Miedo a IPTABLES

La mayoria de los usuarios que recien se está iniciando en linux y quiere hacer uso del firewall tiende a usar asistentes gráficos, ya que IPTABLES a simple vista parece demasiado complicado, esto es debido a que las reglas hay que meterlas en modo consola y hay que saber aplicarlas. De los asistentes gráficos que he visto, ninguno aprovecha bien el verdadero poder que IPTABLES tiene.

Hay bastantes manuales y tutoriales en internet para aprender a usar IPTABLES, pero la mayoria viene hecho y solo explica la regla completa.

Si quieren montar un filtro con IPTABLES en una maquina casera, pueden hacer lo siguiente:

(No explicaré el detalle de cada regla, ya que lo haré mas adelante en otro topico)

Paso 1º Creamos un archivo donde Escribiremos las reglas:


#!/bin/sh
iptables -F
# Reglas de Entrada
#Solo permitiremos trafico hacia nuestro PC desde los puertos
#1024 hacia arriba

iptables -A INPUT -d tcp --dport 1024:65535 -j ACCEPT
iptables -A INPUT -d udp --dport 1024:65535 -j ACCEPT
#Permitiremos el trafico entrante DNS, importante para
#resolver URL'S y navegar
iptables -A INPUT -d tcp --dport 53 -j ACCEPT
iptables -A INPUT -d udp --dport 53 -j ACCEPT
# Cualquiera otra que quieran habilitar debe ser agregado antes de RDT

# RDT = Regla de denegacion total (Todo lo que no coincida con
#las reglas anteriores será rechazado).

iptables -A INPUT -j DROP

#Reglas Salientes
#Con esto deberiamos poder ir a cualquier lugar sin problemas
iptables -A OUTPUT -d tcp --dport 1:65535 -j ACCEPT
iptables -A OUTPUT -d udp --dport 1:65535 -j ACCEPT

Asi de simple, guarden el archivo como iptables.sh y ejecutenlo con permisos de super usuario

sh iptables.sh

Ahoran en la consola podrán ver las reglas cargadas con el comando iptables -L o iptables -L -n

Prueben como anda el filtro y de estar todo OK, copienlo (en el caso de debian o ubuntu) en el directorio /etc/init.d/ y lo hacen arrancar al inicion con una herramienta como sysvconfig XD .

Con eso ya deben tener las reglas cargadas desde el inicio. Si algo anda mal con el firewall, la forma de borrar las reglas y dejar el firewall muerto es
iptables -F

NOTA. Las reglas se aplican en forma descendente, si se encuentra una coinsidencia en una de las reglas, inmediatamente se aplicará la accion ACCEPT o DROP (Rechazar en forma silenciosa). REJECT tambien puede ser usadoo como acción de rechazo, pero a diferencia de DROP, REJECT envia un mensaje ICMP al origen, que dice “Destino Inalcanzable”

Simple y Bonito XD

4
Leave a Reply

avatar
4 Comment threads
0 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
3 Comment authors
PabligenoRodrigo Zamora Nelsonghostdog Recent comment authors

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Subscribe  
Notify of
Pabligeno
Guest

es parecido a access-list y wea?

ghostdog
Guest
ghostdog

Esta bueno el script pero que pasa si quiero compartir internet con un segundo adaptador o tengo un servidor ltsp? Cual es tu opinion de firestarter?