Gustavo Sied > Sin categoría > IPTABLES
IPTABLES
Gustavo
5 febrero, 2014
trbidi=»on»>
raíz se utilizan para permitir y restringir el acceso:
- IPTABLES
- TCP / ENVOLTURA
a) Permitir />
- SELINUX
iptables:
Interruptores utilizados en IPTABLES:
| -A |
Append regla a la cadena input |
-I |
regla de inserción superior a la cadena INPUT |
-D |
Eliminar la regla de la cadena INPUT |
-F |
Flush |
-s |
Dirección de Origen (tráfico procedente de esta IP). Sustituya con la dirección IP del equipo cliente. |
-d |
Dirección Destino (El tráfico que va a esta IP). Sustituir con el IP de este servidor. |
-p |
Protocolo. Especificación de tráfico que es TCP / UDP. |
«66» – dport |
Destino Número de puerto |
-j |
Jump. Si todo en esta regla coincide entonces ‘jump’ ACEPTAR |
Acción:
| ACEPTAR |
Tráfico es aceptado para entrega. |
REJECT |
Tráfico es rechazada, el envío de un paquete de vuelta al servidor que envía. |
DROP |
El tráfico se ha caído. No se envía nada de vuelta al servidor que envía. |
Nota: Hay que tener mucho cuidado al anexar reglas a las iptables. Por ejemplo, si su primera regla es negar todo, entonces no importa lo que usted permite específicamente, se negó
Ejemplo:.
1. Para permitir a un PC (10.0.0.100) para acceder a Telnet Server (10.0.0.111), Ejecutar comando siguiente:
[root @ wtuto ~] # iptables-A 192.168.1.100-d 10.0.0.111-p tcp ENTRADA-s – dport 23-j ACCEPT
:. Número de puerto de telnet es 23
Ahora que tenemos nuestros principios básicos establecidos en el lugar, vamos a ver qué iptables listas para nuestros conjuntos de reglas:
[root @ wtuto ~] # iptables – list
Chain INPUT (política ACCEPT)
origen destino opt prot objetivo
ACCEPT tcp – 192.168. dpt 1.10 10.1.15.1 tcp: ssh
ACEPTAR todo – en cualquier lugar en cualquier parte del Estado, establecidos
Cadena FORWARD (política ACCEPT)
origen destino opt prot objetivo
ACEPTAR todo – en cualquier lugar en cualquier parte del Estado, establecidos
SALIDA Chain (política ACCEPT)
target origen destino opt prot
ACEPTAR todo – en cualquier lugar en cualquier parte del estado NUEVO,, establecidos
Desde aquí se puede añadir de lo que las reglas que desee. Si está ejecutando un servidor web básico, es probable que tengas algo similar a:
inividual rechaza PRIMERO:
CHICOS MALOS (bloque de direcciones IP de origen):
[ root @ wtuto ~] # iptables-A INPUT-s 172.34.5.8-j DROP
NO SPAMMERS (observe el uso de FQDN):
[root @ wtuto ~] # iptables-A INPUT-s mail.spamsite.com-d 10.1.15.1 – p tcp – dport 25-j REJECT
A continuación, abra IT UP:
MYSQL />
[root @ wtuto ~] # iptables A INPUT-s 172.50.3.45-d 10.1.15.1-p tcp – dport 3306-j ACCEPT
SSH:
[root @ wtuto ~] # iptables-A INPUT-d 10.1.15.1-p tcp – dport 22-j ACCEPT
Sendmail / Postfix:
[root @ wtuto ~] # iptables-A INPUT-d 10.1.15.1-p tcp – dport 25-j ACCEPT
FTP /> [root @ wtuto ~] # iptables-A INPUT-d 10.1.15.1-p tcp – dport 20:21-j ACCEPT
Pasivas Puertos FTP Quizás : (De nuevo, especificando los puertos 50000 a través de 50.050 en una regla):
[root @ wtuto ~] # iptables -A INPUT-d 10.1.15.1-p tcp – dport 50000:50050-j ACCEPT
HTTP / Apache
[root @ wtuto ~] # iptables-A INPUT-d 10.1.15.1-p tcp – dport 80-j ACCEPT
SSL / Apache
[root @ wtuto ~] # iptables-A INPUT-d 10.1.15.1-p tcp – dport 443-j ACCEPT
IMAP
[root @ wtuto ~] # iptables-A INPUT-d 10.1.15.1-p tcp – dport 143-j ACCEPT
IMAPS
[root @ wtuto ~] # iptables-A INPUT-d 10.1.15.1-p tcp – dport 993-j ACCEPT
POP3
[root @ wtuto ~] # iptables-A INPUT-d 10.1.15.1-p tcp – dport 110-j ACCEPT
POP3S
[root @ wtuto ~] # iptables-A INPUT-d 10.1.15.1-p tcp – dport 995 – j ACCEPT
Cualquier tráfico de localhost:
[root @ wtuto ~] # iptables-A INPUT-d 10.1.15.1-s 127.0.0.1-j ACCEPT
ICMP / Ping:
[root @ wtuto ~ ] # iptables-A INPUT-d-p icmp 10.1.15.1-j ACCEPT
GLOBAL RECHAZA ÚLTIMO:
————————————————————————————————————————————————————————————
Rechazar todo lo demás para que la propiedad intelectual:
[root @ wtuto ~] # iptables-A INPUT-d 10.1.15.1-j REJECT
O, rechazan todo lo demás que viene a través de cualquier IP:
[root @ wtuto ~] # iptables-A INPUT-j REJECT
[root @ wtuto ~] # iptables-A FORWARD-j REJECT
————————————————————————————————————————————————————————————
Aviso que hacemos los rechazan líneas globales duran! Estos deben ser el último
Para guardar sus reglas activas se ejecutan los siguientes:.
[root @ wtuto ~ ] # / etc / init.d / iptables ahorrar
Este comando anterior guardará sus normas a ‘/ etc / sysconfig / iptables.
Al iniciar iptables, las reglas se leen de ‘/ etc / sysconfig / iptables’:
[root @ wtuto ~] # / etc / init.d / iptables empezar
iptables partir [OK]
Y cuando deje de iptables, todas las reglas se vacían:
[root @ wtuto ~] #a10487;»> style=»color: # Detener iptables [OK]
Manual Guardar y Restaurar:
También puede utilizar manualmente las utilidades iptables-save e iptables-restore así:
Guarde las reglas a un archivos:
[root @ wtuto ~] # iptables-save> / root / iptables-save.out
Restaurar la reglas:
[root @ wtuto ~] # iptables-restore-c / root / iptables-save.out
La-c le indica a iptables-restore que este es el archivo se ha creado usando iptables-save
Estado de paquetes:
- NUEVO: Servidor1 conecta al servidor 2 la emisión de un SYN (Sincronizar) paquetes.
- relacionados: Server 2 recibe el paquete SYN y, a continuación, responde con un SYN-ACK (Acuse Sincronizar) paquetes.
- ESTABLECIDO: Server 1 recibe el paquete SYN-ACK y luego responde con el final ACK (reconocimiento) de paquetes.
Después de este 3 way handshake se completa, el tráfico se ha establecido. Para que este tipo de comunicación TCP, algo parecido a estas tres reglas son necesarias:
[root @ wtuto ~] # iptables-A INPUT-m state – state RELACIONADOS,-j ACCEPT ESTABLECIDO
[root @ wtuto ~] # iptables-A FORWARD-i eth0-m state – state RELACIONADOS,-j ACCEPT ESTABLECIDO
[root @ wtuto ~] # iptables-A OUTPUT -m state – state NEW, RELACIONADOS,-j ACCEPT ESTABLECIDO
La última regla, obviamente, permite que cualquier tráfico al dejar el servidor.
