Configuración básica de Iptables
IPtables es una herramienta a ése realiza la filtración de paquete en núcleo del linux 2.4. Es un reemplazo para los ipchains en
las versiones previas. Los datos enteros transferidos a través de redes están en la forma de paquetes. Los jefes de los paquetes nos dan la información que se requiere para hacer decisiones de la encaminamiento y otros detalles administrativos. Los datos reales se están transfiriendo que pertenecen al cuerpo. Para filtrar los paquetes, su jefe se examina y se toman medidas apropiadas.
¿La pregunta entonces se presenta porqué lo hacemos necesitamos examinar el jefe y filtrar los paquetes? La razón más importante sería realza la seguridad de la red. Por ejemplo puede ser que queramos proteger nuestro sistema contra forasteros malévolos. Otra razón es nosotros pudo querer restringir o controlar el uso del recurso que pertenece a nuestra red. Por ejemplo puede ser que queramos permitir que solamente el ammount limitado del tráfico pase a través.
Formato básico
Tablas
La primera opción es tabla. Hay tres clases de tablas es decir nacionales, de rodillo y de filtro.
Nacional: Esta tabla se utiliza para la conversión de dirección de red. Hay tres cadenas PREROUTING, SALIDA y POSTROUTING. La cadena de Prerouting se utiliza para alterar los paquetes tan pronto como entren en el cortafuego. La cadena de la salida se utiliza para alterar los paquetes localmente generados. Y la cadena postrouting se utiliza para alterar los paquetes mientras que están saliendo del cortafuego
Rodillo: Esta tabla se utiliza para destrozar los paquetes y tiene dos cadenas del defecto. Esta tabla no debe ser utilizada al paquete del filtro o hacer ninguna conversión de dirección. Las dos cadenas del defecto son PREROUTING y SALIDA. Como con prerouting en tabla nacional aquí también se utiliza para destrozar los paquetes mientras que entran en el cortafuego. Y la salida se utiliza para destrozar los paquetes que se generan localmente. Esta tabla cambia diversos paquetes y cómo aparecen sus jefes. Por ejemplo TTL o TOS.
Filtro: Esto se utiliza para filtrar realmente los paquetes y si la opción de las tablas entonces no se especifica el comando se aplica a esto las tablas. Hay tres clases de cadenas la ENTRADA, la SALIDA y el DELANTERO. La cadena de la entrada se utiliza en los paquetes que son destinados para el anfitrión local. La salida como en los casos antedichos se utiliza en los paquetes localmente generados. Y adelante se utiliza en el resto de las cadenas. Medidas que pueden ser tomadas son GOTA, REGISTRO, ACEPTAN o RECHAZAN en cada cadena.
Comando
| - A, - añada |
| iptables - UNA ENTRADA… |
| Esto el comando añade en el extremo de la cadena. |
| - D - cancelación |
| iptables - - Dport 80 - GOTA ENTRADA D de j |
| iptables - D ENTRÓ 1 |
| Allí son dos maneras de suprimir una regla en una cadena. el primer es especificar la regla que se suprimirá como en el primer ejemplo. O el segundo está a especifique el número de la regla como en el segundo ejemplo. |
| - R - substituya |
| iptables iptables - R ENTRE 1 - s 192.168.0.1 - GOTA de j |
| Esto se utiliza para substituir las viejas entradas en una línea específica. |
| - I - parte movible |
| iptables - I ENTRÓ 1 - el dport 80 - j ACEPTA |
| Esto inserta la regla en la localización especificada. |
| - L - lista |
| iptables - L ENTRADA |
| Esto se utiliza el comando de enumerar las reglas en cadena o tabla especificada. |
| - F - rasante |
| iptables - ENTRADA DE F |
| Esto limpia todas las reglas con un chorro de agua en la cadena o la tabla especificada. Es equivalente a suprimir todas las reglas inmediatamente. |
| - N - nuevo-cadena |
| iptables - givenName de N |
| Esto agrega una nueva cadena en la tabla especificada con el “givenName”. |
| - X - suprimir-cadena |
| iptables - givenName de X |
| Esto se utiliza para suprimir la cadena entera junto con las reglas en ella. |
| - P - política |
| iptables - GOTA DE LA ENTRADA DE P |
| Esto fija la política del defecto para la cadena específica. Esto se aplica a todos los paquetes que no emparejan ninguna regla en la cadena. |
Fósforo
Esto se utiliza como a módulo que empareja del paquete extendido. Hay dos opciones que son - p (- protocolo usado) o - m (- el fósforo) que son seguidos por más opciones. La opción del protocolo que puede ser emparejada es tcp, UDP e ICMP. Las opciones del fósforo son la marca, el límite, el dueño, TTL, TOS, el estado etc. Los tres importantes son una vez TTL, TOS y estado. la TTL y la TOS son uno mismo-explainatory. La opción del estado dice qué estado del paquete debe ser emparejado con la regla. Hay cuatro estados INVÁLIDOS, ESTABLECIDO, NUEVO y RELACIONADO. Los siguientes son un cierto ejemplo del uso del fósforo:
los iptables - UNA ENTRADA - estado de m - indique RELACIONADO, ESTABLECIDO
iptables - UNA SALIDA - m TTL - TTL 60
iptables - UNA ENTRADA - p tcp - blanco/salto del dport 22
Cuando las reglas en una cadena exmained y no hay towhich de la regla que el paquete empareja entonces la opción de la blanco se pone en la acción. Las opciones se permiten que son ACEPTAN, CAEN, HACEN COLA o VUELVEN. La blanco se utiliza con - P. La opción del salto es igual que la blanco él especifica la blanco de la regla si el paquete empareja la regla.
Archivo de configuración
La localización del archivo de configuración se especifica en la escritura de lanzamiento /etc/rc.d/init.d/iptables. Este archivo de configuración es leído por los iptables cuando comienza. Tan para hacer permanente de los cambios nos tenemos que corregir este archivo. Al menos hay una opción en el comienzo encima save de la escritura el 'que ahorra los cambios realizados a este archivo sin tener que manualmente corregirlo. Tan después de fijar todas las reglas funcionan con el comando siguiente:
/etc/rc.d/init.d/iptables excepto la localización real de este archivo es /etc/sysconfig/iptables.
