Upload File

comandos iptables

4
1- Balanceo de tráfico entrante. Se puede hacer balanceo en iptables, usando la extensión nth, así podemos balancear el tráfico a tres direcciones IP distintas. Cada tercer paquete lo ba al servidor adecuado. # iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --conter 0 --e!er" 3 --pac#et 0 -$ %NAT --to-destination &'()&*+)&)&0&,443 # iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --conter 0 --e!er" 3 --pac#et & -$ %NAT --to-destination &'()&*+)&)&0(,443 # iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --conter 0 --e!er" 3 --pac#et ( -$ %NAT --to-destination &'()&*+)&)&03,443 4- Permitir todo el tráfico entrante de SSH root@nexolinux ~ # i ptables -A INPUT -i eth0 -p tcp --dport (( -m state --state NEW E.TA/ I.1E% -$ A22EPT root@nexolinux ~ # iptables -A OUTPUT -o eth0 -p tcp --sport (( -m state --state E.TA/ I.1E% -$ A22EPT 5- Permitir tráfico de SSH sólo de un segmento de red. # iptables -A INPUT -i eth0 -p tcp -s &'()&*+)(00)0 (4 --dport (( -m state --stat NEW E.TA/ I.1E% -$ A22EPT # iptables -A OUTPUT -o eth0 -p tcp --sport (( -m state --state E.TA/ I.1E% -$ A22EPT 6- Permitir tráfico HTTP y HTTPS #!!P # iptables -A INPUT -i eth0 -p tcp --dport +0 -m state --state NEW E.TA/ I.1E% -$ A22EPT # iptables -A OUTPUT -o eth0 -p tcp --sport +0 -m state --state E.TA/ I.1E% -$ A22EPT

Upload: sebastian-rubio-gonzalez

Post on 08-Oct-2015

18 views

Category:

Documents


0 download

Report

DESCRIPTION

comandos iptables

TRANSCRIPT

1- Balanceo de trfico entrante.

Se puede hacer balanceo en iptables, usando la extensin nth, as podemos balancear el trfico a tres direcciones IP distintas. Cada tercer paquete lo balancea al servidor adecuado.

# iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.1.101:443

# iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination 192.168.1.102:443 # iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination 192.168.1.103:443

4- Permitir todo el trfico entrante de SSH

root@nexolinux ~ # iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

root@nexolinux ~ # iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT5- Permitir trfico de SSH slo de un segmento de red.

# iptables -A INPUT -i eth0 -p tcp -s 192.168.200.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

# iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

6- Permitir trfico HTTP y HTTPS

#HTTP

# iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

# iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

# HTTPS

# iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT

# iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACC

7- Combinar mltiples reglas con multipuerto.

Este ejemplo permite todo el trfico entrante SSH, HTTP y HTTPS:

# iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT

# iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443 -m state --state ESTABLISHED -j ACCEPT

8- Permitir SSH saliente

# iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

# iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

9- Permitir SSH entrante# iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT# iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT11- Balanceo de trfico entrante.

Se puede hacer balanceo en iptables, usando la extensin nth, as podemos balancear el trfico a tres direcciones IP distintas. Cada tercer paquete lo balancea al servidor adecuado.

# iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.1.101:443

# iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination 192.168.1.102:443 # iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination 192.168.1.103:443

12- Permitir PING de fuera hacia dentro.

# iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

# iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

13- Permitir PING de dentro hacia fuera.

# iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

14- Permitir trfico de la red interna al exterior.

En unFirewall perimetralen donde las redes estn separadas completamente.

# Si eth0 est conectada a una red externa (internet)

# Si eth1 Est conectada a una red interna (192.168.1.x)

# iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

15- Permitir trfico DNS saliente.

# iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT

# iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT

17- Permitir POP3 y POP3S

root@nexolinux ~ # iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT

root@nexolinux ~ # iptables -A OUTPUT -o eth0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT

root@nexolinux ~ # iptables -A INPUT -i eth0 -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT

root@nexolinux ~ # iptables -A OUTPUT -o eth0 -p tcp --sport 995 -m state --state ESTABLISHED -j ACCEPT

18-Prevenir ataques DoS

-Limit 25/minute : Limita a slo 25 conexiones por minuto.

-Limit-burst 100: Indica que el valor de limit/minute ser forzado slo despus del nmero de conexiones en este nivel

iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

19- Permitir redireccin de puertos.

Ejemplo puerto 422 redirigimos al 22, con lo que podemos tener conexiones al puerto 22 y al puerto 422 por ssh.

iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 --dport 422 -j DNAT --to 192.168.102.37:22

iptables -A INPUT -i eth0 -p tcp --dport 422 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp --sport 422 -m state --state ESTABLISHED -j ACCEPT


IPTABLES Manual Practico

Packet Filtering - IPTables

Iptables Firewalls

Linux Iptables Zsebkonyv

Iptables presentation

Doc iptables-firewall

NFtables and IPtables - DiVA portalhis.diva-portal.org/smash/get/diva2:1136221/FULLTEXT02.pdf · NFtables and IPtables Jonas Svensson Eidsheim NFtables och IPtables ... The measurement

Slides Iptables

Iptables Intro Vi

Getting Started Iptables

IP Masquerading using iptables

Iptables Tutorial 1.1

manual de iptables pfsense

Iptables DDoS protection Using Netfilter/iptables

NetFilter – IPtables

Comandos b sicoslinex.galeon.com/tutoriales/comandos.doc · Web viewLos comandos sh comandos y comandos no son enteramente equivalentes. Así, el primero de ellos exige que el fichero

Linux Firewalls (Ubuntu IPTables)

Firewall Iptables Linux

Iptables bridging and firewalling

[eBook] IpTables Tutorial

Dominando Linux Firewall Iptables

QuarkXPress Guía de comandos del teclado Para Windows · Comandos de paletas (Windows) 9 Comandos de proyectos y maquetaciones (Windows) 11 Comandos de elementos (Windows) 13 Comandos

NetFilter and IPTables

Stupid iptables tricks

Iptables Firewall

Manual IPTables Linux - UFMG

Manual completo iptables

Firewall Sobre Linux Iptables

Iptables in linux

Introduction iptables

Manual resumen iptables

Ipchains Iptables Firewall

Tutorial de IPtables 1.1.19es

iptables - firewall administration

Firewall Iptables - Urubatan Neto