PDF de programación - Filtrado de paquetes y QoS

Filtrado de paquetes y QoS

Joan Fuster Monzó

Universidad Politécnica de Valencia

[email protected]

Filtrado de paquetes y QoS
por Joan Fuster Monzó

Copyright © 2004 Joan Fuster Monzó

Este manual pretende ser una guía práctica sobre firewalls en GNU/Linux, y sobre cómo implementarlos en cada
caso a través de Netfilter/Iptables.

Por otra parte se tratará de una manera pragmática las posibilidades de QoS que nos ofrece Linux, y que
podremos explotar con Iptables/Iproute2.

Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2
or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts.
A copy of the license is included in the section entitled "GNU Free Documentation License".

Tabla de contenidos

1. Introducción ....................................................................................................................................................... 1
1.1. La solución: Netfilter/Iptables................................................................................................................. 1
1.2. Términos usados...................................................................................................................................... 1
1.3. Arquitecturas de Firewall ........................................................................................................................ 2
1.3.1. Screening Router ........................................................................................................................ 3
1.3.2. Dual Homed-Host....................................................................................................................... 3
1.3.3. Screened Host ............................................................................................................................. 3
1.3.4. Screened Subnet: DMZ............................................................................................................... 3
2. Configuración del kernel ................................................................................................................................... 5
3. Iptables................................................................................................................................................................ 7
3.1. La tabla filter ........................................................................................................................................... 7
3.2. La tabla nat .............................................................................................................................................. 8
3.3. La tabla mangle ....................................................................................................................................... 8
3.4. Parámetros ............................................................................................................................................... 9
3.5. Extensiones de coincidencias .................................................................................................................. 9
3.6. Extensiones de objetivo........................................................................................................................... 9
3.7. Manejo de las reglas .............................................................................................................................. 13
4. Configuración de Firewalls ............................................................................................................................. 15
4.1. Configuraciones básicas ........................................................................................................................ 15
4.1.1. Ejemplo 1.................................................................................................................................. 15
4.1.2. Ejemplo 2.................................................................................................................................. 16
4.2. Configuraciones medias ........................................................................................................................ 17
4.2.1. Ejemplo 3.................................................................................................................................. 18
4.2.2. Ejemplo 4.................................................................................................................................. 19
4.3. Configuraciones avanzadas ................................................................................................................... 22
4.3.1. Ejemplo 5.................................................................................................................................. 22
4.3.2. Ejemplo 6.................................................................................................................................. 24
5. QoS .................................................................................................................................................................... 29
5.1. Introducción .......................................................................................................................................... 29
5.1.1. Disciplinas de colas simple....................................................................................................... 29
5.1.2. Disciplinas de colas con clase................................................................................................... 30
5.1.3. Filtros........................................................................................................................................ 30
5.2. Reserva de ancho de banda según protocolo......................................................................................... 31
5.3. Reserva de ancho de banda por IP......................................................................................................... 33
5.4. IMQ ....................................................................................................................................................... 35
5.4.1. Configuración ........................................................................................................................... 36
5.5. Automatización al inicio ....................................................................................................................... 38
A. Monitorización ................................................................................................................................................ 41
B. Patch-o-Matic .................................................................................................................................................. 47
C. GNU Free Documentation License................................................................................................................ 51
C.1. PREAMBLE......................................................................................................................................... 51
C.2. APPLICABILITY AND DEFINITIONS............................................................................................. 51
C.3. VERBATIM COPYING ....................................................................................................................... 52
C.4. COPYING IN QUANTITY.................................................................................................................. 53
C.5. MODIFICATIONS ............................................................................................................................... 53
C.6. COMBINING DOCUMENTS ............................................................................................................. 54
C.7. COLLECTIONS OF DOCUMENTS................................................................................................... 55
C.8. AGGREGATION WITH INDEPENDENT WORKS .......................................................................... 55

iii

C.9. TRANSLATION................................................................................................................................... 55
C.10. TERMINATION ................................................................................................................................. 56
C.11. FUTURE REVISIONS OF THIS LICENSE ..................................................................................... 56
C.12. ADDENDUM: How to use this License for your documents ............................................................ 56
Bibliografía ........................................................................................................................................................... 58

iv

Capítulo 1. Introducción

A dia de hoy, Internet es una red insegura. El número de intrusiones no deseadas cada vez es mayor, y si
queremos evitar la fuga/alteración de datos, se hace necesario el uso de un firewall (sobretodo si usamos
Windows).

¿Pero qué es un firewall?, básicamente un elemento que conecta dos o más redes y que analiza todo el tráfico que
pasa por él. El firewall tendrá definidas unas reglas que se aplicarán a todos los paquetes, y según las cumplan o
no, serán aceptados o rechazados.

1.1. La solución: Netfilter/Iptables

Linux nos ofrece como solución al filtrado de paquetes, Netfilter y iptables.

Nota: Netfilter se integra en los kernels 2.4 y 2.6 junto con iptables.En las series 2.2 se utiliza ipchains y el
las series 2.0 ipfwadm.

Toda la gestión de paquetes la lleva el kernel, y Netfilter es el encargado de aplicar las reglas de filtrado que
previemente le habremos definido con iptables. En resumen, diremos que Netfilter es la parte del kernel
encargada de filtrar tráfico, y iptables la herramienta con la que configuraremos Netfilter.

Para entender en funcionamiento de iptables prime