Práctica Nº2.-Seguridad Perimetral. Diseño de Firewalls. Iptables y Zentyal
2.3.- Filtrado de paquetes mediante iptables: FILTER. Ipables, como va a poder probarse, es un perfecto firewall que es capaz de filtar los paquetes TCP/IP en función de las reglas que se le hayan programado. Con la finalidad de facilitar su configuración, iptables cuenta con tres tablas o listas de reglas correspondientes a los tres tipos de filtrado que puede llevar a cabo: INPUT, OUTPUT o FORWARD. En concreto, los paquetes TCP/IP manipulados por el equipo firewall podríamos clasificarlos de la siguiente manera: 1. INPUT: Paquetes TCP/IP que vayan destinados al propio equipo firewall. Es decir, en la cabecera de estos paquetes debe figurar la dirección ip del firewall como dirección ip de destino. 2. OUTPUT: Paquetes TCP/IP generados por el propio equipo firewall. Es decir, en la cabecera de estos paquetes debe figurar la dirección ip del firewall como dirección ip de origen. 3. FORWARD: Paquetes TCP/IP que atraviesan al equipo firewall. Es decir, en la cabecera de estos paquetes deben figurar como direcciones ip de origen y destino que no se corresponden con las del equipo firewall.
De una manera general, a modo de ejemplo, la sintaxis del comando iptables que sería necesario ejecutar para agregar (-A, add) una nueva regla de filtrado sería la siguiente: [root@linux] # iptables -t filter -A [INPUT|OUTPUT|FORWARD] \ [ -i 'interfaz de red de entrada ] [ -o 'interfaz de red de salida' ] \ [ -s 'dirección ip de origen' ] [ -d 'dirección ip de destino' ] \ [ -p tcp|udp|icmp ] [ --dport 'puerto de destino' ] [ --sport 'puerto de origen' ] \ [ -j ACCEPT|DROP|REJECT ] ¡¡Observación!! Al filtrar paquetes TCP/IP mediante iptables se nos permite tomar una decisión entre tres posibles: (1) ACCEPT: Aceptará todos aquellos paquetes a los que hagan referencia los parámetros especificados.
Seguridad Informática y Alta Disponibilidad – amartinromero@gmail.com 43
