LinuxParty
Para poder tener un firewall sencillo de mantener y no un conjunto disperso de reglas podemos crear chains reutilizables para agregarlas a diversos puntos del proceso o simplemente para agrupar parte de la lógica del filtrado.
Vamos a suponer un caso simplificado con una única regla: Teniendo un sistema con un conjunto de proxys (puerto 3128) se quiere habilitar el acceso remoto desde unos determinados rangos. Hasta el momento existe la siguiente regla: :
# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination REJECT tcp -- anywhere anywhere tcp dpt:squid reject-with tcp-reset Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
Lo simple sería agrear a la chain INPUT el listado de rangos permitidos, pero si crecen mucho los rangos o bien se desean abrir otros puertos para los mismos rangos acabaremos teniendo un listado de reglas imposible de tratar. Para evitar esto podemos crear una nueva chain:
# iptables -N EXTERNOS
Mediante iptables -L podremos verla:
# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination REJECT tcp -- anywhere anywhere tcp dpt:squid reject-with tcp-reset Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain EXTERNOS (0 references) target prot opt source destination
A continuación añadiremos los rangos o conjuntos de IPs de una forma genérica para luego poder reaprovechar la chain:
# iptables -A EXTERNOS -s 84.88.0.0/24 -j ACCEPT # iptables -A EXTERNOS -s 213.55.111.66/32 -j ACCEPT
Como regla final añadiremos un REJECT con un tcp-reset para evitar que aparezca como filtered con nmap y el resto un DROP:
# iptables -A EXTERNOS -p tcp -j REJECT --reject-with tcp-reset # iptables -A EXTERNOS -j DROP
A continuación eliminaremos la regla genérica de REJECT que teníamos definida al principio:
# iptables -D INPUT -i eth0+ -p tcp -m tcp --dport 3128 -j REJECT --reject-with tcp-reset
Y añadiremos el acceso a la chain especificando el tráfico que queremos filtrar:
# iptables -A INPUT -i eth0+ -p tcp -m tcp --dport 3128 -j EXTERNOS
Con esto ya tendremos la regla substituida por un acceso filtrado según la chain:
# iptables -L -nv Chain INPUT (policy ACCEPT 363M packets, 86G bytes) pkts bytes target prot opt in out source destination 10 440 EXTERNOS tcp -- eth0+ * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 529M packets, 671G bytes) pkts bytes target prot opt in out source destination Chain EXTERNOS (1 references) pkts bytes target prot opt in out source destination 8 336 ACCEPT all -- * * 84.88.0.0/24 0.0.0.0/0 0 0 ACCEPT all -- * * 213.55.111.66 0.0.0.0/0 2 104 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Una vez comprobada la nueva configuración podremos guardarla permanentemente mediante un iptables save:
# /etc/init.d/iptables save Saving firewall rules to /etc/sysconfig/iptables: [ OK ]
En el caso tanto de querer dar acceso a los mismos clientes por otros puertos sólo se debería añadir una regla para el puerto en concreto, de la misma manera si se quiere añadir una nueva red sólo se deberá modificar la chain independientemente del número de puertos.
Vía: systemadmin

-
Internet
- La industria de certificados HTTPS adopta nuevos requisitos de seguridad
- 6 Razones por las que tu web ha perdido posicionamiento y tráfico en Internet
- Comprobar la velocidad de Internet desde la línea de comandos en Linux
- Los cortes de Internet alcanzan niveles récord en África, donde el acceso se convierte en un arma
- Compartir o Enviar archivos sin una Red Local o LAN con woof
- Se desactivan cuentas de WordPress.org para colaboradores que supuestamente planean una bifurcación - por el CEO de Automattic
- El director de inteligencia artificial de Microsoft afirma que la inteligencia artificial conversacional reemplazará a los navegadores web
- Cómo usar una VPN en Linux y por qué deberías hacerlo
- La muerte lenta del hipervínculo
- Cómo cambiar dirección IP (modo gráfico), por qué querría hacerlo y cuándo no debería hacerlo
- 10 comandos "IP" útiles para configurar interfaces de red
- Cómo configurar conexiones IP de red usando 'nmcli' en Linux
- Configuración de una IP Estática en una Tarjeta de Red en Linux.
- ¿Migrar a la nube? Marque esta lista de verificación
- Nuevo estándar de Internet L4S: el plan silencioso para hacer que Internet se sienta más rápido