Buscar Más buscado
Capitulos de este wiki
  1. 1 Prefacio
  2. 2 Fuentes de información
  3. 3 Estandares de Sistemas de Ficheros
  4. 4 Estandar del Sistema Basico Linux
  5. 5 Acerca de este Libro
  6. 6 La Versión Oficial Impresa
  7. 7 Envío de Cambios
  8. 8 Agradecimientos
  9. 9 La traducción al español
  10. 10 Historia del trabajo en redes
  11. 11 Redes tcp/ip
  12. 12 Redes uucp
  13. 13 Redes con GNU/Linux
  14. 14 Mantenimiento del Sistema
  15. 15 Interfaces de red
  16. 16 Direcciones IP
  17. 17 Resolución de direcciones
  18. 18 Encaminamiento IP
  19. 19 El Internet Control Message Protocol
  20. 20 Resolución de nombres de puesto
  21. 21 Configuración del hardware de red
  22. 22 Configuracion del núcleo
  23. 23 Un vistazo a los dispositivos de red de Linux
  24. 24 Instalación de una Ethernet
  25. 25 El controlador PLIP
  26. 26 Los controladores PPP y SLIP
  27. 27 Otros tipos de redes
  28. 28 Configuración del Hardware Serie
  29. 29 Software de Comunicaciones para Enlaces con Módem
  30. 30 Introducción a los Dispositivos Serie
  31. 31 Acceso a Dispositivos Serie
  32. 32 Hardware Serie
  33. 33 Uso de las Utilidades de Configuración
  34. 34 Dispositivos Serie y el Indicador login: (ingreso)
  35. 35 Configuración del Protocolo TCP/IP
  36. 36 Montando el Sistema de Ficheros /proc
  37. 37 Instalación de los ejecutables
  38. 38 Establecimiento del Nombre de la Maquina
  39. 39 Asignación de una dirección IP
  40. 40 Creación de Subredes
  41. 41 Preparación de los ficheros hosts y networks
  42. 42 Interfaz Configuración de la Interfaz para IP
  43. 43 Todo sobre ifconfig
  44. 44 La orden netstat
  45. 45 Comprobación de las tablas ARP
  46. 46 El servicio de nombres y su configuración
  47. 47 La biblioteca de resolución
  48. 48 Cómo funciona el DNS
  49. 49 Ejecución de named (I)
  50. 50 Ejecución de named (II)
  51. 51 Ejecución de named (III)
  52. 52 SLIP: IP por línea serie
  53. 53 Requerimientos Generales para SLIP o PPP
  54. 54 Operación de SLIP
  55. 55 Trabajando con direcciones de red IP privadas
  56. 56 Usando dip
  57. 57 Funcionamiento en modo Servidor
  58. 58 El Protocolo Punto-a-Punto
  59. 59 PPP en Linux
  60. 60 Ejecutando pppd
  61. 61 Usando los Ficheros de Opciones
  62. 62 Realización de la Llamada con chat
  63. 63 Opciones de Configuración IP
  64. 64 Opciones de Control de Enlace
  65. 65 Consideraciones de Seguridad General
  66. 66 Autentificación con PPP
  67. 67 Depurando su configuración de PPP
  68. 68 Configuraciones avanzadas de PPP
  69. 69 Cortafuegos de TCP/IP
  70. 70 Métodos de ataque
  71. 71 ¿Qué es un cortafuegos?
  72. 72 ¿Qué es el filtrado de IP?
  73. 73 Configuración de Linux como cortafuegos
  74. 74 Las tres formas posibles de filtrado
  75. 75 El cortafuegos original de IP (núcleos 2. 0)
  76. 76 Cortafuegos 'IP Chains' (núcleos 2. 2) (I)
  77. 77 Cortafuegos 'IP Chains' (núcleos 2. 2) (II)
  78. 78 Netfilter e 'IP Tables' (Núcleos 2. 4)
  79. 79 Manipulación de los bits de TOS
  80. 80 Comprobación de una configuración del cortafuegos
  81. 81 Un ejemplo de configuración del cortafuegos
  82. 82 Contabilidad IP
  83. 83 Configurando el núcleo para contabilidad IP
  84. 84 Configurando Contabilidad IP
  85. 85 Utilizando los resultados de contabilidad IP
  86. 86 Restableciendo contadores
  87. 87 Vaciando las reglas
  88. 88 Colección pasiva de datos de contabilidad
  89. 89 Enmascaramiento IP yTraducción de Direcciones de Red
  90. 90 Efectos Laterales y Beneficios Accesorios
  91. 91 Configuración del Núcleopara enmascaramiento IP
  92. 92 Configuración del enmascaramiento IP
  93. 93 Manipulación del Servicio de Nombres
  94. 94 Mas sobre la traducción de direcciones de red
  95. 95 Características Importantesde Redes
  96. 96 El Super Servidor inetd
  97. 97 La Facilidad de Control de Acceso tcpd
  98. 98 Los Ficheros de Servicios Y Protocolos
  99. 99 Llamada a Procedimiento Remoto
  100. 100 Configurando el Registro y Ejecución Remotos
  101. 101 El Sistema de Información de Red (NIS)
  102. 102 Familiarizandose con NIS
  103. 103 Nis versus nis+
  104. 104 La Parte Cliente en NIS
  105. 105 Ejecutando un Servidor NIS
  106. 106 Seguridad en el Servidor NIS
  107. 107 Configurando un Cliente NIS con la libc de GNU
  108. 108 Escogiendo los Mapas Correctos
  109. 109 Utilizando los Mapas passwd y group
  110. 110 Usando NIS con Soporte de Contraseñas Ocultas
  111. 111 El Sistema de Ficherosde Red
  112. 112 Preparando NFS
  113. 113 Montando un Volumen NFS
  114. 114 Los Demonios NFS
  115. 115 El Fichero exports
  116. 116 Soporte para NFSv2 Basado en Núcleo
  117. 117 Soporte para NFSv2 Basado en Núcleo
  118. 118 IPX y el Sistema de Ficheros NCP
  119. 119 Xerox, Novell, e Historia
  120. 120 IPX y Linux
  121. 121 Configurando el núcleo para IPX y NCPFS
  122. 122 Configurando las interfaces IPX
  123. 123 Configurando un Encaminador IPX
  124. 124 Montando un Volumen NetWare Remoto
  125. 125 Explorando Algunas de las Otras Herramientas IPX
  126. 126 Imprimiendo en una Cola de Impresión NetWare
  127. 127 Emulación del Servidor NetWare
  128. 128 Administración deTaylor UUCP
  129. 129 Transferencias UUCP y ejecución remota
  130. 130 Ficheros de configuración de UUCP (I)
  131. 131 Ficheros de configuración de UUCP (II)
  132. 132 Controlar el acceso a las prestaciones de UUCP
  133. 133 Configuración de su sistema para recibir llamadas
  134. 134 Protocolos UUCP de bajo nivel
  135. 135 Resolución de problemas
  136. 136 Ficheros de registro y depuración
  137. 137 Correo Electrónico
  138. 138 ¿Qué es un mensaje de correo?
  139. 139 ¿Cómo se reparte el correo?
  140. 140 Direcciones de correo electrónico
  141. 141 ¿Cómo funciona el encaminamiento del correo?
  142. 142 Como configurar elm
  143. 143 Sendmail
  144. 144 Instalando Sendmail
  145. 145 Un Vistazo a los Ficheros de Configuración
  146. 146 Los Ficheros sendmail. Cf y sendmail. Mc
  147. 147 Generando el Fichero sendmail. Cf
  148. 148 Interpretación de las Reglas de Escritura - Reescritura
  149. 149 Configuración de las Opciones de Sendmail
  150. 150 Algunas configuraciones útiles para Sendmail
  151. 151 Probando la Configuración
  152. 152 Ejecución de Sendmail
  153. 153 Pistas y Trucos
  154. 154 Poner Exim en marcha
  155. 155 Ejecución de Exim
  156. 156 Si el correo no llega a su destino
  157. 157 Compilar Exim
  158. 158 Modos de Envío de Correo
  159. 159 Otras opciones de configuración
  160. 160 Encaminamiento y envío de mensajes
  161. 161 Protegerse contra el "spam"
  162. 162 Instalación UUCP
  163. 163 Noticias
  164. 164 Historia de Usenet
  165. 165 Pero, ¿Qué es Usenet después de todo?
  166. 166 ¿Cómo maneja Usenet las noticias?
  167. 167 C-News
  168. 168 Enviando noticias
  169. 169 Instalación
  170. 170 El fichero sys
  171. 171 El Fichero active
  172. 172 Procesar Artículos por Lotes
  173. 173 Caducando Noticias
  174. 174 Ficheros Diversos
  175. 175 Mensajes de Control
  176. 176 C-News en un Entorno NFS
  177. 177 Herramientas y Tareas de Mantenimiento
  178. 178 NNTP y el Demonio nntpd
  179. 179 El Protocolo NNTP
  180. 180 Instalar el servidor NNTP
  181. 181 Restringir el acceso con NNTP
  182. 182 Autorización NNTP
  183. 183 Interacción de nntpd con C News
  184. 184 Noticias de Internet
  185. 185 Algunos aspectos internos de INN
  186. 186 INN y los lectores de noticias
  187. 187 Instalación de INN
  188. 188 Configuración de INN: Configuración Basica
  189. 189 INN: Ficheros de Configuración (I)
  190. 190 INN: Ficheros de Configuración (II)
  191. 191 Activación de INN
  192. 192 Uso de INN: El programa ctlinnd
  193. 193 Configuración del lector de noticias
  194. 194 Configuración de tin
  195. 195 Configuración de trn
  196. 196 Configuración de nn
  197. 197 Apéndice A. Red de ejemplo:La Cervecera Virtual
  198. 198 Apéndice B. Configuraciones de cableado útiles

Guía de Administración de Redes con Linux - El cortafuegos original de IP (núcleos 2. 0)

75 - El cortafuegos original de IP (núcleos 2. 0)

[editar]
Tutorial creado por Olaf Kirch y Terry Dawson. Extraido de: http://es.tldp.org/Manuales-LuCAS/GARL2/garl2/
14 de Febrero de 2006
< anterior | 1 ... 73 74 75 76 77 78 79 ... 198 | siguiente >

La primera generación del soporte de cortafuegos de IP para GNU/Linux apareció en la serie de núcleos 1.1. Consistía en una implementación del cortafuegos ipfw de BSD por Alan Cox. El soporte de cortafuegos que apareció en la serie de núcleos 2.0 que constituye la segunda generación fue una mejora de Jos Vos, Pauline Middelink y otros.

Uso de ipfwadm

La orden ipfwadm era la herramienta de configuración para la segunda generación de cortafuegos de IP de GNU/Linux. Quizás la forma más simple de describir el uso de la orden ipfwadm es con un ejemplo. Para empezar, se codificará el ejemplo que se presentó antes.

Un ejemplo trivial

Supóngase que se dispone de una red en nuestra organización y que se utiliza una máquina cortafuegos basada en GNU/Linux para conectar la red a Internet. Además, supóngase que se desea que los usuarios de la red sean capaces de acceder a servidores 'web' de Internet, pero que cualquier otro tipo de tráfico no sea permitido.

Se pondrá una regla de tipo 'forwarding' para permitir que los datagramas con dirección de origen en nuestra red y un conector de destino con puerto 80 sean reenviados hacia fuera, y los correspondientes datagramas de respuesta sean reenviados de vuelta vía el cortafuegos.

Asúmase que nuestra red tiene una máscara de 24 bits (clase C) y una dirección de 172.16.1.0. La reglas que se podrían utilizar serían: 

    # ipfwadm -F -f
      # ipfwadm -F -p deny
      # ipfwadm -F -a accept -P tcp -S 172.16.1.0/24 -D 0/0 80
      # ipfwadm -F -a accept -P tcp -S 0/0 80 -D 172.16.1.0/24

El argumento -F de la línea de órdenes significa especifica a ipfwadm que es una regla de tipo 'forwarding', es decir, de reenvío. La primera orden instruye a ipfwadm que se "desprenda" de todas las reglas de tipo 'forwarding'. Esto asegura que se trabajará con un estado conocido antes de que se añadan reglas específicas.

La segunda regla establece nuestra política predeterminada de reenvío. Se le dice al núcleo que niegue o que no permita el reenvío de datagramas de IP. Es muy importante establecer la política por omisión, porque describe qué le pasará a cualquier datagrama que no esté específicamente controlado por cualquier otra regla. En la mayoría de las configuraciones de cortafuegos, usted querrá establecer la política por defecto a 'deny' [1], como se muestra en el ejemplo, para estar seguro de que sólo el tráfico que usted específicamente permita pasar su cortafuegos sea reenviado.

La tercera y la cuarta reglas son las que implementan el requisito. La tercera orden permite que nuestros datagramas salgan, y la cuarta permite las respuestas de vuelta.

Vamos a revisar cada unos de los argumentos:

-F

Esta es una regla de tipo 'forwarding'.

-a accept

Añadir esta regla con la política establecida a "aceptar", lo que quiere decir que se reenviará cualquier datagrama que se ajuste a esta regla

-P tcp

Esta regla se aplica a los datagramas de TCP (en lugar de UDP o ICMP).

-S 172.16.1.0/24

Los primeros 24 bits de la dirección de origen deben coincidir con los de la dirección de red 172.16.1.0.

-D 0/0 80

La dirección de destino debe tener cero bits coincidentes con la dirección 0.0.0.0. Esto en el fondo es una forma de decir "cualquier dirección". El 80 es el puerto de destino, en este caso el de WWW. También puede utilizarse cualquier entrada que aparezca en el fichero /etc/services para describir el puerto, de tal forma que -D 0/0 www habría funcionado igual de bien.

ipfwadm acepta las máscaras de red en una forma con la que puede no esté familiarizado. La notación /nn es una forma de describir cuántos bits de la dirección suministrada son significativos, es decir, es el tamaño de la máscara de red. Los bits se cuentan siempre de izquierda a derecha; algunos ejemplos habituales se muestran en la Tabla 9-1.

Tabla 9-1. Valores habituales de máscaras de red y bits

Máscara Bits
255.0.0.0 8
255.255.0.0 16
255.255.255.0 24
255.255.255.128 25
255.255.255.192 26
255.255.255.224 27
255.255.255.240 28
255.255.255.248 29
255.255.255.252 30

Se mencionó antes que ipfwadm implementa un pequeño truco que permite que sea más fácil añadir estos tipos de reglas. Este truco consiste en el uso de la opción -b, que convierte a la orden en una regla bidireccional.

El modificador de bidireccionalidad nos permite unir nuestras dos reglas en una sola como sigue: 

    # ipfwadm -F -a accept -P tcp -S 172.16.1.0/24 -D 0/0 80 -b

Un refinamiento importante

Eche una mirada más atenta a nuestro conjunto de reglas. ¿ Puede apreciar que todavía existe un método de ataque que alguien de fuera podría utilizar para engañar a nuestro cortafuegos ?

Nuestro conjunto de reglas permite que todos los datagramas procedentes de fuera de nuestra red con un puerto de origen de 80 pasen. ¡ Esto incluiría a aquellos datagramas cuyo bit de SYN valga 1 ! El bit SYN es lo que declara a un datagrama de TCP que sea una petición de conexión. Si una persona de fuera tuviera un acceso privilegiado a un 'host', podría realizar una conexión a través de nuestro cortafuegos con cualquiera de nuestros 'hosts', dado el supuesto de que utilizará el puerto 80 en su extremo. Esto no es lo que se deseaba.

Afortunadamente, existe una solución a este problema. La orden ipfwadm proporciona otro modificador que permite construir reglas que coincidan con datagramas cuyo bit de SYN valga 1. Cambiemos nuestro ejemplo para incluir una regla de este tipo: 

    # ipfwadm -F -a deny -P tcp -S 0/0 80 -D 172.16.10.0/24 -y
      # ipfwadm -F -a accept -P tcp -S 172.16.1.0/24 -D 0/0 80 -b

El modificador -y hace que la regla coincida sólo si el bit SYN del datagrama vale 1. Así nuestra nueva regla dice: "Deniega cualquier datagrama destinado a nuestra regla procedente de cualquier sitio con un puerto de origen igual a 80 y bit SYN igual a 1", o "deniega cualquier petición de conexsión desde 'hosts' utilizando el puerto 80"

¿Por qué se ha puesto esta regla especial antes de la regla principal? Las reglas de cortafuegos de IP operan de tal forma que la primera coincidencia es la regla que se utiliza. Ambas reglas coincidirían con los datagramas que queremos detener, por tanto debemos asegurarnos que se ha puesto la regla con la instrucción deny antes que la regla con la instrucción accept.

Listado de nuestras reglas

Después de haber introducido nuestras reglas, se puede pedir a ipfwadm que las liste con la orden: 

    # ipfwadm -F -l
Esta orden mostrará todas las reglas de reenvío configuradas. La salida debería parecerse a algo como esto: 
    # ipfwadm -F -l
      IP firewall forward rules, default policy: accept
      type  prot source               destination          ports
      deny  tcp  anywhere             172.16.10.0/24       www -> any
      acc   tcp  172.16.1.0/24        anywhere             any -> www
La orden ipfwadm intentará traducir el número de puerto en un nombre de servicio utilizando el fichero /etc/services, si es que tiene alguna entrada correspondiente.

La salida por omisión carece de algunos detalles importantes para nosotros. En la salida con el listado predeterminado no se puede ver el efecto del argumento -y. La orden ipfwadm es capaz de producir un listado más detallado si se especifica además el argumento -e (salida extendida). Aquí no se muestra la salida completa porque es demasiado ancha para la página, pero sí que incluye una columna para las opciones de nombre opt que muestra la opción -y que controlla los paquetes de tipo SYN:

    # ipfwadm -F -l -e
      P firewall forward rules, default policy: accept
       pkts bytes type  prot opt  tosa tosx ifname  ifaddress   source        ...   
          0     0 deny  tcp  --y- 0xFF 0x00 any     any         anywhere      ...       
          0     0 acc   tcp  b--- 0xFF 0x00 any     any         172.16.1.0/24 ...

Un ejemplo más complejo

El ejemplo anterior era un ejemplo simple. No todo los servicios de red son tan simples de configurar como el servicio de WWWW; en la práctica, la configuración de un cortafuegos típico resultaría ser mucho más compleja. Vamos a examinar otro ejemplo común, esta vez FTP. Se quiere que los usuarios de la red interna puedan entrar en servidores de FTP de Internet para leer y escribir ficheros. Pero no se desea que personas de Internet puedan entrar en nuestros servidores de FTP.

Es sabido que FTP utiliza dos puertos de FTP: el puerto 20 (ftp-data) y el puerto 21 (ftp), por tanto: 

    # ipfwadm -a deny -P tcp -S 0/0 20 -D 172.16.1.0/24 -y
      # ipfwadm -a accept -P tcp -S 172.16.1.0/24 -D 0/0 20 -b
      #
      # ipfwadm -a deny -P tcp -S 0/0 21 -D 172.16.1.0/24 -y
      # ipfwadm -a accept -P tcp -S 172.16.1.0/24 -D 0/0 21 -b
¿Correcto? Bueno, no necesariamente. Los servidores de FTP pueden operar en dos modos diferentes: el modo pasivo y el modo activo. [2] En el modo pasivo, el servidor de FTP permanece escuchando en espera de una conexión desde el cliente. En el modo activo, es el servidor el que realmente realiza la conexión con el cliente. El modo activo es el habitual por omisión. Las diferencias se ilustran en la Figura 9-3.

Figura 9-3. Modos de un servidor de FTP

Muchos servidores de FTP realizan su conexión de datos desde el puerto 20 cuando operan en el modo activo, lo que simplifica las cosas un poco, pero, degraciadamente, no todos proceden así. [3]

Pero, ¿cómo nos afecta todo esto? Fíjese en nuestra regla del puerto 20, el puerto de datos de FTP (FTP-data). La regla, tal como se tiene en este momento, asume que la conexión será realizada por nuestro cliente al servidor. Esto funcionará si se utiliza el modo pasivo. Pero resulta muy difícil para nosotros el configurar una regla satisfactoria que permita el modo activo de FTP, porque no se puede saber de antemano qué puertos serán los utilizados. Si abrimos nuestro cortafuegos para permitir conexiones entrantes en cualquier puerto, estaríamos exponiendo nuestra red a un ataque sobre todos los servicios que acepten conexiones.

El dilema se resuelve de la forma más satisfactoria insistiendo en que nuestros usuarios operen en el modo pasivo. La mayoría de los servidores de FTP y muchos clientes de FTP funcionarán de esta forma. El cliente popular ncftp también soporta el modo pasivo, pero requiere un pequeño cambio de configuración para conseguir que su modo por omisión sea el pasivo. Muchos navegadores de 'World Wide Web' como el navegador de Netscape también soportan el modo pasivo de FTP, por lo que no debería ser muy difícil el encontrar el 'software' adecuado para utilizar. De forma alternativa, se puede evitar el asunto de forma completa utilizando un programa intermediario de FTP que acepten una conexión desde la red interna y establezca conexiones con las redes externas.

Cuando construya su cortafuegos, probablemente se encontrará con varios de estos problemas. Debería siempre pensar cuidadosamente cómo funciona un servico realmente para estar seguro de que ha puesto un conjunto de reglas adecuado a ese servicio. La configuración de un cortafuegos de verdad puede resultar bastante compleja.

Resumen de los argumentos de ipfwadm

La orden ipfwadm tiene muchos argumentos diferentes que están relacionados con la configuración del cortafuegos de IP. La sintaxis general es: 

    ipfwadm categoría orden parámetros [opciones]

Veamos cada cosa.

Categorías

Sólo puede introducirse una de estas categorías. La categoría le dice al cortafuegos qué tipo de regla de cortafuegos se está configurando:

-I

regla de tipo 'Input'

-O

regla de tipo 'Output'

-F

regla de tipo 'Forwarding'

Órdenes

Al menos una de las siguientes órdenes debe ser introducida y se aplican sólo aquellas reglas relacionadas con la categoría introducida. La orden le dice al cortafuegos qué acción debe tomar.

-a [política]

Añade una nueva regla

-i [política]

Inserta una nueva regla

-d [política]

Borra una regla existente

-p política

Establece la política por defecto

-l

Muestra todas las reglas existentes

-f

Destruye todas las reglas existentes

Las políticas relevantes para el cortafuegos de IP y sus significados son:

accept

Permite que los datagramas coincidentes sean recibidos, reenviados o transmitidos

deny

Impide que los datagramas coincidentes sean recibidos, reenviados o transmitidos

reject

Impide que los datagramas coincidentes sean recibidos, reenviados o transmitidos y envía al 'host' que envió el datagrama un mensaje de error de ICMP.

Parámetros

Al menos uno de los siguientes parámetros debe ser introducido. Utilice los parámetros para especificar a qué datagramas se aplica esta regla:

-P protocolo

Puede ser TCP, UDP, ICMP o todos. Ejemplo:

-P tcp

-S dirección[/máscara] [puerto]

La dirección IP de origen que buscar coincidencias coná con esa regla. Se asumirá una máscara de “/32” bits si no se proporciona una. Opcionalmente, puede especificar a qué puertos se aplicará esta regla. También puede especificar el protocolo utilizando el argumento -P que se describió más arriba. Si no se especifica el puerto o un rango de puertos, se supondrá que “todos” los puertos buscar coincidencias conán. Los puertos pueden especificarse por su nombre, utilizando la entrada del fichero /etc/services que desee. En el caso del protocolo de ICMP, el campo de puerto se utiliza para indicar el tipo de datagrama de ICMP. Pueden introducirse rangos de puertos; para ello utilice la sintaxis genérica: puerto inferior:puerto superior. Ejemplo:

-S 172.29.16.1/24 ftp:ftp-data

-D dirección[/máscara] [puerto]

Especifica la dirección IP de destino que buscar coincidencias coná con la regla. La dirección de destino se codifica con las mismas reglas que la dirección de origen descrita previamente. Ejemplo:

-D 172.29.16.1/24 smtp

-V dirección

Especifica la dirección del interfaz de red por el que el paquete se recibe (-I) o se envía (-O). Esto nos permite crear reglas que sólo se apliquen a ciertas interfaces de red de nuestra máquina. Ejemplo:

-V 172.29.16.1

-W nombre

Especifica el nombre del interfaz de red. Este argumento funciona de la misma manera que el argumento -V, excepto que se proporciona el nombre del dispositivo en lugar de su dirección. Ejemplo:

-W ppp0

Argumentos opcionales

Estos argumentos resultan muy útiles a veces:

-b

Utilizado para establecer el modo bidireccional. Este modificador hace que coincida el tráfico entre el origen y el destino especificados fluyendo en cualquier sentido. Esto ahorra el crear dos reglas: una para el sentido hacia delante de la conexión y otra para el sentido contrario.

-o

Esto habilita el apunte en el registro del núcleo de información sobre los datagramas coincidentes. Cualquier datagrama que coincida con esta regla será registrado en un mensaje del núcleo. Esto resulta útil para posibilitar la detección de accesos no autorizados.

-y

Utilizado para buscar coincidencias con datagramas de establecimiento de la conexión de TCP. Esta opción causa que la regla coincida sólo con los datagramas que intenten establecer conexiones de TCP. Únicamente los datagramas que tengan su bit SYN con un valor de uno, y su bit ACK con un valor de 0, buscar coincidencias conán. Esto resulta útil para filtrar los intentos de conexión de TCP y se ignora en el caso de otros protocolos.

-k

Utilizado para buscar coincidencias con datagramas de acuse de recibo de TCP. Esta opción causa que la regla coincida sólo con los datagramas que sean acuse de recibos de paquetes que intentan establecer conexiones de TCP. Únicamente los datagramas que tenga su bit ACK con valor igual a 1. Esto resulta útil para filtrar los intentos de conexión de TCP y se ignora en el caso de otros protocolos.

Tipos de datagrama de ICMP

Cada una de las órdenes de configuración del cortafuegos le permite especificar tipos de datagrama de ICMP. Al contario que los puertos de TCP y de UDP, no existe un fichero de configuración conveniente que liste los tipos de datagramas y sus significados. Los tipos de datagrama de ICMP se definen en el RFC-1700, el RFC de los números asignados. Los tipos de datagrama de ICMP aparecen también listados en uno de los ficheros de cabecera de la biblioteca estándar de C. El fichero /usr/include/netinet/ip_icmp.h, que pertenece al paquete con la biblioteca estándar de GNU, y que los programadores de C utilizan cuando escriben 'software' de red que utilice el protocolo de ICMP, también define los tipos de datagrama de ICMP. Para su conveniencia, se incluyen aquí en la Tabla 9-2 [4]. La interfaz de la orden iptables le permite especificar los tipos de ICMP por su nombre, por lo que también se muestran los nombre nemotécnicos que utiliza.

Tabla 9-2. Tipos de datagramas de ICMP

Número de tipo Nnemónico de iptables Descripción del tipo
0 echo-reply Respuesta a eco
3 destination-unreachable Destino inaccesible
4 source-quench Disminución del tráfico desde el origen
5 redirect Redirección
8 echo-request Solicitud de eco
11 time-exceeded Tiempo superado
12 parameter-problem Problema de parámetros
13 timestamp-request Solicitud de marca de tiempo
14 timestamp-reply Respuesta de marca de tiempo
15 none Solicitud de información
16 none Respuesta de información
17 address-mask-request Petición de máscara de dirección
18 address-mask-reply Respuesta de máscara de dirección

Notas

[1]

N. del T.: "denegación"

[2]

El modo activo de FTP se habilita, de forma poco intuitiva, con la orden PORT. El modo pasivo de FTP se habilita con la orden PASV.

[3]

El demonio ProFTPd constituye un buen ejemplo de un servidor de FTP que no procede así, al menos,en sus versiones antiguas.

[4]

N.del T.: se han utilizado las descripciones de la traducción al español por P.J. Ponce de León, dentro del proyecto RFC-ES, del RFC0792 "Protocolo de mensajes de control de internet"

[editar]
< anterior | 1 ... 73 74 75 76 77 78 79 ... 198 | siguiente >

Opinar
27 opiniones

s

no sirve
ayuda PLIP...!!!

Necesito saber, como poder conectar una maquina con Windows con una maquina con Linux, mediante el protocolo PLIP...!!!

Me urge....!!!!
Conculta basica.

Me doy cuenta que sabes mucho del tema y me gustaria saber si tienes o sabes de donde podria obtener informacion de computacion basica para llegar a lo que es administracion y soportem de redes que es lo que quisiera estudiar el proximo año y quiero preparme un poco yo solo se lo basico de computacion pero quiero aprender demasiado. Ojala me puedas ayudar.
Sistema operativo linux.

Hola soy jose manuel perez alvarez. Quisiera coner un poco como va el sitema operativo de linux no lo conozco, e intentado descargarmelo pero no soy capaz , le agradeceria si me pudiesen mandarme el cd de instalacion. Mi direccion vigo pontevedra. Mi apartado de correos es pibox 6181 cp 36200 vigo gracias.
Genial.

Excelente el recurso, nunca esta de mas tener esta guía al alcance de la mano.
1 2 3 4 5 6 | siguiente >

Tutoriales relacionados con 'Guía de Administración de Redes con Linux'

Guía de Seguridad del Administrador de Linux
Esta guía no es un documento general de seguridad. Esta guía está específicamente orientada a... Más »
Guía de migración de Windows a Linux
El Ministerio de Interior Alemán, ha publicado una guía para la migración de los sistemas... Más »
Spanish Linux
Esta es la primerísima edición del Linux en Castellano COMO. La audiencia a la que... Más »
Usenet bajo Linux
Este documento describe la puesta en marcha y mantenimiento de noticias de Usenet bajo Linux.... Más »
Linux pcmcia
Este documento describe cómo instalar y usar los servicios de las tarjetas PCMCIA con Linux.... Más »

Anuncios Google

Autor y licencia de 'Guía de Administración de Redes con Linux'


Tutorial de Olaf Kirch y Terry Dawson. Extraido de: http://es.tldp.org/Manuales-LuCAS/GARL2/garl2/ CopyLeft
Licencia GNU Free Documentation License: http://www.es.gnu.org/licencias/fdles.html
Este contenido ha sido recopilado por el equipo de Wikilearning. Todo el contenido recopilado se ha obtenido respetando y comunicando en nuestro site la licencia de cada fuente.
Wikilearning tiene permiso expreso por escrito de los autores para publicar los contenidos que ha extraído de otras webs, incluyendo su uso comercial.