Configuracin del Firewall en CentOSNetfilter es un firewall
basado en host para los sistemas operativos Linux. Se incluye como
parte de la distribucin de Linux y es activado por defecto. Este
firewall es controlada por el programa llamado iptables. Netfilter
filtrado llevar a cabo a nivel de Kernel, antes de que un programa
sea capaz de procesar los datos de los paquetes de red.Archivo de
configuracin de iptablesLos archivos de configuracin por defecto
para Red Hat Enterprise Linux / CentOS / Fedora Linux son:-
/etc/sysconfig/iptables Las consecuencias de comandos del sistema
que se active el firewall mediante la lectura de este
archivo.Reglas de pantalla por defaultEscribimos el siguiente
comando:iptables line-numbers -n L
Primera Tarea: Activar el FirewallEscribimos los siguientes
comandos para activar el firewall:iptables chkconfig enservice
iptables startservice iptables restart (para reiniciar el servicio)
service iptables stop (para detener el servicio)
Entendiendo al FirewallHay 4 cadenas q debemos comprender:
INPUTLa cadena por defecto se utiliza para los paquetes dirigidos
al sistema. Utilice esta opcin para abrir o cerrar los puertos de
entrada (por ejemplo, 80,25, etc y 110) y las direcciones IP /
subred (por ejemplo, 202.54.1.20/29).
OUTPUTLa cadena por defecto se utiliza cuando los paquetes estn
generando en el sistema. Utilice este puerto de salida y abrir o
cerrar las direcciones IP / subredes.
FORWARDLas cadenas por defecto se utiliza cuando los paquetes a
travs de otro interfaz. Normalmente se utiliza cuando la
configuracin de Linux como router. Por ejemplo, eth0 conectado al
mdem ADSL / Cable y eth1 est conectada a la LAN local. Utilice
hacia adelante de la cadena para enviar y recibir trfico de red
local a Internet.
RH-Firewall-1-INPUTEsta es una cadena de usuario personalizado.
Es utilizado por la entrada, salida y las cadenas de FORWARD.
Significados objetivo
El objetivo ACCEPT significa permitir que los paquetes.El
objetivo REJECT significa descartar el paquete y enviar un mensaje
de error al host remoto.El objetivo GOTA significa descartar el
paquete y no enve un mensaje de error con el servidor remoto o
enviar anfitrin.
Segunda tarea: Editar /etc/sysconfig/iptables
Escribimos: # vi /etc / sysconfig / iptablesVeremos reglas por
defecto de la siguiente manera:
http://www.cyberciti.biz/faq/rhel-fedorta-linux-iptables-firewall-configuration-tutorial/http://www.pello.info/filez/firewall/iptables.html#2http://www.cyberciti.biz/faq/rhel-fedorta-linux-iptables-firewall-configuration-tutorial/
TUTORIAL FIREWALL BY AARON
Empezamos el trabajo de Iptables desde la lnea de comando, en
donde debemos tener los privilegios root, tomar en cuenta que los
privilegios de root se usan para la mayora de cosas que estaremos
haciendo durante la implementacin del firewall.
Iptables debe estar instalado por defecto en todas las
instalaciones de CentOS. Podemos comprobar si Iptables est
instalado en nuestros sistemas con:
Para ver si realmente iptables est ejecutndose, lo hacemos
comprobando que los propios mdulos estn cargados y usamos la opcin
L para inspeccionar las reglas que estn cargadas actualmente:
En las capturas anteriores vemos el conjunto de reglas
predeterminadas adems del acceso al servicio SSH.Si iptables no est
corriendo, lo podemos habilitar ejecutando la lnea de comando:#
system-config-securitylevel
CREANDO UN CONJUNTO DE REGLAS SIMPLES
Haremos un ejemplo que nos permitir examinar los comandos de
iptables. En este primer ejemplo crearemos un conjunto de reglas
muy simples para configurar un cortafuegos del tipo Stateful Packet
Inspection (SPI) que permite todas las conexiones salientes pero
bloquea todas las conexiones entrantes indeseadas.
Lo cual nos da la siguiente salida:
Ahora vamos a ver cada uno de los siete comandos de arriba y
comprender exactamente lo que acabamos de hacer:
iptables -F: Lo primero que hemos hecho es usar la opcin -F para
eliminar las reglas una por una, de forma tal que comencemos con un
estado limpio en el cual comenzar a adicionar reglas nuevas.
iptables -P INPUT DROP: La opcin -P fija la poltica por defecto
en la cadena especificada. As que aqu estamos fijando a DROP como
la poltica por defecto en la cadena INPUT. Esto quiere decir que si
un paquete entrante no coincide una de las reglas siguientes ser
descartado.
iptables -P FORWARD DROP : De la misma forma, aqu estamos
fijando a DROP la poltica por defecto para la cadena FORWARD porque
no estamos usando nuestra computadora como un enrutador as que no
deberan estar pasando paquetes a travs de nuestra
computadora.iptables -P OUTPUT ACCEPT: y finalmente fijamos a
ACCEPT la poltica por defecto para la cadena OUTPUT porque queremos
permitir todo el trfico saliente (porque confiamos en nuestros
usuarios).
iptables -A INPUT -i lo -j ACCEPT: Ahora es el momento de
comenzar a adicionar algunas reglas. Usamos la opcin -A para anexar
(o adicionar) una regla a la cadena especfica, en este caso la
cadena INPUT. Luego usamos la opcin -i (interface) para especificar
los paquetes que coinciden o estn destinados a la interface lo
(localhost, 127.0.0.1) y finalmente -j (jump) para saltar al
objetivo de accin para el paquete que coincide con la regla, en
este caso ACCEPT. As, esta regla permitir que todos los paquetes
entrantes con destino a la interface localhost sean aceptados. Esto
generalmente requiere que las aplicaciones de software sean capaces
de comunicarse con el adaptador localhost.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j
ACCEPT: Esta es la regla que hace la mayor parte del trabajo y
nuevamente estamos adicionando (-A) a la cadena INPUT. Aqu estamos
usando la opcin -m para cargar un mdulo (state). El mdulo estado
est disponible para examinar el estado de un paquete y determinar
si este es nuevo (NEW), establecido (ESTABLISHED) o relacionado
(RELATED). NEW se refiere a los paquetes entrantes que son
conexiones entrantes nuevas que fueron iniciadas por el sistema
anfitrin. ESTABLISHED y RELATED se refieren a los paquetes
entrantes que son parte de una conexin ya establecida o relacionada
a la conexin ya establecida.
iptables -L -v: Listar (-L) las reglas que acabamos de adicionar
para comprobar que han sido cargadas correctamente.