Comandos Linux para Configurar Cortafuegos con Iptables

Comandos para poder configurar el cortafuegos que trae cualquier sistema Linux llamado Iptables. Con los siguientes comandos podéis ver las reglas actuales, crear reglas nuevas, modificar reglas existentes o eliminarlas.

  1. iptables -t filter -L → Mostrar todas las cadenas de la tabla de filtro.
  2. iptables -t nat -L → Mostrar todas las cadenas de la tabla nat.
  3. iptables -t filter -F → Limpiar todas las reglas de la tabla de filtro.
  4. iptables -t nat -F → Limpiar todas las reglas de la tabla nat.
  5. iptables -t filter -X → Borrar cualquier cadena creada por el usuario.
  6. iptables -t filter -A INPUT -p tcp --dport telnet -j ACCEPT → Permitir las conexiones telnet para entar.
  7. iptables -t filter -A OUTPUT -p tcp --dport http -j DROP → Bloquear las conexiones HTTP para salir.
  8. iptables -t filter -A FORWARD -p tcp --dport pop3 -j ACCEPT → Permitir las conexiones POP a una cadena delantera.
  9. iptables -t filter -A INPUT -p
    tcp -m multiport --dports 80,443,8080 -m state --state NEW -m limit
    --limit 4/sec --limit-burst 8 -j ACCEPT
     → Establecer un límite de 4 peticiones por segundo de nuevas conexiones, con posibles ráfagas
    ocasionales (útil para políticas de denegación por defecto).
  10. iptables -t filter -A INPUT -p
    tcp -m multiport --dports 80,443,8080 -m state --state
    ESTABLISHED,RELATED -m connlimit ! --conlimit-above 6 -j ACCEPT
     → Establecer un límite de 6 conexiones simultáneas por equipo a nuestro servidor web (útil para políticas de denegación por defecto).
  11. iptables -t filter -A INPUT -j LOG --log-prefix “DROP INPUT” → Registrando una cadena de entrada.
  12. iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    → Configurar un PAT (Puerto de traducción de dirección) en eth0, ocultando los paquetes de salida forzada. (Indicado para enlaces tipo
    ppp)
  13. iptables -t nat -A POSTROUTING -s 192.168.0.127 -o eth0 -j SNAT --to-source 169.158.158.169
    → Enrutar los paquetes desde 192.168.0.127 hacia otras redes por eth0 y asignarles un dirección ip externa. (Indicado para enlaces tipo ADSL)
  14. iptables -t nat -A PREROUTING -d 192.168.0.1 -p tcp -m tcp --dport 22 -j DNAT --to-destination 10.0.0.2:22 → Redireccionar los paquetes diriguidos de un host a otro.
  15. iptables -t nat -S → Listar todas las reglas activas en la tabla nat.
  16. iptables-save -c > archivo → Salvar las reglas en un archivo (incluyendo los contadores de paquetes y bytes).
  17. iptables-restore -c < archivo → Restaurar las reglas desde un archivo (incluyendo los contadores de paquetes y bytes).


Votar Entrada: 
No votes yet

Añadir nuevo comentario