Proyectos

Herramientas de usuario

Herramientas del sitio

Traza: linuxservidor-misc-gui
proyectos:linuxservidor-firewall

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
proyectos:linuxservidor-firewall [2019/11/12 00:37] manuel.floresvproyectos:linuxservidor-firewall [2021/02/06 19:35] (actual) manuel.floresv
Línea 1: Línea 1:
 +
 +<code bash>
 +
 iptables iptables
 INPUT - FORWARD - OUTPUT INPUT - FORWARD - OUTPUT
 +</code>
 +
 Netfilter Netfilter
 +
 Kernel Kernel
 ====== iptables ====== ====== iptables ======
-//**ping**//+ 
 +<code bash> 
 +iptables 
 +INPUT - FORWARD (routers) - OUTPUT 
 +Netfilter 
 +Kernel 
 +</code> 
 + 
 +<code bash> 
 +iptables -A OUTPUT -o enp0s3 -d IP -p tcp  --dport 80 -j ACCEPT/REJECT/DROP/LOG 
 +iptables -A OUTPUT [-i/-o] INTERFAZ [-s/-d] IP -p [tcp/udp]  [--dport/-sport] PUERTO -j ACCEPT/REJECT/DROP/LOG 
 +iptable -L 
 +iptables -P OUTPUT DROP 
 +iptables -P OUTPUT DROP 
 +iptables -A INPUT  -d 0.0.0.0/0 -p tcp  --dport 22 -j ACCEPT 
 +iptables -A OUTPUT  -m state --state=ESTABLISHED,RELATED -j ACCEPT 
 +iptables-save 
 +iptables-restore 
 +</code>
  
 ====== firewalld ====== ====== firewalld ======
 Habitualmente se usa en sistemas RedHat. Habitualmente se usa en sistemas RedHat.
  
- * **zone**: Colecciones de tarjetas de red. 
- * **interfaces**: Se asignan a las zonas 
- * **services**: Archivo XML para habilitar algun servicio 
- * **forward port**: Enviar el trafico desde un puerto a otro puerto que puede ser otra maquina 
- * **Masquerading**: Provee NAT en un router 
- * **Rich rules**: Extensión para la sintaxis y hacer cosas mas complicadas 
  
 +  * **zone**: Colecciones de tarjetas de red.
 +  * **interfaces**: Se asignan a las zonas
 +  * **services**: Archivo XML para habilitar algun servicio
 +  * **forward port**: Enviar el trafico desde un puerto a otro puerto que puede ser otra maquina
 +  * **Masquerading**: Provee NAT en un router
 +  * **Rich rules**: Extensión para la sintaxis y hacer cosas mas complicadas
  
 +
 +<code bash>
 firewalld-cmd firewalld-cmd
 firewalld-cmd --list-services firewalld-cmd --list-services
Línea 26: Línea 52:
  
 ls /usr/lib/firewalld/services ls /usr/lib/firewalld/services
 +
 +</code>
  
 ====== ufw ====== ====== ufw ======
  
 +<code bash>
 +
 +ufw enable
 +ufw allow ssh
 +ufw reject out ssh
 +ufw status
 +ufw delete reject out ssh
 +ufw deny proto tcp from 10.10.0.10 to any port 22
 +ufw reset
 +ufw app list
 +ufw app info ssh
 +ufw logging on
 +man ufw
 +</code>
 +
 +
 +  * https://www.linux.com/tutorials/introduction-uncomplicated-firewall-ufw/
 +
 +
 +
 +
 +
 +====== Ejemplos ======
 +
 +Quitar permiso que el usuario  con ID 1000 no pueda acceder al todos los hosts en el puerto 22
 +<code bash>
 +iptables -I OUTPUT -o lo -p tcp --dport 5000 --match owner --uid-owner 1000 -j DROP
 +ip6tables -I OUTPUT -o lo -p tcp --dport 5000 --match owner --uid-owner 1000 -j DROP
 +</code>
 +Reenvio del puerto 8080 al puerto 22 en la interfaz eth0
 +<code bash>
 +iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j REDIRECT --to-port 22
 +</code>
 +
 +Bloqueo de un puerto 25
 +<code bash>
 +iptables -A INPUT -s 0.0.0.0/0 -p tcp --destination-port 25 -j DROP
 +</code>
 +====== Referencias ======
  
 +  * https://unix.stackexchange.com/questions/486945/restrict-local-port-access-to-a-specific-user
 +  * https://www.cyberciti.biz/faq/linux-port-redirection-with-iptables/
 +  * https://www.cyberciti.biz/faq/how-do-i-block-an-ip-on-my-linux-server/
 +  * https://www.debuntu.org/how-to-redirecting-network-traffic-to-a-new-ip-using-iptables/
 +  * https://www.tecmint.com/setup-linux-as-router/
 +  * https://www.thomas-krenn.com/en/wiki/Saving_Iptables_Firewall_Rules_Permanently
 +  * http://jensd.be/343/linux/forward-a-tcp-port-to-another-ip-or-port-using-nat-with-iptables
proyectos/linuxservidor-firewall.1573519050.txt.gz · Última modificación: por manuel.floresv