Comandos, Parámetros y Acciones de Iptables

22 febrero, 2013
admin

Como hacíamos referencia más arriba, dentro de las tablas hay cadenas a su vez vez formadas por agrupaciones de reglas. Es importante ver que cada tabla tiene cadenas por defecto, que no se pueden eliminar.

A las CADENAS por defecto podemos unir cadenas creadas por nosotros mismos para un mejor funcionamiento del filtrado o el enrutamiento.

El comando IPTABLES tiene a su vez parámetros y comandos que permitirán definir el comportamiento de una o varias reglas. Esto es, agregar una regla, modificar una regla existente, eliminar el nombre de una cadena

Comandos

Describimos algunos de los comandos más comunes:

  • -A Agregar nueva regla a la cadena especificada.
  • -I Insertar nueva regla antes de la regla número_regla(rulenum) en la cadena especificada de acuerdo a los parámetros sometida.
  • -R Reemplazar la regla (rulenum) en la cadena especificada.
  • -E Modifica el nombre de la cadena.
  • [nombre-anterior-cadena por nombre-nueva-cadena]
  • -L Listado de reglas de la cadena especificada. Si no se determina una
    cadena en particular, listará todas las cadenas existentes.
  • -N Crear nueva cadena asociándola a un nombre.
  • -P Modifica la acción por defecto de la cadena preseleccionada.
  • -D Eliminar la regla_número(rulenum) en la cadena seleccionada.
  • -Z Pone los contadores de paquetes y bytes a cero en la cadena seleccionada. De no poner seleccionar una cadena, pondrá a cero todos los contadores de
    todas las reglas en todas cadenas.

*Para ver el resto de comandos utilizar el comando: man iptables

Parámetros

Todas las reglas en iptables tienen definida su condición por los parámetros, que constituyen su parte primordial.

Algunos de estos parámetros son:

 

  • -i Interfaz de entrada (eth0,eth1,eth2…)
  • -o Interfaz de salida (eth0,eth1,eth2…)
  • –sport Puerto de origen
  • –dport Puerto destino
  • -p El protocolo del paquete a comprobar, tcp, udp, icmp ó all. Por defecto es all
  • -j Esto especifica el objetivo de la cadena de reglas, o sea una acción
  • –line-numbers Cuando listamos las reglas, agrega el número que ocupa cada regla dentro de la cadena
*Para ver el resto de comandos utilizar el comando: man iptables

Acciones

Y finalmente, las ACCIONES que estarán siempre al final de cada regla que determinará que hacer con los paquetes afectados. Si no se especifica ninguna acción, se ejecutará la opción por defecto que cada cadena tiene asignada. Las acciones serían:

 

  • ACCEPT Paquete aceptado.
  • REJECT Paquete rechazado. Se envía notificación a través del protocolo ICMP.
  • DROP Paquete rechazado. Sin notificación
  • MASQUERADE Enmascaramiento de la dirección IP origen de forma dinámica.Esta acción es sólo válida en la tabla NAT en la cadena postrouting.
  • DNAT Enmascaramiento de la dirección destino, muy conveniente para re-enrutado de paquetes.
  • SNAT enmascaramiento de la IP origen de forma similar a masquerade, pero con IP fija.

Nota: Cuidado con el orden en el cual disponemos las reglas.
IPTABLES LEE DE MANERA SECUENCIAL LAS CADENAS DE REGLAS.
Es decir, comienza por la primera y verifica que se cumpla la condición y
la ejecuta sin verificar las siguientes.
Por consiguiente, si la primera regla en la tabla filter de la cadena
input es rechazar cualquier paquete,las siguientes reglas no serán verificadas,
y se rechazará cualquier paquete.

La sintaxis de una regla basicamente sería:

iptables -t tabla tipo_operación cadena regla_con_parámetros Acción

Por ejemplo:

iptables -t filter -A INPUT -p tcp -dport 23 -j DROP

La cadena nos dice:
Que en la tabla filter, la cadena input filtra los paquetes con protocolo tcp que entran por el puerto 23 (puerto asignado a telnet) y éstos son rechazados (DROP) sin ninguna notificación.

Podríamos escribir lo mismo de otra forma,por ejemplo quitando “-t filter”, ya que es la tabla por defecto, además podemos cambiar el número de puerto por”telnet” que en realidad es su puerto asignado.

Sin comentarios

You must be logged in to post a comment.
CONTENIDO PATROCINADO POR

FPla Informatica

Diseño web y Marketing digital
Disponga de una página web o un comercio electrónico de alta calidad a precios muy competitivos.
ACCEDER A FPLA INFORMATICA