Red y firewall
en
Linux

ADMINISTRACIÓN LINUX

ADMINISTRACIÓN LINUX

red

ADMINISTRACIÓN LINUX

interfaces

ip address show

ip addr s

ip a s

ADMINISTRACIÓN LINUX

rutas

ip route show

ip route s

ip r s

ADMINISTRACIÓN LINUX

resolución de nombres

hostnamectl status             /etc/hostname

resolvectl status           /etc/resolv.conf


ADMINISTRACIÓN LINUX

firewall        iptables

ADMINISTRACIÓN LINUX

iptables

iptables es un conjunto de herramientas (comandos) que permiten enviar mensajes para configurar el comportamiento del kernel Linux en su funcionalidad de netfilter

 

El projecto netfilter provee al kernel Linux de la capacidad de filtrado y gestión de paquetes de red

 

El kernel Linux (netfilter) configurado mediante iptables realiza las tareas de firewall de red

ADMINISTRACIÓN LINUX

tablas, cadenas y reglas

mangle

filter

nat

tablas:

PREROUTING

INPUT

FORWARD

OUTPUT

POSTROUTING

INPUT

FORWARD

OUTPUT

PREROUTING

INPUT

OUTPUT

POSTROUTING

cadenas:

reglas:

política:

ACCEPT

modificación
de paquetes

filtrado

network address
translation

+
cadenas
de
usuario

ADMINISTRACIÓN LINUX

pasaje de paquetes

mangle
----------------------

PREROUTING

nat
----------------------

PREROUTING

mangle
----------------------

INPUT

filter
----------------------

INPUT

mangle
----------------------

FORWARD

filter
----------------------

FORWARD

nat
----------------------

POSTROUTING

mangle
----------------------

POSTROUTING

filter
----------------------

OUTPUT

nat
----------------------

OUTPUT

mangle
----------------------

OUTPUT

decisión
de
ruteo

proceso
local

internet

TOS

DNAT

MARK

ACCEPT

MARK

NAT

ACCEPT

MARK

SNAT

MARK

ACCEPT

atraviesan

entran

salen

ADMINISTRACIÓN LINUX

iptables   (hagámoslo)

ADMINISTRACIÓN LINUX

Listar tablas, cadenas, reglas y políticas

iptables -Ln -t <tabla>


ADMINISTRACIÓN LINUX

Limpiar 

iptables -X <cadena>     # user-defined


iptables -F              # flush



ADMINISTRACIÓN LINUX

Configurar políticas

iptables -P FORWARD DROP

iptables -P INPUT DROP -t filter

iptables -P OUTPUR DROP

ADMINISTRACIÓN LINUX

Configurar reglas

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

 

iptables -A INPUT -p tcp \
   -s 192.168.1.0/24 -j ACCEPT

ADMINISTRACIÓN LINUX

Modulos

ls /lib/modules/`uname -r`/kernel/net/netfilter/

cat /proc/net/ip_tables_matches

man iptables-extensions

ADMINISTRACIÓN LINUX

Output global

iptables -A OUTPUT -m state \
   --state RELATED,ESTABLISHED \
   -j ACCEPT

ADMINISTRACIÓN LINUX

Otros comandos

ADMINISTRACIÓN LINUX

listar / monitor

iptables -L -n -v 

pkts   bytes

ADMINISTRACIÓN LINUX

backup (dump) / restore

iptables-save > iptables.dump


iptables-restore < iptables.dump


apt install iptables-persistent
/etc/iptables/rules.v4
/etc/iptables/rules.v6

ADMINISTRACIÓN LINUX

iptables-nft

Reemplazo/evolución de iptables

 

  • Network-specific VM: compila el código en la código de VM y los publica mediante Netlik API
  • Mapas y concatenaciones de alta performance.
  • Menos código de kernel.
  • Sintaxis unificada y consistente.

Sobre esta presentación

Atribución 4.0 Internacional (CC BY 4.0)

https://creativecommons.org/licenses/by/4.0/deed.es

ADMINISTRACIÓN LINUX