Debe introducir al menos 3 caracteres en el buscador.
Inicio / Wikis / Tutoriales / Guía de Administración de Redes con Linux - Cortafuegos 'IP Chains' (núcleos 2.2) (I)

Guía de Administración de Redes con Linux - Cortafuegos 'IP Chains' (núcleos 2.2) (I)

 ****- (23 opiniones)
GNU Free Documentation License Tutorial de Olaf Kirch y Terry Dawson - 14 de Febrero de 2006
Temas Relacionados: Administración de redes
76. Cortafuegos 'IP Chains' (núcleos 2.2) (I)
La mayoría de los aspectos de GNU/Linux evolucionan para satisfacer las cada vez mayores demandas de sus usuarios; el cortafuegos de IP no es una excepción. La implementación del cortafuegos de IP tradicional resulta suficiente para la mayoría de las aplicaciones, pero puede resultar engorroso y poco eficiente para configurar en entornos complejos. Para resolver este problema, se desarrolló un nuevo método de configuración del cortafuegos de IP así como nuevas características relacionadas. Este nuevo método fue denominado “Cortafuegos 'IP Chains'[1]” y fue liberado por vez primera para uso general en el núcleo 2.2.0.

El soporte del cortafuegos 'IP Chains' fue desarrollado por Paul Russell y Michael Neuling[2]. Paul es el autor del documento sobre 'IP Chains' IPCHAINS-HOWTO.

El cortafuegos 'IP Chains' le permite desarrollar clases de reglas de cortafuegos a las que puede entonces añadir y quitar 'hosts' o redes. Una consecuencia colateral del encadenamiento de reglas de cortafuegos es que puede mejorar el rendiminento del cortafuegos en aquellas configuraciones en las que haya montones de reglas.

El cortafuegos 'IP Chains' está soportado por las series de núcleos 2.2 y también se encuentran disponibles como un parche para la series de núcleos 2.0.*. El HOWTO describe dónde obtener el parche y proporciona montones de pistas útiles sobre cómo utilizar de forma efectiva la utilidad de configuración ipchains.


Existen dos formas de emplear la utilidad ipchains. La primera forma consiste en utilizar el guión de "shell" ipfwadm-wrapper, que es básicamente un sustituto de la orden ipfwadm y que llama por debajo al programa ipchains. Si esto es lo que desea, no siga leyendo y relea las secciones previas que describen ipchains, poniendo ipfwadm-wrapper en su lugar. Esto funcionará, pero no se garantiza que el guión se mantenga en un futuro, y en ese caso no dispondrá de las características avanzadas que el cortafuegos 'IP Chains' vaya a ofrecer.

La segunda forma de utilizar ipchains consiste en aprender su nueva sintaxis y modificar cualquier configuración existente que exija utilizar la nueva sintaxis en lugar de la antigua. Con algunas consideraciones cuidadosas, se dará cuenta de que puede optimizar su configuración a la vez que realiza la conversión. La sintaxis de ipchains es más fácil de aprender que la de ipfwadm, por lo que resultará una buena opción.

La orden ipfwadm manipulaba tres conjuntos de reglas para el propósito de configurar el cortafuegos. Con el cortafuegos 'IP Chains', podrá crear un número arbitrario de conjuntos de reglas, cada una enlazada con otra, pero siguen estando presentes siempre tres conjuntos de reglas relacionadas con la función del cortafuegos. Los conjuntos de reglas estándares son los directos equivalentes de los utilizados con ipfwadm, exceptuando el hecho de que ahora tiene nombre: input, forward y output.

Veamos primero la sintaxis general de la orden ipchains, después se verá como utilizar ipchains en lugar de ipfwadm sin preocuparse acerca de sus características avanzadas de encadenamiento. Se hará reutilizando nuestros ejemplos anteriores


La sintaxis de la orden ipchains es bastante directa. Se contemplarán los ejemplos más importantes. La sintaxis general de la mayoría de las órdenes de ipchains es:

|| ipchains orden especificación_de_regla opciones ||


Existen diversas formas de manipular las reglas y conjuntos de reglas con la orden ipchains. Las relevantes para la funcionalidad de cortafuegos de IP son:

-A cadena

Añade una o más reglas al final de la cadena especificada. Si se proporciona un nombre de 'host' como origen o destino que se resuelve a más de una dirección IP, entonces se añade una regla por cada una de las direcciones.

-I cadena numero_de_regla

Inserta una o más reglas al principio de la cadena especificada. De nuevo, si se proporciona un nombre de 'host', se añade una regla por cada dirección que se resuelva.

-D cadena

Elimina una o más reglas de la cadena especificada que coincida con la especificación de regla.

-D cadena número_de_regla

Elimina la regla ubicada en la posición número_de_regla de la cadena especificada. Las posiciones de reglas comienzan por uno en la primera regla de la cadena.

-R cadena número_de_regla

Reemplaza la regla ubicada en la posición número_de_regla de la cadena especificada por la especificación de regla proporcionada.

-C cadena

Comprueba el datagrama que se describe con la especificación de la regla contra la cadena especificada. Esta orden devuelve un mensaje que describe cómo se procesará el datagrama por la cadena. Esto resulta muy útil para comprobar la configuración del cortafuegos, por lo que se verán más detalles un poco más adelante.

-L [cadena]

Muestra las reglas de la cadena especificada, o de todas las cadenas si no se especifica ninguna.

-F [cadena]

Elimina todas las reglas de la cadena especificada, o de todas las cadenas si no se especifica ninguna.

-Z [cadena]

Establece a cero los contadores de datagramas y bytes de la cadena especificada, o de todas las cadenas si no se especifica ninguna.

-N cadena

Crea una nueva cadena con el nombre especificado. No puede existir una cadena con el mismo nombre. Así es como se crean las cadenas de usuario.

-X [cadena]

Elimina la cadena de usuario especificada, o todas las cadenas de usuario especificadas si no se especifica ninguna cadena. Para que esta orden tenga éxito, no deben existir referencias de ninguna otra cadena de reglas a la cadena especificada.

-P política_de_cadena

Establece la política por defecto de la cadena especificada a la política especificada. Las políticas de cortafuegos válidas son ACCEPT, DENY, REJECT, REDIR, o RETURN. ACCEPT, DENY, y REJECT tienen los mismo significados que las políticas correspondientes de la implentación tradicional del cortafuegos de IP. REDIR especifica que se debe redirigir de forma transparente el datagrama a un puerto del 'host' del cortafuegos. La política RETURN causa que el código del cortafuegos de IP vuelva a la cadena de cortafuegos que hizo la llamada a la que contiene esta regla y que continúe empezando por la regla situada tras la regla que hizo la llamada.


Ciertos parámetros de ipchains crean una especificación de reglas al determinar qué tipos de paquetes coinciden. Si se omite algunos de esos parámetros de la especificación de una regla, se asumen sus valores por omisión.

-p [!]protocolo

Especifica el protocolo del datagrama que buscar coincidencias coná con esta regla. Los protocolos válidos son: tcp, udp, icmp, o todos. También puede especificarse un número de protocolo para buscar coincidencias con con otros protocolos. Por ejemplo, se puede utilizar el 4 para buscar coincidencias con el protocolo de encapsulamiento ipip. Si se proporciona el signo !, entonces la regla es negativa y el datagrama buscar coincidencias coná con cualquier protocolo que no sea el especificado. Si no se especifica este parámetro, se asumirá por omisión el valor all.

-s [!]dirección[/máscara] [!] [puerto]

Especifica la dirección de origen y el puerto del datagrama que buscar coincidencias coná con este regla. La dirección puede proporcionarse como un nombre de 'host', un nombre de red o una dirección de IP. El argumento opcional máscara es la máscara de red que se utilizará y puede ser proporcionada en la forma tradicional (e.g.,/255.255.255.0) o en la forma moderna (e.g., /24). El argumento opcional puerto especifica el puerto de TCP o UDP, o el tipo de datagrama de ICMP que buscar coincidencias coná. Se puede proporcionar una especificación de puerto sólamente si se ha proporcionado el párametro -p con uno de los protocolos tcp, udp, o icmp. Se puede especificar los puertos en la forma de un rango, especificando los límites inferior y superior con el signo : como delimitador. Por ejemplo, 20:25 describe todos los puertos que van desde el 20 hasta el 25 incluyendo ambos. De nuevo, el signo ! puede utilizarse para negar los valores.

-d [!]dirección[/máscara] [!] [puerto]

Especificar la dirección y el puerto de destino del datagrama que buscar coincidencias coná con esta regla. La codificación de este parámetro es la misma que la del parámetro -s.

-j blanco

Especifica la acción que se tomará cuando se coincida con esta regla. Puede pensarse en este parámetro como con el significado de “salta a.” Los blancos válidos son en principio las políticas ACCEPT, DENY, REJECT, REDIR, y RETURN. Se describieron sus significados más arriba. Sin embargo, también puede proporcionarse el nombre de una cadena de usuario, y será por donde el proceso continuará. Si se omite este parámetro, no se tomará ninguna acción sobre los datagramas coincidentes con la regla exceptuando la actualización de los contadores de datagrams y de bytes.

-i [!]nombre_de_interfaz

Especifica la interfaz por la que se recibió o va a transmitirse el datagrama. De nuevo, el signo ! invierte el resultado de la coincidencia. Si el nombre de la interfaz acaba con un signo + entonces cualquier interfaz que comience con la cadena proporcionada buscar coincidencias coná. Por ejemplo, -i ppp+ buscar coincidencias coná con cualquier dispositivo de red de PPP y -i ! eth+ con todas las interfaces excepto las correspondientes a dispositivos de Ethernet.

[!] -f

Especifica que esta regla se aplica a todo excepto al primer fragmento del un datagrama fragmentado.

Opciones


Las siguientes opciones de ipchains son más generales por naturaleza propia. Algunas de ellas controlan características bastante esotéricas del 'software' de 'IP Chains':

-b

Fuerza a que la orden genere dos reglas. Una ajusta el parámetro proporcionado y la otra regla añadida coincide con los parámetros en el sentido contrario.

-v

Causa que ipchains sea más explícito en su salida. Proporcionará más información.

-n

Causa que ipchains muestre las direcciones de IP y los números de puertos en forma de números sin intentar resoverlos contra sus correspondientes nombres.

-l

Habilita el registro del núcleo de los datagramas coincidentes. Cualquier datagrama que coincida con la regla será registrado por el núcleo utilizando su función printk, con lo que este registro será gestionado habitualmente por el programa sysklogd y escrito a un fichero de registro. Esto resulta muy útil para hacer visibles datagramas poco usuales.

-o[tamaño_máximo]

Causa que el 'software' de 'IP Chains' copie cualquier datagrama coincidente con la regla al dispositivo “netlink” del espacio de usuarios. El argumento de tamaño_máximo limita el número de bytes que se pasarán desde cada datagrama al dispositivo netlink. Esta opción resulta de la mayor utilidad para los desarrolladores de 'software', pero puede que sea aprovechada por paquetes de 'software' en el futuro.

-m valor_de_marca

Causa que los datagramas coincidentes sean marcados con un valor. Los valores de las marcas son números de 32 bits sin signo. En las implementaciones actuales esto no hace nada, pero en algún momento en el futuro puede que sirvan para determinar cómo otro 'software', como un código de encaminamiento, tratará al datagrama. Si un valor de una marca comienza con el signo + o con el signo -, el valor se añade o se substrae del valor actual de la marca.

-t máscara_and máscara_xor

Le permite manipular los bits del “tipo de servicio” de la cabecera de IP de cualquier datagrama que coincida con esta regla. Los bits de tipo de servicio son utilizados por los encaminadores inteligentes para gestionar la prioridad de los datagramas antes de reenviarlos. El software de encaminamiento de GNU/Linux es capaz de realizar este tipo de asignación de prioridades. La máscara_and y la máscara_xor representar máscaras de bits con las que se realizarán respectivamente un AND lógico o un OR lógico con los bits del tipo de servicio del datagrama. Esto constituye una característica avanzada que se discute con más detalle en el IPCHAINS-HOWTO.

-x

Fuerza que los números de salida de ipchains aparezcan con sus valores exactos sin ninguna aproximación.

-y

Causa que la regla coincida con cualquier datagrama de TCP cuyo bit SYN valga 1 y los bits ACK y FIN lleven un valor de 0. Esto se utiliza para filtrar las peticiones de conexión de TCP.
Tabla de contenidos
  1. 1 - Prefacio
  2. 2 - Fuentes de información
  3. 3 - Estandares de Sistemas de Ficheros
  4. 4 - Estandar del Sistema Basico Linux
  5. 5 - Acerca de este Libro
  6. 6 - La Versión Oficial Impresa
  7. 7 - Envío de Cambios
  8. 8 - Agradecimientos
  9. 9 - La traducción al español
  10. 10 - Historia del trabajo en redes
  11. 11 - Redes TCP/IP
  12. 12 - Redes UUCP
  13. 13 - Redes con GNU/Linux
  14. 14 - Mantenimiento del Sistema
  15. 15 - Interfaces de red
  16. 16 - Direcciones IP
  17. 17 - Resolución de direcciones
  18. 18 - Encaminamiento IP
  19. 19 - El Internet Control Message Protocol
  20. 20 - Resolución de nombres de puesto
  21. 21 - Configuración del hardware de red
  22. 22 - Configuracion del núcleo
  23. 23 - Un vistazo a los dispositivos de red de Linux
  24. 24 - Instalación de una Ethernet
  25. 25 - El controlador PLIP
  26. 26 - Los controladores PPP y SLIP
  27. 27 - Otros tipos de redes
  28. 28 - Configuración del Hardware Serie
  29. 29 - Software de Comunicaciones para Enlaces con Módem
  30. 30 - Introducción a los Dispositivos Serie
  31. 31 - Acceso a Dispositivos Serie
  32. 32 - Hardware Serie
  33. 33 - Uso de las Utilidades de Configuración
  34. 34 - Dispositivos Serie y el Indicador login: (ingreso)
  35. 35 - Configuración del Protocolo TCP/IP
  36. 36 - Montando el Sistema de Ficheros /proc
  37. 37 - Instalación de los ejecutables
  38. 38 - Establecimiento del Nombre de la Maquina
  39. 39 - Asignación de una dirección IP
  40. 40 - Creación de Subredes
  41. 41 - Preparación de los ficheros hosts y networks
  42. 42 - Interfaz Configuración de la Interfaz para IP
  43. 43 - Todo sobre ifconfig
  44. 44 - La orden netstat
  45. 45 - Comprobación de las tablas ARP
  46. 46 - El servicio de nombres y su configuración
  47. 47 - La biblioteca de resolución
  48. 48 - Cómo funciona el DNS
  49. 49 - Ejecución de named (I)
  50. 50 - Ejecución de named (II)
  51. 51 - Ejecución de named (III)
  52. 52 - SLIP: IP por línea serie
  53. 53 - Requerimientos Generales para SLIP o PPP
  54. 54 - Operación de SLIP
  55. 55 - Trabajando con direcciones de red IP privadas
  56. 56 - Usando dip
  57. 57 - Funcionamiento en modo Servidor
  58. 58 - El Protocolo Punto-a-Punto
  59. 59 - PPP en Linux
  60. 60 - Ejecutando pppd
  61. 61 - Usando los Ficheros de Opciones
  62. 62 - Realización de la Llamada con chat
  63. 63 - Opciones de Configuración IP
  64. 64 - Opciones de Control de Enlace
  65. 65 - Consideraciones de Seguridad General
  66. 66 - Autentificación con PPP
  67. 67 - Depurando su configuración de PPP
  68. 68 - Configuraciones avanzadas de PPP
  69. 69 - Cortafuegos de TCP/IP
  70. 70 - Métodos de ataque
  71. 71 - ¿Qué es un cortafuegos?
  72. 72 - ¿Qué es el filtrado de IP?
  73. 73 - Configuración de Linux como cortafuegos
  74. 74 - Las tres formas posibles de filtrado
  75. 75 - El cortafuegos original de IP (núcleos 2.0)
  76. 76 - Cortafuegos 'IP Chains' (núcleos 2.2) (I)
  77. 77 - Cortafuegos 'IP Chains' (núcleos 2.2) (II)
  78. 78 - Netfilter e 'IP Tables' (Núcleos 2.4)
  79. 79 - Manipulación de los bits de TOS
  80. 80 - Comprobación de una configuración del cortafuegos
  81. 81 - Un ejemplo de configuración del cortafuegos
  82. 82 - Contabilidad IP
  83. 83 - Configurando el núcleo para contabilidad IP
  84. 84 - Configurando Contabilidad IP
  85. 85 - Utilizando los resultados de contabilidad IP
  86. 86 - Restableciendo contadores
  87. 87 - Vaciando las reglas
  88. 88 - Colección pasiva de datos de contabilidad
  89. 89 - Enmascaramiento IP yTraducción de Direcciones de Red
  90. 90 - Efectos Laterales y Beneficios Accesorios
  91. 91 - Configuración del Núcleopara enmascaramiento IP
  92. 92 - Configuración del enmascaramiento IP
  93. 93 - Manipulación del Servicio de Nombres
  94. 94 - Mas sobre la traducción de direcciones de red
  95. 95 - Características Importantesde Redes
  96. 96 - El Super Servidor inetd
  97. 97 - La Facilidad de Control de Acceso tcpd
  98. 98 - Los Ficheros de Servicios Y Protocolos
  99. 99 - Llamada a Procedimiento Remoto
  1. 100 - Configurando el Registro y Ejecución Remotos
  2. 101 - El Sistema de Información de Red (NIS)
  3. 102 - Familiarizandose con NIS
  4. 103 - NIS Versus NIS+
  5. 104 - La Parte Cliente en NIS
  6. 105 - Ejecutando un Servidor NIS
  7. 106 - Seguridad en el Servidor NIS
  8. 107 - Configurando un Cliente NIS con la libc de GNU
  9. 108 - Escogiendo los Mapas Correctos
  10. 109 - Utilizando los Mapas passwd y group
  11. 110 - Usando NIS con Soporte de Contraseñas Ocultas
  12. 111 - El Sistema de Ficherosde Red
  13. 112 - Preparando NFS
  14. 113 - Montando un Volumen NFS
  15. 114 - Los Demonios NFS
  16. 115 - El Fichero exports
  17. 116 - Soporte para NFSv2 Basado en Núcleo
  18. 117 - Soporte para NFSv2 Basado en Núcleo
  19. 118 - IPX y el Sistema de Ficheros NCP
  20. 119 - Xerox, Novell, e Historia
  21. 120 - IPX y Linux
  22. 121 - Configurando el núcleo para IPX y NCPFS
  23. 122 - Configurando las interfaces IPX
  24. 123 - Configurando un Encaminador IPX
  25. 124 - Montando un Volumen NetWare Remoto
  26. 125 - Explorando Algunas de las Otras Herramientas IPX
  27. 126 - Imprimiendo en una Cola de Impresión NetWare
  28. 127 - Emulación del Servidor NetWare
  29. 128 - Administración deTaylor UUCP
  30. 129 - Transferencias UUCP y ejecución remota
  31. 130 - Ficheros de configuración de UUCP (I)
  32. 131 - Ficheros de configuración de UUCP (II)
  33. 132 - Controlar el acceso a las prestaciones de UUCP
  34. 133 - Configuración de su sistema para recibir llamadas
  35. 134 - Protocolos UUCP de bajo nivel
  36. 135 - Resolución de problemas
  37. 136 - Ficheros de registro y depuración
  38. 137 - Correo Electrónico
  39. 138 - ¿Qué es un mensaje de correo?
  40. 139 - ¿Cómo se reparte el correo?
  41. 140 - Direcciones de correo electrónico
  42. 141 - ¿Cómo funciona el encaminamiento del correo?
  43. 142 - como configurar elm
  44. 143 - Sendmail
  45. 144 - Instalando Sendmail
  46. 145 - Un Vistazo a los Ficheros de Configuración
  47. 146 - Los Ficheros sendmail.cf y sendmail.mc
  48. 147 - Generando el Fichero sendmail.cf
  49. 148 - Interpretación de las Reglas de Escritura - Reescritura
  50. 149 - Configuración de las Opciones de Sendmail
  51. 150 - Algunas configuraciones útiles para Sendmail
  52. 151 - Probando la Configuración
  53. 152 - Ejecución de Sendmail
  54. 153 - Pistas y Trucos
  55. 154 - Poner Exim en marcha
  56. 155 - Ejecución de Exim
  57. 156 - Si el correo no llega a su destino
  58. 157 - Compilar Exim
  59. 158 - Modos de Envío de Correo
  60. 159 - Otras opciones de configuración
  61. 160 - Encaminamiento y envío de mensajes
  62. 161 - Protegerse contra el "spam"
  63. 162 - Instalación UUCP
  64. 163 - Noticias
  65. 164 - Historia de Usenet
  66. 165 - Pero, ¿qué es Usenet después de todo?
  67. 166 - ¿Cómo maneja Usenet las noticias?
  68. 167 - C-News
  69. 168 - Enviando noticias
  70. 169 - Instalación
  71. 170 - El fichero sys
  72. 171 - El Fichero active
  73. 172 - Procesar Artículos por Lotes
  74. 173 - Caducando Noticias
  75. 174 - Ficheros Diversos
  76. 175 - Mensajes de Control
  77. 176 - C-News en un Entorno NFS
  78. 177 - Herramientas y Tareas de Mantenimiento
  79. 178 - NNTP y el Demonio nntpd
  80. 179 - El Protocolo NNTP
  81. 180 - Instalar el servidor NNTP
  82. 181 - Restringir el acceso con NNTP
  83. 182 - Autorización NNTP
  84. 183 - Interacción de nntpd con C News
  85. 184 - Noticias de Internet
  86. 185 - Algunos aspectos internos de INN
  87. 186 - INN y los lectores de noticias
  88. 187 - Instalación de INN
  89. 188 - Configuración de INN: Configuración Basica
  90. 189 - INN: Ficheros de Configuración (I)
  91. 190 - INN: Ficheros de Configuración (II)
  92. 191 - Activación de INN
  93. 192 - Uso de INN: El programa ctlinnd
  94. 193 - Configuración del lector de noticias
  95. 194 - Configuración de tin
  96. 195 - Configuración de trn
  97. 196 - Configuración de nn
  98. 197 - Apéndice A. Red de ejemplo:La Cervecera Virtual
  99. 198 - Apéndice B. Configuraciones de cableado útiles
Autor y licencia de 'Guía de Administración de Redes con Linux - Cortafuegos 'IP Chains' (núcleos 2.2) (I)'
Olaf Kirch y Terry Dawson Extraído de: http://es.tldp.org/Manuales-LuCAS/GARL2/garl2/ GNU Free Documentation License
Licencia GNU Free Documentation License: http://www.es.gnu.org/licencias/fdles.html
Este contenido ha sido recopilado por el equipo de Wikilearning. Todo el contenido recopilado se ha obtenido respetando y comunicando en nuestro site la licencia de cada fuente.
Wikilearning tiene permiso expreso por escrito de los autores para publicar los contenidos que ha extraído de otras webs, incluyendo su uso comercial.

Wikis relacionados con 'Guía de Administración de Redes con Linux - Cortafuegos 'IP Chains' (núcleos 2.2) (I)'

A lo largo de este trabajo se va a intentar hacer un repaso de los... Más »
Este Cómo es la base para entender la evolución de las capacidades de Linux para... Más »
En este documento se presenta la información acerca de la instalación, configuración, ejecución y mantenimiento... Más »
Este documento describe el soporte de sonido para Linux. Enumera el hardware de sonido soportado,... Más »
Josep Palau i Fabre, poeta barcelonés nacido en 1917, es uno de los máximos representantes... Más »
Gente Wiki
Jorge Benítez R.
Consultor en gestión de personal por competencias, especialista en el tema de medición y evaluación de competencias.
Mario Ceballos
Economista con estudios en contaduría especialización en docencia universitaria. Durante cerca de treinta años laboré en los bancos cafetero, exterior...
Gema
Licenciada en informatica educativa, manejo linux pero sobre me encanta las bases de datos sql.
Fero
Soy profesor de educación secundaria en méxico df y me interesa conocer sobre diferentes temas que resulten de interés para...
Cine, Filología,...
Juan Galindo
Soy ingeniero y trabajo para el gobierno mexicano, así como en la universidad nacional autonoma de méxico (unam) como profesor,...
Mantenimiento de productos electrónicos, Electrónica,...
Ricardo Sánchez
Ingeniero en electrónica y comunicaciones, maestria en adminiustración de empresas de telecomunicaciones, maestro universitarios por 20 años. Experiencia en administración...
Innovación
Suscribirse
¿Estás seguro de que deseas eliminar este capítulo?