrar e" m%du"o ennuestras rutas de acceso a "os m%du"os =sto puede signiicar 7ue has o"idado insta"ar "osm%du"os, 7ue has o"idado eEecutar depmod -a para actua"i9ar "as bases de datos de "osm%du"os, o 7ue no has compi"ado "a unciona"idad como m%du"o o est>ticamente en e"n!c"eo or supuesto pueden haber otras ra9ones para 7ue e" m%du"o no est5 cargado, peroestas son "as m>s comunes #a mayor;a de e""as se resue"en >ci"mente =" primer prob"ema se puede e"iminar eEecutando make modu"esWinsta"" en e" directorio de insta"aci%nde" n!c"eo )siempre 7ue e" c%digo uente ya se haya compi"ado y "os m%du"os ya se hayancreado+ =" segundo prob"ema se resue"e eEecutando depmod -a una e9 y comprobar sitodo unciona a partir de entonces =" tercer prob"ema se sa"e de "os obEetios de estase4p"icaciones y debes so"ucionar"o por tu cuenta robab"emente encontrar>s inormaci%n!ti" en #inu4 $ocumentation roEect homepage )en ing"5s+ o tambi5n en 6#$-=S/#uCAS )m>s o menos "a misma p>gina 7ue "a anterior, pero en caste""ano+

Otro error 7ue puede ocurrir cuando eEecutes iptab"es es

i!tablesE &o chaintarget=atch by that na=e

 

=ste error indica 7ue no e4iste esa cadena, ese obEetio o esa comparaci%n $epende de unmont%n de actores, siendo e" m>s com!n 7ue te has e7uiocado a" escribir "a cadena,obEetio o comparaci%n 7ue deseabas 6ambi5n puede ser 7ue no hayas cargado e" m%du"oadecuado, 7ue no ue compi"ado en e" n!c"eo o 7ue iptab"es no ha sido capa9 de cargarautom>ticamente e" m%du"o =n genera" debes reisar todo "o anterior, pero tambi5ndeber;as reisar si "a reg"a est> correctamente escrita )en e" conEunto de reg"as de iptab"es+

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 126/202

Pauetes cu/o estado es N2G !ero cu/o bit =N no se %aestablecido

=4iste cierta caracterIstica de iptab"es 7ue no est> muy bien documentada y puede serobiada por mucha gente )s;, inc"uso yo+ Si emp"eas e" estado '=L de "os pa7uetes,a7ue""os con e" bit S' sin estab"ecer pasar>n por e" cortauegos Se ha programado as; por7ue en determinadas ocasiones se necesita considerar 7ue un pa7uete puede ser parte deuna cone4i%n ya estab"ecida )=S6A#SF=$+ en, por eEemp"o, otro cortauegos Con 5""oes posib"e tener dos o m>s cortauegos y poder caerse )co"garse+ uno de e""os sin p5rdida de datos e" trabaEo de i"trado de "a subred "o puede asumir autom>ticamente e"cortauegos secundario Sin embargo 5sto conduce a" hecho de 7ue e" estado '=L permitir> casi cua"7uier tipo de cone4i%n 6C, independientemente de si se trata de unsa"udo inicia" )un estab"ecimiento de cone4i%n+ o no ara eitar este prob"ema se aaden"as siguientes reg"as a "as cadenas '(6, O(6(6 y *O:LA:$ de "os cortauegos

$%9()*,' ") %&98( "! tc! T ""syn "= state ""state &,D "j *GC 7 ""log"!refix U&ew not synEU$%9()*,' ") %&98( "! tc! T ""syn "= state ""state &,D "j /-G9 

#as reg"as anteriores eitar>n este prob"ema 'os encontramos ante uncomportamiento ma" documentado de" proyecto 'eti"ter/iptab"es 7ue deber;a serc"aramente e4puesto para e" conocimiento genera" ara ser m>s c"aro, 7ue 7uedecomo un enorme aiso acerca de este tipo de comportamiento en tu cortauegos

6en en cuenta 7ue e4isten a"gunas incompatibi"idades entre "as reg"as anteriores y "as ma"asimp"ementaciones )adaptaciones+ de" 6C/ rea"i9adas por <icrosot #as reg"as anterioresconducir>n a ciertas condiciones en 7ue "os pa7uetes generados por "os productos de<icrosot ser>n eti7uetados con e" estado '=L y por tanto registrados y desechados $etodas ormas, por "o 7ue s5 no deriar>n en p5rdidas de cone4iones =" prob"ema ocurrecuando una cone4i%n se cierra, se en;a e" pa7uete *'/ACJ ina", "a m>7uina de estados)state machine+ de 'eti"ter cierra "a cone4i%n y a partir de entonces ya no e4iste en "a tab"ade" seguimiento de cone4iones )conntrack tab"e+ #"egados a este punto, "a deectuosaimp"ementaci%n de <icrosot en;a otro pa7uete 7ue es considerado '=L, pero carece de" bit S' y por e""o es interceptado por "as reg"as anteriores O sea, no te preocupes

demasiado por estas reg"as, aun7ue si "o haces inc"uye "a opci%n --"og-headers a "a reg"a yregistra tambi5n "as cabeceras, de orma 7ue podr>s ana"i9ar meEor c%mo es e" pa7uete

A!n e4iste otro prob"ema conocido con estas reg"as cuando a"guien est> conectado a"cortauegos )por eEemp"o desde "a red "oca"+ y has conigurado e" script )gui%n, conEunto decomandos de she""+ para 7ue se actie a" producirse una cone4i%n =n este caso, cuandoestab"eces una cone4i%n , a7ue" 7ue estuiera preiamente conectado a tra5s de "a red"oca" ser> poco menos 7ue e"iminado Aun7ue es cierto 7ue 5sto s%"o ocurre cuando est>s

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 127/202

trabaEando con e" seguimiento de cone4iones y "os c%digos base de 'A6 cargados amboscomo m%du"os, y adem>s "os m%du"os son cargados y descargados cada e9 7ue eEecutas e"script Otra orma de ""egar a este prob"ema es eEecutar e" script rc.firewall.txt mediante una cone4i%n te"net, desde un seridor situado uera de "a red de" cortauegosara ac"arar"o conectas mediante te"net u otro tipo de cone4i%n, arrancas "os m%du"os de

seguimiento de cone4iones, despu5s cargas "as reg"as '=L not S' y por !"timo, e"c"iente/demonio te"net intenta eniar a"go =s entonces cuando e" c%digo de seguimiento decone4iones no reconoce esta cone4i%n como "ega", puesto 7ue no tiene constancia dening!n pa7uete en ninguna direcci%n para esta cone4i%n. adem>s no habr> ning!n bit S'estab"ecido, puesto 7ue no es e" primer pa7uete de "a cone4i%n Como consecuencia, e" pa7uete ser> interceptado por estas reg"as y despu5s de aadir"o a" registro, ser> e"iminado

Pauetes =NBAC / N2G

Ciertos ata7ues de camu"aEe )spooing+ 6C emp"ean una t5cnica ""amada redicci%n deSecuencia 'um5rica )Se7uence 'umber rediction+ =n 5""os e" atacante simu"a "adirecci%n de otra m>7uina, mientras ataca a a"guien e intenta predecir "a secuencianum5rica emp"eada por e" ordenador a" 7ue est> sup"antando

eamos un caso t;pico Iugadores atacante ?A@, intentando eniar pa7uetes a "a ;ctima?@, e intentando hacerse pasar por otra m>7uina ?O@ )otro host+

1 ?A@ "e en;a un S' a ?@ con "a direcci%n de origen de ?O@

2 ?@ responde a ?O@ con un S'/ACJ

3 =ntonces ?O@ deber;a responder a un S'/ACJ desconocido con un :S6 yentonces e" ata7ue no tendr;a 54ito, pero asumamos 7ue ?O@ no est> operatio )est>desbordado, apagado o tras un cortauegos 7ue ha recha9ado "os pa7uetes+

G Si ?O@ no se interpone entre ?A@ y ?@, entonces ?A@ podr> hab"ar con ?@haci5ndose pasar por ?O@, siempre 7ue pueda predecir "a secuencia de n!meroscorrecta

<ientras no eniemos e" pa7uete :S6 en respuesta a" S'/ACJ desconocido en e" paso 3, permitiremos 7ue ?@ sea atacado y nos echen "a cu"pa a nosotros As; pues, ser> pura

cortes;a eniar adecuadamente e" :S6 a ?@ Si uti"i9as "as reg"as '=L not S')e4p"icadas antes+ en tu conEunto de reg"as, "os pa7uetes S'/ACJ ser>n desechados or5""o se aaden "as siguientes reg"as en "a cadena badWtcpWpackets, Eusto antes de "as reg"as'=L not S'

i!tables ") badtc!!ackets "! tc! ""tc!"flags '&I)+ '&I)+ 7"= state ""state &,D "j -,J,( ""reject"with tc!"reset 

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 128/202

&racias a 5""o, "as posibi"idades de ser ?O@ son re"atiamente pe7ueas, a" tiempo 7ue sonunas reg"as seguras en casi todos "os casos, e4cepto cuando eEecutas arios cortauegosredundantes, en "os 7ue "os unos se hacen cargo a menudo de "os "uEos de datos de "osotros =n este caso a"gunas cone4iones pueden ser b"o7ueadas, inc"uso si son "eg;timas=sta reg"a tambi5n permite 7ue a"gunos e4p"oradores de puertos )portscanners+ sean

capaces de er nuestro cortauegos, pero no ser>n capaces de aeriguar mucho m>s 7ue 5sto)7ue e" cortauegos est> ah;+

Pro"eedores de Acceso a Internet ue em!leandirecciones IP asi#nadas

Fe aadido este prob"ema por7ue un amigo me diEo a"go 7ue hab;a o"idadocomp"etamente Ciertos roeedores de Acceso a nternet )Ss+ rea"mente est!pidosasignan "as direcciones de "as redes "oca"es )asignadas por e"  ,&+ para "aconiguraci%n de cone4i%n de todos sus c"ientes or eEemp"o, e" S y monopo"io sueco6e"ia emp"ea este m5todo por eEemp"o en sus seridores $'S )Seridor de 'ombres de$ominio+, 7ue cubren e" rango de direcciones 10444 =" prob"ema es 7ue en este script nose permiten cone4iones desde ninguna direcci%n de" rango 10444, debido a "as posibi"idades de simu"aci%n de "a direcci%n de origen )e" spooing, ya discutido en e" punto anterior, es una t5cnica mediante "a cua" e" ordenador atacante modiica "a cabecerade "os pa7uetes de orma 7ue e" seridor/cortauegos crean 7ue proienen de unadirecci%n en "a 7ue se con;a o 7ue a" menos no es sospechosa, de orma 7ue atraiesane" cortauegos sin prob"emas+ ueno, tristemente es una situaci%n en "a 7ue debes o"idartede estas reg"as para esas direcciones, insertando un ACC=6 antes de "a secci%n Spoo, para permitir e" tr>ico desde esos seridores $'S, o puedes simp"emente conertir encomentario esa parte de" script <>s o menos se debe parecer a 5sto

usrlocalsbini!tables "t nat "% 9-,-G8(%&C "i eth1 "s 7  10.0.0.15# "j ),9( 

<e gustar;a tomarme un momento para ma"decir a esos Ss =stos rangos de direcciones no se han asignado para tonter;as como 5sa, por "o menos no 7ue yo sepa ara "a red degrandes empresas, para "a red "oca" de tu casa, 5stos s; son buenos eEemp"os y no e" hechode 7ue est5s ob"igado a abrir tu red por "a e"i9 idea de a"g!n "isti""o

Permitir !eticiones D,CP a tra"&s de i!tables

=n rea"idad esta es una tarea bastante senci""a, una e9 sabes c%mo trabaEa $FC Sinembargo debes ser a"go cuidadoso acerca de "o 7ue deEas pasar por tu cortauegos y "o 7ueno ara empe9ar, debes saber 7ue $FC trabaEa sobre e" protoco"o ($ or 5""o es "o primero 7ue debes mirar Adem>s, debes che7uear a 7u5 intera9 "e eniamos peticiones y

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 129/202

cu>" "as responde or eEemp"o, si es "a intera9 eth0 "a 7ue est> conigurada para trabaEar atra5s de $FC, no debes permitir peticiones $FC en eth1 ara 7ue "a reg"a sea m>sespec;ica, s%"o permitiremos "os puertos ($ rea"mente emp"eados por $FC, 7uedeber;an ser "os puertos HD y HM =stos ser>n "os criterios 7ue emp"earemos para comparar pa7uetes y permitir )o no+ su paso As; pues, "a reg"a 7uedar> poco m>s o menos as;

$%9()*,' "% %&98( "i $*)&%F), "! ud! ""d!ort E4 ""s!ort 7  E4 "j ),9(

 

6en en cuenta 7ue de esta orma se permite todo e" tr>ico hacia y desde "os puertos ($ HDy HM, aun7ue 5sto no tiene por 7u5 ser un gran prob"ema, puesto 7ue s%"o permite peticionesdesde seridores eectuando "a cone4i%n desde "os mismos puertos )HD y HM+ Si te preocupaesta conian9a casi ciega, "a reg"a se puede hacer m>s restrictia, por supuesto, pero deber;a bastar para aceptar todas "as peticiones y actua"i9aciones $FC sin abrir un aguEerodemasiado grande en e" cortauegos

Problemas con mIRC DCC

m:C emp"ea una coniguraci%n especia" 7ue "e permite conectar a tra5s de uncortauegos y conseguir 7ue "as cone4iones $CC uncionen correctamente sin 7ue e"cortauegos se entere de nada Si esta opci%n se emp"ea conEuntamente con iptab"es y, enconcreto, con "os m%du"os ipWconntrackWirc e ipWnatWirc, simp"emente no uncionar> =" prob"ema es 7ue m:C eectuar> autom>ticamente un cambio de "a direcci%n de red )'A6+a" pa7uete y cuando 5ste ""egue a" cortauegos, iptab"es no sabr> 7u5 hacer con 5" #acuesti%n es 7ue m:C no espera 7ue e4ista ning!n cortauegos "o suicientemente eicientecomo para hacer bien e" cambio de direcci%n no se cree 7ue simp"emente preguntando a"seridor :C su direcci%n , e" cortauegos pueda eniar peticiones $CC con esadirecci%n

amos, 7ue actiar "a opci%n estoy detr>s de un cortauegos ) am behind a ire8a""+ de"a coniguraci%n de m:C y emp"ear "os m%du"os ipWconntrackWirc e ipWnatWirc,!nicamente serir> para crear entradas en e" registro diciendo a7uete de en;o $CCa"siicado )*orged $CC send packet+

#a so"uci%n m>s simp"e es no emp"ear dicha opci%n de "a coniguraci%n de m:C y deEar7ue iptab"es haga su trabaEo O sea, debes decir"e a m:C 7ue "o est> detr>s de uncortauegos

A!!endi7 C. Ti!os IC:P

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 130/202

Fe a7u; un "istado comp"eto de "os tipos C< #as co"umnas regunta y =rror indicansi "os dierentes tipos son un mensaEe de error )a" 7ue nunca se contestar>+ o una pregunta)a "a 7ue se podr> contestar+

Table C1. Ti!os IC:P

TIPO CJDI0O Descri!ción Pre#unta 2rror

0 0 =cho :ep"y )respuesta de eco a un comando ping+ 4

3 0 'et8ork (nreachab"e )red ina"can9ab"e+ 4

3 1 Fost (nreachab"e )host ina"can9ab"e+ 4

3 2 rotoco" (nreachab"e )protoco"o ina"can9ab"e+ 4

3 3 ort (nreachab"e )puerto ina"can9ab"e+ 4

3 G*ragmentation needed but no-rag bit set )es necesaria"a ragmentaci%n, pero se ha estab"ecido e" bit de no-

ragmentar+

  4

3

Source routing ai"ed )ha a""ado e" encaminamientoe4igido en origen se ha especiicado e"camino/enrutado 7ue deben seguir "os pa7uetes y unode "os puntos de "a ruta no est> disponib"e+

  4

3 H$estination net8ork unkno8n )direcci%n de destinodesconocida+

  4

3 D$estination host unkno8n )host de destinodesconocido+

  4

3 MSource host iso"ated )host de origen ais"ado. este tipo

est> obso"eto+  4

3 B$estination net8ork administratie"y prohibited )redde destino prohibida administratiamente+

  4

3 10$estination host administratie"y prohibited )host dedestino prohibido administratiamente+

  4

3 11 'et8ork unreachab"e or 6OS )red ina"can9ab"e parae" 6OS, e" tipo de sericio+

  4

3 12Fost unreachab"e or 6OS )host ina"can9ab"e para e"6OS+

  4

3 13 Communication administratie"y prohibited byi"tering )comunicaci%n prohibida administratiamentemediante i"trado+

  4

3 1GFost precedence io"ation )io"aci%n de" precedentede" host+

  4

3 1recedence cuto in eect )est> actuando e" ";mite de precedente+

  4

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 131/202

TIPO CJDI0O Descri!ción Pre#unta 2rror

G 0

Source 7uench )"e indica a" origen 7ue se ca"me un poco por7ue est> saturando "a capacidad de procesode" receptor. actua"mente est> en desuso para nosaturar a!n m>s "a comunicaci%n+

 

0:edirect or net8ork )indica 7ue debes redireccionartus comunicaciones a otra red+

 

1:edirect or host )indica 7ue debes redireccionar tuscomunicaciones a otro host+

 

2:edirect or 6OS and net8ork )indica 7ue debesredireccionar tus comunicaciones con otro 6OS y aotra red+

 

3:edirect or 6OS and host )indica 7ue debesredireccionar tus comunicaciones con otro 6OS y aotro host+

 

M 0 =cho re7uest )petici%n de eco/ping+ 4

B 0:outer adertisement )aiso de e4istencia de"enrutador ]Fo"a, estoy a7u;^+

 

10 0:outer so"icitation )so"icitud de e4istencia deenrutador [Fay a"guien ah;\+

 

11 066# e7ua"s 0 during transit )66# igua" a 0 durante e"tr>nsito a" pa7uete se "e ha acabado su tiempo de idaantes de a"can9ar su destino+

  4

11 1

66# e7ua"s 0 during reassemb"y )66# igua" a 0

durante e" reensamb"ado si un pa7uete ha sidoragmentado y durante su reensamb"aEe e" 66# ""ega a0, se genera este error+

  4

12 0

header bad )catcha"" error+ ?cabecera err%nea)error de caE%n de sastre, o error para todo "o 7ue noest5 especiicado en otro sitio. o si "o preieres, error por deecto+@

4

12 1 :e7uired options missing )a"tan opciones re7ueridas+ 4

13 06imestamp re7uest )petici%n de "a hora en origen[Ku5 hora es ah;\. est> obso"eto+

4

1G 6imestamp rep"y )respuesta a "a petici%n de hora Son"as . est> obso"eto+

4

1 0normation re7uest )petici%n de inormaci%n. est>obso"eto+

4

1H 0normation rep"y )respuesta a "a petici%n deinormaci%n. est> obso"eto+

4

1D 0 Address mask re7uest )petici%n de m>scara de red 4

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 132/202

TIPO CJDI0O Descri!ción Pre#unta 2rror

cuando un host sin disco duro se inicia"i9a, eect!a una petici%n para saber 7u5 m>scara de red debe uti"i9ar+

1M 0Address mask rep"y )respuesta a "a petici%n dem>scara de red+

4

A!!endi7 D. Otras fuentes / enlacesFe a7u; una "ista de en"aces y uentes donde he conseguido inormaci%n )mientras no seindi7ue "o contrario, "os documentos est>n en ing"5s+

• ip-sysct"t4t - de" n!c"eo 2G1G A"go corto, pero una buena reerencia sobre "oscontro"es de gesti%n y 7u5 "e hacen a" n!c"eo $ocumento traducido a" caste""ano

• rotoco"o de <ensaEes de Contro" de nternet - (n documento bueno y bree 7uedescribe e" protoco"o C< deta""adamente =scrito por :a"ph La"den

• :*C DB2 - rotoco"o de <ensaEes de Contro" de nternet - #a uente de inormaci%ndeinitia acerca de "os pa7uetes C< Sea cua" sea "a inormaci%n t5cnica 7uenecesites saber acerca de" protoco"o C<, a7u; es donde primero debes buscar=scrito por I oste"

• :*C DB3 - rotoco"o de Contro" de 6ransmisiones - =sta es "a uente de inormaci%norigina" sobre c%mo debe comportarse 6C en todos "os hosts =ste documento es e"

est>ndar sobre e" uncionamiento de 6C desde 1BM1 en ade"ante =4tremadamentet5cnico, pero de ob"igada "ectura para a7u5" 7ue 7uiera aprender 6C en proundidad Origina"mente ue un est>ndar de" $epartamento de $eensa)Americano+ escrito por I oste"

• ipWdynaddrt4t - de" n!c"eo 2G1G (na reerencia muy corta sobre "as opciones deconiguraci%n de ipWdynaddr, disponib"es a tra5s de sysct" y e" sistema de icheros proc $ocumento traducido a" caste""ano

• iptab"esM - =" manua" de iptab"es 12G Rsta es una ersi%n F6<# de" manua", 7uees una reerencia e4ce"ente a" "eer/escribir conEuntos de reg"as de iptab"es 65n"osiempre a mano

• 6ab"a de reg"as de" cortauegos - (n pe7ueo documento $* donado amab"ementea este proyecto por Stuart C"ark, 7ue orece un ormu"ario de reerencia dondeescribir toda "a inormaci%n necesaria para e" cortauegos, de una orma senci""a

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 133/202

• http//888neti"terorg/  - =" sitio 8eb oicia" de 'eti"ter e iptab"es $e ob"igadaisita para todo a7u5" 7ue 7uiera conigurar iptab"es y 'eti"ter en #inu4

• http//888neti"terorg/documentation/inde4htm"_*AK - #as Fre$%e"tly sed@%estio"s )reguntas *recuentes+ oicia"es de 'eti"ter Rste es tambi5n un buen

"ugar de comien9o cuando empie9as a preguntarte 7u5 hacen iptab"es y 'eti"ter

• http//888neti"terorg/unre"iab"e-guides/packet-i"tering-FOL6O/inde4htm" - #a&u;a oco iab"e )(nre"iab"e &uide+ sobre i"trado de pa7uetes de :usty :usse""s=4ce"ente documentaci%n sobre i"trado b>sico de pa7uetes con iptab"es, escrito poruno de "os programadores de" n!c"eo de iptab"es y de 'eti"ter

• http//888neti"terorg/unre"iab"e-guides/'A6-FOL6O/inde4htm"  - #a &u;aoco iab"e )(nre"iab"e &uide+ sobre "a traducci%n de direcciones de red de :usty:usse""s =4ce"ente documentaci%n sobre 'et8ork Address 6rans"ation )'A6+ eniptab"es, escrito por uno de "os programadores de" n!c"eo de iptab"es y de 'eti"ter

• http//888neti"terorg/unre"iab"e-guides/neti"ter-hacking-FOL6O/inde4htm" -#a &u;a oco iab"e )(nre"iab"e &uide+ sobre optimi9aci%n )hacking+ de 'eti"ter, por :usty :usse""s (no de "os pocos documentos acerca de c%mo escribir c%digoen e" espacio de usuario en 'eti"ter e iptab"es

• http//888"inu4guru9org/iptab"es/ - =4ce"ente p>gina de en"aces )"inks+ a "amayor;a de "as p>ginas de nternet sobre iptab"es y 'eti"ter 6ambi5n mantiene una"ista de scripts para iptab"es destinados a distintos prop%sitos

• http//888is"andsotnet/eerapenhtm" - =4ce"ente discusi%n acerca de c%mo hacer m>s seguro iptab"es autom>ticamente y c%mo hacer pe7ueos cambios 7ue permitir>n a tu ordenador aadir autom>ticamente todo sitio hosti" a una "istaespecia" de sitios prohibidos en iptab"es

• etc!rotocols - (n eEemp"o de ichero de protoco"os sacado de "a distribuci%nS"ack8are Se puede usar para saber 7u5 n!mero tienen "os dierentes protoco"os,como pueden ser e" protoco"o , e" C< o e" 6C

• etcser:ices - (n eEemp"o de ichero de sericios, tambi5n de "a distribuci%nS"ack8are =s muy recomendab"e 7ue "o "eas de e9 en cuando, especia"mente si

necesitas una isi%n genera" de 7u5 puertos uti"i9an "os distintos protoco"os

• nternet =ngineering 6ask *orce )sin traducci%n. endr;a a ser =7uipo especia" deingenieros de nternet+ - Rste es uno de "os grupos m>s grandes en "o 7ue respecta aestab"ecer y mantener est>ndares de nternet Son "os 7ue mantienen e" a"mac5n)repository+ de :*C y "o integran un gran grupo de compa;as y particu"ares 7uetrabaEan conEuntamente para asegurar "a interoperabi"idad de nternet

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 134/202

• #inu4 Adanced :outing and 6raic Contro" FOL-6O )CQ<O sobre Contro" de6r>ico y =ncaminamiento Aan9ado de #inu4+ - =ste documento es uno de "osmeEores y m>s grandes acerca de" encaminamiento aan9ado de #inu4 <antenido por ert Fubert

•

aksecured #inu4 Jerne" patches )parches aksecured de" n!c"eo de #inu4+ - una8eb 7ue contiene todos "os parches )patches+ de" n!c"eo, escrito por <atthe8 &<arsh Adem>s de otros, e" parche *6OS est> disponib"e en 5sta 8eb

• >gina de" proyecto (#O&$ - #a p>gina 8eb oicia" de" proyecto (#O&$

• =" #inu4 $ocumentation roEect )royecto de $ocumentaci%n sobre #inu4+ es un buen "ugar d%nde buscar documentaci%n #a mayor;a de "os grandes documentos para #inu4 est>n disponib"es a7u;, de "o contrario, tendr>s 7ue rebuscar en "a :ediE>ndote mucho y pasando por muchas p>ginas hasta 7ue encuentres "o 7ue buscasSi hay a"go sobre "o 7ue 7uieras saber m>s, p>sate por esta 8eb Sin embargo

recuerda 7ue todo est> en ing"5s ara er una parte de esos documentos traducidosa" espao" tendr>s 7ue ir a "a p>gina hermana =" royecto #uCAS, d%ndeencontrar>s bastantes documentos traducidos, aun7ue no todos, ni tampoco tendr>ssiempre "as !"timas actua"i9aciones

• http//ka"ama9oo"inu4org/presentations/20010G1D/conntrackhtm" - =sta presentaci%n contiene una e4p"icaci%n e4ce"ente de "os m%du"os de seguimiento decone4iones )conntrack+ y c%mo trabaEan en 'eti"ter Si est>s interesado en estetema, debes "eerte"o

• http//888documorg - normaci%n e4ce"ente sobre "os comandos CK, tc e ip de

#inu4 (no de "os pocos sitios 7ue tiene inormaci%n sobre estos programas<antenido por Ste Coene

• http//"istssambaorg/mai"man/"istino/neti"ter  - #a "ista de correo oicia" de 'eti"ter =4tremadamente !ti" si tienes dudas sobre a"go no tratado en este tutoria" o7ue no se encuentre en a"g!n en"ace de "os a7u; "istados

, por supuesto, e" c%digo uente de iptab"es, "a documentaci%n y "os particu"ares 7ue meayudaron

A!!endi7 2. A#radecimientosKuiero agradecer a "as siguientes personas su ayuda durante "a creaci%n de este documento

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 135/202

•  Fabrice arie, por "as grandes correcciones a mis horrib"es gram>tica y ortogra;aAs;mismo un enorme agradecimiento por actua"i9ar e" tutoria" a" ormato $ocookcon sus make i"es y dem>s

•  arc Ko%c*er , por ac"ararme a"gunos aspectos de" c%digo de comparaci%n de

estados

•  Frode '. &yboe, por meEorar notab"emente "as reg"as de rc.firewall e inspirarmemientras reescrib;a e" conEunto de reg"as, adem>s de ser 7uien introduEo e" paso porm!"tip"es tab"as dentro de un mismo archio

• C*ap#a" Krad , lexa"der (. La"sse", ambos me hicieron er 7ue estabae7uiocado acerca de c%mo "os pa7uetes atraiesan e" 'A6 b>sico y "as tab"as dei"trado, as; como e" orden en 7ue aparecen

•  ic*iel Kra"de"b%r+ ,  yles 0ye#a, por ayudarme con una parte de" c%digo de

comparaci%n de estados y hacer"o uncionar

•  >e"t Mrtec*N Sta*re, por ayudarme con "os gr>icos )eres meEor 7ue muchos de "osgraistas 7ue cono9co .+ + 6ambi5n te agrade9co por buscar "os posib"es errores ene" tutoria"

•  "ders NeJ'&TN Lo*a"sso", por aconseEarme sobre e4traos Ss y a"gunos otros7ue uti"i9an redes reseradas en nternet, o a" menos en "a nternet 7ue te permitenuti"i9ar

•

 Lere#y MSpliffyN S#it*, por darme conseEos sobre deta""es 7ue podr;an conundir a "agente y por probar y buscar errores en e" te4to

por supuesto a todo a7ue" con 7uien he hab"ado y pedido opini%n acerca de" tutoria"erd%n por no haber mencionado a todo e" mundo

A!!endi7 3. ,istorial

ersi%n 111B )21 <ayo 2003+ http//iptab"es-tutoria"ro9entu4net or Oskar AndreassonCo"aboradores eter an Jampen, Taier arto", Ion Anderson, 6horsten remer y e"=7uipo de 6raducci%n a" =spao" ersion 111M )2G Abri" 2003+ http//iptab"es-tutoria"ro9entu4net or Oskar Andreasson Co"aboradores Stuart C"ark, :obert I $ay,<ark Orenstein and =dmond Sh8ayri ersi%n 111D )H Abri" 2003+ http//iptab"es-tutoria"ro9entu4net or Oskar Andreasson Co"aboradores &era"do Amara" *i"ho, OndreESuchy, $ino Conti, :obert I $ay, e"e $imo, Spencer :ouser, $aeonos, AmandaFickman, O""e Ionsson y engt Aspa"" ersi%n 111H )1H $iciembre 2002+

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 136/202

http//iptab"es-tutoria"ro9entu4net or Oskar Andreasson Co"aboradores C"emensSch8aigho8er, (8e $ippe" y $ae Lreski ersi%n 111 )13 'oiembre 2002+http//iptab"es-tutoria"ro9entu4net or Oskar Andreasson Co"aboradores <ark Sonarte,A #ester uck, :obert I $ay, 6ogan <utuog"u, Antony Stone, <atthe8 * arnes yOtto <ateEka ersi%n 111G )1G Octubre 2002+ http//iptab"es-tutoria"ro9entu4net or

Oskar Andreasson Co"aboradores Caro" Anne, <anue" <in9oni, es Soun, <iernik, (8e$ippe", $ae J"ipec y =ddy # O Iansson ersi%n 1113 )22 Agosto 2002+ http//iptab"es-tutoria"haringstadcom or Oskar Andreasson Co"aboradores (n mont%n de genteinorm>ndome de una ma"a ersi%n F6<# ersi%n 1112 )1B Agosto 2002+http//888neti"terorg/tutoria"/ or Oskar Andreasson Co"aboradores eter Schubne"",Stephen I #a8rence, (8e $ippe", rad"ey $i"ger, egard =ngen, C"iord Jite,A"essandro O"ieira, 6ony =arnsha8, Fara"d Le"te, 'ick Andre8 y Stepan Jasa" ersi%n1111 )2D <ayo 2002+ http//888neti"terorg/tutoria"/ or Oskar AndreassonCo"aboradores Stee Fni9dur, #onni *riedman, Ie""e Ja", Fara"d Le"te, a"entina arriosy 6ony =arnsha8 ersi%n 1110 )12 Abri" 2002+http//888boing8or"dcom/8orkshops/"inu4/iptab"es-tutoria"/ or Oskar AndreassonCo"aboradores Ie""e Ja", 6heodore A"e4andro, au" Corbett, :odrigo :ubira ranco,A"istair 6onner, <atthe8 & <arsh, (8e $ippe", =an 'emerson y <arce" I= <o"ersi%n 11B )21 <ar9o 2002+ http//888boing8or"dcom/8orkshops/"inu4/iptab"es-tutoria"/ or Oskar Andreasson Co"aboradores ince Ferried, 6ogan <utuog"u, &a"enIohnson, Je""y Ashe, Ianne Iohansson, 6homas Smets, eter Forst, <itch #anders, 'ei"Io""y, Ie""e Ja", Iason #am y =an 'emerson ersi%n 11M ) <ar9o 2002+http//888boing8or"dcom/8orkshops/"inu4/iptab"es-tutoria"/ or Oskar Andreassonersi%n 11D )G *ebrero 2002+ http//888boing8or"dcom/8orkshops/"inu4/iptab"es-tutoria"/ or Oskar Andreasson Co"aboradores arimi :ai, hi" Schu"t9, Steen<cC"intoc, i"" $ossett, $ae Lreski, =rik SE"und, Adam <ansbridge, asoo eerapen,A"addin y :usty :usse"" ersi%n 11H )D $iciembre 2001+ http//peop"euni4-uorg/andreasson/ or Oskar Andreasson Co"aboradores Iim :amsey, hi" Schu"t9, &range, $oug <onroe, Iasper Aikema, Jurt #ieber, Chris 6a""on, Chris <artin, Ionas asche,Ian #abano8ski, :odrigo : ranco, Iacco an Jo"" y $ae Lreski ersi%n 11 )1G 'oiembre 2001+ http//peop"euni4-uorg/andreasson/ or Oskar AndreassonCo"aboradores *abrice <arie, <eriEn Schering y Jurt #ieber ersi%n 11G )H 'oiembre2001+ http//peop"euni4-uorg/andreasson or Oskar Andreasson Co"aboradores Stig LIensen, Stee Fni9dur, Chris "uta y Jurt #ieber ersi%n 113 )B Octubre 2001+http//peop"euni4-uorg/andreasson or Oskar Andreasson Co"aboradores Ioni Chu, '=mi"e Akabi-$ais y Ie""e Ja" ersi%n 112 )2B Septiembre 2001+ http//peop"euni4-uorg/andreasson or Oskar Andreasson ersi%n 111 )2H Septiembre 2001+http//peop"euni4-uorg/andreasson or Oskar Andreasson Co"aboradores $ae:ichardson ersi%n 110 )1 Septiembre 2001+ http//peop"euni4-uorg/andreasson orOskar Andreasson ersi%n 10B )B Septiembre 2001+ http//peop"euni4-uorg/andreassonor Oskar Andreasson ersi%n 10M )D Septiembre 2001+ http//peop"euni4-uorg/andreasson or Oskar Andreasson ersi%n 10D )23 Agosto 2001+http//peop"euni4-uorg/andreasson or Oskar Andreasson Co"aboradores *abrice <arieersi%n 10H http//peop"euni4-uorg/andreasson or Oskar Andreasson ersi%n 10http//peop"euni4-uorg/andreasson or Oskar Andreasson Co"aboradores *abrice <arie

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 137/202

A!!endi7 0. Licencia de DocumentaciónLibre 0N

ersi%n 11, <ar9o de 2000$erechos de Autor )C+ 2000 *ree Sot8are *oundation, nc B 6emp"e "ace, Suite 330,oston, <A 02111-130D (SA Se permite "a copia y distribuci%n de copias "itera"es de estedocumento de "icencia, pero no se permiten cambios

Trad%cci" a 'spaol de la E&0 Free oc%#e"t 8ice"se 1.1 AEF8B

#os autores de esta traducci%n son

•

gor 6>mara ikksbigootcom 

• ab"o :eyes reyesWpab"ohotmai"com 

=sta es una traducci%n no oicia" de "a &'( *ree $ocument #icense )&*$#+,ersi%n 11 a =spao" 'o ha sido pub"icada por "a *ree Sot8are *oundation, y noestab"ece "ega"mente "os t5rminos de distribuci%n para trabaEos 7ue usen "a &*$#-- s%"o e" te4to de "a ersi%n origina" en ng"5s de "a &*$# "o hace Sin embargo,esperamos 7ue esta traducci%n ayudar5 a hab"antes de espao" a entender meEor "a&*$#

6his is an unoicia" trans"ation o the &'( *ree $ocument #icense )&*$#+ intoSpanish t 8as not pub"ished by the *ree Sot8are *oundation, and does not"ega""y state the distribution terms or 8orks that uses the &*$# --on"y the origina"=ng"ish te4t o the &*$# does that Fo8eer, 8e hope that this trans"ation 8i""he"p Spanish speakers understand the &*$# better

#a ersi%n origina" de "a &*$# esta disponib"e enhttp//888gnuorg/copy"et/d"htm"

. PR2K:?LO=" prop%sito de esta "icencia es permitir 7ue un manua", "ibro de te4to, u otro documentoescrito sea "ibre en e" sentido de "ibertad asegurar a todo e" mundo "a "ibertad eectia decopiar"o y redistribuir"o, con o sin modiicaciones, de manera comercia" o no =n segundot5rmino, esta "icencia presera para e" autor o para 7uien pub"ica una manera de obtenerreconocimiento por su trabaEo, a" tiempo 7ue no se considera responsab"e de "asmodiicaciones rea"i9adas por terceros, "o cua" signiica 7ue "os trabaEos deriados de"

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 138/202

documento deben a su e9 ser "ibres en e" mismo sentido Comp"ementa "a #icencia !b"ica&enera" &'(, 7ue es una "icencia de copy"et diseada para e" sot8are "ibre

Femos diseado esta #icencia para usar"a en manua"es de sot8are "ibre, ya 7ue e" sot8are"ibre necesita documentaci%n "ibre (n programa "ibre debe enir con "os manua"es 7ue

ore9can "a mismas "ibertades 7ue da e" sot8are ero esta "icencia no se "imita a manua"esde sot8are. puede ser usada para cua"7uier trabaEo te4tua", sin tener en cuenta su tem>ticao si se pub"ica como "ibro impreso :ecomendamos esta "icencia principa"mente paratrabaEos cuyo in sea instructio o de reerencia

1. APLICA?ILIDAD D23INICION2=

=sta #icencia se ap"ica a cua"7uier manua" u otro documento 7ue contenga una nota de" propietario de "os derechos 7ue indi7ue 7ue puede ser distribuido baEo "os t5rminos de "a

#icencia =" $ocumento, en ade"ante, se reiere a cu"7uiera de dichos manua"es otrabaEos Cua"7uier miembro de" p!b"ico es un como (sted

(na ersi%n <odiicada de" $ocumento signiica cua"7uier trabaEo 7ue contenga e"$ocumento o una porci%n de" mismo, ya sea una copia "itera" o con modiicaciones y/otraducciones a otro idioma

(na Secci%n Secundaria es un ap5ndice titu"ado o una secci%n pre"iminar a" pr%"ogo de"$ocumento 7ue tiene 7ue er e4c"usiamente con "a re"aci%n de 7uien pub"ica, o con "osautores de" $ocumento, o con e" tema genera" de" $ocumento )o asuntos re"acionados+ ycuyo contenido no entre directamente en ta" tema genera" )or eEemp"o, si e" $ocumento es

en parte un te4to de matem>ticas, una Secci%n Secundaria puede no e4p"icar matem>ticas+#a re"aci%n puede ser un asunto de cone4i%n hist%rica, o de posici%n ega", comercia",i"os%ica, 5tica o po";tica con e" tema o "a materia de" te4to

#as Secciones nariantes son ciertas Secciones Secundarias cuyos t;tu"os sondenominados como Secciones nariantes en "a nota 7ue indica 7ue e" documento es"iberado baEo esta "icencia

#os 6e4tos de Cubierta son ciertos pasaEes cortos de te4to 7ue se "istan, como 6e4tos de6;tu"o o 6e4tos a" respa"do de "a p>gina de t;, en "a nota 7ue indica 7ue e" documento es"iberado baEo esta #icencia

(na copia 6ransparente de" $ocumento, signiica una copia para "ectura en m>7uina,representada en un ormato cuya especiicaci%n est> disponib"e a" p!b"ico genera", cuyoscontenidos pueden ser istos y editados directamente con editores de te4to gen5ricos o)para im>genes compuestas por pi4e"es+ con programas gen5ricos de dibuEo o )para dibuEos+con a"g!n editor gr>ico amp"iamente disponib"e, y 7ue sea adecuado para e4portar aormateadores de te4to o para traducci%n autom>tica a una ariedad de ormatos adecuados para ingresar a ormateadores de te4to (na copia hecha en un ormato de un archio 7ue

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 139/202

no sea 6ransparente, cuyo ormato ha sido diseado para impedir o diicu"tar subsecuentesmodiicaciones posteriores por parte de "os "ectores no es 6ransparente (na copia 7ue noes 6ransparente es ""amada Opaca

Como eEemp"os de ormatos adecuados para copias 6ransparentes est>n e" ASC p"ano sin

ormato, ormato de 6e4ino, ormato de #a6eT, S&<# o T<# usando un $6$ disponib"e pub"icamente, y F6<# simp"e 7ue siga "os est>ndares, diseado para modiicacioneshumanas #os ormatos Opacos inc"uyen ostScript, $*, ormatos propietarios 7ue pueden ser "e;dos y editados unicamente en procesadores de pa"abras propietarios, S&<# oT<# para "os cu>"es "os $6$ y/o herramientas de procesamiento no est>n disponib"esgenera"mente, y e" F6<# generado por m>7uinas, producto de a"g!n procesador de pa"abras so"o para prop%sitos de sa"ida

#a agina de 6;tu"o en un "ibro impreso signiica, "a pagina de titu"o misma, m>s "as p>ginas siguientes 7ue sean necesaria para mantener, "egib"emente, e" materia" 7ue esta#icencia re7uiere en "a p>gina de titu"o ara trabaEos en ormatos 7ue no tienen p>gina de

t;tu"o como ta", >gina de 6;tu"o signiica e" te4to cercano a "a aparici%n m>s prominentede" t;tu"o de" trabaEo, precediendo e" comien9o de" cuerpo de" trabaEo

'. COPIA LIT2RAL

uede copiar y distribuir e" $ocumento en cua"7uier medio, sea en orma comercia" o no,siempre y cuando esta #icencia, "as notas de derecho de autor, y "a nota de "icencia 7ueindica 7ue esta #icencia se ap"ica a" $ocumento se reprodu9ca en todas "as copias, y 7ueusted no adicione ninguna otra condici%n a "as e4puestas en en esta #icencia (sted no

 puede usar medidas t5cnicas para obstruir o contro"ar "a "ectura o copia posterior de "ascopias 7ue usted haga o distribuya Sin embargo, usted puede aceptar compensaci%n acambio de "as copias Si distribuye un n!mero suicientemente grande de copias tambi5ndeber> seguir "as condiciones de "a secci%n 3

6ambi5n puede prestar copias, baEo "as mismas condiciones estab"ecidas anteriormente, y puede e4hibir copias pub"icamente

. COPIADO 2N CANTIDAD

Si pub"ica copias impresas de" $ocumento 7ue sobrepasen "as 100, y "a nota de #icencia de"$ocumento e4ige 6e4tos de Cubierta, debe inc"uir "as copias con cubiertas 7ue ""een enorma c"ara y "egib"e, todos esos 6e4tos de Cubierta 6e4tos de t;tu"o en "a portada, y 6e4tosa" respa"do de "a p>gina de t;"o Ambas cubiertas deben identiicar"o a (sted c"ara y"egib"emente como 7uien pub"ica ta"es copias #a portada debe mostrar e" t;tu"o comp"etocon todas "as pa"abras igua"mente prominentes y isib"es Adem>s puede adicionar otromateria" en "a cubierta #as copias con cambios "imitados en "as cubiertas, siempre 7ue

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 140/202

 preseren e" t;tu"o de" $ocumento y satisagan estas condiciones, pueden considerarsecomo copias "itera"es

Si "os te4tos re7ueridos para "a cubierta son muy o"uminosos para 7ue aEusten"egib"emente, debe co"ocar "os primeros )tantos como sea ra9onab"e co"ocar+ en "a cubierta

rea" y continuar e" resto en p>ginas adyacentesSi pub"ica o distribuye copias Opacas de" $ocumento cuya cantidad e4ceda "as 100, debeinc"uir una copia 6ransparente, 7ue pueda ser "e;da por una m>7uina, con cada copia Opacao entregar en o con cada copia Opaca una direcci%n en una red de computadores accesib"e pub"icamente 7ue contenga una copia comp"eta 6ransparente de" $ocumento, sin materia"adiciona", a "a cua" e" p!b"ico en genera" de "a red pueda acceder a baEar an%nimamente sincargo usando protoco"os p!b"icos y estandari9ados Si usted hace uso de "a !"tima opci%n,deber> tomar medidas necesarias, cuando comience "a distribuci%n de "as copias Opacas encantidad, para asegurar 7ue esta copia 6ransparente permanecer> accesib"e en e" sitio por "omenos un ao despu5s de su !"tima distribuci%n de copias Opacas )directamente o a tra5s

de sus agentes o distribuidores+ de esa edici%n a" p!b"icoSe so"icita, aun7ue no es re7uisito, 7ue contacte a "os autores de" $ocumento antes deredistribuir cua"7uier gran n!mero de copias, para dar"e "a oportunidad de 7ue "e proeanuna ersi%n actua"i9ada de" $ocumento

5. :ODI3ICACION2=

uede copiar y distribuir una ersi%n <odiicada de" $ocumento baEo "as condiciones de

"as seccions 2 y 3 anteriores, siempre 7ue usted "ibere "a ersi%n <odiicada baEo estamisma #icencia, con "a ersi%n <odiicada haciendo e" ro" de" $ocumento, por "o tanto"icenciando "a distribuci%n y modiicaci%n de "a ersi%n <odiicada a 7uien7uiera poseauna copia de esta Adem>s, debe hacer "o siguiente en "a ersi%n <odiicada

A (sar en "a >gina de 6;tu"o )y en "as cubiertas, si hay a"guna+ un t;tu"o distinto a" de"$ocumento, y de ersiones anteriores )7ue deber;an, si hay a"guna, estar "istados en"a secci%n de Fistoria de" $ocumento+ uede usar e" mismo t;tu"o de ersionesanteriores a" origina" siempre y cuando 7uien pub"ic% origina"mente otorge permiso

#istar en "a >gina de 6;tu"o, como autores, una o m>s personas o entidades

responsab"es por "a autor;a o "as modiicaciones en "a ersi%n <odiicada, Eunto con por "o menos cinco de "os autores principa"es de" $ocumento )6odos sus autores principa"es, si hay menos de cinco+

C nc"uir en "a >gina de 6;tu"o e" nombre de 7ui5n pub"ica "a ersi%n <odiicada,como 7uien pub"ica

$ reserar todas "as notas de derechos de autor de" $ocumento

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 141/202

= Adicionar una nota de derecho de autor apropiada a sus modiicaciones, adyacente a"as otras notas de derecho de autor

* nc"uir, immediatamente despu5s de "a nota de derecho de autor, una nota de"icencia dando e" permiso p!b"ico para usar "a ersi%n <odiicada baEo "os t5rminos

de esta #icencia, de "a orma mostrada en e" ane4o a" ina" de este documento& reserar en esa nota de "icencia e" "istado comp"eto de Secciones nariantes y de

"os 6e4tos de Cubiertas 7ue sean re7ueridos como se especii7ue en "a nota de#icencia de" $ocumento

F nc"uir una copia sin modiicaci%n de esta #icencia

reserar "a secci%n ""amada Fistoria, y su t;tu"o, y adicionar a esta una secci%nestab"eciendo a" menos e" t;tu"o, e" ao,"os nueos autores, y 7ui5n pub"i7ue "aersi%n <odiicada como re9a en "a >gina de 6;tu"o Si no hay una secci%n titu"ada

Fistoria en e" $ocumento, crear una estab"eciendo e" t;tu"o, e" ao, "os autores y7uieng pub"ic% e" $ocumento como re9a en "a >gina de 6;tu"o, aadiendo adem>suna secci%n describiendo "a ersi%n <odiicada como se estab"eci% en "a oraci%nanterior

I reserar "a "oca"i9aci%n en red, si hay , dada en "a $ocumentaci%n para acceso p!b"ico a una copia 6ransparente de" $ocumento, tanto como "as otras direccionesde red dadas en e" $ocumento para ersiones anteriores en "as cu>"es estuiese basado =stas pueden ubicarse en "a secci%n Fistoria Se puede omitir "a ubicaci%nen red para un trabaEo 7ue sea pub"icado por "o menos cuatro aos antes 7ue e"$ocumento mismo, o si 7uien pub"ica origina"mente "a ersi%n da permisoe4p";citamente

J =n cua"7uier secci%n titu"ada Agradecimientos o $edicatorias, preserar e"t;tu"o de "a secci%n, y preserar en "a secci%n toda "a sustancia y e" tono de "osagradeimientos y/o dedicatorias de cada contribuyente 7ue est5n inc"u;das

# reserar todas "as Secciones nariantes de" $ocumento, sin a"terar su te4to ni sust;tu"os '!meros de secci%n o e" e7uia"ente no son considerados parte de "os t;tu"osde "a secci%n

< orrar cua"7uier secci%n titu"ada Aprobaciones 6a"es secciones no pueden estarinc"uidas en "as ersiones <odiicadas

 ' 'o retitu"ar ninguna secci%n e4istente como Aprobaciones o con"ictuar con e"t;tu"o de a"guna Secci%n nariante

Si "a ersi%n <odiicada inc"uye secciones o apendices nueos o pre"iminares a" pr%"ogo7ue ca"ii7uen como Secciones Secundarias y contienen materia" no copiado de"$ocumento, puede opciona"mente designar a"gunas o todas esas secciones como

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 142/202

inariantes ara hacer"o, adicione sus t;tu"os a "a "ista de Secciones nariantes en "a notade "icencia de "a ersi%n <odiicada 6a"es t;tu"os deben ser distintos de cua"7uier otrot;tu"o de secci%n

uede adicionar una secci%n titu"ada Aprobaciones, siempre 7ue contenga unicamente

aprobaciones de su ersi%n <odiicada por arias uentes--por eEemp"o, obseraciones de peritos o 7ue e" te4to ha sido aprobado por una organi9aci%n como "a deinici%n oicia" deun est>ndar

uede adicionar un pasaEe de hasta cinco pa"abras como un 6e4to de ortada, y un pasaEe dehasta 2 pa"abras a" respa"do de "a p>gina de t;tu"o a" ina" de "a "ista de 6e4tos de Cubiertaen "a ersi%n <odiicada So"amente un pasaEe de 6e4to de ortada y uno a" respa"do de "a p>gina de t;tu"o puede ser adicionado por )o a manera de arreg"os hechos por+ una entidadSi e" $ocumento ya inc"uye un te4to de cubierta para "a misma portada o a" respa"do de "a portada, preiamente adicionado por usted o por arreg"o hecho por "a misma entidad, anombre de "a cua" usted est> actuando, usted no puede adicionar otro. pero puede

reemp"a9ar e" anterior, con permiso e4p";cito de 7uien pub"ic% preiamente y agreg% e"te4to anterior 

=")"os+ autor)es+ y 7uien)es+ pub"ica)n+ e" $ocumento no dan con esta #icencia permiso para usar sus nombres para pub"icidad o para asegurar o imp"icar aprobaci%n de cua"7uierersi%n <odiicada

<. CO:?INANDO DOC:2NTO=

uede combinar e" $ocumento con otros documentos "iberados baEo esta #icencia, baEo "ost5rminos deinidos en "a secci%n G anterior para ersiones modiicadas, siempre 7ue inc"uyaen "a combinaci%n todas "as Secciones nariantes de todos "os documentos origina"es, sinmodiicar, y "istadas todas como Secciones nariantes de" trabaEo combinado en su nota de"icencia

=" trabaEo combinado necesita contener so"amente una copia de esta #icencia, y m!"tip"esSeccions nariantes id5nticas pueden ser reemp"a9adas por una so"a copia Si haym!"tip"es Secciones nariantes con e" mismo nombre pero con contenidos dierentes, hagae" t;tu"o de cada una de estas secciones !nico adicion>ndo"e a" ina" de" mismo, entre par5ntesis, e" nombre de" autor o de 7uien pub"ic% origina"mente esa secci%n, si es

conocido, o si no, un n!mero !nico Faga e" mismo aEuste a "os t;tu"os de secci%n en "a "istade Secciones nariantes en "a nota de "icencia de" trabaEo combinado

=n "a combinaci%n, debe combinar cua"7uier secci%n titu"ada Fistoria de "os ariosdocumentos origina"es, ormando una secci%n titu"ada Fistoria. de "a misma ormacombine cua"7uier seci%n titu"ada Agradecimientos, y cua"7uier secci%n titu"ada$edicatorias $ebe borrar todas "as secciones titu"adas Aprobaciones

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 143/202

>. COL2CCION2= D2 DOC:2NTO=

uede hacer una co"ecci%n consistente de" $ocumento y otros documentos "iberados baEo

esta #icencia, y reemp"a9ar "as copias indiidua"es de esta #icencia en "os ariosdocumentos con una so"a copia 7ue est5 inc"uida en "a co"ecci%n, siempre 7ue siga "asreg"as de esta #icencia para cada copia "itera" de cada uno de "os documentos en cua"7uierade "os dem>s aspectos

uede e4traer un so"o documento de una de ta"es co"ecciones, y distribuir"oindiidua"mente baEo esta #icencia, siempre 7ue inserte una copia de esta #icencia en e"documento e4traido, y siga esta #icencia en todos "os otros aspectos concernientes a "acopia "itera" de ta" documento

-. A0R20ACIJN CON TRA?AO=IND2P2ND2NT2=

(na recopi"aci%n de" $ocumento o de sus deriados con otros documentos o trabaEosseparados o independientes, en cua"7uier tipo de distribuci%n o medio de a"macenamiento,no como un todo, cuenta como una ersi%n <odiicada de" $ocumento, siempre 7ue no sea"eguen derechos de autor por "a recopi"aci%n 6a" recopi"aci%n es ""amada un agregado, yesta #icencia no ap"ica a "os otros trabaEos auto-contenidos as; recopi"ados con e"$ocumento, o a cuenta de haber sido recopi"ados, si no son e""os mismos trabaEos deriados

de" $ocumento

Si e" re7uerimiento de "a secci%n 3 sobre e" 6e4to de Cubierta es ap"icab"e a estas copias de"$ocumento, entonces si e" $ocumento es menor 7ue un cuarto de" agregado entero, "os6e4tos de Cubierta de" $ocumento pueden ser co"ocados en cubiertas 7ue enmar7uenso"amente e" $ocumento entre e" agregado $e otra orma deben aparecer en cubiertasenmarcando todo e" agregado

@. TRADCCIJN

#a 6raducci%n es considerada como una c"ase de modiicaci%n, As; 7ue puede distribuirtraducciones de" $ocumento baEo "os t5rminos de "a secci%n G :eemp"a9ar "as Seccionesnariantes con traducciones re7uiere permiso especia" de "os dueos de derecho de autor, pero usted puede inc"uir traducciones de a"gunas o todas "as Secciones nariantesadiciona"mente a "as ersiones origina"es de ta"es Secciones nariantes uede inc"uir unatraducci%n de esta #icencia siempre 7ue inc"uya tambi5n "a ersi%n en ng"5s de esta

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 144/202

#icencia =n caso de un desacuerdo entre "a traducci%n y "a ersi%n origina" en ng"5s deesta #icencia, "a ersi%n origina" en ng"5s prea"ecer>

9. T2R:INACIJN 'o se puede copiar, modiicar, sub"icenciar, o distribuir e" $ocumento e4cepto por "o permitido e4presamente baEo esta #icencia Cua"7uier otro intento de copia, modiicaci%n,sub"icenciamiento o distribuci%n de" $ocumento es nu"o, y ser>n autom>ticamenteterminados sus derechos baEo esa "icencia Sin embargo, "os terceros 7ue hayan recibidocopias, o derechos, de su parte baEo esta #icencia no tendr>n por terminadas sus "icenciassiempre 7ue ta"es personas o entidades se encuentren en tota" conormidad con "a "icenciaorigina"

1. R2I=ION2= 3TRA= D2 2=TA LIC2NCIA

#a *ree Sot8are *oundation puede pub"icar ersiones nueas y reisadas de "a #icencia de$ocumentaci%n #ibre &'( de tiempo en tiempo 6a"es nueas ersiones ser>n simi"ares enesp;ritu a "a presente ersi%n, pero pueden dierir en deta""es para so"ucionar nueos prob"emas o intereses ea http//888gnuorg/copy"et/

Cada ersi%n de "a #icencia tiene un n!mero de ersi%n 7ue "a distingue Si e" $ocumentoespeciica 7ue se ap"ica una ersi%n numerada en particu"ar de esta "icencia o cua"7uierersi%n posterior, usted tiene "a opci%n de seguir "os t5rminos y condiciones de "a ersi%nespeciicada o cua"7uiera posterior 7ue haya sido pub"icada )no como un borrador+ por "a*ree Sot8are *oundation Si e" $ocumento no especiica un n!mero de ersi%n de esta#icencia, puede escoger cua"7uier ersi%n 7ue haya sido pub"icada)no como un borrador+ por "a *ree Sot8are *oundation

Cómo usar esta Licencia !ara sus documentos

ara usar esta "icencia en un documento 7ue usted haya escrito, inc"uya una copia de "a

#icencia en e" documento y ponga e" siguiente derecho de autor y nota de "icencia Eustodespu5s de "a p>gina de t;tu"o

  /erecho de )utor PcQ )VG '8 &GH-,.  'e otorga !er=iso !ara co!iarI distribuir yo =odificar este docu=ento  bajo los tWr=inos de la *icencia de /ocu=entaciXn *ibre C&8I ?ersiXn1.1  o cualYuier otra :ersiXn !osterior !ublicada !or la Free 'oftware  FoundationZ con las 'ecciones %n:ariantes siendo *%'(, '8' ((8*G'I con

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 145/202

  los (extos de 9ortada siendo *%'(,*GI y con los (extos al res!aldo dela  !\gina de ttulo siendo *%'(,*G'. 8na co!ia de la licencia  es incluida en la secciXn titulada U*icencia de /ocu=entaciXn *ibreC&8U.

Si no tiene Secciones nariantes, escriba Sin Secciones nariantes en e9 de decircu>"es son inariantes Si no tiene 6e4to de ortada, escriba Sin 6e4to de ortada en e9de con "os 6e4tos de ortada siendo #S6=#O. e igua"mente para "os 6e4tos a" respa"dode "a p>gina de t;tu"o

Si su documento contiene eEemp"os de c%digo de programa no triia"es, recomendamos"iberar estos eEemp"os en para"e"o baEo su e"ecci%n de "icencia de sot8are "ibre, ta" como "a#icencia !b"ica &enera" &'( )&'( &enera" ub"ic #icense+, para permitir su uso ensot8are "ibre

Notas de la traducción

1 copyleft  es un nueo t5rmino acuado por &'( 'ace de un Euego de pa"abras en ng"5s,en e9 de copyright usan copy"et, indicando 7ue no se restringe "a copia, sino por e"contrario se permite mientras 7ue e" derecho a seguir copiando no se restrinEahttp//888gnuorg/copy"et/copy"eteshtm"

2 lice"ciatario a 7uien se "e otorga "a "icencia

6raducci%n

• gor 6>mara ikksbigootcom 

• ab"o :eyes reyesWpab"ohotmai"com 

:eisi%n 1 )2<ay2000+ "adimir 6>mara atio tamaragnuorg

Copyright )C+ 2000 - 200G &'( =spaa

Se permite "a copia te4tua" y distribuci%n de este art;cu"o en su tota"idad, por cua"7uiermedio, siempre y cuando se mantenga esta nota de copyright

A!!endi7 ,. 0N 3ree DocumentationLicense

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 146/202

ersion 11, <arch 2000

Copyright )C+ 2000 *ree Sot8are *oundation, nc B 6emp"e "ace, Suite 330, oston,<A 02111-130D (SA =eryone is permitted to copy and distribute erbatim copies o this"icense document, but changing it is not a""o8ed

. PR2A:?L2

6he purpose o this #icense is to make a manua", te4tbook, or other 8ritten documentree in the sense o reedom to assure eeryone the eectie reedom to copy andredistribute it, 8ith or 8ithout modiying it, either commercia""y or noncommercia""ySecondari"y, this #icense preseres or the author and pub"isher a 8ay to get credit or their8ork, 8hi"e not being considered responsib"e or modiications made by others

6his #icense is a kind o copy"et, 8hich means that deriatie 8orks o the documentmust themse"es be ree in the same sense t comp"ements the &'( &enera" ub"ic#icense, 8hich is a copy"et "icense designed or ree sot8are

Le hae designed this #icense in order to use it or manua"s or ree sot8are, because reesot8are needs ree documentation a ree program shou"d come 8ith manua"s proidingthe same reedoms that the sot8are does ut this #icense is not "imited to sot8aremanua"s. it can be used or any te4tua" 8ork, regard"ess o subEect matter or 8hether it is pub"ished as a printed book Le recommend this #icense principa""y or 8orks 8hose purpose is instruction or reerence

1. APPLICA?ILIT AND D23INITION=

6his #icense app"ies to any manua" or other 8ork that contains a notice p"aced by thecopyright ho"der saying it can be distributed under the terms o this #icense 6he$ocument, be"o8, reers to any such manua" or 8ork Any member o the pub"ic is a"icensee, and is addressed as you

A <odiied ersion o the $ocument means any 8ork containing the $ocument or a portion o it, either copied erbatim, or 8ith modiications and/or trans"ated into another"anguage

A Secondary Section is a named appendi4 or a ront-matter section o the $ocument thatdea"s e4c"usie"y 8ith the re"ationship o the pub"ishers or authors o the $ocument to the$ocumentVs oera"" subEect )or to re"ated matters+ and contains nothing that cou"d a""direct"y 8ithin that oera"" subEect )*or e4amp"e, i the $ocument is in part a te4tbook omathematics, a Secondary Section may not e4p"ain any mathematics+ 6he re"ationship

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 147/202

cou"d be a matter o historica" connection 8ith the subEect or 8ith re"ated matters, or o"ega", commercia", phi"osophica", ethica" or po"itica" position regarding them

6he nariant Sections are certain Secondary Sections 8hose tit"es are designated, as being those o nariant Sections, in the notice that says that the $ocument is re"eased

under this #icense6he Coer 6e4ts are certain short passages o te4t that are "isted, as *ront-Coer 6e4ts orack-Coer 6e4ts, in the notice that says that the $ocument is re"eased under this #icense

A 6ransparent copy o the $ocument means a machine-readab"e copy, represented in aormat 8hose speciication is aai"ab"e to the genera" pub"ic, 8hose contents can be ie8edand edited direct"y and straightor8ard"y 8ith generic te4t editors or )or images composedo pi4e"s+ generic paint programs or )or dra8ings+ some 8ide"y aai"ab"e dra8ing editor,and that is suitab"e or input to te4t ormatters or or automatic trans"ation to a ariety oormats suitab"e or input to te4t ormatters A copy made in an other8ise 6ransparent i"e

ormat 8hose markup has been designed to th8art or discourage subse7uent modiication by readers is not 6ransparent A copy that is not 6ransparent is ca""ed Opa7ue

=4amp"es o suitab"e ormats or 6ransparent copies inc"ude p"ain ASC 8ithout markup,6e4ino input ormat, #a6eT input ormat, S&<# or T<# using a pub"ic"y aai"ab"e $6$,and standard-conorming simp"e F6<# designed or human modiication Opa7ue ormatsinc"ude ostScript, $*, proprietary ormats that can be read and edited on"y by proprietary8ord processors, S&<# or T<# or 8hich the $6$ and/or processing too"s are notgenera""y aai"ab"e, and the machine-generated F6<# produced by some 8ord processorsor output purposes on"y

6he 6it"e age means, or a printed book, the tit"e page itse", p"us such o""o8ing pagesas are needed to ho"d, "egib"y, the materia" this #icense re7uires to appear in the tit"e page*or 8orks in ormats 8hich do not hae any tit"e page as such, 6it"e age means the te4tnear the most prominent appearance o the 8orkVs tit"e, preceding the beginning o the bodyo the te4t

'. 2R?ATI: COPIN0

ou may copy and distribute the $ocument in any medium, either commercia""y or

noncommercia""y, proided that this #icense, the copyright notices, and the "icense noticesaying this #icense app"ies to the $ocument are reproduced in a"" copies, and that you addno other conditions 8hatsoeer to those o this #icense ou may not use technica"measures to obstruct or contro" the reading or urther copying o the copies you make ordistribute Fo8eer, you may accept compensation in e4change or copies you distributea "arge enough number o copies you must a"so o""o8 the conditions in section 3

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 148/202

ou may a"so "end copies, under the same conditions stated aboe, and you may pub"ic"ydisp"ay copies

. COPIN0 IN EANTIT you pub"ish printed copies o the $ocument numbering more than 100, and the$ocumentVs "icense notice re7uires Coer 6e4ts, you must enc"ose the copies in coers thatcarry, c"ear"y and "egib"y, a"" these Coer 6e4ts *ront-Coer 6e4ts on the ront coer, andack-Coer 6e4ts on the back coer oth coers must a"so c"ear"y and "egib"y identiy youas the pub"isher o these copies 6he ront coer must present the u"" tit"e 8ith a"" 8ords othe tit"e e7ua""y prominent and isib"e ou may add other materia" on the coers inaddition Copying 8ith changes "imited to the coers, as "ong as they presere the tit"e othe $ocument and satisy these conditions, can be treated as erbatim copying in otherrespects

the re7uired te4ts or either coer are too o"uminous to it "egib"y, you shou"d put theirst ones "isted )as many as it reasonab"y+ on the actua" coer, and continue the rest ontoadEacent pages

you pub"ish or distribute Opa7ue copies o the $ocument numbering more than 100, youmust either inc"ude a machine-readab"e 6ransparent copy a"ong 8ith each Opa7ue copy, orstate in or 8ith each Opa7ue copy a pub"ic"y-accessib"e computer-net8ork "ocationcontaining a comp"ete 6ransparent copy o the $ocument, ree o added materia", 8hich thegenera" net8ork-using pub"ic has access to do8n"oad anonymous"y at no charge using pub"ic-standard net8ork protoco"s you use the "atter option, you must take reasonab"y

 prudent steps, 8hen you begin distribution o Opa7ue copies in 7uantity, to ensure that this6ransparent copy 8i"" remain thus accessib"e at the stated "ocation unti" at "east one yearater the "ast time you distribute an Opa7ue copy )direct"y or through your agents orretai"ers+ o that edition to the pub"ic

t is re7uested, but not re7uired, that you contact the authors o the $ocument 8e"" beoreredistributing any "arge number o copies, to gie them a chance to proide you 8ith anupdated ersion o the $ocument

5. :ODI3ICATION=ou may copy and distribute a <odiied ersion o the $ocument under the conditions osections 2 and 3 aboe, proided that you re"ease the <odiied ersion under precise"y this#icense, 8ith the <odiied ersion i""ing the ro"e o the $ocument, thus "icensingdistribution and modiication o the <odiied ersion to 8hoeer possesses a copy o it naddition, you must do these things in the <odiied ersion

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 149/202

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 150/202

# resere a"" the nariant Sections o the $ocument, una"tered in their te4t and intheir tit"es Section numbers or the e7uia"ent are not considered part o the sectiontit"es

< $e"ete any section entit"ed =ndorsements Such a section may not be inc"uded in

the <odiied ersion ' $o not retit"e any e4isting section as =ndorsements or to con"ict in tit"e 8ith any

nariant Section

the <odiied ersion inc"udes ne8 ront-matter sections or appendices that 7ua"iy asSecondary Sections and contain no materia" copied rom the $ocument, you may at youroption designate some or a"" o these sections as inariant 6o do this, add their tit"es to the"ist o nariant Sections in the <odiied ersionVs "icense notice 6hese tit"es must bedistinct rom any other section tit"es

ou may add a section entit"ed =ndorsements, proided it contains nothing butendorsements o your <odiied ersion by arious parties--or e4amp"e, statements o peerreie8 or that the te4t has been approed by an organi9ation as the authoritatie deinitiono a standard

ou may add a passage o up to ie 8ords as a *ront-Coer 6e4t, and a passage o up to 28ords as a ack-Coer 6e4t, to the end o the "ist o Coer 6e4ts in the <odiied ersionOn"y one passage o *ront-Coer 6e4t and one o ack-Coer 6e4t may be added by )orthrough arrangements made by+ any one entity the $ocument a"ready inc"udes a coerte4t or the same coer, preious"y added by you or by arrangement made by the sameentity you are acting on beha" o, you may not add another. but you may rep"ace the o"done, on e4p"icit permission rom the preious pub"isher that added the o"d one

6he author)s+ and pub"isher)s+ o the $ocument do not by this #icense gie permission touse their names or pub"icity or or to assert or imp"y endorsement o any <odiied ersion

<. CO:?ININ0 DOC:2NT=

ou may combine the $ocument 8ith other documents re"eased under this #icense, underthe terms deined in section G aboe or modiied ersions, proided that you inc"ude in the

combination a"" o the nariant Sections o a"" o the origina" documents, unmodiied, and"ist them a"" as nariant Sections o your combined 8ork in its "icense notice

6he combined 8ork need on"y contain one copy o this #icense, and mu"tip"e identica"nariant Sections may be rep"aced 8ith a sing"e copy there are mu"tip"e nariantSections 8ith the same name but dierent contents, make the tit"e o each such sectionuni7ue by adding at the end o it, in parentheses, the name o the origina" author or

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 151/202

 pub"isher o that section i kno8n, or e"se a uni7ue number <ake the same adEustment tothe section tit"es in the "ist o nariant Sections in the "icense notice o the combined 8ork

n the combination, you must combine any sections entit"ed Fistory in the ariousorigina" documents, orming one section entit"ed Fistory. "ike8ise combine any sections

entit"ed Ackno8"edgements, and any sections entit"ed $edications ou must de"ete a""sections entit"ed =ndorsements

>. COLL2CTION= O3 DOC:2NT=

ou may make a co""ection consisting o the $ocument and other documents re"eased under this #icense, and rep"ace the indiidua" copies o this #icense in the arious documents8ith a sing"e copy that is inc"uded in the co""ection, proided that you o""o8 the ru"es othis #icense or erbatim copying o each o the documents in a"" other respects

ou may e4tract a sing"e document rom such a co""ection, and distribute it indiidua""yunder this #icense, proided you insert a copy o this #icense into the e4tracted document,and o""o8 this #icense in a"" other respects regarding erbatim copying o that document

-. A00R20ATION GIT, IND2P2ND2NT GOR=

A compi"ation o the $ocument or its deriaties 8ith other separate and independentdocuments or 8orks, in or on a o"ume o a storage or distribution medium, does not as a8ho"e count as a <odiied ersion o the $ocument, proided no compi"ation copyright isc"aimed or the compi"ation Such a compi"ation is ca""ed an aggregate, and this #icensedoes not app"y to the other se"-contained 8orks thus compi"ed 8ith the $ocument, onaccount o their being thus compi"ed, i they are not themse"es deriatie 8orks o the$ocument

the Coer 6e4t re7uirement o section 3 is app"icab"e to these copies o the $ocument,then i the $ocument is "ess than one 7uarter o the entire aggregate, the $ocumentVs Coer6e4ts may be p"aced on coers that surround on"y the $ocument 8ithin the aggregateOther8ise they must appear on coers around the 8ho"e aggregate

@. TRAN=LATION

6rans"ation is considered a kind o modiication, so you may distribute trans"ations o the$ocument under the terms o section G :ep"acing nariant Sections 8ith trans"ationsre7uires specia" permission rom their copyright ho"ders, but you may inc"ude trans"ations

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 152/202

o some or a"" nariant Sections in addition to the origina" ersions o these nariantSections ou may inc"ude a trans"ation o this #icense proided that you a"so inc"ude theorigina" =ng"ish ersion o this #icense n case o a disagreement bet8een the trans"ationand the origina" =ng"ish ersion o this #icense, the origina" =ng"ish ersion 8i"" preai"

9. T2R:INATION

ou may not copy, modiy, sub"icense, or distribute the $ocument e4cept as e4press"y proided or under this #icense Any other attempt to copy, modiy, sub"icense or distributethe $ocument is oid, and 8i"" automatica""y terminate your rights under this #icenseFo8eer, parties 8ho hae receied copies, or rights, rom you under this #icense 8i"" nothae their "icenses terminated so "ong as such parties remain in u"" comp"iance

1. 3TR2 R2I=ION= O3 T,I= LIC2N=2

6he *ree Sot8are *oundation may pub"ish ne8, reised ersions o the &'( *ree$ocumentation #icense rom time to time Such ne8 ersions 8i"" be simi"ar in spirit to the present ersion, but may dier in detai" to address ne8 prob"ems or concerns Seehttp//888gnuorg/copy"et/

=ach ersion o the #icense is gien a distinguishing ersion number the $ocumentspeciies that a particu"ar numbered ersion o this #icense or any "ater ersion app"ies toit, you hae the option o o""o8ing the terms and conditions either o that speciied ersionor o any "ater ersion that has been pub"ished )not as a drat+ by the *ree Sot8are*oundation the $ocument does not speciy a ersion number o this #icense, you maychoose any ersion eer pub"ished )not as a drat+ by the *ree Sot8are *oundation

,o4 to use t%is License for /our documents

6o use this #icense in a document you hae 8ritten, inc"ude a copy o the #icense in thedocument and put the o""o8ing copyright and "icense notices Eust ater the tit"e page

Copyright )c+ =A: O(: 'A<= ermission is granted to copy, distribute and/ormodiy this document under the terms o the &'( *ree $ocumentation #icense, ersion11 or any "ater ersion pub"ished by the *ree Sot8are *oundation. 8ith the nariantSections being #S6 6F=: 66#=S, 8ith the *ront-Coer 6e4ts being #S6, and 8ith theack-Coer 6e4ts being #S6 A copy o the "icense is inc"uded in the section entit"ed&'( *ree $ocumentation #icense

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 153/202

you hae no nariant Sections, 8rite 8ith no nariant Sections instead o saying8hich ones are inariant you hae no *ront-Coer 6e4ts, 8rite no *ront-Coer 6e4tsinstead o *ront-Coer 6e4ts being #S6. "ike8ise or ack-Coer 6e4ts

your document contains nontriia" e4amp"es o program code, 8e recommend re"easing

these e4amp"es in para""e" under your choice o ree sot8are "icense, such as the &'(&enera" ub"ic #icense, to permit their use in ree sot8are

A!!endi7 I. Licencia P(blica 0eneral0Nersi%n 2, Iunio de 1BB1

Copyright )C+ 1BMB, 1BB1 *ree Sot8are *oundation, nc B 6emp"e "ace, Suite 330,oston, <A 02111-130D (SA Cua"7uier persona tiene e" permiso de copiar y distribuircopias ie"es de esta "icencia, sin embargo, no est> permitido modiicar"a en ninguna orma

#a autora de esta traducci%n es

• a"mira &ranados #icenciada en $erecho por "a =scue"a "ibre de derecho)<e4ico+

 &OT ,!ORT&T':

=sta es una traducci%n no oicia" a" espao" de "a &'( &enera" ub"ic #icense 'oha sido pub"icada por "a *ree Sot8are *oundation, y no estab"ece "ega"mente "ascondiciones de distribuci%n para e" sot8are 7ue usa "a &'( &# =stascondiciones se estab"ecen so"amente por e" te4to origina", en ing"5s, de "a &'(&# Sin embargo, esperamos 7ue esta traducci%n ayude a "os hispanopar"antes aentender meEor "a &'( &#

 ,!ORT&T &OT,C':

6his is an unoicia" trans"ation o the &'( &enera" ub"ic #icense into Spanisht 8as not pub"ished by the *ree Sot8are *oundation, and does not "ega""y statethe distribution terms or sot8are that uses the &'( &# -- on"y the origina"=ng"ish te4t o the &'( &# does that Fo8eer, 8e hope that this trans"ation8i"" he"p Spanish speakers understand the &'( &# better

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 154/202

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 155/202

 programas de Sot8are #ibre obtengan indiidua"mente "icencias de patentes, haciendo deesta orma, programas de Sot8are ropietario ara "ograr esto, 7ueda tota"mente c"aro 7uecua"7uier patente debe otorgar "icencias 7ue permitan e" uso "ibre de" programa para todos ono otorgar "icencia a"guna

#os t5rminos y condiciones espec;icos para copiar, distribuir o modiicar son "ossiguientes

1. TMR:INO= CONDICION2= PARA LA COPIADI=TRI?CIJN :ODI3ICACIJN

1 =sta "icencia se ap"ica a cua"7uier programa u otra obra 7ue contenga un aiso puesto por e" titu"ar de "os derechos de autor en e" 7ue se estab"e9ca 7ue e" mismo puede ser distribuido baEo "os t5rminos de esta #icencia !b"ica &enera" ="rograma se reiere a cua"7uier programa u obra, y Obra basada en e" rograma sereiere por su parte, a, ya sea a" rograma mismo a cua"7uier obra deriada de"mismo seg!n "a "ey de $erechos de Autor. esto es, una obra 7ue contenga e"rograma o una porci%n de" mismo, ya sea 7ue esta porci%n sea e4actamente igua" omodiicada y/o traducida a otro idioma )=n ade"ante, una traducci%n se considerar>de manera enunciatia, mas no "imitatia, como una modiicaci%n+

Actiidades distintas de copiar o distribuir no son abarcadas por esta "icencia. est>nuera de su a"cance =" acto de correr e" rograma no est> restringido, y e" producto7ue resu"te de" rograma est> protegido s%"o si su contenido constituye una obra basada en e" rograma )independientemente de haber sido creado por e" rograma7ue corre+ =" 7ue esto ocurra de esa manera depende de "o 7ue e" rograma haga

2 =st> permitido copiar y distribuir por cua"7uier medio copias ie"es de" c%digouente de" rograma ta" y como ue recibido, siempre y cuando se pub"i7ue en cadacopia, de manera conspicua y apropiada, e" aiso apropiado de derechos de autor y"a renuncia a responder por "a garant;a correspondiente a" rograma, se mantenganintactos "os aisos reerentes a esta "icencia y a "a respectia ausencia de cua"7uiergarant;a. y se entregue a "os receptores de" rograma una copia de esta "icencia

=4igir una remuneraci%n por e" acto ;sico de transerir una copia est> permitido.asimismo, tambi5n est> permitido orecer una garant;a a cambio de unacontraprestaci%n

3 =st> permitido modiicar "a copia o copias de" rograma o cua"7uier parte de"mismo, creando de esta orma, una Obra basada en e" rograma Asimismo, est> permitido copiar y distribuir "as modiicaciones antes mencionadas o "a obra misma baEo "os t5rminos de "a Secci%n 1 mencionada anteriormente, y siempre y cuando secump"an de igua" manera "as condiciones siguientes

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 156/202

1 Co"ocaci%n de aisos, en "a obra misma y por parte de 7uien rea"i9a "asmodiicaciones, en "os 7ue se inorme 7ue "os archios ueron modiicados y"a echa de esas modiicaciones

2 Otorgamiento de una "icencia baEo "os t5rminos estab"ecidos en esta #icencia

!b"ica &enera" 7ue abar7ue "a obra en su tota"idad y sin cargo a terceras personas para e" caso en e" 7ue se distribuya o pub"i7ue una obra 7uecontenga todo o parte de" rograma o 7ue constituya una obra deriada de"mismo

3 Si e" programa modiicado norma"mente "ee comandos de manera interactiacuando corre, cuando empiece a correr con dicho prop%sito interactio, esnecesario 7ue apare9ca un aiso 7ue inc"uya "a "eyenda de derechos de autorcorrespondiente, as; como "a ausencia de responsabi"idad por "a garant;aAsimismo, dicho aiso deber> estab"ecer 7ue "os usuarios de dicho programatienen autori9aci%n para redistribuir"o baEo "as mismas condiciones en "as

7ue "es ue distribuido y "es deber> inormar c%mo podr>n tener acceso a unacopia de esta "icencia )#a e4cepci%n a esta condici%n tiene "ugar cuando setrata de una Obra basada en un rograma 7ue es en s; mismo interactio, pero no en;a norma"mente un aiso+

#as condiciones antes mencionadas se ap"ican a "as obras modiicadas como untodo =n e" caso en e" 7ue "as secciones de dicha obra 7ue no se derien de"rograma sean identiicab"es y ra9onab"emente independientes y puedan separarseentre e""as, esta "icencia y sus t5rminos no se ap"icar>n a dichas secciones cuando5stas sean distribuidas como obras separadas Sin embargo, cuando esas mismassecciones se distribuyan como parte de "a Obra basada en e" rograma, dichadistribuci%n deber> hacerse de acuerdo a "os t5rminos de esta "icencia, cuyasautori9aciones para otros "icenciatarios tendr>n "os mismos a"cances, sin importar7u5 parte cre% 7ui5n

or medio de esta secci%n no se pretende e4igir derechos o impugnar "os derechosoriginados de una obra creada en su tota"idad por otra persona, sino m>s bien setiene como ina"idad eEercer e" derecho de contro"ar "a distribuci%n de obrasderiadas o co"ectias basadas en e" rograma

Asimismo, "a so"a inc"usi%n de otra obra 7ue no se base en e" rograma aunada a"rograma )o a una Obra basada en e" rograma+ dentro de un medio dea"macenamiento o distribuci%n no prooca 7ue dicha obra deba regirse por esta"icencia

G Copiar y distribuir e" rograma )o una Obra basada en e" rograma de acuerdo a "asecci%n 2+, baEo "os t5rminos de "as secciones 1 y 2 mencionadas anteriormente, yasea en c%digo obEeto o en su orma eEecutab"e est> permitido, siempre y cuandodicho rograma se acompae tambi5n por cua"7uiera de "os siguientes

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 157/202

1 =" c%digo uente respectio comp"eto y "e;b"e por una m>7uina, e" cua" debeser distribuido baEo "os t5rminos estab"ecidos en "as secciones 1 y 2mencionadas anteriormente y a tra5s de un medio norma"mente usado parae" intercambio de sot8are.

2 (na oerta por escrito y con una a"ide9 m;nima de tres aos, de proporcionar a cua"7uier tercera persona, por una cuota 7ue no e4ceda e"costo de" acto ;sico de distribuir, baEo "os t5rminos de "as secciones 1 y 2antes mencionadas. y a tra5s de un medio norma"mente usado para e"intercambio de sot8are. una copia de" respectio c%digo uente comp"eto y"e;b"e por una m>7uina. o,

3 6oda "a inormaci%n recibida respecto a "a oerta de distribuci%n de" c%digouente correspondiente )=sta a"ternatia est> permitida !nicamente paradistribuciones no comercia"es y siempre y cuando e" rograma se hayarecibido en c%digo obEeto o en orma eEecutab"e Eunto con esta oerta de

acuerdo a "a subsecci%n b antes mencionada+=" c%digo uente de una obra se reiere a "a orma preerida para hacer"emodiicaciones =n una obra eEecutab"e, e" c%digo uente comp"eto se reiere a todoe" c%digo uente de todos "os m%du"os 7ue contiene, adem>s de cua"7uier archio dedeinici%n de intera9 asociado y de "os scripts uti"i9ados para contro"ar "acompi"aci%n e insta"aci%n de" eEecutab"e Sin embargo, como una e4cepci%nespecia", e" c%digo uente distribuido no debe inc"uir cua"7uier cosa 7ue seanorma"mente distribuida )ya sea en orma de binarios o de c%digo uente+ con "os principa"es componentes de" sistema operatio )como compi"ador, kerne", etc+sobre e" cua" e" eEecutab"e corre, a menos 7ue e" mismo componente acompae a"eEecutab"e

Si "a distribuci%n de" eEecutab"e o de" c%digo obEeto se ""ea a cabo mediante e"orecimiento de acceso a una copia en un "ugar designado, e" orecimiento de accesoa" c%digo uente en e" mismo "ugar e7uia"e a "a distribuci%n de dicho c%digouente, aun cuando terceras personas no est5n ob"igadas a copiar e" c%digo uente Eunto con e" c%digo obEeto

=" rograma no puede copiarse, modiicarse, sub"icenciarse ni distribuirse a menos7ue se haga baEo "os t5rminos y condiciones de esta "icencia Cua"7uier intento porhacer "o anterior de otra orma, ser> nu"o y e4tinguir> autom>ticamente "os derechossurgidos de esta "icencia Sin embargo, "as "icencias de "as personas 7ue hayanrecibido copias o derechos baEo esta "icencia, seguir>n igentes mientras dichas personas cump"an con sus ob"igaciones

C <ientras no se irme "a presente "icencia no e4iste ob"igaci%n de aceptar"a Sinembargo, no e4iste autori9aci%n, y por "o tanto est> "ega"mente prohibido, modiicar o distribuir e" rograma o una Obra basada en e" rograma a menos 7ue se acepten"os t5rminos y condiciones de "a presente "icencia or "o anterior, de" acto demodiicar o distribuir e" rograma o una Obra basada en e" rograma se presume "a

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 158/202

aceptaci%n de "os t5rminos y condiciones de "a presente "icencia para copiar,distribuir o modiicar dicho rograma u Obra basada en e" rograma

$ Cada e9 7ue se distribuya e" rograma )o cua"7uier Obra basada en e" rograma+,7uien recibe "a copia de" mismo recibe tambi5n, de manera autom>tica una "icencia

de parte de" "icenciante origina" para copiar, distribuir o modiicar e" rograma baEo"os t5rminos y condiciones de esta "icencia 'o podr>n imponerse m>s restriccionesa" eEercicio de "os derechos de" "icenciatario 7ue "os estab"ecidos en esta "icenciaKuien distribuye e" rograma no es responsab"e por e" cump"imiento de "a presente"icencia por parte de terceras personas

= =n e" caso en e" 7ue como consecuencia de orden Eudicia" o de "as pretensionesdemandadas por io"aci%n a una patente o por cua"7uier otra ra9%n )de maneraenunciatia, mas no "imitatia+ se imponen condiciones )ya sea por orden Eudicia",contrato o por otro medio+ 7ue se contradicen con "as condiciones de esta "icencia,estas !"timas no se e4imen de su cump"imiento Como consecuencia de "a

imposibi"idad de cump"ir con ambas ob"igaciones mencionadas, e" rograma no podr> distribuirse or eEemp"o, si una "icencia de una patente proh;be "aredistribuci%n gratuita de" rograma por parte de 7uienes reciben copias de" mismode manera directa o indirecta, entonces "a !nica orma de cump"ir con ambas"icencias, 5sta y "a de "a patente, ser> abstenerse de distribuir e" rograma

=n e" caso en e" 7ue cua"7uier parte de esta secci%n sea dec"arada in>"ida oine4igib"e baEo cua"7uier circunstancia particu"ar, e" resto de "a misma continuar>surtiendo sus eectos para esa circunstancia, a" igua" 7ue "a secci%n en su tota"idad para "as dem>s circunstancias

=" prop%sito de esta secci%n no es inducir a "a io"aci%n de patentes o de" eEerciciode otros derechos inte"ectua"es, como tampoco impugnar "a a"ide9 de ta"esdemandas por incump"imiento, sino mas bien, pretende proteger "a integridad de"sistema de distribuci%n de" Sot8are #ibre, e" cua" consiste en "a pr>ctica y uso de"icencias p!b"icas <ucha gente ha hecho generosas contribuciones a pa7uetes desot8are distribuidos baEo este sistema coniando en "a ap"icaci%n de dicho sistema.y es decisi%n de" autor/donante distribuir e" sot8are a tra5s de cua"7uier otrosistema sin 7ue un "icenciatario pueda intererir en esa decisi%n

=sta secci%n pretende ac"arar todo a7ue""o 7ue se considera consecuencia de" restode esta "icencia

=n e" caso en e" 7ue "a distribuci%n y/o uso de" rograma est5 restringida en ciertos pa;ses, ya sea por patentes o interases protegidas por e" sistema de propiedadinte"ectua", e" titu"ar origina" de "os derechos de autor de" rograma 7ue "o suEeta aesta "icencia tiene "a acu"tad de agregar una "imitaci%n de tipo geogr>ico a "adistribuci%n, por irtud de "a cua" se e4c"uya a dichos pa;ses. de manera 7ue "adistribuci%n de" mismo se permita !nicamente en "os pa;ses no e4c"uidos =n estecaso, dicha "imitaci%n se tiene como parte integrante de esta "icencia

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 159/202

* =s acu"tad de "a *ree Sot8are *oundation pub"icar, en cua"7uier momento, tantoersiones reisadas como ersiones de reciente creaci%n, de "a #icencia !b"ica&enera" #as ersiones nueas pueden dierir en deta""es a in de arontar y reso"ernueos prob"emas o preocupaciones, pero conserando siempre e" esp;ritu de "a presente ersi%n

Cada ersi%n tendr> asignado un n!mero =n e" caso en e" 7ue e" rogramaespecii7ue un n!mero de ersi%n de esta "icencia para su ap"icaci%n y adem>s,inc"uya "a rase y cua"7uier ersi%n posterior, e" "icenciatario podr> suEetarse, a sue"ecci%n, a "os t5rminos y condiciones de "a ersi%n e4presamente mencionada o decua"7uiera de "as ersiones posteriores de "a misma pub"icadas por "a *ree Sot8are*oundation or otro "ado, en e" caso en e" 7ue e" programa no especii7ue unn!mero de ersi%n de "icencia, e" "icenciatario podr> e"egir cua"7uier ersi%n 7uehaya sido pub"icada por "a *ree Sot8are *oundation

& =n e" caso en e" 7ue se deseen incorporar partes de" rograma a otros pa7uetes de

Sot8are #ibre cuyas condiciones de distribuci%n diieran a estas, es necesarioso"icitar permiso por escrito a" autor Cuando se trate de sot8are cuyo titu"ar de "osde "os derechos de autor correspondientes sea "a *ree Sot8are *oundation, "aso"icitud de permiso deber> dirigirse a 5sta !"tima, 7uien en a"gunas ocasiones hacee4cepciones como esta #a decisi%n emitida por "a *ree Sot8are *oundation se basar> tomando en cuenta "a ina"idad de preserar e" estatus "ibre de todos "osderiados de" Sot8are #ibre y de promocionar 7ue se comparta y se reuti"ice e"sot8are en genera"

F =TC#(SQ' $= &A:A'6jA

CO<O CO'S=C(='CA $= K(= =# :O&:A<A S= #C='C= CO<O&:A6(6O, =' #A <=$$A =' K(= #A #= A#CA#= #O =:<6A, 'O =TS6:P &A:A'6jA A#&('A O: #A K(= S= $=A :=SO'$=:SA#O $SOSCQ' =SC:6A =' CO'6:A:O, #OS 66(#A:=S $= #OS$=:=CFOS $= A(6O: :=S=C6OS /( O6:AS A:6=S O'=' A$SOSCQ' =# :O&:A<A S' &A:A'6jA $= ''&' 6O,=T:=SA O <#jC6A, 'C#(='$O $= <A'=:A ='('CA6A <AS 'O #<6A6A, #AS &A:A'6jAS <#jC6AS $= 6O CO<=:CA# (O6:AS 'F=:='6=S A A#&' :OQS6O =S=Cj*CO =# :=S&O $=K(= =# :O&:A<A =S6R =' =:*=C6AS CO'$CO'=S *('CO'=6A# CO<O $== *('CO'A: CO::= O: C(='6A $= K(=' #O:=C=, A# &(A# K(= #OS &AS6OS '=C=SA:OS A:A S( S=:CO,:=A:ACQ' O CO::=CCQ' =' =# $A$O CASO =' =# K(= $CFO:O&:A<A CO'6='&A $=*=C6OS

A <='OS K(= ASj #O $SO'&A #A #= A#CA#= O =TS6AAC(=:$O =SC:6O =' CO'6:A:O, ''&' 66(#A: $= #OS$=:=CFOS $= A(6O: O =:SO'A *AC(#6A$A, S=&' #ASS=CCO'=S A'6=:O:=S $= #A :=S='6=, A:A <O$*CA: /O$S6:(: =# :O&:A<A S=:P :=SO'SA#= O: #OS $AlOS A

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 160/202

S=A' &='=:A#=S, =S=CA#=S, 'C$='6A#=S O CO'S=C(='CA#=S:=S(#6A$O $=# (SO O 'CAAC$A$ $= (SO $=# :O&:A<A)'C#(='$O $= <A'=:A ='('CA6A <AS 'O #<6A6A #AR:$$A $= '*O:<ACQ', '=TAC66($ =' #A '*O:<ACQ',R:$$AS S(*:$AS O: =# (S(A:O $=# :O&:A<A O O:

6=:C=:AS =:SO'AS O #A 'CAAC$A$ $=# :O&:A<A A:AO=:A: CO' O6:OS :O&:A<AS+, A(' C(A'$O $CFO 66(#A: OC(A#K(=: O6:A =:SO'A FAA A$=:6$O $CFA OS#$A$ $=$AlO

*' $= #OS 6R:<'OS CO'$CO'=S

'. Cómo a!licar estos t&rminos a los nue"os !ro#ramas

=n e" caso en e" 7ue se est5 desarro""ando un rograma nueo y se tenga "a intenci%n dehacer"o de uso p!b"ico, "a meEor orma de "ograr"o es haci5ndo"o #ibre, y de esta orma, permitir a cua"7uiera redistribuir"o y cambiar"o baEo "os t5rminos y condiciones de esta#icencia

A in de "ograr "o anterior, se deben inc"uir "os siguientes aisos a" rograma =s m>sseguro inc"uir dichos aisos a" principio de cada archio de c%digo uente para ac"arar demanera m>s eiciente "a e4c"usi%n de garant;a mencionada Asimismo, cada archio debetener por "o menos "a rase $erechos :eserados )Copyright para "os pa;ses con esesistema+ re"atia a "os derechos de autor, as; como "a reerencia a" "ugar donde se encuentre"a "eyenda y especiicaciones comp"etas de "os mismos

#a reerencia a" nombre de" rograma y a una idea de "o 7ue e" mismo haceZ $erechos:eserados )C+ aoZ nombre de" autorZ

=ste es un Sot8are #ibre. como ta" redistribuir"o y/o modiicar"o est> permitido, siempre ycuando se haga baEo "os t5rminos y condiciones de "a #icencia !b"ica &enera" &'( pub"icada por "a *ree Sot8are *oundation, ya sea en su ersi%n 2 % cua"7uier otra de "as posteriores a "a misma

=ste rograma se distribuye con "a intenci%n de 7ue sea !ti", sin embargo carece degarant;a, ni si7uiera tiene "a garant;a imp";cita de tipo comercia" o inherente a" prop%sito de"

mismo rograma er "a #icencia !b"ica &enera" &'( para m>s deta""es

Se debe haber recibido una copia de "a #icencia !b"ica &enera" &'( con este rograma,si este no ue e" caso, aor de escribir a "a *ree Sot8are *oundation, nc, B 6emp"e "aceSuite 330, oston, <A 02111-130D, (SA

Asimismo, se deben inc"uir "as direcciones de correo e"ectr%nico y conenciona" de" autorde" rograma a in de contactar"o

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 161/202

=n e" caso en e" 7ue e" rograma sea interactio se debe inc"uir un aiso cuando inicie e"modo interactio como e" siguiente

&nomoision ersi%n HB, $erechos :eserados © primer ao de pub"icaci%n y nombre de"autor &nomoision carece tota"mente de garant;a. para m>s deta""es tec"ee sho8 8 =ste es

Sot8are #ibre y est> permitido redistribuir"o baEo ciertas condiciones. tec"ee sho8 c param>s deta""es

#os comandos hipot5ticos sho8 8 y sho8 c deber>n desp"egar "as partes correspondientesde "a #icencia !b"ica &enera" Obiamente, "os comandos 7ue se uti"icen pueden serdistintos a "os mencionados, inc"usie pueden ser c"icks de" rat%n o e"ementos de" men!,seg!n sea m>s coneniente

Asimismo, e" autor de" rograma debe obtener de su emp"eador )en caso en 7ue dicho autor trabaEe como programador+ o de su escue"a, si ese es e" caso, una renuncia irmada a "osderechos de autor por e" rograma, si es 7ue uera necesario =" siguiente es un eEemp"o

oyodyne, nc, por medio de "a presente se renuncia a cua"7uier derecho de autor 7uecorresponda a" programa &nomoision cuyo autor es Iames Facker *irma 6y CoonZ, 1de Abri" de 1BMB 6y Coon, residente de ice

=sta #icencia !b"ica &enera" proh;be incorporar e" rograma a programas propietarios =ne" caso en e" 7ue se trate de un programa 7ue a su e9 sea una "ibrer;a de subrutinas, es m>sconeniente permitir "igas de ap"icaciones propietarias con "a "ibrer;a Si es esto "o 7ue sedesea, entonces se debe usar "a #icencia !b"ica &enera" <enor de &'(, en "ugar de esta"icencia

A!!endi7 . 0N 0eneral Public Licenseersion 2, Iune 1BB1

Copyright )C+ 1BMB, 1BB1 *ree Sot8are *oundation, nc B 6emp"e "ace, Suite 330,oston, <A 02111-130D (SA =eryone is permitted to copy and distribute erbatim copieso this "icense document, but changing it is not a""o8ed

. Preamble

6he "icenses or most sot8are are designed to take a8ay your reedom to share and changeit y contrast, the &'( &enera" ub"ic #icense is intended to guarantee your reedom toshare and change ree sot8are--to make sure the sot8are is ree or a"" its users 6his&enera" ub"ic #icense app"ies to most o the *ree Sot8are *oundationVs sot8are and to

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 162/202

any other program 8hose authors commit to using it )Some other *ree Sot8are*oundation sot8are is coered by the &'( #ibrary &enera" ub"ic #icense instead+ oucan app"y it to your programs, too

Lhen 8e speak o ree sot8are, 8e are reerring to reedom, not price Our &enera" ub"ic

#icenses are designed to make sure that you hae the reedom to distribute copies o reesot8are )and charge or this serice i you 8ish+, that you receie source code or can get iti you 8ant it, that you can change the sot8are or use pieces o it in ne8 ree programs.and that you kno8 you can do these things

6o protect your rights, 8e need to make restrictions that orbid anyone to deny you theserights or to ask you to surrender the rights 6hese restrictions trans"ate to certainresponsibi"ities or you i you distribute copies o the sot8are, or i you modiy it

*or e4amp"e, i you distribute copies o such a program, 8hether gratis or or a ee, youmust gie the recipients a"" the rights that you hae ou must make sure that they, too,

receie or can get the source code And you must sho8 them these terms so they kno8 their rights

Le protect your rights 8ith t8o steps )1+ copyright the sot8are, and )2+ oer you this"icense 8hich gies you "ega" permission to copy, distribute and/or modiy the sot8are

A"so, or each authorVs protection and ours, 8e 8ant to make certain that eeryoneunderstands that there is no 8arranty or this ree sot8are the sot8are is modiied bysomeone e"se and passed on, 8e 8ant its recipients to kno8 that 8hat they hae is not theorigina", so that any prob"ems introduced by others 8i"" not re"ect on the origina" authorsVreputations

*ina""y, any ree program is threatened constant"y by sot8are patents Le 8ish to aoid thedanger that redistributors o a ree program 8i"" indiidua""y obtain patent "icenses, in eectmaking the program proprietary 6o preent this, 8e hae made it c"ear that any patent must be "icensed or eeryoneVs ree use or not "icensed at a""

6he precise terms and conditions or copying, distribution and modiication o""o8

1. T2R:= AND CONDITION= 3OR COPIN0

DI=TRI?TION AND :ODI3ICATION1 6his #icense app"ies to any program or other 8ork 8hich contains a notice p"aced

 by the copyright ho"der saying it may be distributed under the terms o this &enera"ub"ic #icense 6he rogram, be"o8, reers to any such program or 8ork, and a8ork based on the rogram means either the rogram or any deriatie 8orkunder copyright "a8 that is to say, a 8ork containing the rogram or a portion o it,either erbatim or 8ith modiications and/or trans"ated into another "anguage

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 163/202

)Fereinater, trans"ation is inc"uded 8ithout "imitation in the term modiication+=ach "icensee is addressed as you

Actiities other than copying, distribution and modiication are not coered by this#icense. they are outside its scope 6he act o running the rogram is not restricted,

and the output rom the rogram is coered on"y i its contents constitute a 8ork based on the rogram )independent o haing been made by running the rogram+Lhether that is true depends on 8hat the rogram does

2 ou may copy and distribute erbatim copies o the rogramVs source code as youreceie it, in any medium, proided that you conspicuous"y and appropriate"y pub"ish on each copy an appropriate copyright notice and disc"aimer o 8arranty.keep intact a"" the notices that reer to this #icense and to the absence o any8arranty. and gie any other recipients o the rogram a copy o this #icense a"ong8ith the rogram

ou may charge a ee or the physica" act o transerring a copy, and you may atyour option oer 8arranty protection in e4change or a ee

3 ou may modiy your copy or copies o the rogram or any portion o it, thusorming a 8ork based on the rogram, and copy and distribute such modiicationsor 8ork under the terms o Section 1 aboe, proided that you a"so meet a"" o theseconditions

1 ou must cause the modiied i"es to carry prominent notices stating that youchanged the i"es and the date o any change

2 ou must cause any 8ork that you distribute or pub"ish, that in 8ho"e or in part contains or is deried rom the rogram or any part thereo, to be"icensed as a 8ho"e at no charge to a"" third parties under the terms o this#icense

3 the modiied program norma""y reads commands interactie"y 8hen run,you must cause it, 8hen started running or such interactie use in the mostordinary 8ay, to print or disp"ay an announcement inc"uding an appropriatecopyright notice and a notice that there is no 8arranty )or e"se, saying thatyou proide a 8arranty+ and that users may redistribute the program underthese conditions, and te""ing the user ho8 to ie8 a copy o this #icense)=4ception i the rogram itse" is interactie but does not norma""y printsuch an announcement, your 8ork based on the rogram is not re7uired to print an announcement+

6hese re7uirements app"y to the modiied 8ork as a 8ho"e identiiab"e sectionso that 8ork are not deried rom the rogram, and can be reasonab"y consideredindependent and separate 8orks in themse"es, then this #icense, and its terms, donot app"y to those sections 8hen you distribute them as separate 8orks ut 8henyou distribute the same sections as part o a 8ho"e 8hich is a 8ork based on the

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 164/202

rogram, the distribution o the 8ho"e must be on the terms o this #icense, 8hose permissions or other "icensees e4tend to the entire 8ho"e, and thus to each andeery part regard"ess o 8ho 8rote it

6hus, it is not the intent o this section to c"aim rights or contest your rights to 8ork

8ritten entire"y by you. rather, the intent is to e4ercise the right to contro" thedistribution o deriatie or co""ectie 8orks based on the rogram

n addition, mere aggregation o another 8ork not based on the rogram 8ith therogram )or 8ith a 8ork based on the rogram+ on a o"ume o a storage ordistribution medium does not bring the other 8ork under the scope o this #icense

G ou may copy and distribute the rogram )or a 8ork based on it, under Section 2+ inobEect code or e4ecutab"e orm under the terms o Sections 1 and 2 aboe proidedthat you a"so do one o the o""o8ing

1 Accompany it 8ith the comp"ete corresponding machine-readab"e sourcecode, 8hich must be distributed under the terms o Sections 1 and 2 aboeon a medium customari"y used or sot8are interchange. or,

2 Accompany it 8ith a 8ritten oer, a"id or at "east three years, to gie anythird party, or a charge no more than your cost o physica""y perormingsource distribution, a comp"ete machine-readab"e copy o the correspondingsource code, to be distributed under the terms o Sections 1 and 2 aboe on amedium customari"y used or sot8are interchange. or,

3 Accompany it 8ith the inormation you receied as to the oer to distribute

corresponding source code )6his a"ternatie is a""o8ed on"y ornoncommercia" distribution and on"y i you receied the program in obEectcode or e4ecutab"e orm 8ith such an oer, in accord 8ith Subsection baboe+

6he source code or a 8ork means the preerred orm o the 8ork or makingmodiications to it *or an e4ecutab"e 8ork, comp"ete source code means a"" thesource code or a"" modu"es it contains, p"us any associated interace deinition i"es, p"us the scripts used to contro" compi"ation and insta""ation o the e4ecutab"eFo8eer, as a specia" e4ception, the source code distributed need not inc"udeanything that is norma""y distributed )in either source or binary orm+ 8ith the maEor components )compi"er, kerne", and so on+ o the operating system on 8hich thee4ecutab"e runs, un"ess that component itse" accompanies the e4ecutab"e

distribution o e4ecutab"e or obEect code is made by oering access to copy roma designated p"ace, then oering e7uia"ent access to copy the source code rom thesame p"ace counts as distribution o the source code, een though third parties arenot compe""ed to copy the source a"ong 8ith the obEect code

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 165/202

ou may not copy, modiy, sub"icense, or distribute the rogram e4cept as e4press"y proided under this #icense Any attempt other8ise to copy, modiy, sub"icense ordistribute the rogram is oid, and 8i"" automatica""y terminate your rights underthis #icense Fo8eer, parties 8ho hae receied copies, or rights, rom you underthis #icense 8i"" not hae their "icenses terminated so "ong as such parties remain in

u"" comp"ianceC ou are not re7uired to accept this #icense, since you hae not signed it Fo8eer,

nothing e"se grants you permission to modiy or distribute the rogram or itsderiatie 8orks 6hese actions are prohibited by "a8 i you do not accept this#icense 6hereore, by modiying or distributing the rogram )or any 8ork based onthe rogram+, you indicate your acceptance o this #icense to do so, and a"" its termsand conditions or copying, distributing or modiying the rogram or 8orks basedon it

$ =ach time you redistribute the rogram )or any 8ork based on the rogram+, the

recipient automatica""y receies a "icense rom the origina" "icensor to copy,distribute or modiy the rogram subEect to these terms and conditions ou may notimpose any urther restrictions on the recipientsV e4ercise o the rights grantedherein ou are not responsib"e or enorcing comp"iance by third parties to this#icense

= , as a conse7uence o a court Eudgment or a""egation o patent inringement or orany other reason )not "imited to patent issues+, conditions are imposed on you)8hether by court order, agreement or other8ise+ that contradict the conditions othis #icense, they do not e4cuse you rom the conditions o this #icense youcannot distribute so as to satisy simu"taneous"y your ob"igations under this #icenseand any other pertinent ob"igations, then as a conse7uence you may not distributethe rogram at a"" *or e4amp"e, i a patent "icense 8ou"d not permit roya"ty-reeredistribution o the rogram by a"" those 8ho receie copies direct"y or indirect"ythrough you, then the on"y 8ay you cou"d satisy both it and this #icense 8ou"d beto rerain entire"y rom distribution o the rogram

any portion o this section is he"d ina"id or unenorceab"e under any particu"arcircumstance, the ba"ance o the section is intended to app"y and the section as a8ho"e is intended to app"y in other circumstances

t is not the purpose o this section to induce you to inringe any patents or other property right c"aims or to contest a"idity o any such c"aims. this section has theso"e purpose o protecting the integrity o the ree sot8are distribution system,8hich is imp"emented by pub"ic "icense practices <any peop"e hae made generouscontributions to the 8ide range o sot8are distributed through that system inre"iance on consistent app"ication o that system. it is up to the author/donor todecide i he or she is 8i""ing to distribute sot8are through any other system and a"icensee cannot impose that choice

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 166/202

6his section is intended to make thorough"y c"ear 8hat is be"ieed to be aconse7uence o the rest o this #icense

the distribution and/or use o the rogram is restricted in certain countries either by patents or by copyrighted interaces, the origina" copyright ho"der 8ho p"aces the

rogram under this #icense may add an e4p"icit geographica" distribution "imitatione4c"uding those countries, so that distribution is permitted on"y in or amongcountries not thus e4c"uded n such case, this #icense incorporates the "imitation asi 8ritten in the body o this #icense

* 6he *ree Sot8are *oundation may pub"ish reised and/or ne8 ersions o the&enera" ub"ic #icense rom time to time Such ne8 ersions 8i"" be simi"ar inspirit to the present ersion, but may dier in detai" to address ne8 prob"ems orconcerns

=ach ersion is gien a distinguishing ersion number the rogram speciies a

ersion number o this #icense 8hich app"ies to it and any "ater ersion, you haethe option o o""o8ing the terms and conditions either o that ersion or o any "ater ersion pub"ished by the *ree Sot8are *oundation the rogram does not speciya ersion number o this #icense, you may choose any ersion eer pub"ished by the*ree Sot8are *oundation

& you 8ish to incorporate parts o the rogram into other ree programs 8hosedistribution conditions are dierent, 8rite to the author to ask or permission *orsot8are 8hich is copyrighted by the *ree Sot8are *oundation, 8rite to the *reeSot8are *oundation. 8e sometimes make e4ceptions or this Our decision 8i"" beguided by the t8o goa"s o presering the ree status o a"" deriaties o our reesot8are and o promoting the sharing and reuse o sot8are genera""y

F 'O LA::A'6

=CA(S= 6F= :O&:A< S #C='S=$ *:== O* CFA:&=, 6F=:= S 'OLA::A'6 *O: 6F= :O&:A<, 6O 6F= =T6='6 =:<66=$ A#CA#= #AL =TC=6 LF=' O6F=:LS= S6A6=$ ' L:6'& 6F=CO:&F6 FO#$=:S A'$/O: O6F=: A:6=S :O$= 6F=:O&:A< AS S L6FO(6 LA::A'6 O* A' J'$, =6F=:=T:=SS=$ O: <#=$, 'C#($'&, (6 'O6 #<6=$ 6O, 6F=<#=$ LA::A'6=S O* <=:CFA'6A#6 A'$ *6'=SS *O: AA:6C(#A: (:OS= 6F= ='6:= :SJ AS 6O 6F= K(A#6 A'$=:*O:<A'C= O* 6F= :O&:A< S L6F O( SFO(#$ 6F=:O&:A< :O= $=*=C6=, O( ASS(<= 6F= COS6 O* A## '=C=SSA: S=:C'&, :=A: O: CO::=C6O'

' 'O =='6 ('#=SS :=K(:=$ A#CA#= #AL O: A&:==$ 6O' L:6'& L## A' CO:&F6 FO#$=:, O: A' O6F=: A:6LFO <A <O$* A'$/O: :=$S6:(6= 6F= :O&:A< AS=:<66=$ AO=, = #A#= 6O O( *O: $A<A&=S, 'C#($'&

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 167/202

A' &='=:A#, S=CA#, 'C$='6A# O: CO'S=K(='6A# $A<A&=SA:S'& O(6 O* 6F= (S= O: 'A#6 6O (S= 6F= :O&:A<)'C#($'& (6 'O6 #<6=$ 6O #OSS O* $A6A O: $A6A ='&:='$=:=$ 'ACC(:A6= O: #OSS=S S(S6A'=$ O( O: 6F:$A:6=S O: A *A#(:= O* 6F= :O&:A< 6O O=:A6= L6F A'

O6F=: :O&:A<S+, ==' * S(CF FO#$=: O: O6F=: A:6 FAS==' A$S=$ O* 6F= OSS#6 O* S(CF $A<A&=S

='$ O* 6=:<S A'$ CO'$6O'S

'. ,o4 to A!!l/ T%ese Terms to our Ne4 Pro#rams

you dee"op a ne8 program, and you 8ant it to be o the greatest possib"e use to the pub"ic, the best 8ay to achiee this is to make it ree sot8are 8hich eeryone can

redistribute and change under these terms

6o do so, attach the o""o8ing notices to the program t is saest to attach them to the starto each source i"e to most eectie"y coney the e4c"usion o 8arranty. and each i"eshou"d hae at "east the copyright "ine and a pointer to 8here the u"" notice is ound

one "ine to gie the programVs name and a brie idea o 8hat it doesZ Copyright )C+yearZ name o authorZ

6his program is ree sot8are. you can redistribute it and/or modiy it under the terms othe &'( &enera" ub"ic #icense as pub"ished by the *ree Sot8are *oundation. either

ersion 2 o the #icense, or )at your option+ any "ater ersion

6his program is distributed in the hope that it 8i"" be useu", but L6FO(6 A'LA::A'6. 8ithout een the imp"ied 8arranty o <=:CFA'6A#6 or *6'=SS*O: A A:6C(#A: (:OS= See the &'( &enera" ub"ic #icense or more detai"s

ou shou"d hae receied a copy o the &'( &enera" ub"ic #icense a"ong 8ith this program. i not, 8rite to the *ree Sot8are *oundation, nc, B 6emp"e "ace, Suite 330,oston, <A 02111-130D (SA

A"so add inormation on ho8 to contact you by e"ectronic and paper mai"

the program is interactie, make it output a short notice "ike this 8hen it starts in aninteractie mode

&nomoision ersion HB, Copyright )C+ year name o author &nomoision comes 8ithASO#(6=# 'O LA::A'6. or detai"s type sho8 8V 6his is ree sot8are, and youare 8e"come to redistribute it under certain conditions. type sho8 cV or detai"s

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 168/202

6he hypothetica" commands sho8 8V and sho8 cV shou"d sho8 the appropriate parts o the&enera" ub"ic #icense O course, the commands you use may be ca""ed something otherthan sho8 8V and sho8 cV. they cou"d een be mouse-c"icks or menu items--8hateer suitsyour program

ou shou"d a"so get your emp"oyer )i you 8ork as a programmer+ or your schoo", i any, tosign a copyright disc"aimer or the program, i necessary Fere is a samp"e. a"ter thenames

oyodyne, nc, hereby disc"aims a"" copyright interest in the program &nomoisionV)8hich makes passes at compi"ers+ 8ritten by Iames Facker signature o 6y CoonZ, 1Apri" 1BMB 6y Coon, resident o ice

6his &enera" ub"ic #icense does not permit incorporating your program into proprietary programs your program is a subroutine "ibrary, you may consider it more useu" to permit "inking proprietary app"ications 8ith the "ibrary this is 8hat you 8ant to do, use

the &'( #ibrary &enera" ub"ic #icense instead o this #icense

A!!endi7 . Códi#o fuente de los scri!tsde e;em!lo

=cri!t de e;em!lo rc.fire4all

BTbinshBB rc.firewall " 'cri!t de cortafuegos con %9 si=!le !ara *inux #.;.x ei!tablesBB o!yright PQ #001 Gskar )ndreasson <blueflux)(koffein/G(net>BB ,ste !rogra=a es software libreZ !uedes redistribuirlo yo =odificarloB bajo los tWr=inos ex!resados en la UC&8 Ceneral 9ublic *icenseUI talco=oB lo !ublica la Free 'oftware FoundationZ :ersiXn # de la *icencia.BB ,ste !rogra=a se distribuye con el deseo de Yue sea ^tilI !eroB '%& &%&C8&) C)-)&()Z incluso sin garanta i=!lcita de GH9-)"?,&()B o )/,8)%_& ) 9-G9_'%(G 9)-(%8*)-. 9ara =\s detallesI referirse a laB C&8 Ceneral 9ublic *icense.BB /eberas haber recibido una co!ia de la C&8 Ceneral 9ublic *icenseB junto a este !rogra=a o desde el sitio web de dXnde lo bajasteZB si no es asI escribe a la Free 'oftware FoundationI %nc.I 63 (e=!leB 9laceI 'uite 550I ostonI H) 0#111"150 8')BB

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 169/202

BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB 1. G!ciones de configuraciXn.B

B

B 1.1 onfiguraciXn de %nternet.B

%&,(%92U13;.#5.60.166U%&,(%F),2Ueth0U%&,(-G)/)'(2U13;.#5.60.#66U

BB 1.1.1 /A9B

BB 1.1.# 999o,

B

BB 1.# onfiguraciXn de la red local.BB ,l rango %9 de la *)& Pred de \rea localQ y la %9 del host local. ,l:alorB U#;U significa Yue sXlo se utiliRar\n los !ri=eros #; bits de los 5#bitsB Yue tiene una direcciXn %9. ,s lo =is=o Yue la =\scara de redU#66.#66.#66.0U.B

*)&%92U13#.14.0.#U*)&%9-)&C,2U13#.14.0.01U*)&-G)/)'()//-,''2U13#.14.#66.#66U*)&%F),2Ueth1U

BB 1.5 onfiguraciXn de la /HL.B

BB 1.; onfiguraciXn del host local.B

*G%F),2UloU

*G%92U1#.0.0.1U

BB 1.6 onfiguraciXn de %9(ables.B

%9()*,'2Uusrsbini!tablesU

BB 1. Gtras configuraciones.

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 170/202

B

BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB #. arga de =Xdulos.B

BB &ecesario !ara la carga inicial de los =Xdulos.B

sbinde!=od "a

BB #.1 HXdulos reYueridos.B

sbin=od!robe i!tablessbin=od!robe i!conntrack

sbin=od!robe i!tablefiltersbin=od!robe i!table=anglesbin=od!robe i!tablenatsbin=od!robe i!t*GCsbin=od!robe i!tli=itsbin=od!robe i!tstate

BB #.# HXdulos no"reYueridos.B

Bsbin=od!robe i!townerBsbin=od!robe i!t-,J,(Bsbin=od!robe i!tH)'K8,-)/,Bsbin=od!robe i!conntrackft!Bsbin=od!robe i!conntrackircBsbin=od!robe i!natft!Bsbin=od!robe i!natirc

BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB 5. onfiguraciXn de !roc.B

BB 5.1 onfiguraciXn reYuerida de !roc.

B

echo U1U > !rocsysneti!:;i!forward

BB 5.# onfiguraciXn no"reYuerida de !roc.B

Becho U1U > !rocsysneti!:;confallr!filterBecho U1U > !rocsysneti!:;confall!roxyar!

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 171/202

Becho U1U > !rocsysneti!:;i!dynaddr

BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB ;. onfiguraciXn de las reglas.B

BBBBBBB ;.1 (abla Filter.B

BB ;.1.1 ,stableci=iento de !olticas.B

$%9()*,' "9 %&98( /-G9$%9()*,' "9 G8(98( /-G9$%9()*,' "9 FG-D)-/ /-G9

BB ;.1.# reaciXn de Ucadenas de usuario.UB

BB rea una cadena !ara !aYuetes tc! incorrectos.B

$%9()*,' "& badtc!!ackets

BB rea cadenas se!aradas !ara Yue los !aYuetes %H9I (9 y 8/9 lasatra:iesen.B

$%9()*,' "& allowed$%9()*,' "& tc!!ackets$%9()*,' "& ud!!ackets$%9()*,' "& ic=!!ackets

BB ;.1.5 reaciXn de contenido en las cadenas de usuarioB

BB adena badtc!!acketsB

$%9()*,' ") badtc!!ackets "! tc! T ""syn "= state ""state &,D "j *GC 7""log"!refix U&ew not synEU$%9()*,' ") badtc!!ackets "! tc! T ""syn "= state ""state &,D "j /-G9

BB adena de U!er=itidosU.B

$%9()*,' ") allowed "! (9 ""syn "j ),9(

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 172/202

$%9()*,' ") allowed "! (9 "= state ""state ,'()*%'A,/I-,*)(,/ "j),9($%9()*,' ") allowed "! (9 "j /-G9

BB -eglas (9.B

$%9()*,' ") tc!!ackets "! (9 "s 00 ""d!ort #1 "j allowed$%9()*,' ") tc!!ackets "! (9 "s 00 ""d!ort ## "j allowed$%9()*,' ") tc!!ackets "! (9 "s 00 ""d!ort 40 "j allowed$%9()*,' ") tc!!ackets "! (9 "s 00 ""d!ort 115 "j allowed

BB 9uertos 8/9.B

B$%9()*,' ") ud!!ackets "! 8/9 "s 00 ""destination"!ort 65 "j ),9(B$%9()*,' ") ud!!ackets "! 8/9 "s 00 ""destination"!ort 1#5 "j ),9($%9()*,' ") ud!!ackets "! 8/9 "s 00 ""destination"!ort #0; "j ),9(

$%9()*,' ") ud!!ackets "! 8/9 "s 00 ""destination"!ort ;000 "j ),9(

BB ,n -edes Hicrosoft te :er\s inundado !or difusiones de !aYuetesB PbroadcastsQ. on las siguientes lneas e:itar\s Yue a!areRcan enB los registros.B

B$%9()*,' ") ud!!ackets "! 8/9 "i $%&,(%F), "d $%&,(-G)/)'( 7B""destination"!ort 156E153 "j /-G9

BB 'i recibi=os !eticiones /A9 desde el exterior de nuestra redI nuestrosB registros ta=biWn resultar\n inundados. on esta regla e:itare=osB Yue Yueden registrados.B

B$%9()*,' ") ud!!ackets "! 8/9 "i $%&,(%F), "d #66.#66.#66.#66 7B""destination"!ort E4 "j /-G9

BB -eglas %H9.B

$%9()*,' ") ic=!!ackets "! %H9 "s 00 ""ic=!"ty!e 4 "j ),9($%9()*,' ") ic=!!ackets "! %H9 "s 00 ""ic=!"ty!e 11 "j ),9(

BB ;.1.; adena %&98(.B

BB 9aYuetes (9 incorrectos Yue no Yuere=os.B

$%9()*,' ") %&98( "! tc! "j badtc!!ackets

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 173/202

BB -eglas !ara redes es!eciales Yue no son !arte de %nternet.B

$%9()*,' ") %&98( "! )** "i $*)&%F), "s $*)&%9-)&C, "j ),9($%9()*,' ") %&98( "! )** "i $*G%F), "s $*G%9 "j ),9($%9()*,' ") %&98( "! )** "i $*G%F), "s $*)&%9 "j ),9(

$%9()*,' ") %&98( "! )** "i $*G%F), "s $%&,(%9 "j ),9($%9()*,' ") %&98( "! )** "i $*)&%F), "d $*)&-G)/)'()//-,'' "j),9(

BB -egla es!ecial !ara !eticiones /A9 desde la red localI Yue de otra=aneraB no son correcta=ente gestionadas.B

$%9()*,' ") %&98( "! 8/9 "i $*)&%F), ""d!ort ""s!ort 4 "j ),9(

B

B -eglas !ara !aYuetes entrantes desde %nternet.B

$%9()*,' ") %&98( "! )** "d $%&,(%9 "= state ""state,'()*%'A,/I-,*)(,/ 7"j ),9($%9()*,' ") %&98( "! (9 "i $%&,(%F), "j tc!!ackets$%9()*,' ") %&98( "! 8/9 "i $%&,(%F), "j ud!!ackets$%9()*,' ") %&98( "! %H9 "i $%&,(%F), "j ic=!!ackets

BB 'i dis!ones de una -ed Hicrosoft fuera de tu cortafuegosI ta=biWn!uedesB :erte inundado !or =ultidifusiones P=ulticastsQ. /esecha=os estos!aYuetesB !ara no desbordar los registros.B

B$%9()*,' ") %&98( "i $%&,(%F), "d ##;.0.0.04 "j /-G9

BB -egistra !aYuetes extra`os Yue no concuerdan con lo anterior.B

$%9()*,' ") %&98( "= li=it ""li=it 5=inute ""li=it"burst 5 "j *GC 7""log"le:el /,8C ""log"!refix U%9( %&98( !acket diedE U

BB ;.1.6 adena FG-D)-/.B

BB 9aYuetes (9 incorrectos Yue no Yuere=os.B

$%9()*,' ") FG-D)-/ "! tc! "j badtc!!ackets

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 174/202

BB )ce!ta los !aYuetes Yue s Yuere=os reen:iar.B

$%9()*,' ") FG-D)-/ "i $*)&%F), "j ),9($%9()*,' ") FG-D)-/ "= state ""state ,'()*%'A,/I-,*)(,/ "j ),9(

BB -egistra !aYuetes extra`os Yue no concuerdan con lo anterior.B

$%9()*,' ") FG-D)-/ "= li=it ""li=it 5=inute ""li=it"burst 5 "j *GC 7""log"le:el /,8C ""log"!refix U%9( FG-D)-/ !acket diedE U

BB ;.1. adena G8(98(.B

BB 9aYuetes (9 incorrectos Yue no Yuere=os.

B

$%9()*,' ") G8(98( "! tc! "j badtc!!ackets

BB -eglas es!eciales de la tabla G8(98( !ara decidir YuW %9s est\n!er=itidas.B

$%9()*,' ") G8(98( "! )** "s $*G%9 "j ),9($%9()*,' ") G8(98( "! )** "s $*)&%9 "j ),9($%9()*,' ") G8(98( "! )** "s $%&,(%9 "j ),9(

BB -egistra !aYuetes extra`os Yue no concuerdan con lo anterior.B

$%9()*,' ") G8(98( "= li=it ""li=it 5=inute ""li=it"burst 5 "j *GC 7""log"le:el /,8C ""log"!refix U%9( G8(98( !acket diedE U

BBBBBBB ;.# (abla &at.B

BB ;.#.1 ,stablece las !olticas.B

BB ;.#.# rea cadenas definidas !or el usuario.B

BB ;.#.5 rea contenido en las cadenas de usuario.B

B

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 175/202

B ;.#.; adena 9-,-G8(%&C.B

BB ;.#.6 adena 9G'(-G8(%&C.B

BB )cti:aciXn del -een:o %9 si=!le y la (raducciXn de /irecciXn de -edP&)(Q.B

$%9()*,' "t nat ") 9G'(-G8(%&C "o $%&,(%F), "j '&)( ""to"source$%&,(%9

BB ;.#. adena G8(98(.B

BBBBBB

B ;.5 (abla Hangle.B

BB ;.5.1 ,stablece las !olticas.B

BB ;.5.# rea cadenas definidas !or el usuario.B

BB ;.5.5 rea contenido en las cadenas de usuario.B

BB ;.5.; adena 9-,-G8(%&C.B

BB ;.5.6 adena %&98(.B

BB ;.5. adena FG-D)-/.B

BB ;.5. adena G8(98(.B

BB ;.5.4 adena 9G'(-G8(%&C.B 

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 176/202

=cri!t de e;em!lo rc.D:H.fire4all

BTbinshBB rc./HL.firewall " 'cri!t de cortafuegos !ara la %9 de la /HL enB *inux #.;.x con i!tablesBB o!yright PQ #001 Gskar )ndreasson <blueflux)(koffein/G(net>BB ,ste !rogra=a es software libreZ !uedes redistribuirlo yo =odificarloB bajo los tWr=inos ex!resados en la UC&8 Ceneral 9ublic *icenseUI talco=oB lo !ublica la Free 'oftware FoundationZ :ersiXn # de la *icencia.BB ,ste !rogra=a se distribuye con el deseo de Yue sea ^tilI !eroB '%& &%&C8&) C)-)&()Z incluso sin garanta i=!lcita de GH9-)"?,&()B o )/,8)%_& ) 9-G9_'%(G 9)-(%8*)-. 9ara =\s detallesI referirse a laB C&8 Ceneral 9ublic *icense.B

B /eberas haber recibido una co!ia de la C&8 Ceneral 9ublic *icenseB junto a este !rogra=a o desde el sitio web de dXnde lo bajasteZB si no es asI escribe a la Free 'oftware FoundationI %nc.I 63 (e=!leB 9laceI 'uite 550I ostonI H) 0#111"150 8')BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB 1. G!ciones de onfiguraciXn.B

BB 1.1 onfiguraciXn de %nternet.B

%&,(%92U13;.#5.60.16#UA((9%92U13;.#5.60.165U/&'%92U13;.#5.60.16;U%&,(%F),2Ueth0U

BB 1.1.1 /A9B

BB 1.1.# 999o,

B

BB 1.# onfiguraciXn de la -ed *ocal P*ocal )rea &etworkQ.BB el rango de %9s de tu *)& y la %9 de tu host. ,l :alor 7#; significaB Yue sXlo se usar\n los !ri=eros #; de los 5# bits de una direcciXn %9.B ,s lo =is=o Yue la =\scara de red #66.#66.#66.0B

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 177/202

*)&%92U13#.14.0.#U*)&%F),2Ueth1U

BB 1.5 onfiguraciXn /HL.B

/HLA((9%92U13#.14.1.#U/HL/&'%92U13#.14.1.5U/HL%92U13#.14.1.1U/HL%F),2Ueth#U

BB 1.; onfiguraciXn del host local.B

*G%F),2UloU*G%92U1#.0.0.1U

B

B 1.6 onfiguraciXn de %9(ables.B

%9()*,'2Uusrsbini!tablesU

BB 1. Gtra configuraciXn.B

BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB #. arga de =Xdulos.B

BB &ecesario !ara la carga inicial de =Xdulos.Bsbinde!=od "a

BB #.1 HXdulos reYueridos.B

sbin=od!robe i!tablessbin=od!robe i!conntracksbin=od!robe i!tablefilter

sbin=od!robe i!table=anglesbin=od!robe i!tablenatsbin=od!robe i!t*GCsbin=od!robe i!tli=itsbin=od!robe i!tstate

BB #.# HXdulos no"reYueridos.B

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 178/202

Bsbin=od!robe i!townerBsbin=od!robe i!t-,J,(Bsbin=od!robe i!tH)'K8,-)/,Bsbin=od!robe i!conntrackft!Bsbin=od!robe i!conntrackircBsbin=od!robe i!natft!Bsbin=od!robe i!natirc

BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB 5. onfiguraciXn de !roc.B

BB 5.1 onfiguraciXn reYuerida de !roc.B

echo U1U > !rocsysneti!:;i!forward

BB 5.# onfiguraciXn no"reYuerida de !roc.B

Becho U1U > !rocsysneti!:;confallr!filterBecho U1U > !rocsysneti!:;confall!roxyar!Becho U1U > !rocsysneti!:;i!dynaddr

BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB ;. onfiguraciXn de las reglas.B

BBBBBBB ;.1 (abla Filter.B

BB ;.1.1 ,stableci=iento de !olticas.B

$%9()*,' "9 %&98( /-G9$%9()*,' "9 G8(98( /-G9$%9()*,' "9 FG-D)-/ /-G9

B

B ;.1.# reaciXn de cadenas de usuario.B

BB reaciXn de una cadena !ara !aYuetes (9 incorrectos.B

$%9()*,' "& badtc!!ackets

B

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 179/202

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 180/202

B

$%9()*,' ") %&98( "! )** "i $/HL%F), "d $/HL%9 "j ),9(

BB /esde la interfaR de la red local hacia la %9 del cortafuegos de la redlocal.

B

$%9()*,' ") %&98( "! )** "i $*)&%F), "d $*)&%9 "j ),9($%9()*,' ") %&98( "! )** "i $*)&%F), "d $*)&-G)/)'()//-,'' "j),9(

BB /esde la interfaR del host local hacia la %9 del host local.B

$%9()*,' ") %&98( "! )** "i $*G%F), "s $*G%9 "j ),9($%9()*,' ") %&98( "! )** "i $*G%F), "s $*)&%9 "j ),9($%9()*,' ") %&98( "! )** "i $*G%F), "s $%&,(%9 "j ),9(

BB -egla es!ecial !ara !eticiones /A9 desde la red localI Yue de otrafor=aB no seran gestionadas correcta=ente.B

$%9()*,' ") %&98( "! 8/9 "i $*)&%F), ""d!ort ""s!ort 4 "j ),9(

BB (odos los !aYuetes Yue han establecido una conexiXn y todos los YueB de!enden de WllosI !ro:enientes de %nternet hacia el cortafuegos.B

$%9()*,' ") %&98( "! )** "d $%&,(%9 "= state ""state,'()*%'A,/I-,*)(,/ 7"j ),9(

BB ,n -edes Hicrosoft te :er\s inundado !or difusiones de !aYuetesB PbroadcastsQ. on las siguientes lneas e:itar\s Yue a!areRcan enB los registros.B

B$%9()*,' ") %&98( "! 8/9 "i $%&,(%F), "d $%&,(-G)/)'( 7B""destination"!ort 156E153 "j /-G9

BB 'i recibi=os !eticiones /A9 desde el exterior de nuestra redI nuestrosB registros ta=biWn resultar\n inundados. on esta regla e:itare=osB Yue Yueden registrados.B

B$%9()*,' ") %&98( "! 8/9 "i $%&,(%F), "d #66.#66.#66.#66 7B""destination"!ort E4 "j /-G9

B

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 181/202

B 'i dis!ones de una -ed Hicrosoft fuera de tu cortafuegosI ta=biWn!uedesB :erte inundado !or =ultidifusiones P=ulticastsQ. /esecha=os estos!aYuetesB !ara no desbordar los registros.B

B$%9()*,' ") %&98( "i $%&,(%F), "d ##;.0.0.04 "j /-G9

BB -egistra !aYuetes extra`os Yue no concuerdan con lo anterior.B

$%9()*,' ") %&98( "= li=it ""li=it 5=inute ""li=it"burst 5 "j *GC 7""log"le:el /,8C ""log"!refix U%9( %&98( !acket diedE U

BB ;.1.6 adena FG-D)-/.B

BB 9aYuetes (9 incorrectos Yue no Yuere=os.B

$%9()*,' ") FG-D)-/ "! tc! "j badtc!!ackets

BB 'ecciXn /HL.BB -eglas generales.B

$%9()*,' ") FG-D)-/ "i $/HL%F), "o $%&,(%F), "j ),9($%9()*,' ") FG-D)-/ "i $%&,(%F), "o $/HL%F), "= state 7""state ,'()*%'A,/I-,*)(,/ "j ),9($%9()*,' ") FG-D)-/ "i $*)&%F), "o $/HL%F), "j ),9($%9()*,' ") FG-D)-/ "i $/HL%F), "o $*)&%F), "= state 7""state ,'()*%'A,/I-,*)(,/ "j ),9(

BB 'er:idor A((9.B

$%9()*,' ") FG-D)-/ "! (9 "i $%&,(%F), "o $/HL%F), "d$/HLA((9%9 7""d!ort 40 "j allowed$%9()*,' ") FG-D)-/ "! %H9 "i $%&,(%F), "o $/HL%F), "d $/HLA((9%9

7"j ic=!!ackets

BB 'er:idor /&'.B

$%9()*,' ") FG-D)-/ "! (9 "i $%&,(%F), "o $/HL%F), "d $/HL/&'%9 7""d!ort 65 "j allowed$%9()*,' ") FG-D)-/ "! 8/9 "i $%&,(%F), "o $/HL%F), "d $/HL/&'%9 7

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 182/202

""d!ort 65 "j ),9($%9()*,' ") FG-D)-/ "! %H9 "i $%&,(%F), "o $/HL%F), "d$/HL/&'%9 7"j ic=!!ackets

BB 'ecciXn *)& Pred localQ.

B

$%9()*,' ") FG-D)-/ "i $*)&%F), "j ),9($%9()*,' ") FG-D)-/ "= state ""state ,'()*%'A,/I-,*)(,/ "j ),9(

BB -egistra !aYuetes extra`os Yue no concuerdan con lo anterior.B

$%9()*,' ") FG-D)-/ "= li=it ""li=it 5=inute ""li=it"burst 5 "j *GC 7""log"le:el /,8C ""log"!refix U%9( FG-D)-/ !acket diedE U

B

B ;.1. adena G8(98(.B

BB 9aYuetes (9 incorrectos Yue no Yuere=os.B

$%9()*,' ") G8(98( "! tc! "j badtc!!ackets

BB -eglas es!eciales de la cadena G8(98( !ara decidir YuW direcciones %9B est\n !er=itidas.B

$%9()*,' ") G8(98( "! )** "s $*G%9 "j ),9($%9()*,' ") G8(98( "! )** "s $*)&%9 "j ),9($%9()*,' ") G8(98( "! )** "s $%&,(%9 "j ),9(

BB -egistra !aYuetes extra`os Yue no concuerdan con lo anterior.B

$%9()*,' ") G8(98( "= li=it ""li=it 5=inute ""li=it"burst 5 "j *GC 7""log"le:el /,8C ""log"!refix U%9( G8(98( !acket diedE U

BBBBBBB ;.# (abla &at.

B

BB ;.#.1 ,stableci=iento de !olticas.B

BB ;.#.# reaciXn de cadenas de usuario.B

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 183/202

BB ;.#.5 reaciXn de contenido en las cadenas de usuario.B

BB ;.#.; adena 9-,-G8(%&C.B

$%9()*,' "t nat ") 9-,-G8(%&C "! (9 "i $%&,(%F), "d $A((9%9 ""d!ort40 7"j /&)( ""to"destination $/HLA((9%9$%9()*,' "t nat ") 9-,-G8(%&C "! (9 "i $%&,(%F), "d $/&'%9 ""d!ort65 7"j /&)( ""to"destination $/HL/&'%9$%9()*,' "t nat ") 9-,-G8(%&C "! 8/9 "i $%&,(%F), "d $/&'%9 ""d!ort65 7"j /&)( ""to"destination $/HL/&'%9

BB ;.#.6 adena 9G'(-G8(%&C.

B

BB )cti:aciXn del -een:o %9 si=!le y la (raducciXn de /irecciXn de -edP&)(Q.B

$%9()*,' "t nat ") 9G'(-G8(%&C "o $%&,(%F), "j '&)( ""to"source$%&,(%9

BB ;.#. adena G8(98(.B

BBBBBBB ;.5 (abla Hangle.B

BB ;.5.1 ,stableci=iento de !olticas.B

BB ;.5.# reaciXn de cadenas de usuario.B

B

B ;.5.5 reaciXn de contenido en las cadenas de usuario.B

BB ;.5.; adena 9-,-G8(%&C.B

BB ;.5.6 adena %&98(.B

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 184/202

BB ;.5. adena FG-D)-/.B

BB ;.5. adena G8(98(.

B

BB ;.5.4 adena 9G'(-G8(%&C.B 

=cri!t de e;em!lo rc.TIN.fire4all

BTbinshBB rc.firewall " 'cri!t !ara cortafuegos 8(%& con *inux #.;.x e i!tablesBB o!yright PQ #001 Gskar )ndreasson <blueflux)(koffein/G(net>BB ,ste !rogra=a es software libreZ !uedes redistribuirlo yo =odificarloB bajo los tWr=inos ex!resados en la UC&8 Ceneral 9ublic *icenseUI talco=oB lo !ublica la Free 'oftware FoundationZ :ersiXn # de la *icencia.BB ,ste !rogra=a se distribuye con el deseo de Yue sea ^tilI !eroB '%& &%&C8&) C)-)&()Z incluso sin garanta i=!lcita de GH9-)"?,&()B o )/,8)%_& ) 9-G9_'%(G 9)-(%8*)-. 9ara =\s detallesI referirse a laB C&8 Ceneral 9ublic *icense.

BB /eberas haber recibido una co!ia de la C&8 Ceneral 9ublic *icenseB junto a este !rogra=a o desde el sitio web de dXnde lo bajasteZB si no es asI escribe a la Free 'oftware FoundationI %nc.I 63 (e=!leB 9laceI 'uite 550I ostonI H) 0#111"150 8')BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB 1. G!ciones de configuraciXn.B

BB 1.1 onfiguraciXn de %nternet.B

%&,(%92U13;.#5.60.166U%&,(%F),2Ueth0U%&,(-G)/)'(2U13;.#5.60.#66U

BB 1.1.1 /A9

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 185/202

B

BB 1.1.# 999o,B

B

B 1.# onfiguracion de la -ed de rea *ocal.BB ,l rango %9 de la *)& Pred de \rea localQ y la %9 del host local. ,l:alorB U#;U significa Yue sXlo se utiliRar\n los !ri=eros #; bits de los 5#bitsB Yue tiene una direcciXn %9. ,s lo =is=o Yue la =\scara de redU#66.#66.#66.0U.B

*)&%92U13#.14.0.#U*)&%9-)&C,2U13#.14.0.01U*)&%F),2Ueth1U

BB 1.5 onfiguraciXn de la /HL PULona /es=ilitariRadaUQ.B

BB 1.; onfiguraciXn del host local.B

*G%F),2UloU*G%92U1#.0.0.1U

BB 1.6 onfiguraciXn de %9(ables.B

%9()*,'2Uusrsbini!tablesU

BB 1. Gtras configuraciones.B

BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB #. arga de =Xdulos.B

BB &ecesario !ara la carga inicial de los =Xdulos.B

sbinde!=od "a

BB #.1 HXdulos reYueridos.B

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 186/202

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 187/202

$%9()*,' "9 G8(98( /-G9$%9()*,' "9 FG-D)-/ /-G9

BB ;.1.# reaciXn de Ucadenas de usuario.UB

BB rea una cadena !ara !aYuetes tc! incorrectos.B

$%9()*,' "& badtc!!ackets

BB rea cadenas se!aradas !ara Yue los !aYuetes %H9I (9 y 8/9 lasatra:iesen.B

$%9()*,' "& allowed$%9()*,' "& tc!!ackets

$%9()*,' "& ud!!ackets$%9()*,' "& ic=!!ackets

BB ;.1.5 reaciXn de contenido en las cadenas de usuarioB

BB adena badtc!!acketsB

$%9()*,' ") badtc!!ackets "! tc! T ""syn "= state ""state &,D "j *GC 7""log"!refix U&ew not synEU$%9()*,' ") badtc!!ackets "! tc! T ""syn "= state ""state &,D "j /-G9

BB adena de U!er=itidosU.B

$%9()*,' ") allowed "! (9 ""syn "j ),9($%9()*,' ") allowed "! (9 "= state ""state ,'()*%'A,/I-,*)(,/ "j),9($%9()*,' ") allowed "! (9 "j /-G9

BB -eglas (9.B

$%9()*,' ") tc!!ackets "! (9 "s 00 ""d!ort #1 "j allowed$%9()*,' ") tc!!ackets "! (9 "s 00 ""d!ort ## "j allowed$%9()*,' ") tc!!ackets "! (9 "s 00 ""d!ort 40 "j allowed$%9()*,' ") tc!!ackets "! (9 "s 00 ""d!ort 115 "j allowed

BB 9uertos 8/9.B

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 188/202

B$%9()*,' ") ud!!ackets "! 8/9 "s 00 ""source"!ort 65 "j ),9(B$%9()*,' ") ud!!ackets "! 8/9 "s 00 ""source"!ort 1#5 "j ),9($%9()*,' ") ud!!ackets "! 8/9 "s 00 ""source"!ort #0; "j ),9($%9()*,' ") ud!!ackets "! 8/9 "s 00 ""source"!ort ;000 "j ),9(

BB ,n -edes Hicrosoft te :er\s inundado !or difusiones de !aYuetes

B PbroadcastsQ. on las siguientes lneas e:itar\s Yue a!areRcan enB los registros.B

B$%9()*,' ") ud!!ackets "! 8/9 "i $%&,(%F), "d $%&,(-G)/)'( 7B""destination"!ort 156E153 "j /-G9

BB 'i recibi=os !eticiones /A9 desde el exterior de nuestra redI nuestrosB registros ta=biWn resultar\n inundados. on esta regla e:itare=osB Yue Yueden registrados.B

B$%9()*,' ") ud!!ackets "! 8/9 "i $%&,(%F), "d #66.#66.#66.#66 7B""destination"!ort E4 "j /-G9

BB -eglas %H9.B

$%9()*,' ") ic=!!ackets "! %H9 "s 00 ""ic=!"ty!e 4 "j ),9($%9()*,' ") ic=!!ackets "! %H9 "s 00 ""ic=!"ty!e 11 "j ),9(

BB ;.1.; adena %&98(.B

BB 9aYuetes (9 incorrectos Yue no Yuere=os.B

$%9()*,' ") %&98( "! tc! "j badtc!!ackets

BB -eglas !ara redes es!eciales Yue no son !arte de %nternet.B

$%9()*,' ") %&98( "! )** "i $*G%F), "s $*G%9 "j ),9($%9()*,' ") %&98( "! )** "i $*G%F), "s $*)&%9 "j ),9($%9()*,' ") %&98( "! )** "i $*G%F), "s $%&,(%9 "j ),9(

BB -eglas !ara !aYuetes entrantes desde cualYuier lugar.B

$%9()*,' ") %&98( "! )** "d $%&,(%9 "= state ""state,'()*%'A,/I-,*)(,/ 7"j ),9($%9()*,' ") %&98( "! (9 "j tc!!ackets$%9()*,' ") %&98( "! 8/9 "j ud!!ackets

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 189/202

$%9()*,' ") %&98( "! %H9 "j ic=!!ackets

BB 'i dis!ones de una -ed Hicrosoft fuera de tu cortafuegosI ta=biWn!uedesB :erte inundado !or =ultidifusiones P=ulticastsQ. /esecha=os estos!aYuetes

B !ara no desbordar los registros.B

B$%9()*,' ") %&98( "i $%&,(%F), "d ##;.0.0.04 "j /-G9

BB -egistra !aYuetes extra`os Yue no concuerdan con lo anterior.B

$%9()*,' ") %&98( "= li=it ""li=it 5=inute ""li=it"burst 5 "j *GC 7""log"le:el /,8C ""log"!refix U%9( %&98( !acket diedE U

B

B ;.1.6 adena FG-D)-/.B

BB 9aYuetes (9 incorrectos Yue no Yuere=os.B

$%9()*,' ") FG-D)-/ "! tc! "j badtc!!ackets

BB )ce!ta los !aYuetes Yue s Yuere=os reen:iar.B

$%9()*,' ") FG-D)-/ "! tc! ""d!ort #1 "i $*)&%F), "j ),9($%9()*,' ") FG-D)-/ "! tc! ""d!ort 40 "i $*)&%F), "j ),9($%9()*,' ") FG-D)-/ "! tc! ""d!ort 110 "i $*)&%F), "j ),9($%9()*,' ") FG-D)-/ "= state ""state ,'()*%'A,/I-,*)(,/ "j ),9(

BB -egistra !aYuetes extra`os Yue no concuerdan con lo anterior.B

$%9()*,' ") FG-D)-/ "= li=it ""li=it 5=inute ""li=it"burst 5 "j *GC 7""log"le:el /,8C ""log"!refix U%9( FG-D)-/ !acket diedE U

BB ;.1. adena G8(98(.

B

BB 9aYuetes (9 incorrectos Yue no Yuere=os.B

$%9()*,' ") G8(98( "! tc! "j badtc!!ackets

B

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 190/202

B -eglas es!eciales de la tabla G8(98( !ara decidir YuW %9s est\n!er=itidas.B

$%9()*,' ") G8(98( "! )** "s $*G%9 "j ),9($%9()*,' ") G8(98( "! )** "s $*)&%9 "j ),9($%9()*,' ") G8(98( "! )** "s $%&,(%9 "j ),9(

BB -egistra !aYuetes extra`os Yue no concuerdan con lo anterior.B

$%9()*,' ") G8(98( "= li=it ""li=it 5=inute ""li=it"burst 5 "j *GC 7""log"le:el /,8C ""log"!refix U%9( G8(98( !acket diedE U

BBBBBBB ;.# (abla &at.B

B

B ;.#.1 ,stablece las !olticas.B

BB ;.#.# rea cadenas definidas !or el usuario.B

BB ;.#.5 rea contenido en las cadenas de usuario.B

BB ;.#.; adena 9-,-G8(%&C.B

BB ;.#.6 adena 9G'(-G8(%&C.B

BB )cti:aciXn del -een:o %9 si=!le y la (raducciXn de /irecciXn de -edP&)(Q.B

$%9()*,' "t nat ") 9G'(-G8(%&C "o $%&,(%F), "j '&)( ""to"source$%&,(%9

BB ;.#. adena G8(98(.B

BBBBBBB ;.5 (abla Hangle.B

BB ;.5.1 ,stablece las !olticas.

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 191/202

B

BB ;.5.# rea cadenas definidas !or el usuario.B

B

B ;.5.5 rea contenido en las cadenas de usuario.B

BB ;.5.; adena 9-,-G8(%&C.B

BB ;.5.6 adena %&98(.B

BB ;.5. adena FG-D)-/.

B

BB ;.5. adena G8(98(.B

BB ;.5.4 adena 9G'(-G8(%&C.B 

=cri!t de e;em!lo rc.D,CP.fire4allBTbinshBB rc./A9.firewall " 'cri!t de cortafuegos con %9 basada en /A9 bajoB *inux #.;.x e i!tablesBB o!yright PQ #001 Gskar )ndreasson <blueflux)(koffein/G(net>BB ,ste !rogra=a es software libreZ !uedes redistribuirlo yo =odificarloB bajo los tWr=inos ex!resados en la UC&8 Ceneral 9ublic *icenseUI talco=oB lo !ublica la Free 'oftware FoundationZ :ersiXn # de la *icencia.BB ,ste !rogra=a se distribuye con el deseo de Yue sea ^tilI !eroB '%& &%&C8&) C)-)&()Z incluso sin garanta i=!lcita de GH9-)"?,&()B o )/,8)%_& ) 9-G9_'%(G 9)-(%8*)-. 9ara =\s detallesI referirse a laB C&8 Ceneral 9ublic *icense.BB /eberas haber recibido una co!ia de la C&8 Ceneral 9ublic *icenseB junto a este !rogra=a o desde el sitio web de dXnde lo bajasteZB si no es asI escribe a la Free 'oftware FoundationI %nc.I 63 (e=!leB 9laceI 'uite 550I ostonI H) 0#111"150 8')

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 192/202

BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB 1. G!ciones de configuraciXn.B

BB 1.1 onfiguraciXn de %nternet.B

%&,(%F),2Ueth0U

BB 1.1.1 /A9B

BB %nfor=aciXn res!ecto a la conexiXn a %nternet =ediante /A9I si es

necesaria.BB ,stablece la :ariable /A9 a UnoU si no obtienes una %9 =ediante /A9.'i laB obtienes =ediante /A9I establece la :ariable co=o UyesU e indica ladirecciXnB %9 adecuada del ser:idor /A9 en la :ariable /A9',-?,-.B

/A92UnoU/A9',-?,-2U136.##.30.6U

BB 1.1.# 999o,B

BB G!ciones de configuraciXn res!ecti:as a 999o, P999 o:er ,thernetQ.BB 'i ex!eri=entas !roble=as con tu conexiXn 999o,I co=o la i=!osibilidaddeB descargar correos electrXnicos grandesI =ientras Yue los !eYue`os bajansinB !roble=asI ...I !uedes establecer esta o!ciXn co=o UyesU y es !osibleYueB se solucione el !roble=a. ,sta o!ciXn acti:a una regla en la cadenaB 9-,-G8(%&C de la tabla O=angleO Yue ajustar\ el ta=a`o de todos los

!aYuetesB enrutados al 9H(8 P9ath Haxi=u= (rans=it 8nitQ [el ta=a`o =\xi=o de losB !aYuetes al !asar a tra:Ws de interfases ,thernet].BB (en en cuenta Yue es =ejor establecer este :alor en el !ro!io !aYuete999o,IB !uesto Yue esta o!ciXn de configuraciXn en 999o, !roducir\ una carga=enorB al siste=a.B

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 193/202

999G,9H(82UnoU

BB 1.# onfiguracion de la -ed de rea *ocal.BB ,l rango %9 de la *)& Pred de \rea localQ y la %9 del host local. ,l

:alorB U#;U significa Yue sXlo se utiliRar\n los !ri=eros #; bits de los 5#bitsB Yue tiene una direcciXn %9. ,s lo =is=o Yue la =\scara de redU#66.#66.#66.0U.B

*)&%92U13#.14.0.#U*)&%9-)&C,2U13#.14.0.01U*)&-G)/)'()//-,''2U13#.14.#66.#66U*)&%F),2Ueth1U

B

B 1.5 onfiguraciXn de la /HL PULona /es=ilitariRadaUQ.B

BB 1.; onfiguraciXn del host local.B

*G%F),2UloU*G%92U1#.0.0.1U

BB 1.6 onfiguraciXn de %9(ables.B

%9()*,'2Uusrsbini!tablesU

BB 1. Gtras configuraciones.B

BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB #. arga de =Xdulos.B

B

B &ecesario !ara la carga inicial de los =Xdulos.B

sbinde!=od "a

BB #.1 HXdulos reYueridos.B

sbin=od!robe i!conntrack

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 194/202

sbin=od!robe i!tablessbin=od!robe i!tablefiltersbin=od!robe i!table=anglesbin=od!robe i!tablenatsbin=od!robe i!t*GCsbin=od!robe i!tli=itsbin=od!robe i!tH)'K8,-)/,

BB #.# HXdulos no"reYueridos.B

Bsbin=od!robe i!townerBsbin=od!robe i!t-,J,(Bsbin=od!robe i!conntrackft!Bsbin=od!robe i!conntrackircBsbin=od!robe i!natft!Bsbin=od!robe i!natirc

BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB

BBBB 5. onfiguraciXn de !roc.B

BB 5.1 onfiguraciXn reYuerida de !roc.B

echo U1U > !rocsysneti!:;i!forward

BB 5.# onfiguraciXn no"reYuerida de !roc.B

Becho U1U > !rocsysneti!:;confallr!filterBecho U1U > !rocsysneti!:;confall!roxyar!Becho U1U > !rocsysneti!:;i!dynaddr

BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB ;. onfiguraciXn de las reglas.B

BBBBBBB ;.1 (abla Filter.

B

BB ;.1.1 ,stableci=iento de !olticas.B

$%9()*,' "9 %&98( /-G9$%9()*,' "9 G8(98( /-G9$%9()*,' "9 FG-D)-/ /-G9

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 195/202

BB ;.1.# reaciXn de Ucadenas de usuario.UB

BB rea una cadena !ara !aYuetes tc! incorrectos.B

$%9()*,' "& badtc!!ackets

BB rea cadenas se!aradas !ara Yue los !aYuetes %H9I (9 y 8/9 lasatra:iesen.B

$%9()*,' "& allowed$%9()*,' "& tc!!ackets$%9()*,' "& ud!!ackets$%9()*,' "& ic=!!ackets

BB ;.1.5 reaciXn de contenido en las cadenas de usuarioB

BB adena badtc!!acketsB

$%9()*,' ") badtc!!ackets "! tc! T ""syn "= state ""state &,D "j *GC 7""log"!refix U&ew not synEU$%9()*,' ") badtc!!ackets "! tc! T ""syn "= state ""state &,D "j /-G9

BB adena de U!er=itidosU.B

$%9()*,' ") allowed "! (9 ""syn "j ),9($%9()*,' ") allowed "! (9 "= state ""state ,'()*%'A,/I-,*)(,/ "j),9($%9()*,' ") allowed "! (9 "j /-G9

BB -eglas (9.B

$%9()*,' ") tc!!ackets "! (9 "s 00 ""d!ort #1 "j allowed$%9()*,' ") tc!!ackets "! (9 "s 00 ""d!ort ## "j allowed

$%9()*,' ") tc!!ackets "! (9 "s 00 ""d!ort 40 "j allowed$%9()*,' ") tc!!ackets "! (9 "s 00 ""d!ort 115 "j allowed

BB 9uertos 8/9.B

$%9()*,' ") ud!!ackets "! 8/9 "s 00 ""source"!ort 65 "j ),9(if [ $/A9 22 UyesU ] Z then $%9()*,' ") ud!!ackets "! 8/9 "s $/A9',-?,- ""s!ort 7

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 196/202

 ""d!ort 4 "j ),9(fi

B$%9()*,' ") ud!!ackets "! 8/9 "s 00 ""source"!ort 65 "j ),9(B$%9()*,' ") ud!!ackets "! 8/9 "s 00 ""source"!ort 1#5 "j ),9($%9()*,' ") ud!!ackets "! 8/9 "s 00 ""source"!ort #0; "j ),9($%9()*,' ") ud!!ackets "! 8/9 "s 00 ""source"!ort ;000 "j ),9(

BB ,n -edes Hicrosoft te :er\s inundado !or difusiones de !aYuetesB PbroadcastsQ. on las siguientes lneas e:itar\s Yue a!areRcan enB los registros.B

B$%9()*,' ") ud!!ackets "! 8/9 "i $%&,(%F), 7B""destination"!ort 156E153 "j /-G9

BB 'i recibi=os !eticiones /A9 desde el exterior de nuestra redI nuestrosB registros ta=biWn resultar\n inundados. on esta regla e:itare=os

B Yue Yueden registrados.B

B$%9()*,' ") ud!!ackets "! 8/9 "i $%&,(%F), "d #66.#66.#66.#66 7B""destination"!ort E4 "j /-G9

BB -eglas %H9.B

$%9()*,' ") ic=!!ackets "! %H9 "s 00 ""ic=!"ty!e 4 "j ),9($%9()*,' ") ic=!!ackets "! %H9 "s 00 ""ic=!"ty!e 11 "j ),9(

BB ;.1.; adena %&98(.B

BB 9aYuetes (9 incorrectos Yue no Yuere=os.B

$%9()*,' ") %&98( "! tc! "j badtc!!ackets

BB -eglas !ara redes es!eciales Yue no son !arte de %nternet.B

$%9()*,' ") %&98( "! )** "i $*)&%F), "s $*)&%9-)&C, "j ),9($%9()*,' ") %&98( "! )** "i $*G%F), "j ),9($%9()*,' ") %&98( "! )** "i $*)&%F), "d $*)&-G)/)'()//-,'' "j),9(

BB -egla es!ecial !ara !eticiones /A9 desde la red localI Yue de otra=aneraB no son correcta=ente gestionadas.B

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 197/202

$%9()*,' ") %&98( "! 8/9 "i $*)&%F), ""d!ort ""s!ort 4 "j ),9(

BB -eglas !ara !aYuetes entrantes desde %nternet.B

$%9()*,' ") %&98( "! )** "i $%&,(%F), "= state ""state,'()*%'A,/I-,*)(,/ 7 "j ),9($%9()*,' ") %&98( "! (9 "i $%&,(%F), "j tc!!ackets$%9()*,' ") %&98( "! 8/9 "i $%&,(%F), "j ud!!ackets$%9()*,' ") %&98( "! %H9 "i $%&,(%F), "j ic=!!ackets

BB 'i dis!ones de una -ed Hicrosoft fuera de tu cortafuegosI ta=biWn!uedesB :erte inundado !or =ultidifusiones P=ulticastsQ. /esecha=os estos!aYuetesB !ara no desbordar los registros.B

B$%9()*,' ") %&98( "i $%&,(%F), "d ##;.0.0.04 "j /-G9

BB -egistra !aYuetes extra`os Yue no concuerdan con lo anterior.B

$%9()*,' ") %&98( "= li=it ""li=it 5=inute ""li=it"burst 5 "j *GC 7""log"le:el /,8C ""log"!refix U%9( %&98( !acket diedE U

BB ;.1.6 adena FG-D)-/.B

BB 9aYuetes (9 incorrectos Yue no Yuere=os.B

$%9()*,' ") FG-D)-/ "! tc! "j badtc!!ackets

BB )ce!ta los !aYuetes Yue s Yuere=os reen:iar.B

$%9()*,' ") FG-D)-/ "i $*)&%F), "j ),9($%9()*,' ") FG-D)-/ "= state ""state ,'()*%'A,/I-,*)(,/ "j ),9(

BB -egistra !aYuetes extra`os Yue no concuerdan con lo anterior.B

$%9()*,' ") FG-D)-/ "= li=it ""li=it 5=inute ""li=it"burst 5 "j *GC 7""log"le:el /,8C ""log"!refix U%9( FG-D)-/ !acket diedE U

BB ;.1. adena G8(98(.B

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 198/202

BB 9aYuetes (9 incorrectos Yue no Yuere=os.B

$%9()*,' ") G8(98( "! tc! "j badtc!!ackets

BB -eglas es!eciales de la tabla G8(98( !ara decidir YuW %9s est\n!er=itidas.B

$%9()*,' ") G8(98( "! )** "s $*G%9 "j ),9($%9()*,' ") G8(98( "! )** "s $*)&%9 "j ),9($%9()*,' ") G8(98( "! )** "o $%&,(%F), "j ),9(

BB -egistra !aYuetes extra`os Yue no concuerdan con lo anterior.B

$%9()*,' ") G8(98( "= li=it ""li=it 5=inute ""li=it"burst 5 "j *GC 7""log"le:el /,8C ""log"!refix U%9( G8(98( !acket diedE U

BBBBBBB ;.# (abla &at.B

BB ;.#.1 ,stablece las !olticas.B

BB ;.#.# rea cadenas definidas !or el usuario.B

BB ;.#.5 rea contenido en las cadenas de usuario.B

BB ;.#.; adena 9-,-G8(%&C.B

BB ;.#.6 adena 9G'(-G8(%&C.B

if [ $999G,9H(8 22 UyesU ] Z then $%9()*,' "t nat ") 9G'(-G8(%&C "! tc! ""tc!"flags '&I-'( '& 7 "j (9H'' ""cla=!"=ss"to"!=tufi$%9()*,' "t nat ") 9G'(-G8(%&C "o $%&,(%F), "j H)'K8,-)/,

BB ;.#. adena G8(98(.B

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 199/202

BBBBBBB ;.5 (abla Hangle.B

BB ;.5.1 ,stablece las !olticas.B

BB ;.5.# rea cadenas definidas !or el usuario.B

BB ;.5.5 rea contenido en las cadenas de usuario.B

BB ;.5.; adena 9-,-G8(%&C.B

BB ;.5.6 adena %&98(.B

BB ;.5. adena FG-D)-/.B

BB ;.5. adena G8(98(.B

BB ;.5.4 adena 9G'(-G8(%&C.B 

=cri!t de e;em!lo rc.flus%i!tables

BTbinshBB rc.flush"i!tables " -einicia i!tables a sus :alores !or defecto.BB o!yright PQ #001 Gskar )ndreasson <blueflux)(koffein/G(net>BB ,ste !rogra=a es software libreZ !uedes redistribuirlo yo =odificarloB bajo los tWr=inos ex!resados en la UC&8 Ceneral 9ublic *icenseUI talco=oB lo !ublica la Free 'oftware FoundationZ :ersiXn # de la *icencia.BB ,ste !rogra=a se distribuye con el deseo de Yue sea ^tilI !eroB '%& &%&C8&) C)-)&()Z incluso sin garanta i=!lcita de GH9-)"?,&()B o )/,8)%_& ) 9-G9_'%(G 9)-(%8*)-. 9ara =\s detallesI referirse a laB C&8 Ceneral 9ublic *icense.

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 200/202

BB /eberas haber recibido una co!ia de la C&8 Ceneral 9ublic *icenseB junto a este !rogra=a o desde el sitio web de dXnde lo bajasteZB si no es asI escribe a la Free 'oftware FoundationI %nc.I 63 (e=!leB 9laceI 'uite 550I ostonI H) 0#111"150 8')

B

B onfiguraciones.B%9()*,'2Uusrsbini!tablesU

BB -einicia las !olticas !or defecto en la tabla Filter.B$%9()*,' "9 %&98( ),9($%9()*,' "9 FG-D)-/ ),9($%9()*,' "9 G8(98( ),9(

BB -einicia las !olticas !or defecto en la tabla &at.

B$%9()*,' "t nat "9 9-,-G8(%&C ),9($%9()*,' "t nat "9 9G'(-G8(%&C ),9($%9()*,' "t nat "9 G8(98( ),9(

BB -einicia las !olticas !or defecto en la tabla Hangle.B$%9()*,' "t =angle "9 9-,-G8(%&C ),9($%9()*,' "t =angle "9 G8(98( ),9(

BB ,li=ina todas las reglas de las tablas Filter y &at.B$%9()*,' "F$%9()*,' "t nat "F$%9()*,' "t =angle "FBB orra todas las cadenas Yue no :ienen !or defecto con lasB tablas Filter y &at.B$%9()*,' "$%9()*,' "t nat "$%9()*,' "t =angle " 

=cri!t de e;em!lo rc.testi!tables

BTbinbashBB rc.test"i!tables " 'cri!t de !rueba !ara las tablas y cadenas dei!tables.BB o!yright PQ #001 Gskar )ndreasson <blueflux)(koffein/G(net>

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 201/202

BB ,ste !rogra=a es software libreZ !uedes redistribuirlo yo =odificarloB bajo los tWr=inos ex!resados en la UC&8 Ceneral 9ublic *icenseUI talco=oB lo !ublica la Free 'oftware FoundationZ :ersiXn # de la *icencia.BB ,ste !rogra=a se distribuye con el deseo de Yue sea ^tilI !ero

B '%& &%&C8&) C)-)&()Z incluso sin garanta i=!lcita de GH9-)"?,&()B o )/,8)%_& ) 9-G9_'%(G 9)-(%8*)-. 9ara =\s detallesI referirse a laB C&8 Ceneral 9ublic *icense.BB /eberas haber recibido una co!ia de la C&8 Ceneral 9ublic *icenseB junto a este !rogra=a o desde el sitio web de dXnde lo bajasteZB si no es asI escribe a la Free 'oftware FoundationI %nc.I 63 (e=!leB 9laceI 'uite 550I ostonI H) 0#111"150 8')B

BB (abla FilterI todas las cadenas.B

i!tables "t filter ") %&98( "! ic=! ""ic=!"ty!e echo"reYuest 7"j *GC ""log"!refix2Ufilter %&98(EUi!tables "t filter ") %&98( "! ic=! ""ic=!"ty!e echo"re!ly 7"j *GC ""log"!refix2Ufilter %&98(EUi!tables "t filter ") G8(98( "! ic=! ""ic=!"ty!e echo"reYuest 7"j *GC ""log"!refix2Ufilter G8(98(EUi!tables "t filter ") G8(98( "! ic=! ""ic=!"ty!e echo"re!ly 7"j *GC ""log"!refix2Ufilter G8(98(EUi!tables "t filter ") FG-D)-/ "! ic=! ""ic=!"ty!e echo"reYuest 7"j *GC ""log"!refix2Ufilter FG-D)-/EUi!tables "t filter ") FG-D)-/ "! ic=! ""ic=!"ty!e echo"re!ly 7"j *GC ""log"!refix2Ufilter FG-D)-/EU

BB (abla &)(I todas las cadenas exce!to la G8(98(I Yue no funcionara.Bi!tables "t nat ") 9-,-G8(%&C "! ic=! ""ic=!"ty!e echo"reYuest 7"j *GC ""log"!refix2Unat 9-,-G8(%&CEUi!tables "t nat ") 9-,-G8(%&C "! ic=! ""ic=!"ty!e echo"re!ly 7"j *GC ""log"!refix2Unat 9-,-G8(%&CEUi!tables "t nat ") 9G'(-G8(%&C "! ic=! ""ic=!"ty!e echo"reYuest 7"j *GC ""log"!refix2Unat 9G'(-G8(%&CEUi!tables "t nat ") 9G'(-G8(%&C "! ic=! ""ic=!"ty!e echo"re!ly 7"j *GC ""log"!refix2Unat 9G'(-G8(%&CEUi!tables "t nat ") G8(98( "! ic=! ""ic=!"ty!e echo"reYuest 7"j *GC ""log"!refix2Unat G8(98(EUi!tables "t nat ") G8(98( "! ic=! ""ic=!"ty!e echo"re!ly 7

"j *GC ""log"!refix2Unat G8(98(EU

BB (abla HangleI todas las cadenas.Bi!tables "t =angle ") 9-,-G8(%&C "! ic=! ""ic=!"ty!e echo"reYuest 7"j *GC ""log"!refix2U=angle 9-,-G8(%&CEUi!tables "t =angle ") 9-,-G8(%&C "! ic=! ""ic=!"ty!e echo"re!ly 7"j *GC ""log"!refix2U=angle 9-,-G8(%&CEUi!tables "t =angle "% FG-D)-/ 1 "! ic=! ""ic=!"ty!e echo"reYuest 7

7/25/2019 Tutorial de IPtables 1.docx

http://slidepdf.com/reader/full/tutorial-de-iptables-1docx 202/202

"j *GC ""log"!refix2U=angle FG-D)-/EUi!tables "t =angle "% FG-D)-/ 1 "! ic=! ""ic=!"ty!e echo"re!ly 7"j *GC ""log"!refix2U=angle FG-D)-/EUi!tables "t =angle "% %&98( 1 "! ic=! ""ic=!"ty!e echo"reYuest 7"j *GC ""log"!refix2U=angle %&98(EUi!tables "t =angle "% %&98( 1 "! ic=! ""ic=!"ty!e echo"re!ly 7"j *GC ""log"!refix2U=angle %&98(EU

i!tables "t =angle ") G8(98( "! ic=! ""ic=!"ty!e echo"reYuest 7"j *GC ""log"!refix2U=angle G8(98(EUi!tables "t =angle ") G8(98( "! ic=! ""ic=!"ty!e echo"re!ly 7"j *GC ""log"!refix2U=angle G8(98(EUi!tables "t =angle "% 9G'(-G8(%&C 1 "! ic=! ""ic=!"ty!e echo"reYuest 7"j *GC ""log"!refix2U=angle 9G'(-G8(%&CEUi!tables "t =angle "% 9G'(-G8(%&C 1 "! ic=! ""ic=!"ty!e echo"re!ly 7"j *GC ""log"!refix2U=angle 9G'(-G8(%&CEU