Una secuencia de comandos cortafuegos básico, Linux como estación de trabajo

Hasta ahora, hemos aprendido todo sobre el uso de iptables opciones de filtrado. Ahora voy a construir un pequeño script de firewall que creo que debe ser por defecto al instalar cualquier distribución de Linux.
Por defecto, todas las distribuciones de Linux tienen la acepto la política de forma predeterminada en todas las cadenas de filtro. Además, en una instalación por defecto, la mayoría de las distribuciones de Linux dejar un montón de servicios que se ejecutan. Si instala una distribución de Linux de edad y deciden ir a comer después de que acaba de arrancar sin ningún tipo de firewall y con una dirección IP pública, buenas posibilidades son que, al tiempo que ha comido la sopa, que es un rootkit instalado en su ordenador.
Echemos un vistazo a la secuencia de comandos simples siguientes:

Por lo tanto, lo que hemos hecho aquí es establecer las cadenas INPUT y FORWARD a DROP política. La política de la cadena de producción habrá de aceptar, que es la política por defecto para esta cadena.
No vamos a añadir las reglas de la cadena hacia adelante, porque éste es un ordenador personal y no un router, por lo que la transmisión estará apagado. No vamos a añadir también las reglas en la cadena OUTPUT-cualquier cosa que se originan en Aceptar.
A continuación, se limpian todas las normas existentes fuera de la tabla de filtro. En este punto, nada realmente funciona. Algunas aplicaciones utilizan las conexiones TCP / IP en la interfaz de bucle invertido, de modo que es seguro permitir que los paquetes que vienen en lo de la interfaz "".
Hemos aprendido acerca de los ataques ICMP en el artículo 2. Sin embargo, es mi opinión de que ICMP debe permitirse. Filtrado de ICMP no le permitirá probar la conexión a Internet a través de ping, traceroute, MTR, etc, y también Path MTU Discovery no quiere trabajar, que es un protocolo muy importante en muchos casos.

Respuestas de DNS utiliza el protocolo UDP y el puerto de origen 53. Tenga en cuenta que la línea: P udp $ IPT-A INPUT-- Sport 53-j ACCEPT es una brecha de seguridad potencial. Lo dejamos así porque ya se ha señalado que esto es lo que pensamos que el firewall por defecto debe ser similar. Sin embargo, si usted no está ejecutando un servidor DNS (que no es recomendable para una computadora personal), acepta las conexiones entrantes UDP con puerto 53 sólo de DNS de su proveedor de servidores (los que tiene en / etc / resolv.conf). Por ejemplo, si DNS del proveedor de servidores 1.1.1.1 y 1.1.2.1, sustituir la línea anterior con: $ IPT-A INPUT-s 1.1.1.1-p udp - sport 53-j ACCEPT $ IPT-A INPUT-s 1.1.2.1-p udp - sport 53-j ACCEPT De este modo, será más seguro.

 

La última cosa que necesitamos para nuestra conexión a Internet para el trabajo es para permitir el tráfico TCP entrante para ya establecidas las conexiones TCP. Mejor que sea su enunciado, negar todo el tráfico TCP entrante que no pertenece a una conexión TCP que este equipo inició (negar paquetes TCP SYN).

iproute2 y Control de Tráfico

iproute2 es un paquete de software que proporciona diversas herramientas para el enrutamiento avanzado, los túneles, y control de tráfico.
iproute2 fue diseñada originalmente por Alexey Kuznetsov, y es bien conocido por la aplicación de QoS en los kernels de Linux y ahora es mantenido por Stephen Hemminger. El sitio principal para iproute2 es http://linux-net.osdl.org/index.php/Iproute2y su sitio principal de la documentación es http://www.lartc.org.
Las herramientas más importantes que ofrece son iproute2 IP y TC.
Configuración de la red: "IP" Herramienta de

La herramienta de la propiedad intelectual proporciona la mayor parte de la configuración de red que necesita un sistema Linux. Usted puede configurar las interfaces, ARP, una política de enrutamiento, túneles, etc
Ahora, con IPv4 e IPv6, IP se puede hacer casi cualquier cosa (incluyendo muchos que no necesitamos en nuestra situación particular). La sintaxis de la propiedad intelectual no es difícil, y hay un montón de documentación sobre este tema. Sin embargo, lo más importante es saber lo que necesitamos y cuando lo necesitamos.
En primer lugar, la propiedad intelectual es la principal herramienta que necesitamos para protocolos de enrutamiento dinámico (BGP, OSPF y RIP) en Linux proporcionados por Zebra, que será discutido más adelante en este artículo.
Echemos un vistazo al comando ip ayudar a ver lo que sabe IP:

El enlace IP de comandos muestra las configuraciones del dispositivo de red que puede ser cambiado con ip link set. Este comando se utiliza para modificar propiedades del dispositivo, y no la dirección IP.
Las direcciones IP se pueden configurar mediante el comando ip addr. Este comando puede ser usado para añadir una primaria o secundaria (alias) dirección IP a un dispositivo de red (ip addr add), para mostrar las direcciones IP para cada dispositivo de red (ip addr show), o para borrar las direcciones IP de las interfaces (IP del addr). Las direcciones IP también puede ser lavada con criterios diferentes, por ejemplo, dinámica ip addr flush eliminará todas las rutas añadido al núcleo de un protocolo de enrutamiento dinámico.
Vecino / gestión de la tabla ARP se realiza mediante IP vecino, que tiene unos cuantos comandos expresamente nombrado añadir, cambiar, sustituir, eliminar y color.
túnel de IP se utiliza para administrar las conexiones de túnel. Los túneles se pueden GRE, ipip, y sentarse. Vamos a incluir un ejemplo más adelante en el artículo sobre cómo construir túneles IP.
La herramienta de IP ofrece un camino para la monitorización de rutas, direcciones, y los estados de los dispositivos en tiempo real. Esto se puede lograr con el monitor de IP, rtmon, y los comandos de rtacct incluido en el paquete iproute2.
Uno muy importante y probablemente el objeto más utilizado de la herramienta de la propiedad intelectual es la ruta de propiedad intelectual, que puede hacer cualquier operación en el núcleo de tabla de enrutamiento. Tiene comandos para agregar, cambiar, sustituir, eliminar, mostrar, color, y obtener rutas.
Una de las cosas iproute2 introducido a Linux, que aseguró su popularidad fue una política de enrutamiento. Esto se puede hacer usando la regla de la propiedad intelectual y la vía de propiedad intelectual en unos pocos pasos sencillos.

Control de Tráfico: TC

El comando TC permite a los administradores crear diferentes políticas de QoS en sus redes que utilizan Linux en lugar de máquinas muy costosas dedicadas QoS. Usando Linux, puede implementar QoS en todos los medios cualquier máquina de calidad de servicio dedicado puede y aún más. Además, se puede hacer un puente con una buena PC corriendo Linux que puede ser transformado en un poderoso y muy barato dedicada QoS máquina.
Para ello, el apoyo de QoS debe estar configurado en el kernel de Linux (CONFIG_NET_QOS = "Y" y CONFIG_NET_SCHED = "Y").

Disciplinas sin clases Queue Server (qdiscs sin clases)

Qdiscs sin clase son las más sencillas, ya que sólo aceptan, gota, retrasar o reprogramar los datos. Se puede conectar a una interfaz y sólo puede dar forma a toda la interfaz.

Hay varias implementaciones qdisc en Linux, la mayoría de ellas incluidas en el kernel de Linux.

1. FIFO (pfifo y bfifo): El más simple qdisc, que funciona por el "En primer lugar, la primera descartar. Algoritmos FIFO tienen un límite de tamaño de la cola (tamaño de búfer), que puede definirse en los paquetes para pfifo o en bytes para bfifo.
2. pfifo_fast: La qdisc defecto en todas las interfaces de Linux. Es importante saber cómo funciona la pfifo_fast, así que vamos a explicar en breve.
3. Token Bucket Filter (TBF): Una qdisc simple que es perfecto para frenar una interfaz a un valor determinado. Puede permitir breves ráfagas sobre el tipo y el procesador es muy amigable.
4. Estocástico Feria Queuing (SFQ): Uno de los qdiscs más ampliamente utilizado. SFQ trata de distribuir equitativamente la transmisión de datos entre una serie de flujos.
5. Mayor Estocástico Feria Queuing (ESFQ): No incluido en el kernel de Linux, trabaja en la misma forma que SFQ con la excepción de que el usuario puede controlar más de los parámetros del algoritmo, tales como profundidad (corrientes) limitar, las opciones de tamaño de la tabla hash (codificada en SFQ original) y hash tipos.
6. Random Early Detection and Generic Random Early Detection (RED y GRED): qdiscs adecuado para los datos de columna vertebral de cola, con tasas de datos de más de 100 Mbps.

Hay más qdiscs que los que he dicho aquí. Sin embargo, desde mi experiencia, y SFQ ESFQ hacer un gran trabajo, y son los qdiscs que tengo con los mejores resultados.
Como he dicho anteriormente, la qdisc por defecto en Linux para todas las interfaces es pfifo_fast. Normalmente, uno podría pensar que esto es como pfifo, es decir, hay un buffer y los paquetes pasan a través del buffer usando la regla de First In First Out. En realidad, no es del todo cierto. pfifo_fast tiene 3 bandas-0, 1 y 2-en la que los paquetes se colocan de acuerdo a sus byte TOS. Los paquetes son enviados desde las bandas de la siguiente manera:

1. Los paquetes en la banda de 0 tienen la más alta prioridad
2. Los paquetes en la banda 1 se envían sólo si no hay ningún paquete en la banda de 0
3. Los paquetes en la banda de 2 tienen la prioridad más baja y se envían sólo si no hay ningún paquete en el 0 y el 1 de bandas.

Es importante saber esto porque esto puede ser una manera de optimizar la forma de paquetes de viaje a través de las interfaces de red de nuestro router Linux.

---

Descargo de responsabilidad:Nuestro sitio web no es responsable por el contenido de este artículo. Webarticles es un recurso de información gratuito.
Importante: Este artículo "Un libro cortafuegos básico, Linux como estación de trabajo" fue traducido por un software automático. Sentimos pena por los errores de ortografía que pueda haber ocurrido. Gracias por su comprensión.

---