La aplicación cortafuegos mas usada para tratar la gestión de conexiones en Linux, es iptables. Las posibilidades que nos brinda iptables son infinitas, siempre que seas o cuentes con un buen administrador de sistemas linux. Iptables nos permite crear casi cualquier tipo de función, siempre y cuando, las reglas que analizarán los paquetes de datos que entran, salen o circulan por nuestra máquina sean las correctas.
Para crear reglas, analizamos muchos aspectos de los paquetes de datos. Filtramos los paquetes dependiendo de:
Tipo de paquete de datos:
- Tipo INPUT: paquetes que llegan a nuestra máquina
- Tipo OUTPUT: paquetes que salen de nuestra máquina
- Tipo FORWARD: paquetes que pasan por nuestra máquina
Interfaz por la que entran (-i = input) o salen (-o = output) los paquetes
- eth0, eth1, wlan0, ppp0, etc…
IP origen de los paquetes (-s = source)
- IP concreta, ej: 10.0.1.3
- Rango de red, ej: 10.0.1.0/8
IP destino de los paquetes (-d = destination)
- IP concreta, ej: 10.0.1.3
- Rango de red, ej: 10.0.1.0/8
Protocolo de los paquetes (-p = protocol)
- Tcp, udp, icmp, etc…
Hacer NAT (modificar IP origen y destino para conectar nuestra red a otra red o a Internet)
- Filtrar antes de enrutar: PREROUTING
- Filtrar después de enrutar: POSTROUTING
En este articulo no tocaremos nada de configuración de iptables, de todas formas por si te interesa aquí tienes unos ejemplos de configuraciones para iptables.
Normalmente la aplicación de iptables no se suele actualizar, es evidente que supone un riesgo de seguridad una actualización automática. Te recomiendo encarecidamente que realices la actualización en modo manual, y eso es lo que vamos a hacer en este articulo. Vamos a por el update…
Actualizar iptables
Comprobamos la versión de iptables que tenemos instalada.
1 | iptables -V |
Ejemplo de salida:
1 2 | [root@host ~]# iptables -V iptables v1.4.21 |
Como vemos en el ejemplo, tenemos instalada la versión «v1.4.21». Nos dirigimos a la pagina oficial <<P.OFICIAL>> y comprobamos si existe una nueva versión (ojo, no confundir el archivo iptables con patch-iptables).
Vemos que existe una nueva versión, concretamente la «v.1.6.0», así que vamos a actualizar.
Continuamos…
Instalamos el compilador gcc.
1 | yum install install gcc |
Instalamos make.
1 | yum install make |
Indicamos la ruta, descargamos, descomprimimos y abrimos el directorio.
1 2 3 4 5 | mkdir /usr/src/linux cd /usr/src/linux wget https://www.netfilter.org/projects/iptables/files/iptables-1.6.1.tar.bz2 tar jxvf iptables-1.6.1.tar.bz2 cd iptables-1.6.1 |
Compilamos.
1 2 3 | ./configure KERNEL_DIR=/usr/src/linux make KERNEL_DIR=/usr/src/linux make install KERNEL_DIR=/usr/src/linux |
Copia de seguridad.
1 2 3 4 | cd /sbin mv iptables iptables.old mv iptables-restore iptables-restore.old mv iptables-save iptables-save.old |
Ahora creamos los enlaces.
1 2 3 | ln -s /usr/local/sbin/iptables iptables ln -s /usr/local/sbin/iptables-restore iptables-restore ln -s /usr/local/sbin/iptables-save iptables-save |
Comprobamos que la nueva versión de iptables se instalo correctamente.
1 | iptables -V |
Ejemplo de salida:
1 2 | [root@host ~]# iptables -V iptables v1.6.1 |
vemos que se instalo correctamente, por tanto vamos a reiniciar iptables.
1 | service iptables restart |
también puedes reiniciar con…
1 | service ip6tables restart |
Si usas CSF + LFD, debes reiniciarlos igualmente.
1 | service lfd restart |
1 | csf -sf |
Como ves es bastante sencillo realizar un update de iptables. Antes de realizar operaciones delicadas en un servidor en producción, recuerda hacer un backup del sistema.