FIREWALL CON IPTABLES EN LINUX IPTABLES

iptables es un conjunto de herramientas (comandos) que le permiten al usuario enviar mensajes al kernel del s.o.. El kernel tiene todo el manejo de paquetes TCP/IP metido dentro de l, no es algo aparte como lo es en otros sistemas operativos, por lo tanto todos los paquetes que van destinados a un Linux o lo atraviesan son manejados por el mismo kernel. Entonces, iptables es una forma de indicarle al kernel algunas cosas que debe hacer con cada paquete, esto se hace en base a las caractersticas de un paquete en particular. Los paquetes de red tienen muchas caractersticas, algunas pueden ser los valores que tienen en sus encabezados (a donde se dirigen, de donde vienen, nmeros de puertos, etc., etc.), otra puede ser el contenido de dicho paquete (la parte de datos). Es una herramienta de cortafuegos que permite no solamente filtrar paquetes, sino tambin realizar traduccin de direcciones de red (NAT) para IPv4. Iptables es el nombre de la herramienta de espacio de usuario mediante la cual el administrador puede definir polticas de filtrado del trfico que circula por la red. Iptables est basado en el uso de TABLAS dentro de las tablas, CADENAS, formadas por agrupacin de REGLAS, parmetros que relativizan las reglas y finalmente una ACCION, que es la encargada de decir qu destino tiene el paquete. TABLAS

COMANDOS IPTABLES

PARAMETROS

Acciones
Que estarn siempre al final de cada regla que determinar qu hacer con los paquetes afectados. Si no se especifica ninguna accin, se ejecutar la opcin por defecto que cada cadena tiene asignada. Las acciones seran:

ACCEPT---> Paquete aceptado. REJECT---> Paquete rechazado. Se enva notificacin a travs del protocolo ICMP. DROP---> Paquete rechazado. Sin notificacin MASQUERADE--->Enmascaramiento de la direccin IP origen de forma dinmica.Esta accin es slo vlida en la tabla NAT en la cadena postrouting. DNAT---> Enmascaramiento de la direccin destino, muy conveniente para re-enrutado de paquetes. SNAT---> enmascaramiento de la IP origen de forma similar a masquerade, pero con IP fija.

Modelo de Cadena de Reglas

La estructura o el esqueleto de una regla bsicamente sera:

Qu nos dice esta cadena de reglas? Que en la tabla filter, la cadena input filtra los paquetes con protocolo tcp que entran por el puerto 23 (puerto asignado a telnet) y stos son rechazados (DROP) sin ninguna notificacin.

Figura cuando un paquete u otra comunicacin llega al kernel con iptables se sigue este camino Como se ve en el grfico, bsicamente se mira si el paquete esta destinado a la propia maquina o si va a otra. Para los paquetes (o datagramas, segn el protocolo) que van a la propia maquina se aplican las reglas INPUT y OUTPUT, y para filtrar paquetes que van a otras redes o maquinas se aplican simplemente reglas FORWARD. INPUT,OUTPUT y FORWARD son los tres tipos de reglas de filtrado. Pero antes de aplicar esas reglas es posible aplicar reglas de NAT: estas se usan para hacer redirecciones de puertos o cambios en las IPs de origen y destino. Por tanto tenemos tres tipos de reglas en iptables: MANGLE NAT: reglas PREROUTING, POSTROUTING FILTER: reglas INPUT, OUTPUT, FORWARD.