PDF de programación - El COMO de ipchains e iptables

El "COMO" de ipchains e

iptables

Traducido por Francisco J. Sucunza

para www.cortafuegos.org

El "COMO" de ipchains e iptables: Traducido por Francisco J. Sucunza para
www.cortafuegos.org

Table of Contents

1. Introducción ...............................................................................................................8
1.1. ¿Qué? ................................................................................................................8
1.2. ¿Por qué?...........................................................................................................8
1.3. ¿Cómo? .............................................................................................................8
1.4. ¿Dónde? ............................................................................................................9
2. Fundamentos sobre el Filtrado de Paquetes..........................................................10
2.1. ¿Qué? ..............................................................................................................10
2.2. ¿Por qué?.........................................................................................................10
2.3. ¿Cómo? ...........................................................................................................11
2.3.1. Un núcleo con filtrado de paquetes......................................................12
2.3.2. ipchains ................................................................................................12
2.3.3. Hacer que las reglas sean permanentes................................................13

3. ¡Estoy confundido! Enrutamiento, enmascaramiento, port forwarding,

ipautofw.................................................................................................................15
4. La Guia de "tres lineas de Rusty" de Masquerading...........................................16
4.1. Publicidad Gratuita: Reglas WatchGuard. ......................................................16
4.2. Configuraciones comunes de cortafuegos.......................................................16
4.2.1. Red Privada: Proxies Tradicionales. ....................................................16
4.2.2. Red Privada: Proxies Transparentes.....................................................18
4.2.3. Red Privada: Enmascaramiento (Masquerading).................................19
4.2.4. Red Pública. .........................................................................................21
4.2.5. Servicios internos limitados.................................................................22
4.3. Más información de Masquerading ................................................................23
4.4. Cadenas de filtrado (IP firewalling chains). ....................................................23
4.5. Cómo atraviesan los filtros los paquetes.........................................................23
4.5.1. Usando ipchains ...................................................................................26
4.5.2. Qué verás cuando enciendas el ordenador. ..........................................27
4.5.3. Operaciones en una sola regla..............................................................27
4.5.4. Especificaciones de filtrado..................................................................29
4.5.4.1. Especificando direcciones IP orígen y destino..........................29

3

4.5.4.2. Especificando Inversión (negaciones).......................................30
4.5.4.3. Especificando Protocolo............................................................30
4.5.4.3.1. Especificando puertos UDP y TCP. ...............................30
4.5.4.3.2. Especificando ICMP tipo & código. ..............................31
4.5.4.4. Especificando una interfaz. .......................................................32
4.5.4.5. Especificando sólo paquetes SYN TCP.....................................32
4.5.4.6. Manejando Fragmentos.............................................................33
4.5.5. Efectos secundarios del filtrado. ..........................................................34
4.5.5.1. Especificando un objetivo. ........................................................35
4.5.5.2. "logeando" paquetes..................................................................38
4.5.5.3. Manipulando el Tipo de servicio (Type Of Service).................40
4.5.5.4. Marcando un paquete. (no es mi culpa que suene así)..............41
4.5.5.5. Operaciones en una cadena entera. ...........................................41
4.5.5.6. Crear una nueva cadena. ...........................................................42
4.5.5.7. Borrar una cadena. ....................................................................42
4.5.5.8. Vaciar una cadena. ....................................................................42
4.5.5.9. Listar una cadena. .....................................................................43
4.5.5.10. Restablecimiento (poniendo a cero) de los contadores...........44
4.5.5.11. Estableciendo la Política. ........................................................45
4.5.6. Operaciones en Enmascaramiento. ......................................................45
4.5.7. Verificar un paquete. ............................................................................46
4.5.8. Multiples reglas de una vez y ver lo que pasa......................................47
4.6. Ejemplos útiles................................................................................................48
4.6.1. Usando.ipchains-save...........................................................................50
4.6.2. Usando.ipchains-restore.......................................................................51
5. Miscelánea. ...............................................................................................................53
5.1. Cómo organizar sus reglas del cortafuegos.....................................................53
5.2. Qué no se filtra................................................................................................53
5.2.1. Paquetes de ICMP. ...............................................................................54
5.2.2. Conexiones TCP a DNS.(servidor de nombres) ..................................54
5.2.3. Pesadillas de FTP. ................................................................................55
5.3. Filtrando el Ping de la Muerte. .......................................................................55
5.4. Filtrando Teardrop y Bonk..............................................................................56

4

5.5. Filtrando Bombas de Fragmento.....................................................................56
5.6. Cambiando las reglas del cortafuegos.............................................................56
5.7. ¿ Cómo activo la protección de IP spoof?.......................................................57
5.8. Proyectos avanzados. ......................................................................................59
5.8.1. SPF: Stateful Packet Filtering ..............................................................59
5.8.2. ftp-data hack de Michael Hasenstein’s. ...............................................60
5.9. Perfeccionamientos futuros.............................................................................60
6. Problemas comúnes. ................................................................................................62
6.1. ipchains -L se atasca!......................................................................................62
6.2. La inversión no funciona.................................................................................62
6.3. Masquerading/forwarding no funciona! .........................................................62
6.4. ¡-j REDIR no funciona! ..................................................................................62
6.5. No funcionan los comodines de Interfaces !...................................................63
6.6. TOS no funciona!............................................................................................63
6.7. ipautofw e ipportfw y no funcionan! ..............................................................63
6.8. xosview está roto! ...........................................................................................64
6.9. Segmentation fault con -j REDIRECT ...........................................................64
6.10. No puedo poner timeouts en enmascaramiento!...........................................64
6.11. Quiero un cortafuegos IPX ! .........................................................................64
7. Un ejemplo serio.......................................................................................................66
7.1. La situación.....................................................................................................66
7.2. Objetivos .........................................................................................................67
7.3. Antes de filtrar paquetes..................................................................................69
7.4. Packet Filtering for Through Packets..............................................................70
7.4.1. Configurar los saltos (JUMPS) en la cadena forward..........................70
7.4.2. Definir la cadena icmp-acc...................................................................71
7.4.3. Good (Interna) a DMZ (Servidores) ....................................................71
7.4.4. Bad (red externa) a DMZ (servidores).................................................72
7.4.5. Good (internal) to Bad (external).........................................................73
7.4.6. DMZ a Good (interna). ........................................................................74
7.4.7. DMZ a bad (externa)............................................................................75
7.4.8. Bad (externa) a Good (interna). .............