Firewall iptables de linux

Ejemplos de reglas y algunas notas

2009-09-23T13:38:00.000-07:00

I usually write the rules in a script file and then execute the file. This allows me to keep everything organized. Also if I make a mistake, I just have to go back and edit the script and re-execute it.

Una nota importante, las reglas que ponga "allow" deben ir antes, preceder a las reglas "deny".

Iptables Rules:

Allow localhost access to everythingiptables -A INPUT -s 127.0.0.1 -j ACCEPTiptables -A OUTPUT -s 127.0.0.1 -j ACCEPT
Allow all related and established tcp connections to my_machine.iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
Allow all outgoing connections from my_machine.iptables -A OUTPUT -j ACCEPT... now start writing the deny rules.
Deny all new tcp connections from remote machines. And log the same.iptables -A INPUT -p tcp -m state --state NEW -j LOGiptables -A INPUT -p tcp -m state --state NEW -j DROP

Block the apache port on my_machine. See the nmap command listing above. Also log the traffic.
iptables -A INPUT -p tcp -s 0/0 --dport 80 -j LOGiptables -A INPUT -p tcp -s 0/0 --dport 80 -j DROPNote: LOG rule must precede the corresponding filter rule.

Block ssh to my_machine. Also log the traffic.iptables -A INPUT -p tcp -s 0/0 --dport 22 -j LOGiptables -A INPUT -p tcp -s 0/0 --dport 22 -j DROP
Finally Deny everything else.iptables -A INPUT -j DROPiptables -A FORWARD -j DROPNow execute the script to load the rules into kernel space. That is it. Now we have got a robust firewall in place. You can check the results by re-running the nmap command listed above.

¿Que cadenas existen y para que sirven?

2009-09-21T14:59:00.000-07:00

Las cadenas internas para la TABLA FILTER son las siguientes:

INPUT — Aplica a los paquetes recibidos a través de una interfaz de red. Paquetes -informacion - que entra desde afuera de la maquina.

OUTPUT — Esta cadena sirve para paquetes enviados hacia afuera de la maquina.

FORWARD — Esta cadena sirve para paquetes recibidos en una interfaz de red y enviados en otra. Los paquetes que entran por una puerta y salen por otra, que no se quedan adentro del equipo.

Las cadenas internas para la TABLA NAT son las siguientes:

PREROUTING — Altera los paquetes de red cuando estos llegan.
OUTPUT — Esta cadena altera paquetes generados localmente antes de que sean dirigidos por medio de una interfaz de red.
POSTROUTING — Altera los paquetes de red cuando estos son enviados.

¿Qué son y como funcionan las TABLAS?

2009-09-21T14:54:00.000-07:00

En iptables existen 3 TABLAS principales: FILTER, NAT y MANGLE.

Las dos primeras son las mas usadas. FILTER te da el filtro, el firewall real, lo que define que trafico se admite y en que sentido.

NAT sirve para manipular paquetes, para alterar las direcciones o puertos que traen en el origen y/o destino, antes y/o despues de que se decidió la ruta que va a seguir.

La MANGLE es la tercera y no se usa cotidianamente. Por eso no explicaremos de ella aca mucho.

El kernel de Linux tiene incorporado la característica interna de filtrar paquetes, permitiendo aceptar algunos de ellos en el sistema mientras que intercepta y para a otros.

El netfilter del kernel tiene tres tablas o listas de reglas incorporadas. Son las siguientes:
filter — La tabla por defecto para el manejo de paquetes de red.
nat — Usada para alterar paquetes que crean una nueva conexión y utilizada para la Traducción de direcciones de red (Network Address Translation, NAT).
mangle — Usada por tipos específicos de alteración de paquetes.

Si no especificas ninguna tabla lo que piensa iptables es que quieres filtrar. Asi de simple.

La primera (filter) es donde se encuentran todas las cadenas que pueden contener reglas que hagan filtrado de paquetes (acepten, rechacen o denieguen paquetes).

La regla es la orden específica que le indica al kernel qué hacer cuando encuentra un paquete con las características que están indicadas en la misma regla. Las reglas están contenidas dentro de cadenas y las cadenas están dentro de las tablas. Sino se entiende todavía, a no desesperar que si seguís leyendo vas a terminar entendiendo. Y si ahun despues de leer todo tampoco, entonces, comentenlo por favor.

Entonces, el funcionamiento es sencillo: entra un paquete por una interfase de red y el kernel empieza a procesarlo, el paquete PASA POR TODAS LAS TABLAS SIEMPRE de iptables (pero no por todas las cadenas, ni mucho menos por cada regla) y es verificado contra cada una de las reglas que va encontrando dentro de las cadenas que tengan sentido. Cuando un paquete cumple con las características que se definieron en una regla, la acción es ejecutada.
Luego, dependiendo el tipo de regla, el paquete es verificado contra las subsiguientes reglas o no (generalmente no se continua con la verificación en las siguientes reglas. ¡Ya para que¡)

El paquete pasara por cada tabla, primero la tabla FILTER, luego, NAT y finalmente por la MANGLE. En cada una pasa por las cadenas que tenga sentido y buscara la regla que coincida. Sino coincide con ninguna se aplicara la decisión por default (decisión estandard) que se definio a la cadena. Y como dijimos pasara el paquete a la siguiente tabla y se aplicara la regla que coincida o la decisión por default (decisión estandard). ¿Sencillo verdad?.

Note que por default se aplica la tabla FILTER, si no se especifica alguna en la parametrizacion de la regla.

Se lo explico de otra manera, primero necesita saber como el firewall (iptables) manejara lo paquetes que "salen", "entran", o "pasan" a travez de la computadora. Basicamente hay tres cadenas para cada una de ellas. Cualquier paquete que entre a su computadora pasara por la cadena INPUT. Cualquier paquete que su computadora saque a hacia la red pasara por la cadena OUTPUT. Cualquier paquete que su computadora la tome de una red y la envia a otra pasara a travez de la cadena FORWARD.

Sin embargo las cadenas son la mitad de lo que hace iptables. ¿Que sera la otra mitad?, Siga leyendo y lo sabra.

Ahora lo que realiza iptables es que definir mediante reglas (leyes de computadora inmutables) en cada cadena lo que se hara con los paquetes que pasen a travez de la computadora.

Por ejemplo, si su computadora (el equipo linux donde esta el firewall - iptables-)envia un paquete a www.suwebmaster.net pidiendo una pagina HTML, este paquete primero pasara a travez de la cadena OUTPUT. El kernel revisara en las reglas de esa cadena para ver si alguna concuerda. En la primera regla que concuerde se decidira que hacer con el paquete finalmente. Puede por ejemplo que haya alguna que deniege poder conectarse con esa pagina.

Si ninguna regla coincide, entonces la politica para toda la cadena se aplicara como la decisión final de que hacer con el paquete. La desicion final, bien podria ser. ACCEPT (que se vaya el paquete), DENY (Que no pase pero que avise), (DROP, que no pase y que no se le avise a nadie).

Luego cuando SuWebmaster responda con la pagina esta pasara a travez de la regla INPUT. Asi de simple. Y nuevamente habran reglas que indiquen que sera hara con la respuesta.

¿Comandos para diagnósticos de problemas?

2009-09-21T14:50:00.000-07:00

Asumo que los que leen son tecnicos, administradores de sistemas... entonces su vida envuelve revisar, reparar, configurar por ellos estos comandos a escribir dentro del servidor linux les seran de gran utilidad...

Despues de colocar una regla. Como podemos ver como se activo?
#iptables –L

Listar las reglas en mayor detalle?
#iptables -L -v –n

¿Como ver como estan las tablas por default?
#iptables –L

Para limpiar las reglas de la memoria RAM y por lo tanto desactivarlas temporalmente. Ya que si reinica la maquina es probable que vuelvan a activarse.

Escriba:
iptables --flush

El anterior comando es el mismo que:
iptables --table filter --flush
Porque filter se asume por default.

Ahora si quiere borrar de la RAM, y de uso las reglas para la cadena NAT. escriba:

iptables --table nat --flush

Entonces con este comando probablemente ya no podran navegar las computadoras de su red. Probablemente...

¿Porquedo implementar servidores Firewall y Proxy?

2009-09-21T14:17:00.000-07:00

Por tres motivos principales: Control. Seguridad y Vigilancia.

Control:
Cuando está usando una máquina Linux para conectar su red interna a Internet, tiene la oportunidad de permitir ciertos tipos de tráfico, y restringir otros. Por ejemplo, la cabecera de un paquete contiene la dirección de destino del paquete, de manera que puede evitar que salgan los que van a cierto sitio fuera de la red.

Seguridad:
Cuando su máquina Linux es lo único entre el caos de Internet y su bonita y ordenada red, es bueno saber que puede restringir lo que llega aporreando su puerta. Por ejemplo, podríamos permitir todo lo que salga de la red, pero puede que esté preocupado que puede llegar gente maliciosa del exterior a invadir su Red local.

Vigilancia:
Algunas veces, una máquina mal configurada de la red local puede decidir vomitar paquetes al mundo exterior. O los usuarios internos estén haciendo uso del servicio de Internet de una manera inapropiada, improductiva. Entonces gracias a los reportes del Proxy server ud. podra saber como esta siendo usado el servicio de internet en su oficina.

Sugerencias para diseñar un proyecto de firewall:

2009-09-21T12:23:00.000-07:00

Primero.

Tenga a mano la siguiente información:
Ip publica,
Ip privada,
DNS Servers.
Listado de usuarios y las ips de sus maquinas.
Que programas seran bloqueados y cuales no.

Asegurese que tiene el servicio de iptables funcionando.
Asegurese que el archivo que permite hacer forward de los paquetes es bien.
Asegure que el servicio de iptables sera activado cuando reinicie la compudora.
Verifique que puertos estan abiertos interna y externamente.
Detenga los programas que no necesitara.
Determine que quiere realizar en el equipo.

Conocimientos basicos para crear un firewall

2009-09-21T12:19:00.000-07:00

Que debera aprender en este blog:

Poder escribir “reglas” (comandos) apropiadas de las que se valdra iptables para actuar con los paquetes. Estas reglas seran guardadas en un archivo, script localizado en: y llamado. Este sera ejecutado por.
Y para ser detenido se hace. Y para ser cargado al inicio se hace. Y para ser editado se escribe. Tambien saber en que ubicación sera colocadas. Las reglas seran escritas en un archivo por ejemplo: firewall.sc y mediante un comando sera ejecutado. Y se colocara en el arranque de Linux para que se ejecute cada vez que arranque Linux.

¿Qué puede realizar iptables con el paquete?
Puede realizar alguno de estos tres pasos: Lo puede aceptar para procesarlo internamente, lo puede hacer pasar (atraviesa el equipo), lo puede hacer salir. Y en cualquiera de estos tres procesos puede tambien modificar el paquete de su formar original. Y tambien lo puede descartar… que se esfume… desaparezca en cualquier paso. Y tambien el paquete sera comparado para ver si se rutea.

¿En que se agrupan (organizan) los comandos en iptables?
R. En Tablas, Cadenas y Reglas.

Cada TABLA (filter, nat, mangle) esta compuesta de un conjunto de CADENAS (input, output, forward, postrouting, prerouting)
Cada CADENA esta compuesta de un conjunto de REGLAS (- -regla ).
Cada REGLA esta compuesta de un conjunto de OBJETIVOS (accept, drop, reject).

Demostracion de creacion y activacion de un firewall sencillo:

2009-09-21T12:15:00.001-07:00

Cree el siguiente archivo, con el siguiente comando:

edite el archivo y escriba la siguiente informacion:

Luego active el archivo.

Inicializelo.

prueba desde fuera de su servidor si puede pinar la maquina o
vea si puede ver que puertos estan abiertos.

Excelente, ya ha activado satisfactoriamente un firewall. Pase a traer su diploma por favor al rato.

¿Como detengo mi script de firewall?

2009-09-21T12:13:00.000-07:00

escriba el siguiente comando:

Pasos basicos para poner en funcionamiento el firewall

2009-09-21T12:12:00.000-07:00

Basicamente para hacer funcionar un firewall en linux se necesita.

1.) Tener instalado el servicio iptables en el servidor (usualmente ya esta instalado). Sino esta instalado descargue el rpm e instalelo. Le doy un ejemplo de como hacer la instalacion: #rpm -Uvh squid-M.m.p-r.i386.rpm)

2) Active el programa para que entre en funcionamiento de inmediato.

Escriba el siguiente comando:

#/etc/init.d/iptables restart

3) Active el programa de firewall de linux ( iptables ) para que siempre arranque cuando encienda el servidor. Escriba este comando:

chkconfig --level 2345 iptables on

4) Cree un archivo (script) que puede modificar segun sus necesidades y pudiera llamar "firewall.sc"

Ejecute este archivo para limpiar y crear las nuevas reglas que impodra el firewall iptables. Los comandos que ejecute en firewall.sc quedara en memoria RAM ( es decir que se borraran cuando reinicie la maquina ). Entonces para guardar los cambios y hacerlos permanente (al quedar guardadon en el disco duro) Ejecute el siguiente comando:

#iptables-save > /etc/sysconfig/iptables

Comentario:
La ubicacion donde se recogera los comandos que se reaplicaran estan guardados en este archivo: "/etc/sysconfig/iptables"
Sin embargo NO ES EN ESTE ARCHIVO donde editaremos los cambios que queramos realizar a nuestra configuracion de firewall.

Sera siempre en: "firewall.sc" que editaremos a mano nuestros cambios (haganme caso, es lo mejor).

Notas interesantes:

Para escribir los comandos que seran usados por el firewall, puede escribirlos en la linea de comandos, o mejor crear un script y escribirlos adentro de el. Asi no tendra que volverlos a escribir vez tras vez. Solo modificara los que necesite.

Entonces cree un script llamado "firewall.sc" y escriba ahi todos los comandos de iptables.
Escriba el siguien comando para crear este scritp (archivo de texto):

Luego haga activo el archivo:
escriba: firewall.sc

Edite el archivo, y cree su configuracion personaliza del firewall. En este Blog, le explicare como crear este archivo firewall de manera detallada y precisa. Siga leyendo....

Ahora ejecute el archivo: #/firewall.sc

(los comandos quedan en memoria ram unicamente, acuerdese!)

Ahora haga que queden permanente para despues de reboteara la maquina sigan intactos su configuracion:
#iptables-save > /etc/sysconfig/iptables

Ahora haga que el programa iptables reinicie y borre cualquier configuracion de iptables previa y haga funcionar la suya:

#/etc/init.d/iptables restart

Ahora haga que iptables funcione siempre (el programa iptables en si, haga esto sino no servira de nada todo lo que ha hecho hasta el momento).
chkconfig --level 2345 iptables on

Bueno, listo. Ya tiene su firewall. Ahora vamos a editar el archivo principal. firewall.sc, edito vez tras vez que quiera mejorar su firewall. Y despues ejecute el mismo archivo. para ejecutarlo. simplemente escriba:

#/firewall.sc [Enter] Asi de facilito de ahora en adelante. Ya todo lo demas esta hecho.

Con respecto al script firewall.sh, es importante comentar cada linea, para entender despues porque pusimos cada regla.

Sugerencia: mirar el contenido de este script para ver donde busca el
archivo de configuracion.
# view /etc/init.d/iptables

IPTABLES_CONFIG=/etc/sysconfig/iptables

¿Script para guardar la configuracion de mi firewall?

2009-09-21T11:52:00.000-07:00

Si, lo recomandable es crear un archivo, script donde pondra todos los comandos de iptables que a su vez indicara su configuracion personalizada de firewall.

Este archivo sera activado cuando arranque su servidor linux.

Edite este archivo cada vez que quiera alterar su configuracion de firewall de iptables.

cree el archivo con cualquier editor de linux o con el editor de shell vi.

¿Como activar el script despues de haberlo creado?
chmod +x /etc/init.d/firewall.script

El archivo ( en este ejemplo firewall.script ) debe empezar con las siguiente linea:

#!/bin/bash

Ahora veremos que comandos puede ingresar aca para crear su poderoso firewall. Esta es la parte mas emocionante de este proyecto....

¿Como ver que puertos estan abiertos?

2009-09-21T11:42:00.000-07:00

Para diseñar un buen firewall, vale la pena conocer que programas tiene ud. funcionando en su red. Es como saber que ventanas y puertas tiene en un edificio para diseñar un buen sistema de proteccion y monitoreo. Para ver quien sale y quien entra y por donde lo hacen y que estan entrando o sacando del edificio.

Adquiera el programa nmap (http://nmap.org que no tiene costo) he instalelo en un equipo preferiblemente de lado de la red de internet. Entonces podra revisar que puertas tiene abierta en su compañia hacia el exterior y en base a ellas tomar desiciones de seguridad. No se trata de cerrar todas las puertas y no tener ninguna abierta, se trata preferiblemente de tener abiertas solo las necesarias. Y a esas puertas necesarias darles seguridad.

Ejecute el programa. Y en los espacios disponibles. Ejecute un comando con sus parametros. seguido del dominio o ip address de su servidor donde tiene el firewall.

El comando que le recomiendo escribir es el siguiente:
nmap -T4 -F -PN --unprivileged www.servidor.org.gt

cambien "www.servidor.org.gt" por su propio dominio o IP Publico.

La informacion recibida seria semejante a esta salida:

Not shown: 96 filtered ports
PORT STATE SERVICE
25/tcp open smtp
110/tcp open pop3
119/tcp open nntp
143/tcp open imap
Nmap done: 1 IP address (1 host up) scanned in 14.45 seconds

Desde dentro de un servidor linux puede escribir el siguiente comando para ver que servicios (Por ejemplo: secure shell, telnet, web server, etc ) tiene abiertos:

El comando a escribir es el siguiente:
netstat -plut

o tambien:
nmap -sS [Su_Ip_Address]

Nos aparecera un listado con los puertos que tenemos abiertos en nuestra maquina local tambien. Lo puertos digamos que son las puertas donde puede entrar personas ( trafico ), ya sean deseados o indeseados.

Entonces el reconocer que tiene abierto, es decir que servicios tiene disponibles en su servidor. Le sera util para 2 cosas. 1) Para detener el funcionamiento de todo aquellos servicios que no les sean utiles. 2) O ver que quiere bloquear en su configuracion de firewall. Por supuesto que es recomendable detener los programas que no necesite. Busque en Google el nombre del programa y encontrara informacion util de como detenerlo. Que en realidad es un proceso sencillo. normalmente en el shell (linea de comandos de linux) coloca el nombre del programa y luego stop. Tambien debera escribir un comando para que no se vuelva a funcionar el programa despues de reincializar su pc. Voy poner el ejemplo para como detener el funcionamiento de un servidor FTP en su equipo que no necesite tener funcionando:

Ingrese como administrador al servidor linux ( como root ) y escriba:

Para parar el servicio: /sbin/ service vsftpd stop

(Para arrancar el servicio: /sbin/service vsftpd start
Para reiniciar el servicio: /sbin/service vsftpd restart)

Pero debido a que cuando reinicie el CPU entonces puede que este servicio vuelva a activarse. Puede detenerlo permanentemente escribiendo:

chkconfig --level 2345 vsftpd off

Ya no tendra que preocuparse por bloquear el puerto de este servicio, porque ya no existe ningun servicio.

Puede volver a utilizar la herramienta nmap para corroborar que este paso previo haya sido exitosamente realizado.

Bueno, ya queda claro hasta aca como saber que tenemos funcionando en nuestro servidor y asi saber que podemos bloquear.

Un firewall ideal es que el permita unicamente acceso a los servicios (puertos) que tiene funcionando. lo demas debera ser bloqueado por el firewall.

Sirvase seguir leyendo...

Conocimientos base para entender el firewall

2009-09-11T14:41:00.000-07:00

Por firewall entendemos un dispositivo o un software que filtra o altera el trafico entre 2 redes. En el caso que explicare aca (el caso mas comun), entre la red local (la de su empresa) y la del internet. Este firewall tienen reglas que ud define, con las que se decide si una conexion determinada puede establecerse o no. En otras palabras, un firewall tiene leyes que dan permisos o deniegan permisos para usar programas que necesitan conectarse al internet. Leyes que deniegan o permiten poder ver paginas web. Tambien es muy util para evitar que personas o programas dañinos autonomos puedan causar daños dentro de su empresa a nivel de sus sistemas de computo. Es practimente indispensable tener uno en estos dias. La ventaja de diseñar un sistema sobre linux, es que puede irlo actualizando y por lo tanto mejorando la configuracion previa. No tiene que comprar nada adicional. Porque este servicio de linux permite que ud, lo manipule segun vayan apareciendo nuevas o distintas necesidades de seguridad. Lo descrito en este blog le permitira crear un firewall solido. Y segun vayan surgiendo nuevas necesidades tambien aparecera informacion util aca. Por favor siga leyendo...

Bienvenidos a su blog sobre firewall en linux

2009-09-05T12:50:00.000-07:00

Hola!,
Les doy una cordial bienvenida a este Blog. Estare para compartir buena parte de mi vida dedicada a estudiar y diseñar firewalls basados en linux. Y confio ustedes tambien se sientan libres de compartir su experiencia. O teniendo conocimientos basicos de linux y redes puedan aprovechar esta informacion para diseñar sus propios servidores firewall. La ventaja de este Blog sera que al irse actualizando usted ira actualizando y puliendo los diseños de seguridad que tengan funcionando. Y a medida que la seguridad y todos los sistemas de firewall vayan mutando, Uds, puedan ir avanzando en los cambios que siempre existiran en estos campos. Por lo que pueden siempre visitar este Blog, porque siempre se ira renovando con las ultimas tecnologias y configuraciones disponibles.

Disfruten siempre su estancia por aca,
Y.E. Castillo

Octubre 2009