Rodolfo Pilas
bloger podcaster devops sysadmin profesor father
Red y firewall
en
Linux
ADMINISTRACIÓN LINUX
ADMINISTRACIÓN LINUX
red
ADMINISTRACIÓN LINUX
interfaces
ip address show ip addr s ip a s
ADMINISTRACIÓN LINUX
rutas
ip route show ip route s ip r s
ADMINISTRACIÓN LINUX
resolución de nombres
hostnamectl status /etc/hostname resolvectl status /etc/resolv.conf
ADMINISTRACIÓN LINUX
firewall iptables
ADMINISTRACIÓN LINUX
iptables
iptables es un conjunto de herramientas (comandos) que permiten enviar mensajes para configurar el comportamiento del kernel Linux en su funcionalidad de netfilter
El projecto netfilter provee al kernel Linux de la capacidad de filtrado y gestión de paquetes de red
El kernel Linux (netfilter) configurado mediante iptables realiza las tareas de firewall de red
ADMINISTRACIÓN LINUX
tablas, cadenas y reglas
mangle
filter
nat
tablas:
PREROUTING
INPUT
FORWARD
OUTPUT
POSTROUTING
INPUT
FORWARD
OUTPUT
PREROUTING
INPUT
OUTPUT
POSTROUTING
cadenas:
reglas:
política:
ACCEPT
modificación
de paquetes
filtrado
network address
translation
+
cadenas
de
usuario
ADMINISTRACIÓN LINUX
pasaje de paquetes
mangle
----------------------
PREROUTING
nat
----------------------
PREROUTING
mangle
----------------------
INPUT
filter
----------------------
INPUT
mangle
----------------------
FORWARD
filter
----------------------
FORWARD
nat
----------------------
POSTROUTING
mangle
----------------------
POSTROUTING
filter
----------------------
OUTPUT
nat
----------------------
OUTPUT
mangle
----------------------
OUTPUT
decisión
de
ruteo
proceso
local
internet
TOS
DNAT
MARK
ACCEPT
MARK
NAT
ACCEPT
MARK
SNAT
MARK
ACCEPT
atraviesan
entran
salen
ADMINISTRACIÓN LINUX
iptables (hagámoslo)
ADMINISTRACIÓN LINUX
Listar tablas, cadenas, reglas y políticas
iptables -Ln -t <tabla>
ADMINISTRACIÓN LINUX
Limpiar
iptables -X <cadena> # user-defined iptables -F # flush
ADMINISTRACIÓN LINUX
Configurar políticas
iptables -P FORWARD DROP
iptables -P INPUT DROP -t filter
iptables -P OUTPUR DROP
ADMINISTRACIÓN LINUX
Configurar reglas
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp \ -s 192.168.1.0/24 -j ACCEPT
ADMINISTRACIÓN LINUX
Modulos
ls /lib/modules/`uname -r`/kernel/net/netfilter/
cat /proc/net/ip_tables_matches
man iptables-extensions
ADMINISTRACIÓN LINUX
Output global
iptables -A OUTPUT -m state \
--state RELATED,ESTABLISHED \
-j ACCEPT
ADMINISTRACIÓN LINUX
Otros comandos
ADMINISTRACIÓN LINUX
listar / monitor
iptables -L -n -v pkts bytes
ADMINISTRACIÓN LINUX
backup (dump) / restore
iptables-save > iptables.dump iptables-restore < iptables.dump apt install iptables-persistent /etc/iptables/rules.v4 /etc/iptables/rules.v6
ADMINISTRACIÓN LINUX
iptables-nft
Reemplazo/evolución de iptables
- Network-specific VM: compila el código en la código de VM y los publica mediante Netlik API
- Mapas y concatenaciones de alta performance.
- Menos código de kernel.
- Sintaxis unificada y consistente.
Sobre esta presentación
Atribución 4.0 Internacional (CC BY 4.0)
https://creativecommons.org/licenses/by/4.0/deed.es
ADMINISTRACIÓN LINUX
Red y Firewall en Linux
By Rodolfo Pilas
Red y Firewall en Linux
Red y Firewall en Linux
