Configuracin del Firewall en CentOSNetfilter es un firewall basado en host para los sistemas operativos Linux. Se incluye como parte de la distribucin de Linux y es activado por defecto. Este firewall es controlada por el programa llamado iptables. Netfilter filtrado llevar a cabo a nivel de Kernel, antes de que un programa sea capaz de procesar los datos de los paquetes de red.Archivo de configuracin de iptablesLos archivos de configuracin por defecto para Red Hat Enterprise Linux / CentOS / Fedora Linux son:- /etc/sysconfig/iptables Las consecuencias de comandos del sistema que se active el firewall mediante la lectura de este archivo.Reglas de pantalla por defaultEscribimos el siguiente comando:iptables line-numbers -n L

Primera Tarea: Activar el FirewallEscribimos los siguientes comandos para activar el firewall:iptables chkconfig enservice iptables startservice iptables restart (para reiniciar el servicio) service iptables stop (para detener el servicio)

Entendiendo al FirewallHay 4 cadenas q debemos comprender: INPUTLa cadena por defecto se utiliza para los paquetes dirigidos al sistema. Utilice esta opcin para abrir o cerrar los puertos de entrada (por ejemplo, 80,25, etc y 110) y las direcciones IP / subred (por ejemplo, 202.54.1.20/29).

OUTPUTLa cadena por defecto se utiliza cuando los paquetes estn generando en el sistema. Utilice este puerto de salida y abrir o cerrar las direcciones IP / subredes.

FORWARDLas cadenas por defecto se utiliza cuando los paquetes a travs de otro interfaz. Normalmente se utiliza cuando la configuracin de Linux como router. Por ejemplo, eth0 conectado al mdem ADSL / Cable y eth1 est conectada a la LAN local. Utilice hacia adelante de la cadena para enviar y recibir trfico de red local a Internet.

RH-Firewall-1-INPUTEsta es una cadena de usuario personalizado. Es utilizado por la entrada, salida y las cadenas de FORWARD.

Significados objetivo

El objetivo ACCEPT significa permitir que los paquetes.El objetivo REJECT significa descartar el paquete y enviar un mensaje de error al host remoto.El objetivo GOTA significa descartar el paquete y no enve un mensaje de error con el servidor remoto o enviar anfitrin.

Segunda tarea: Editar /etc/sysconfig/iptables

Escribimos: # vi /etc / sysconfig / iptablesVeremos reglas por defecto de la siguiente manera:

http://www.cyberciti.biz/faq/rhel-fedorta-linux-iptables-firewall-configuration-tutorial/http://www.pello.info/filez/firewall/iptables.html#2http://www.cyberciti.biz/faq/rhel-fedorta-linux-iptables-firewall-configuration-tutorial/

TUTORIAL FIREWALL BY AARON

Empezamos el trabajo de Iptables desde la lnea de comando, en donde debemos tener los privilegios root, tomar en cuenta que los privilegios de root se usan para la mayora de cosas que estaremos haciendo durante la implementacin del firewall.

Iptables debe estar instalado por defecto en todas las instalaciones de CentOS. Podemos comprobar si Iptables est instalado en nuestros sistemas con:

Para ver si realmente iptables est ejecutndose, lo hacemos comprobando que los propios mdulos estn cargados y usamos la opcin L para inspeccionar las reglas que estn cargadas actualmente:

En las capturas anteriores vemos el conjunto de reglas predeterminadas adems del acceso al servicio SSH.Si iptables no est corriendo, lo podemos habilitar ejecutando la lnea de comando:# system-config-securitylevel

CREANDO UN CONJUNTO DE REGLAS SIMPLES

Haremos un ejemplo que nos permitir examinar los comandos de iptables. En este primer ejemplo crearemos un conjunto de reglas muy simples para configurar un cortafuegos del tipo Stateful Packet Inspection (SPI) que permite todas las conexiones salientes pero bloquea todas las conexiones entrantes indeseadas.

Lo cual nos da la siguiente salida:

Ahora vamos a ver cada uno de los siete comandos de arriba y comprender exactamente lo que acabamos de hacer:

iptables -F: Lo primero que hemos hecho es usar la opcin -F para eliminar las reglas una por una, de forma tal que comencemos con un estado limpio en el cual comenzar a adicionar reglas nuevas.

iptables -P INPUT DROP: La opcin -P fija la poltica por defecto en la cadena especificada. As que aqu estamos fijando a DROP como la poltica por defecto en la cadena INPUT. Esto quiere decir que si un paquete entrante no coincide una de las reglas siguientes ser descartado.

iptables -P FORWARD DROP : De la misma forma, aqu estamos fijando a DROP la poltica por defecto para la cadena FORWARD porque no estamos usando nuestra computadora como un enrutador as que no deberan estar pasando paquetes a travs de nuestra computadora.iptables -P OUTPUT ACCEPT: y finalmente fijamos a ACCEPT la poltica por defecto para la cadena OUTPUT porque queremos permitir todo el trfico saliente (porque confiamos en nuestros usuarios).

iptables -A INPUT -i lo -j ACCEPT: Ahora es el momento de comenzar a adicionar algunas reglas. Usamos la opcin -A para anexar (o adicionar) una regla a la cadena especfica, en este caso la cadena INPUT. Luego usamos la opcin -i (interface) para especificar los paquetes que coinciden o estn destinados a la interface lo (localhost, 127.0.0.1) y finalmente -j (jump) para saltar al objetivo de accin para el paquete que coincide con la regla, en este caso ACCEPT. As, esta regla permitir que todos los paquetes entrantes con destino a la interface localhost sean aceptados. Esto generalmente requiere que las aplicaciones de software sean capaces de comunicarse con el adaptador localhost.

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT: Esta es la regla que hace la mayor parte del trabajo y nuevamente estamos adicionando (-A) a la cadena INPUT. Aqu estamos usando la opcin -m para cargar un mdulo (state). El mdulo estado est disponible para examinar el estado de un paquete y determinar si este es nuevo (NEW), establecido (ESTABLISHED) o relacionado (RELATED). NEW se refiere a los paquetes entrantes que son conexiones entrantes nuevas que fueron iniciadas por el sistema anfitrin. ESTABLISHED y RELATED se refieren a los paquetes entrantes que son parte de una conexin ya establecida o relacionada a la conexin ya establecida.

iptables -L -v: Listar (-L) las reglas que acabamos de adicionar para comprobar que han sido cargadas correctamente.