Ahora si va la segunda parte de la mini guia
Pues ahora si continuaremos con la segunda parte de la mini guia de iptables me da gusto que les haya agradado la primera parte asi que vamos a continuar donde nos quedamos:
Ya instalamos las librerias necesarias, ya hicimos que nuestro firewall arranque al iniciar nuestro sistema y ya vimos cuales son los principales comandos y la sintaxis para hacer las reglas, asi que ahora para continuar vamos a hacer algunas reglas basicas de manera ordenada para asi crear reglas para cada uno de los principales puertos y servicios de nuestro sistema.
Ya creamos reglas para paketes con protocolo icmp y para trafico interno ahora comenzaremos a hacer reglas para proteger nuestros puertos reservados es decir del 1 al 1024, claro tenemos que tomar en cuenta k dependiendo los servicios k tengamos en nuestro sistema seran las reglas que vamos a introducir.
Por ejemplo si nosotros tenemos en nuestro sistema montado un servidor apache, o utilizamos conexión remota ya sea via telnet o ssh, tenemos algun servidor ftp, o utilizamos el mysql, por razones obvias tenemos k dejar abiertos estos puertos.
Observemos esta regla:
Iptables –A INPUT –p all –dport (puerto:puerto) –j DROP
Esta es la sintaxis k utilizaremos para el filtrado de paketes en nuestros puertos reservados a continuación pondre alguna lista de reglas por puerto.
Iptables –A INPUT –p all –dport tcpmux:chargen –j DROP
aki estamos indicando k no acepte conexiones entrantes del Puerto 0 al 20
Iptables –A INPUT –p all –dport telnet:24 –j DROP
aki evitamos las conexiones entrantes en estos puertos ojo ahorita no puse reglas para Puerto 22 ssh ni para Puerto 21 ftp si uds no rekieren estos servicios en conexiones entrantes les recomiendo k hagan una regal para esos puertos.
Iptables –A INPUT –p all –dport 26:52 –j DROP
*NOTA no es recomendable cerrar el Puerto 53 ya que es el Puerto encargado del servicio del DNS si lo blockean luego tendran broncas de k no se pueden conectar pork no puede resolver sus dns.
Hasta aki creo que kedo clara la sintaxis para crear este tipo de reglas asi que acontinuacion les dare la lista de puertos para k blokeen los k no sean necesarios para sus servicios.
54:finger
81:csnet-ns
rtelnet:pop2
sunrpc:114
116:142
Imap
144:442
snpp:kpasswd
466:782
784:952
954:telnets
Imaps
Ircs ================ importante para los chaters k tengan clientes de irc solo deben blokear los puertos 6666 k es el servicio de ircd y el 6668 pork si blokean el 6667 no podran entrar a ningun Chat xD
996:1024
*Nota los “ : “ en la sintaxis indican de un puerto “hasta” otro puerto
por cierto tampoco cierren el puerto 80 sino no podran XD entrar al foro para mentarme la madre :p.
Ahora si ya esta kedando wapo nuestro firewall ya protegimos nuestros puertos reservados asi que ahora vamos a guardar nuestras reglas, ya kedan nuestras reglas cargadas desde el momento k damos el enter pero siempre es bueno tener un backup sobre las reglas que hemos hecho por si tenemos algun problemita o simplemente si tienen otra makina
solo es cuestion k copien el archivo de reglas guardado y lo carguen en la otra makina y listo, asi k nuestra sintaxis para guardar las reglas sera:
Iptables-save
Al poner este comando y dar enter estamos guardando todas las tablas existentes con nuestras reglas mas adelante les enseñare la sintaxis para guardar reglas por tabla y por contador de bytes.
Para que nos sirve guardar nuestras reglas bueno facil imaginemos k por error hacemos un iptables –F o no se talvez tenemos algun hermanito jodon k toma nuestra pc y comienza a mover todo y nos desconfigura, seria una weba total volver a ponernos a crear cada una de las reglas k ya habiamos hecho asi k si esto algun dia sucede pues solo hacemos
Iptables-restore
y ya k damos enter todas nuestras reglas guardadas vuelven a cargarse en el sistema.
Ahora para cargar nuestras reglas en otra makina solo buscamos en la carpeta etc/iptables-save el archivo de texto y lo guardamos en la otra makina en la misma carpeta y listo damos restore y las carga
Ya guardadas nuestras reglas vamos a seguir haciendo reglas ya hicimos para icmp y ya cargamos reglas para el protocolo tcp asi que ahora haremos reglas para el protocolo udp, básicamente la sintaxis es la misma que la que utilizamos para proteger nuestros puertos reservados unicamente cambia el protocolo kedando asi:
Iptables –A INPUT –p udp –dport (puerto:puerto) –j DROP
Eso si es muy importante crear reglas udp desde el puerto 0 hasta el 65535 logicamente unicamente dejando activos los puertos de nuestros servicios y k rekieran este tipo de conexión, pero blockeando conexiones de protocolo udp estamos protegiendonos de algun atake tipo DOS por algun udp flodder.
tcpmux:52
54:1024
Les recomiendo k apartir del puerto 1025 en adelante modifiken un poco la sintaxis de la regla para indicar k solamente vamos a blokear el trafico invalido o nuevo en esos puertos ( claro conexiones de tipo udp)
iptables -A INPUT -p udp -m state --state NEW,INVALID –dport (puerto:puerto) -j DROP
state INVALID,NEW udp dpts:1025:6666
state INVALID,NEW udp dpt:ircd
stateINVALID,NEW udp dpts:6668:8079
state INVALID,NEW udp dpts:8082:32767
INVALID,NEW udp dpts:32769:65535
*Pork usamos el –m state bueno a veces es dificil determinar cuales de nuestros servicios rekieren recibir paketes udp entonces al indicarle k no vamos a aceptar trafico udp Nuevo o invalido estamos haciendo una excepcion para que si alguno de nuestros servicios rekiere trafico relacionado ( releated) no sea blockeado y pueda seguir funcionando de manera correcta.
Y bueno hasta aki le paramos a la segunda parte del manual si tienen alguna duda, correccion o sugerencia pues igual dejamos un par de dias para que respondamos..
Un saludo a todos en especial a kalisto :* k fue kien me animo a postear esta mini guia.
Enygma ; )
Autor
En línea
