Ejemplos de iptables

IPtables es un sistema de firewall vinculado al kernel de linux. Al contrario de lo que pueda parecer unas iptables no son como un servidor que lo iniciamos o detenemos, Ha habido alguna vulnerabilidad que a permitido un DdoS, pero siempre sera mas efectivo que las aplicaciones que escuchan en determinado puerto TCP. Iptables esta integrado con el kernel, es parte del sistema operativo. Podemos crear, modificar, borrar todo tipo de reglas, aquí propondremos unos ejemplos.

Reset iptables firewall rules

Ver el estado de tu firewall y listar reglas
Type the following command as root:

Eliminar reglas de Firewall

Se puede eliminar por número de regla

O especificar una regla que coincida

Establecer las políticas de firewall por defecto para eliminar todo el tráfico:

Sólo a bloquear el tráfico entrante

Para eliminar todos los paquetes entrantes / enviado, pero permitir el tráfico saliente, escriba:

Eliminar direcciones de red privada en la interfaz pública (Suponiendo eth1 como interfaz pública)

Bloquear IP:

Guardar reglas:

En CentOS / RHEL / Fedora Linux,:

Restaurar reglas:

Restaurar en CentOS / RHEL / Fedora Linux:

Puedes recargar las reglas automáticamente al reiniciar el servidor:

En CentOS puedes guardar las reglas para recargarlas automáticamente:

Permitir todo el tráfico de loopback, y eliminar todo el tráfico a 127/8 que no usa lo0

Eliminar cualquier paquete TCP que no se ha iniciado con el Flag SYN activo

Aceptar todas las conexiones entrantes establecidas

Eliminar cualquier paquete inválido que no pueda ser identificado

Bloquear tráfico al dominio facebook.com, miramos la IP de facebook.com y luego su RANGO DE IPs

Creamos la regla para no permitir acceso

También por nombre de dominio, pero no es 100% efectivo.

Permitir conexiones entrantes al puerto 21 desde una la IP 11.22.33.44

Permitir todo el tráfico entrante SSH

Permitir SSH saliente

Permitir tráfico HTTP

Permitir HTTPS saliente.

Combinar reglas con multipuerto

Denegar todas las conexiones entrantes al puerto 21.

Eliminar la primera regla de entrada

Bloquear o Permitir solicitud de ICMP Ping

### ** assumed that default INPUT policy set to DROP ** ############# iptables -A INPUT -p icmp –icmp-type echo-reply -j ACCEPT iptables -A INPUT -p icmp –icmp-type destination-unreachable -j ACCEPT iptables -A INPUT -p icmp –icmp-type time-exceeded -j ACCEPT
## ** all our server to respond to pings ** ## iptables -A INPUT -p icmp –icmp-type echo-request -j ACCEPT

iptables -A INPUT -p icmp –icmp-type echo-request -j ACCEPT iptables -A OUTPUT -p icmp –icmp-type echo-reply -j ACCEPT

iptables -A OUTPUT -p icmp –icmp-type echo-request -j ACCEPT iptables -A INPUT -p icmp –icmp-type echo-reply -j ACCEPT

iptables -A OUTPUT -p udp -o eth0 –dport 53 -j ACCEPT iptables -A INPUT -p udp -i eth0 –sport 53 -j ACCEPT

iptables -A INPUT -m state state NEW -m tcp -p tcp dport 7000:7010 -j ACCEPT

## only accept connection to tcp port 80 (Apache) if ip is between 192.168.1.100 and 192.168.1.200 ## iptables -A INPUT -p tcp destination-port 80 -m iprange src-range 192.168.1.100-192.168.1.200 -j ACCEPT

## nat example ## iptables -t nat -A POSTROUTING -j SNAT –to-source 192.168.1.20-192.168.1.25

iptables -A INPUT -p tcp syn dport 22 -m connlimit –connlimit-above 3 -j REJECT

iptables -p tcp syn dport 80 -m connlimit connlimit-above 20 connlimit-mask 24 -j DROP

iptables -A INPUT -m mac –mac-source 00:0F:EA:91:04:08 -j DROP
## *only accept traffic for TCP port # 22 from mac 00:0F:EA:91:04:07 * ## iptables -A INPUT -p tcpdestination-port 22 -m mac mac-source 00:0F:EA:91:04:07 -j ACCEPT

iptables -A INPUT -p tcp dport 80 -m limit limit 25/minute –limit-burst 100 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 dport 422 -j DNAT to 192.168.102.37:22 iptables -A INPUT -i eth0 -p tcp dport 422 -m state state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcpsport 422 -m state state ESTABLISHED -j ACCEPT

iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG –log-prefix “IP_SPOOF A: ” iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m limit limit 5/m limit-burst 7 -j LOG –log-prefix “IP_SPOOF A: ” iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

iptables -N LOGGING

iptables -A INPUT -j LOGGING

iptables -A LOGGING -m limit limit 2/min -j LOG log-prefix “IPTables Packet Dropped: ” –log-level 7

iptables -A LOGGING -j DROP

## open port ssh tcp port 22 ## iptables -A INPUT -m state state NEW -m tcp -p tcp dport 22 -j ACCEPT iptables -A INPUT -s 192.168.1.0/24 -m state state NEW -p tcp dport 22 -j ACCEPT

## open cups (printing service) udp/tcp port 631 for LAN users ## iptables -A INPUT -s 192.168.1.0/24 -p udp -m udp –dport 631 -j ACCEPT iptables -A INPUT -s 192.168.1.0/24 -p tcp -m tcp –dport 631 -j ACCEPT

## allow time sync via NTP for lan users (open udp port 123) ## iptables -A INPUT -s 192.168.1.0/24 -m statestate NEW -p udp dport 123 -j ACCEPT

## open tcp port 25 (smtp) for all ## iptables -A INPUT -m state state NEW -p tcp dport 25 -j ACCEPT

  1. open dns server ports for all ##

iptables -A INPUT -m state state NEW -p udp dport 53 -j ACCEPT iptables -A INPUT -m state state NEW -p tcpdport 53 -j ACCEPT

## open http/https (Apache) server port to all ## iptables -A INPUT -m state state NEW -p tcp dport 80 -j ACCEPT iptables -A INPUT -m state state NEW -p tcp dport 443 -j ACCEPT

## open tcp port 110 (pop3) for all ## iptables -A INPUT -m state state NEW -p tcp dport 110 -j ACCEPT

## open tcp port 143 (imap) for all ## iptables -A INPUT -m state state NEW -p tcp dport 143 -j ACCEPT

## open access to Samba file server for lan users only ## iptables -A INPUT -s 192.168.1.0/24 -m state state NEW -p tcp dport 137 -j ACCEPT iptables -A INPUT -s 192.168.1.0/24 -m state state NEW -p tcp dport 138 -j ACCEPT iptables -A INPUT -s 192.168.1.0/24 -m state state NEW -p tcp dport 139 -j ACCEPT iptables -A INPUT -s 192.168.1.0/24 -m state state NEW -p tcp dport 445 -j ACCEPT

## open access to proxy server for lan users only ## iptables -A INPUT -s 192.168.1.0/24 -m state state NEW -p tcp dport 3128 -j ACCEPT

## open access to mysql server for lan users only ## iptables -I INPUT -p tcp –dport 3306 -j ACCEPT ///

 

facebook Ejemplos de iptablestwitter Ejemplos de iptablesgoogle Ejemplos de iptablesdiggit Ejemplos de iptablespinterest Ejemplos de iptableslinkedin Ejemplos de iptablesprint Ejemplos de iptablesemail Ejemplos de iptablesSi te gusto, comparte el articulo.

Artículos Relacionados

Una respuesta

  1. Ruth
    2 junio, 2016

Agregar comentario


*

Recibe nuestro newsletter

Suscribete a nuestro newsletter y mantente informado con nuestros últimos artículos, noticias y más. Todo completamente gratis.