Aún no has entrado
Debe introducir al menos 3 caracteres en el buscador.
Inicio / Wikis / Tutoriales / Guía de Administración de Redes con Linux - Configurando Contabilidad IP
Guía de Administración de Redes con Linux - Configurando Contabilidad IP
(23 opiniones)
Tutorial de
Olaf Kirch y Terry Dawson - 14 de Febrero de 2006
Temas Relacionados:
Administración de redes
84. Configurando Contabilidad IP
Debido a que la contabilidad IP se relaciona estrechamente con el cortafuegos de IP, la misma herramienta fue designada para configurarla, de modo que ipfwadm, ipchains o iptables sean utilizados para configurar la contabilidad IP. La sintaxis de órdenes es muy similar a la de las reglas del cortafuegos, así que no nos centraremos en eso, pero discutiremos qué puede descubrir sobre la naturaleza de su tráfico de red utilizando esta característica.
La sintaxis general para contabilidad IP con ipfwadm es:
|| # ipfwadm -A [sentido] [orden] [parámetros] ||
El argumento sentido es nuevo. Esto se codifica simplemente como entrada (in), salida (out), o ambos (both). Estas trayectorías son desde la perspectiva de la propia máquina GNU/Linux. entrada (in) se refiere a datos que entran a la máquina desde una conexión de red y salida (out) se refiere a datos que están transmitiéndose por este nodo en una conexión de red. El sentido ambos (both) es la suma de ambas trayectorias, entrante y saliente.
La sintaxis general para la orden ipchains e iptables es:
|| # ipchains -A cadena especificación-de-regla # iptables -A cadena especificación-de-regla ||
Las órdenes ipchains e iptables permiten especificar el sentido de una manera más consistente con las reglas de cortafuegos. El cortafuegos de cadenas IP[1] no le permite configurar una regla que agrege ambos sentidos, pero permite configurar reglas en la cadena forward que la antigua implementación no hacía. Veremos la diferencia que produce, en algunos ejemplos un poco mas adelante.
Las órdenes son bastante iguales a las reglas de cortafuegos, excepto que las políticas de reglas no se aplican aquí. Podemos agregar, insertar, eliminar y listar las reglas de contabilidad. En el caso de ipchains e iptables, todas las reglas válidas son reglas de contabilidad, y cualquier orden que no especifica la opción -j sólo realiza recuento.
Las reglas de especificación de parámetros para contabilidad IP son las mismas que aquellas usadas para cortafuegos IP. Éstas son las que nosotros usamos para definir precisamente qué tráfico de la red deseamos contabilizar y sumar.
Trabajemos con un ejemplo para ilustrar como usaríamos la contabilidad IP.
Imagine que tenemos un encaminador basado en Linux que sirve a dos departamentos en la Cervecería Virtual. El encaminador tiene dos dispositivos Ethernet, eth0 y eth1, cada uno de los cuales sirve a un departamento; y un dispositivo PPP, ppp0, que nos conecta vía un enlace serie de alta velocidad al campus principal de la Universidad Groucho Marx.
También imaginemos que para propósitos de faturación queremos conocer el total de tráfico generado por cada uno de los departamentos a lo largo del enlace serie, y para propósitos de administración queremos conocer el total de tráfico generado entre los dos departamentos.
La siguiente tabla muestra las interfaces y direcciones que usaremos en nuestro ejemplo:
Para responder a la pregunta, “¿ Cuántos datos genera cada departamento en el enlace PPP ?”, podríamos usar una regla parecida a:
|| # ipfwadm -A both -a -W ppp0 -S 172.16.3.0/24 -b # ipfwadm -A both -a -W ppp0 -S 172.16.4.0/24 -b ||
o: || # ipchains -A input -i ppp0 -d 172.16.3.0/24 # ipchains -A output -i ppp0 -s 172.16.3.0/24 # ipchains -A input -i ppp0 -d 172.16.4.0/24 # ipchains -A output -i ppp0 -s 172.16.4.0/24 ||
y con iptables: || # iptables -A FORWARD -i ppp0 -d 172.16.3.0/24 # iptables -A FORWARD -o ppp0 -s 172.16.3.0/24 # iptables -A FORWARD -i ppp0 -d 172.16.4.0/24 # iptables -A FORWARD -o ppp0 -s 172.16.4.0/24 ||
La primera mitad de cada una de estas reglas dice, “Cuente todos los datos viajando en cualquier dirección por la interfaz llamada ppp0 con una dirección origen o destino (recuerde la función de la bandera -b en ipfwadm e iptables) de 172.16.3.0/24.” La segunda mitad de cada conjunto de reglas es la misma, pero para la segunda red Ethernet en nuestro sitio.
Para responder a la segunda pregunta , “¿ Cuántos datos viajan entre los dos departamentos ?”, necesitamos una regla como esta:
|| # ipfwadm -A both -a -S 172.16.3.0/24 -D 172.16.4.0/24 -b ||
o: || # ipchains -A forward -s 172.16.3.0/24 -d 172.16.4.0/24 -b ||
o: || # iptables -A FORWARD -s 172.16.3.0/24 -d 172.16.4.0/24 # iptables -A FORWARD -s 172.16.4.0/24 -d 172.16.3.0/24 ||
Estas reglas contarán todos los datagramas con una dirección origen perteneciente a una de las redes de departamento y una dirección destino perteneciente a la otra.
Bien, supongamos que también queremos una mejor idea de qué tipo de tráfico exactamente está transportándose por nuestro enlace PPP. Por ejemplo, nosotros podríamos querer saber cuánto del enlace están consumiendo los servicios FTP, SMTP, y Web.
Un guión de reglas para permitirnos coleccionar esta información podría parecerse a:
|| #!/bin/sh # Coleccionar estadísticas de volumen FTP, SMTP y WWW para los datos # transportados en nuestro enlace PPP utilizando ipfwadm # ipfwadm -A both -a -W ppp0 -P tcp -S 0/0 ftp ftp-data ipfwadm -A both -a -W ppp0 -P tcp -S 0/0 smtp ipfwadm -A both -a -W ppp0 -P tcp -S 0/0 www ||
o: || #!/bin/sh # Coleccionar estadísticas de volumen FTP, SMTP y WWW para los datos # transportados en nuestro enlace PPP utilizando ipchains # ipchains -A input -i ppp0 -p tcp -s 0/0 ftp-data:ftp ipchains -A output -i ppp0 -p tcp -d 0/0 ftp-data:ftp ipchains -A input -i ppp0 -p tcp -s 0/0 smtp ipchains -A output -i ppp0 -p tcp -d 0/0 smtp ipchains -A input -i ppp0 -p tcp -s 0/0 www ipchains -A output -i ppp0 -p tcp -d 0/0 www ||
o: || #!/bin/sh # Coleccionar estadísticas de volumen FTP, SMTP y WWW para los datos # transportados en nuestro enlace PPP utilizando iptables # iptables -A FORWARD -i ppp0 -m tcp -p tcp --sport ftp-data:ftp iptables -A FORWARD -o ppp0 -m tcp -p tcp --dport ftp-data:ftp iptables -A FORWARD -i ppp0 -m tcp -p tcp --sport smtp iptables -A FORWARD -o ppp0 -m tcp -p tcp --dport smtp iptables -A FORWARD -i ppp0 -m tcp -p tcp --sport www iptables -A FORWARD -o ppp0 -m tcp -p tcp --dport www ||
Hay un par de rasgos interesantes a esta configuración. Primeramente, hemos especificado el protocolo. Cuando especificamos puertos en nuestras reglas, también debemos especificar un protocolo porque TCP y UDP proveen conjuntos separados de puertos. Ya que todos estos servicios están basados en TCP, lo hemos especificado como el protocolo. Segundo, tenemos especificado dos servicios ftp y ftp-data en un comando. ipfwadm permite establecer puertos simples, rango de puertos o una lista arbitraria de puertos. La orden ipchains permite cualesquiera, puertos simples o rango de puertos, que es lo que hemos usado aquí. La sintaxis “ftp-data:ftp” significa “puertos ftp-data (20) hasta ftp (21),” y es como nosotros codificamos rangos de puertos en ambos: ipchains e iptables. Cuando usted tiene una lista de puertos en una regla de contabilidad, eso significa que cualquier dato recibido para alguno de los puertos en la lista, provocará que el dato sea sumado a los totales de esa entrada. Recordando que el servicio FTP utiliza dos puertos, el de órdenes y el de transferencia de datos, los hemos añadido a la vez para sumar el tráfico de FTP. Finalmente, especificamos la dirección origen como “0/0”, que es la notación especial que coincide con todas las direcciones y es requerida por ambas órdenes ipfwadm e ipchains para especificar los puertos.
Podemos extendernos un poco en el segundo punto para darnos una vista diferente de los datos en nuestro enlace. Ahora imaginemos que nosotros clasificamos tráfico FTP, SMTP, y del Web como tráfico esencial, y todo el otro tráfico como no esencial. Si nosotros estuviéramos interesados en ver la proporción del tráfico esencial al tráfico no esencial, podríamos hacer algo como:
|| # ipfwadm -A both -a -W ppp0 -P tcp -S 0/0 ftp ftp-data smtp www # ipfwadm -A both -a -W ppp0 -P tcp -S 0/0 1:19 22:24 26:79 81:32767 ||
Si ya ha examinado su fichero /etc/services, observará que la segunda regla cubre todos los puertos excepto (ftp, ftp-data, smtp, y www).
¿Cómo hacemos esto con las órdenes ipchains o iptables, puesto que ellas permiten sólo un argumento en la especificación de puerto ?. Podemos aprovecharnos en contabilidad, de las cadenas definidas por usuario tan fácil como en las reglas del cortafuegos. Considere el siguiente acercamiento:
|| # ipchains -N a-essent # ipchains -N a-noness # ipchains -A a-essent -j ACCEPT # ipchains -A a-noness -j ACCEPT # ipchains -A forward -i ppp0 -p tcp -s 0/0 ftp-data:ftp -j a-essent # ipchains -A forward -i ppp0 -p tcp -s 0/0 smtp -j a-essent # ipchains -A forward -i ppp0 -p tcp -s 0/0 www -j a-essent # ipchains -A forward -j a-noness ||
Aquí creamos dos cadenas definidas por usuario, una llamada a-essent, donde capturamos datos de contabilidad para servicios esenciales y otra llamada a-noness, donde capturamos datos de contabilidad para servicios no esenciales. Entonces agregamos a nuestra cadena forward las reglas que coinciden con nuestros servicios esenciales y saltan a la cadena a-essent, donde tenemos justamente una regla que acepta todos los datagramas y los cuenta. La última regla en nuestra cadena forward es una regla que salta a nuestra cadena a-noness, donde otra vez tenemos solamente una regla que acepta todos los datagramas y los cuenta. La regla que salta a la cadena a-noness no será alcanzada por ninguno de nuestros servicios esenciales, puesto que ellos se habrán aceptado en su propia cadena. Nuestras cuentas para servicios esenciales y no esenciales estarán por consiguiente disponibles en las reglas dentro de esas cadenas. Éste es simplemente un acercamiento que podría tomar; hay otros. Nuestra implementación iptables del mismo acercamiento se parecería a: || # iptables -N a-essent # iptables -N a-noness # iptables -A a-essent -j ACCEPT # iptables -A a-noness -j ACCEPT # iptables -A FORWARD -i ppp0 -m tcp -p tcp --sport ftp-data:ftp -j a-essent # iptables -A FORWARD -i ppp0 -m tcp -p tcp --sport smtp -j a-essent # iptables -A FORWARD -i ppp0 -m tcp -p tcp --sport www -j a-essent # iptables -A FORWARD -j a-noness ||
Esto parece bastante simple. Desafortunadamente, hay un pequeño pero inevitable problema al intentar efectuar contabilidad por el tipo de servicio. Recordará que discutimos el rol que desempeña la MTU en redes TCP/IP en un capítulo anterior. La MTU define el datagrama más largo que se transmitirá en un dispositivo de red. Cuando un datagrama se recibe por un encaminador que es más grande que el MTU de la interfaz que necesita al retransmitirlo, el encaminador realiza un truco llamado fragmentación. El encaminador fragmenta el datagrama largo en piezas pequeñas no más largos que la MTU de la interfaz y entonces transmite éstas piezas. El encaminador construye nuevas cabeceras para poner delante de cada una de estas piezas, y éstas son las que la máquina remota usa para reconstruir el dato original. Desafortunadamente, durante el proceso de fragmentación el puerto se pierde para todos menos para el primer fragmento. Esto significa que la contabilidad IP no puede contar adecuadamente datagramas fragmentados. Puede contar fiablemente sólo el primer fragmento o datagramas no fragmentados. Hay un pequeño truco permitido por ipfwadm que asegura que mientras nosotros no podamos saber exactamente desde qué puerto el segundo y siguientes fragmentos vienen, podemos todavía contarlos. Una temprana versión del software de contabilidad Linux asignó a los fragmentos un número de puerto falso, 0xFFFF, que podríamos contar. Para asegurarnos que capturamos el segundo y posteriores fragmentos, podemos usar una regla como ésta:
|| # ipfwadm -A both -a -W ppp0 -P tcp -S 0/0 0xFFFF ||
La implementación de cadenas IP tiene una solución ligeramente más sofisticada, pero el resultado es muy similar. Usando la orden ipchains usaríamos en cambio:
|| # ipchains -A forward -i ppp0 -p tcp -f ||
y con iptables usaríamos: || # iptables -A FORWARD -i ppp0 -m tcp -p tcp -f ||
Éstos no nos dirán el puerto original para estos datos, pero por lo menos podemos ver cuanto de nuestros datos son fragmentos, y seremos capaces de contabilizar el volumen de tráfico que ellos consumen.
En núcleos 2.2 podemos seleccionar una opción del núcleo en tiempo de compilación, que niega este problema completo si su máquina GNU/Linux está actuando como el único punto de acceso para una red. Si habilita la opción IP: Desfragmentar siempre cuando compila su núcleo, todos los datagramas recibidos serán reensamblados por el encaminador Linux antes de encaminar y retransmitir. Esta operación es realizada antes que el software de contabilidad y cortafuegos miren el datagrama, y así no tendrá trato con ningún fragmento. En núcleos 2.4 usted puede compilar y cargar el módulo netfilter forward-fragment.
El protocolo ICMP no usa número de puerto de servicio y es por eso un poco más dificultoso coleccionar detalles. ICMP usa un número de tipos diferentes de datagramas. Muchos de éstos son inofensivos y normales, mientras otros sólo deben observarse bajo circunstancias especiales. A veces las personas con mucho tiempo en sus manos intentan maliciosamente deteriorar el acceso de un usuario a la red, generando grandes cantidades de mensajes ICMP. Esto es comúnmente denominado saturamiento ping[2]. Aun cuando la contabilidad IP no puede hacer nada para prevenir este problema ( ¡ Aunque el cortafuegos IP puede ayudar ! ) podemos al menos colocar reglas de contabilidad en un lugar que nos muestre si alguien lo ha estado intentando.
ICMP no usa los puertos como lo hacen TCP y UDP. En cambio ICMP tiene mensajes tipo ICMP. Podemos construir reglas de contabilidad para cada tipo de mensaje ICMP. Para hacer esto, colocamos el mensaje ICMP y el número del tipo en lugar del puerto en la orden de contabilidad ipfwadm. Listamos los tipos de mensaje ICMP en “Sección 9.6.3.5∞” refíerase a él si usted necesita recordar cuáles son.
Una regla de contabilidad IP para coleccionar información sobre el volumen de datos ping que está enviándose a usted o que usted está generando podría verse como:
|| # ipfwadm -A both -a -P icmp -S 0/0 8 # ipfwadm -A both -a -P icmp -S 0/0 0 # ipfwadm -A both -a -P icmp -S 0/0 0xff ||
o, con ipchains: || # ipchains -A forward -p icmp -s 0/0 8 # ipchains -A forward -p icmp -s 0/0 0 # ipchains -A forward -p icmp -s 0/0 -f ||
o, con iptables: || # iptables -A FORWARD -m icmp -p icmp --sports echo-request # iptables -A FORWARD -m icmp -p icmp --sports echo-reply # iptables -A FORWARD -m icmp -p icmp -f ||
La primera regla colecciona información sobre datagramas “Petición de eco ICMP” (petición ping) [3], y la segunda regla colecciona información sobre datagramas “Respuesta de eco ICMP” (respuesta ping). La tercera regla colecciona información sobre fragmentos de datagrama ICMP. Este es un truco similar al descrito para fragmentos de datagramas TCP y UDP.
Si usted especifica la dirección origen y/o destino en sus reglas, puede seguir la pista de dónde están viniendo los ping, tales como si ellos se originan dentro o fuera de su red. Una vez que ha determinado de dónde están viniendo los datagramas pillos, usted puede decidir si quiere poner reglas de cortafuegos en un sitio para evitarlos o tomar alguna otra acción, como avisar al dueño de la red agraviante para avisarles del problema, o quizás incluso, acción legal si el problema es un acto malévolo.
Imaginemos ahora que estamos interesados en conocer cuánto tráfico en nuestro enlaces es TCP, UDP, e ICMP. Usaríamos reglas como las siguientes:
|| # ipfwadm -A both -a -W ppp0 -P tcp -D 0/0 # ipfwadm -A both -a -W ppp0 -P udp -D 0/0 # ipfwadm -A both -a -W ppp0 -P icmp -D 0/0 ||
o: || # ipchains -A forward -i ppp0 -p tcp -d 0/0 # ipchains -A forward -i ppp0 -p udp -d 0/0 # ipchains -A forward -i ppp0 -p icmp -d 0/0 ||
o: || # iptables -A FORWARD -i ppp0 -m tcp -p tcp # iptables -A FORWARD -o ppp0 -m tcp -p tcp # iptables -A FORWARD -i ppp0 -m udp -p udp # iptables -A FORWARD -o ppp0 -m udp -p udp # iptables -A FORWARD -i ppp0 -m icmp -p icmp # iptables -A FORWARD -o ppp0 -m icmp -p icmp ||
Con estas reglas situadas, todo el tráfico fluyendo por la interfaz ppp0 será analizado para determinar si es TCP, UDP, o tráfico de IMCP y los contadores apropiados serán actualizados para cada uno. El ejemplo con iptables divide el flujo entrante del flujo saliente como lo exige su sintaxis.
|| [1] || Traducción de IP Chains Firewall. N. del T. ||
|| [2] || Traducción de ping flooding N. del T. ||
|| [3] || Traducción de ICMP Echo Request. N. del T. ||
La sintaxis general para contabilidad IP con ipfwadm es:
|| # ipfwadm -A [sentido] [orden] [parámetros] ||
El argumento sentido es nuevo. Esto se codifica simplemente como entrada (in), salida (out), o ambos (both). Estas trayectorías son desde la perspectiva de la propia máquina GNU/Linux. entrada (in) se refiere a datos que entran a la máquina desde una conexión de red y salida (out) se refiere a datos que están transmitiéndose por este nodo en una conexión de red. El sentido ambos (both) es la suma de ambas trayectorias, entrante y saliente.
La sintaxis general para la orden ipchains e iptables es:
|| # ipchains -A cadena especificación-de-regla # iptables -A cadena especificación-de-regla ||
Las órdenes ipchains e iptables permiten especificar el sentido de una manera más consistente con las reglas de cortafuegos. El cortafuegos de cadenas IP[1] no le permite configurar una regla que agrege ambos sentidos, pero permite configurar reglas en la cadena forward que la antigua implementación no hacía. Veremos la diferencia que produce, en algunos ejemplos un poco mas adelante.
Las órdenes son bastante iguales a las reglas de cortafuegos, excepto que las políticas de reglas no se aplican aquí. Podemos agregar, insertar, eliminar y listar las reglas de contabilidad. En el caso de ipchains e iptables, todas las reglas válidas son reglas de contabilidad, y cualquier orden que no especifica la opción -j sólo realiza recuento.
Las reglas de especificación de parámetros para contabilidad IP son las mismas que aquellas usadas para cortafuegos IP. Éstas son las que nosotros usamos para definir precisamente qué tráfico de la red deseamos contabilizar y sumar.
Trabajemos con un ejemplo para ilustrar como usaríamos la contabilidad IP.
Imagine que tenemos un encaminador basado en Linux que sirve a dos departamentos en la Cervecería Virtual. El encaminador tiene dos dispositivos Ethernet, eth0 y eth1, cada uno de los cuales sirve a un departamento; y un dispositivo PPP, ppp0, que nos conecta vía un enlace serie de alta velocidad al campus principal de la Universidad Groucho Marx.
También imaginemos que para propósitos de faturación queremos conocer el total de tráfico generado por cada uno de los departamentos a lo largo del enlace serie, y para propósitos de administración queremos conocer el total de tráfico generado entre los dos departamentos.
La siguiente tabla muestra las interfaces y direcciones que usaremos en nuestro ejemplo:
Para responder a la pregunta, “¿ Cuántos datos genera cada departamento en el enlace PPP ?”, podríamos usar una regla parecida a:
|| # ipfwadm -A both -a -W ppp0 -S 172.16.3.0/24 -b # ipfwadm -A both -a -W ppp0 -S 172.16.4.0/24 -b ||
o: || # ipchains -A input -i ppp0 -d 172.16.3.0/24 # ipchains -A output -i ppp0 -s 172.16.3.0/24 # ipchains -A input -i ppp0 -d 172.16.4.0/24 # ipchains -A output -i ppp0 -s 172.16.4.0/24 ||
y con iptables: || # iptables -A FORWARD -i ppp0 -d 172.16.3.0/24 # iptables -A FORWARD -o ppp0 -s 172.16.3.0/24 # iptables -A FORWARD -i ppp0 -d 172.16.4.0/24 # iptables -A FORWARD -o ppp0 -s 172.16.4.0/24 ||
La primera mitad de cada una de estas reglas dice, “Cuente todos los datos viajando en cualquier dirección por la interfaz llamada ppp0 con una dirección origen o destino (recuerde la función de la bandera -b en ipfwadm e iptables) de 172.16.3.0/24.” La segunda mitad de cada conjunto de reglas es la misma, pero para la segunda red Ethernet en nuestro sitio.
Para responder a la segunda pregunta , “¿ Cuántos datos viajan entre los dos departamentos ?”, necesitamos una regla como esta:
|| # ipfwadm -A both -a -S 172.16.3.0/24 -D 172.16.4.0/24 -b ||
o: || # ipchains -A forward -s 172.16.3.0/24 -d 172.16.4.0/24 -b ||
o: || # iptables -A FORWARD -s 172.16.3.0/24 -d 172.16.4.0/24 # iptables -A FORWARD -s 172.16.4.0/24 -d 172.16.3.0/24 ||
Estas reglas contarán todos los datagramas con una dirección origen perteneciente a una de las redes de departamento y una dirección destino perteneciente a la otra.
Bien, supongamos que también queremos una mejor idea de qué tipo de tráfico exactamente está transportándose por nuestro enlace PPP. Por ejemplo, nosotros podríamos querer saber cuánto del enlace están consumiendo los servicios FTP, SMTP, y Web.
Un guión de reglas para permitirnos coleccionar esta información podría parecerse a:
|| #!/bin/sh # Coleccionar estadísticas de volumen FTP, SMTP y WWW para los datos # transportados en nuestro enlace PPP utilizando ipfwadm # ipfwadm -A both -a -W ppp0 -P tcp -S 0/0 ftp ftp-data ipfwadm -A both -a -W ppp0 -P tcp -S 0/0 smtp ipfwadm -A both -a -W ppp0 -P tcp -S 0/0 www ||
o: || #!/bin/sh # Coleccionar estadísticas de volumen FTP, SMTP y WWW para los datos # transportados en nuestro enlace PPP utilizando ipchains # ipchains -A input -i ppp0 -p tcp -s 0/0 ftp-data:ftp ipchains -A output -i ppp0 -p tcp -d 0/0 ftp-data:ftp ipchains -A input -i ppp0 -p tcp -s 0/0 smtp ipchains -A output -i ppp0 -p tcp -d 0/0 smtp ipchains -A input -i ppp0 -p tcp -s 0/0 www ipchains -A output -i ppp0 -p tcp -d 0/0 www ||
o: || #!/bin/sh # Coleccionar estadísticas de volumen FTP, SMTP y WWW para los datos # transportados en nuestro enlace PPP utilizando iptables # iptables -A FORWARD -i ppp0 -m tcp -p tcp --sport ftp-data:ftp iptables -A FORWARD -o ppp0 -m tcp -p tcp --dport ftp-data:ftp iptables -A FORWARD -i ppp0 -m tcp -p tcp --sport smtp iptables -A FORWARD -o ppp0 -m tcp -p tcp --dport smtp iptables -A FORWARD -i ppp0 -m tcp -p tcp --sport www iptables -A FORWARD -o ppp0 -m tcp -p tcp --dport www ||
Hay un par de rasgos interesantes a esta configuración. Primeramente, hemos especificado el protocolo. Cuando especificamos puertos en nuestras reglas, también debemos especificar un protocolo porque TCP y UDP proveen conjuntos separados de puertos. Ya que todos estos servicios están basados en TCP, lo hemos especificado como el protocolo. Segundo, tenemos especificado dos servicios ftp y ftp-data en un comando. ipfwadm permite establecer puertos simples, rango de puertos o una lista arbitraria de puertos. La orden ipchains permite cualesquiera, puertos simples o rango de puertos, que es lo que hemos usado aquí. La sintaxis “ftp-data:ftp” significa “puertos ftp-data (20) hasta ftp (21),” y es como nosotros codificamos rangos de puertos en ambos: ipchains e iptables. Cuando usted tiene una lista de puertos en una regla de contabilidad, eso significa que cualquier dato recibido para alguno de los puertos en la lista, provocará que el dato sea sumado a los totales de esa entrada. Recordando que el servicio FTP utiliza dos puertos, el de órdenes y el de transferencia de datos, los hemos añadido a la vez para sumar el tráfico de FTP. Finalmente, especificamos la dirección origen como “0/0”, que es la notación especial que coincide con todas las direcciones y es requerida por ambas órdenes ipfwadm e ipchains para especificar los puertos.
Podemos extendernos un poco en el segundo punto para darnos una vista diferente de los datos en nuestro enlace. Ahora imaginemos que nosotros clasificamos tráfico FTP, SMTP, y del Web como tráfico esencial, y todo el otro tráfico como no esencial. Si nosotros estuviéramos interesados en ver la proporción del tráfico esencial al tráfico no esencial, podríamos hacer algo como:
|| # ipfwadm -A both -a -W ppp0 -P tcp -S 0/0 ftp ftp-data smtp www # ipfwadm -A both -a -W ppp0 -P tcp -S 0/0 1:19 22:24 26:79 81:32767 ||
Si ya ha examinado su fichero /etc/services, observará que la segunda regla cubre todos los puertos excepto (ftp, ftp-data, smtp, y www).
¿Cómo hacemos esto con las órdenes ipchains o iptables, puesto que ellas permiten sólo un argumento en la especificación de puerto ?. Podemos aprovecharnos en contabilidad, de las cadenas definidas por usuario tan fácil como en las reglas del cortafuegos. Considere el siguiente acercamiento:
|| # ipchains -N a-essent # ipchains -N a-noness # ipchains -A a-essent -j ACCEPT # ipchains -A a-noness -j ACCEPT # ipchains -A forward -i ppp0 -p tcp -s 0/0 ftp-data:ftp -j a-essent # ipchains -A forward -i ppp0 -p tcp -s 0/0 smtp -j a-essent # ipchains -A forward -i ppp0 -p tcp -s 0/0 www -j a-essent # ipchains -A forward -j a-noness ||
Aquí creamos dos cadenas definidas por usuario, una llamada a-essent, donde capturamos datos de contabilidad para servicios esenciales y otra llamada a-noness, donde capturamos datos de contabilidad para servicios no esenciales. Entonces agregamos a nuestra cadena forward las reglas que coinciden con nuestros servicios esenciales y saltan a la cadena a-essent, donde tenemos justamente una regla que acepta todos los datagramas y los cuenta. La última regla en nuestra cadena forward es una regla que salta a nuestra cadena a-noness, donde otra vez tenemos solamente una regla que acepta todos los datagramas y los cuenta. La regla que salta a la cadena a-noness no será alcanzada por ninguno de nuestros servicios esenciales, puesto que ellos se habrán aceptado en su propia cadena. Nuestras cuentas para servicios esenciales y no esenciales estarán por consiguiente disponibles en las reglas dentro de esas cadenas. Éste es simplemente un acercamiento que podría tomar; hay otros. Nuestra implementación iptables del mismo acercamiento se parecería a: || # iptables -N a-essent # iptables -N a-noness # iptables -A a-essent -j ACCEPT # iptables -A a-noness -j ACCEPT # iptables -A FORWARD -i ppp0 -m tcp -p tcp --sport ftp-data:ftp -j a-essent # iptables -A FORWARD -i ppp0 -m tcp -p tcp --sport smtp -j a-essent # iptables -A FORWARD -i ppp0 -m tcp -p tcp --sport www -j a-essent # iptables -A FORWARD -j a-noness ||
Esto parece bastante simple. Desafortunadamente, hay un pequeño pero inevitable problema al intentar efectuar contabilidad por el tipo de servicio. Recordará que discutimos el rol que desempeña la MTU en redes TCP/IP en un capítulo anterior. La MTU define el datagrama más largo que se transmitirá en un dispositivo de red. Cuando un datagrama se recibe por un encaminador que es más grande que el MTU de la interfaz que necesita al retransmitirlo, el encaminador realiza un truco llamado fragmentación. El encaminador fragmenta el datagrama largo en piezas pequeñas no más largos que la MTU de la interfaz y entonces transmite éstas piezas. El encaminador construye nuevas cabeceras para poner delante de cada una de estas piezas, y éstas son las que la máquina remota usa para reconstruir el dato original. Desafortunadamente, durante el proceso de fragmentación el puerto se pierde para todos menos para el primer fragmento. Esto significa que la contabilidad IP no puede contar adecuadamente datagramas fragmentados. Puede contar fiablemente sólo el primer fragmento o datagramas no fragmentados. Hay un pequeño truco permitido por ipfwadm que asegura que mientras nosotros no podamos saber exactamente desde qué puerto el segundo y siguientes fragmentos vienen, podemos todavía contarlos. Una temprana versión del software de contabilidad Linux asignó a los fragmentos un número de puerto falso, 0xFFFF, que podríamos contar. Para asegurarnos que capturamos el segundo y posteriores fragmentos, podemos usar una regla como ésta:
|| # ipfwadm -A both -a -W ppp0 -P tcp -S 0/0 0xFFFF ||
La implementación de cadenas IP tiene una solución ligeramente más sofisticada, pero el resultado es muy similar. Usando la orden ipchains usaríamos en cambio:
|| # ipchains -A forward -i ppp0 -p tcp -f ||
y con iptables usaríamos: || # iptables -A FORWARD -i ppp0 -m tcp -p tcp -f ||
Éstos no nos dirán el puerto original para estos datos, pero por lo menos podemos ver cuanto de nuestros datos son fragmentos, y seremos capaces de contabilizar el volumen de tráfico que ellos consumen.
En núcleos 2.2 podemos seleccionar una opción del núcleo en tiempo de compilación, que niega este problema completo si su máquina GNU/Linux está actuando como el único punto de acceso para una red. Si habilita la opción IP: Desfragmentar siempre cuando compila su núcleo, todos los datagramas recibidos serán reensamblados por el encaminador Linux antes de encaminar y retransmitir. Esta operación es realizada antes que el software de contabilidad y cortafuegos miren el datagrama, y así no tendrá trato con ningún fragmento. En núcleos 2.4 usted puede compilar y cargar el módulo netfilter forward-fragment.
Contabilidad de Datagramas ICMP
El protocolo ICMP no usa número de puerto de servicio y es por eso un poco más dificultoso coleccionar detalles. ICMP usa un número de tipos diferentes de datagramas. Muchos de éstos son inofensivos y normales, mientras otros sólo deben observarse bajo circunstancias especiales. A veces las personas con mucho tiempo en sus manos intentan maliciosamente deteriorar el acceso de un usuario a la red, generando grandes cantidades de mensajes ICMP. Esto es comúnmente denominado saturamiento ping[2]. Aun cuando la contabilidad IP no puede hacer nada para prevenir este problema ( ¡ Aunque el cortafuegos IP puede ayudar ! ) podemos al menos colocar reglas de contabilidad en un lugar que nos muestre si alguien lo ha estado intentando.
ICMP no usa los puertos como lo hacen TCP y UDP. En cambio ICMP tiene mensajes tipo ICMP. Podemos construir reglas de contabilidad para cada tipo de mensaje ICMP. Para hacer esto, colocamos el mensaje ICMP y el número del tipo en lugar del puerto en la orden de contabilidad ipfwadm. Listamos los tipos de mensaje ICMP en “Sección 9.6.3.5∞” refíerase a él si usted necesita recordar cuáles son.
Una regla de contabilidad IP para coleccionar información sobre el volumen de datos ping que está enviándose a usted o que usted está generando podría verse como:
|| # ipfwadm -A both -a -P icmp -S 0/0 8 # ipfwadm -A both -a -P icmp -S 0/0 0 # ipfwadm -A both -a -P icmp -S 0/0 0xff ||
o, con ipchains: || # ipchains -A forward -p icmp -s 0/0 8 # ipchains -A forward -p icmp -s 0/0 0 # ipchains -A forward -p icmp -s 0/0 -f ||
o, con iptables: || # iptables -A FORWARD -m icmp -p icmp --sports echo-request # iptables -A FORWARD -m icmp -p icmp --sports echo-reply # iptables -A FORWARD -m icmp -p icmp -f ||
La primera regla colecciona información sobre datagramas “Petición de eco ICMP” (petición ping) [3], y la segunda regla colecciona información sobre datagramas “Respuesta de eco ICMP” (respuesta ping). La tercera regla colecciona información sobre fragmentos de datagrama ICMP. Este es un truco similar al descrito para fragmentos de datagramas TCP y UDP.
Si usted especifica la dirección origen y/o destino en sus reglas, puede seguir la pista de dónde están viniendo los ping, tales como si ellos se originan dentro o fuera de su red. Una vez que ha determinado de dónde están viniendo los datagramas pillos, usted puede decidir si quiere poner reglas de cortafuegos en un sitio para evitarlos o tomar alguna otra acción, como avisar al dueño de la red agraviante para avisarles del problema, o quizás incluso, acción legal si el problema es un acto malévolo.
Contabilidad por Protocolo
Imaginemos ahora que estamos interesados en conocer cuánto tráfico en nuestro enlaces es TCP, UDP, e ICMP. Usaríamos reglas como las siguientes:
|| # ipfwadm -A both -a -W ppp0 -P tcp -D 0/0 # ipfwadm -A both -a -W ppp0 -P udp -D 0/0 # ipfwadm -A both -a -W ppp0 -P icmp -D 0/0 ||
o: || # ipchains -A forward -i ppp0 -p tcp -d 0/0 # ipchains -A forward -i ppp0 -p udp -d 0/0 # ipchains -A forward -i ppp0 -p icmp -d 0/0 ||
o: || # iptables -A FORWARD -i ppp0 -m tcp -p tcp # iptables -A FORWARD -o ppp0 -m tcp -p tcp # iptables -A FORWARD -i ppp0 -m udp -p udp # iptables -A FORWARD -o ppp0 -m udp -p udp # iptables -A FORWARD -i ppp0 -m icmp -p icmp # iptables -A FORWARD -o ppp0 -m icmp -p icmp ||
Con estas reglas situadas, todo el tráfico fluyendo por la interfaz ppp0 será analizado para determinar si es TCP, UDP, o tráfico de IMCP y los contadores apropiados serán actualizados para cada uno. El ejemplo con iptables divide el flujo entrante del flujo saliente como lo exige su sintaxis.
Notas
|| [1] || Traducción de IP Chains Firewall. N. del T. ||
|| [2] || Traducción de ping flooding N. del T. ||
|| [3] || Traducción de ICMP Echo Request. N. del T. ||
Tabla de contenidos
- 1 - Prefacio
- 2 - Fuentes de información
- 3 - Estandares de Sistemas de Ficheros
- 4 - Estandar del Sistema Basico Linux
- 5 - Acerca de este Libro
- 6 - La Versión Oficial Impresa
- 7 - Envío de Cambios
- 8 - Agradecimientos
- 9 - La traducción al español
- 10 - Historia del trabajo en redes
- 11 - Redes TCP/IP
- 12 - Redes UUCP
- 13 - Redes con GNU/Linux
- 14 - Mantenimiento del Sistema
- 15 - Interfaces de red
- 16 - Direcciones IP
- 17 - Resolución de direcciones
- 18 - Encaminamiento IP
- 19 - El Internet Control Message Protocol
- 20 - Resolución de nombres de puesto
- 21 - Configuración del hardware de red
- 22 - Configuracion del núcleo
- 23 - Un vistazo a los dispositivos de red de Linux
- 24 - Instalación de una Ethernet
- 25 - El controlador PLIP
- 26 - Los controladores PPP y SLIP
- 27 - Otros tipos de redes
- 28 - Configuración del Hardware Serie
- 29 - Software de Comunicaciones para Enlaces con Módem
- 30 - Introducción a los Dispositivos Serie
- 31 - Acceso a Dispositivos Serie
- 32 - Hardware Serie
- 33 - Uso de las Utilidades de Configuración
- 34 - Dispositivos Serie y el Indicador login: (ingreso)
- 35 - Configuración del Protocolo TCP/IP
- 36 - Montando el Sistema de Ficheros /proc
- 37 - Instalación de los ejecutables
- 38 - Establecimiento del Nombre de la Maquina
- 39 - Asignación de una dirección IP
- 40 - Creación de Subredes
- 41 - Preparación de los ficheros hosts y networks
- 42 - Interfaz Configuración de la Interfaz para IP
- 43 - Todo sobre ifconfig
- 44 - La orden netstat
- 45 - Comprobación de las tablas ARP
- 46 - El servicio de nombres y su configuración
- 47 - La biblioteca de resolución
- 48 - Cómo funciona el DNS
- 49 - Ejecución de named (I)
- 50 - Ejecución de named (II)
- 51 - Ejecución de named (III)
- 52 - SLIP: IP por línea serie
- 53 - Requerimientos Generales para SLIP o PPP
- 54 - Operación de SLIP
- 55 - Trabajando con direcciones de red IP privadas
- 56 - Usando dip
- 57 - Funcionamiento en modo Servidor
- 58 - El Protocolo Punto-a-Punto
- 59 - PPP en Linux
- 60 - Ejecutando pppd
- 61 - Usando los Ficheros de Opciones
- 62 - Realización de la Llamada con chat
- 63 - Opciones de Configuración IP
- 64 - Opciones de Control de Enlace
- 65 - Consideraciones de Seguridad General
- 66 - Autentificación con PPP
- 67 - Depurando su configuración de PPP
- 68 - Configuraciones avanzadas de PPP
- 69 - Cortafuegos de TCP/IP
- 70 - Métodos de ataque
- 71 - ¿Qué es un cortafuegos?
- 72 - ¿Qué es el filtrado de IP?
- 73 - Configuración de Linux como cortafuegos
- 74 - Las tres formas posibles de filtrado
- 75 - El cortafuegos original de IP (núcleos 2.0)
- 76 - Cortafuegos 'IP Chains' (núcleos 2.2) (I)
- 77 - Cortafuegos 'IP Chains' (núcleos 2.2) (II)
- 78 - Netfilter e 'IP Tables' (Núcleos 2.4)
- 79 - Manipulación de los bits de TOS
- 80 - Comprobación de una configuración del cortafuegos
- 81 - Un ejemplo de configuración del cortafuegos
- 82 - Contabilidad IP
- 83 - Configurando el núcleo para contabilidad IP
- 84 - Configurando Contabilidad IP
- 85 - Utilizando los resultados de contabilidad IP
- 86 - Restableciendo contadores
- 87 - Vaciando las reglas
- 88 - Colección pasiva de datos de contabilidad
- 89 - Enmascaramiento IP yTraducción de Direcciones de Red
- 90 - Efectos Laterales y Beneficios Accesorios
- 91 - Configuración del Núcleopara enmascaramiento IP
- 92 - Configuración del enmascaramiento IP
- 93 - Manipulación del Servicio de Nombres
- 94 - Mas sobre la traducción de direcciones de red
- 95 - Características Importantesde Redes
- 96 - El Super Servidor inetd
- 97 - La Facilidad de Control de Acceso tcpd
- 98 - Los Ficheros de Servicios Y Protocolos
- 99 - Llamada a Procedimiento Remoto
- 100 - Configurando el Registro y Ejecución Remotos
- 101 - El Sistema de Información de Red (NIS)
- 102 - Familiarizandose con NIS
- 103 - NIS Versus NIS+
- 104 - La Parte Cliente en NIS
- 105 - Ejecutando un Servidor NIS
- 106 - Seguridad en el Servidor NIS
- 107 - Configurando un Cliente NIS con la libc de GNU
- 108 - Escogiendo los Mapas Correctos
- 109 - Utilizando los Mapas passwd y group
- 110 - Usando NIS con Soporte de Contraseñas Ocultas
- 111 - El Sistema de Ficherosde Red
- 112 - Preparando NFS
- 113 - Montando un Volumen NFS
- 114 - Los Demonios NFS
- 115 - El Fichero exports
- 116 - Soporte para NFSv2 Basado en Núcleo
- 117 - Soporte para NFSv2 Basado en Núcleo
- 118 - IPX y el Sistema de Ficheros NCP
- 119 - Xerox, Novell, e Historia
- 120 - IPX y Linux
- 121 - Configurando el núcleo para IPX y NCPFS
- 122 - Configurando las interfaces IPX
- 123 - Configurando un Encaminador IPX
- 124 - Montando un Volumen NetWare Remoto
- 125 - Explorando Algunas de las Otras Herramientas IPX
- 126 - Imprimiendo en una Cola de Impresión NetWare
- 127 - Emulación del Servidor NetWare
- 128 - Administración deTaylor UUCP
- 129 - Transferencias UUCP y ejecución remota
- 130 - Ficheros de configuración de UUCP (I)
- 131 - Ficheros de configuración de UUCP (II)
- 132 - Controlar el acceso a las prestaciones de UUCP
- 133 - Configuración de su sistema para recibir llamadas
- 134 - Protocolos UUCP de bajo nivel
- 135 - Resolución de problemas
- 136 - Ficheros de registro y depuración
- 137 - Correo Electrónico
- 138 - ¿Qué es un mensaje de correo?
- 139 - ¿Cómo se reparte el correo?
- 140 - Direcciones de correo electrónico
- 141 - ¿Cómo funciona el encaminamiento del correo?
- 142 - como configurar elm
- 143 - Sendmail
- 144 - Instalando Sendmail
- 145 - Un Vistazo a los Ficheros de Configuración
- 146 - Los Ficheros sendmail.cf y sendmail.mc
- 147 - Generando el Fichero sendmail.cf
- 148 - Interpretación de las Reglas de Escritura - Reescritura
- 149 - Configuración de las Opciones de Sendmail
- 150 - Algunas configuraciones útiles para Sendmail
- 151 - Probando la Configuración
- 152 - Ejecución de Sendmail
- 153 - Pistas y Trucos
- 154 - Poner Exim en marcha
- 155 - Ejecución de Exim
- 156 - Si el correo no llega a su destino
- 157 - Compilar Exim
- 158 - Modos de Envío de Correo
- 159 - Otras opciones de configuración
- 160 - Encaminamiento y envío de mensajes
- 161 - Protegerse contra el "spam"
- 162 - Instalación UUCP
- 163 - Noticias
- 164 - Historia de Usenet
- 165 - Pero, ¿qué es Usenet después de todo?
- 166 - ¿Cómo maneja Usenet las noticias?
- 167 - C-News
- 168 - Enviando noticias
- 169 - Instalación
- 170 - El fichero sys
- 171 - El Fichero active
- 172 - Procesar Artículos por Lotes
- 173 - Caducando Noticias
- 174 - Ficheros Diversos
- 175 - Mensajes de Control
- 176 - C-News en un Entorno NFS
- 177 - Herramientas y Tareas de Mantenimiento
- 178 - NNTP y el Demonio nntpd
- 179 - El Protocolo NNTP
- 180 - Instalar el servidor NNTP
- 181 - Restringir el acceso con NNTP
- 182 - Autorización NNTP
- 183 - Interacción de nntpd con C News
- 184 - Noticias de Internet
- 185 - Algunos aspectos internos de INN
- 186 - INN y los lectores de noticias
- 187 - Instalación de INN
- 188 - Configuración de INN: Configuración Basica
- 189 - INN: Ficheros de Configuración (I)
- 190 - INN: Ficheros de Configuración (II)
- 191 - Activación de INN
- 192 - Uso de INN: El programa ctlinnd
- 193 - Configuración del lector de noticias
- 194 - Configuración de tin
- 195 - Configuración de trn
- 196 - Configuración de nn
- 197 - Apéndice A. Red de ejemplo:La Cervecera Virtual
- 198 - Apéndice B. Configuraciones de cableado útiles
Autor y licencia de 'Guía de Administración de Redes con Linux - Configurando Contabilidad IP'
|
Wikis relacionados con 'Guía de Administración de Redes con Linux - Configurando Contabilidad IP'
Este Cómo es la base para entender la evolución de las capacidades de Linux para...
Más »
Si observamos en el tiempo, siempre ha existido un continuo desarrollo del conocimiento contable, lo...
Más »
Antes de nada es necesario comprender cómo funciona y cómo se obtiene la hora en...
Más »
A lo largo de este trabajo se va a intentar hacer un repaso de los...
Más »
Juan Carlos Inostroza en sección Redes
DHCP es un servicio usado en redes para a)...
Más »
¿Quiénes Somos? |
Preguntas Frecuentes |
Condiciones de Uso |
Aviso Legal |
Blog |
2007 Wikilearning |
Gente Wiki
