iptables

  • Recientemente en uno de los servidores Web bajo mi ala estuve recibiendo múltiples intentos de ataque desde un servidor Chino. En general les resto importancia ya que no tienen éxito (son robots instalados en servidores de terceros comprometidos que intentan vectores de ataques muy comunes) pero en este caso me hartó porque se venía repitiendo durante varios días.

  • Este artículo explica cómo borrar reglas de iptables de forma rápida y sencilla.

  • En un nuevo servidor LAMP (Linux, Apache, PHP, MySQL) con Debian 7 tuve la necesidad de desarrollar mi propio cortafuegos (firewall), utilizando la herramienta iptables y el paquete "iptables-persistent".

  • Si se desea detener el firewall temporalmente en Red Hat desde la consola se debe detener el servicio iptables.

  • Sospechamos que posiblemente se esté enviando SPAM desde uno de nuestros servidores (tal vez desde un sitio Wordpress comprometido) y queremos monitorear y registrar (loguear en Spanglish) todo intento de conexión TCP saliente hacia puertos 25 (SMTP) y 587 (SMTPS). Para ello es posible recurrir a la capacidad de logueo de iptables (o UFW en Ubuntu y derivados), a través de reglas simples.

  • UFW (Uncomplicated Firewall) es el cortafuegos (firewall) por defecto en Ubuntu. Se trata de una capa de abstracción a iptables, que pretende simplificar la gestión de reglas de filtrado y creación de un firewall básico. En los sistemas con entorno gráfico se dispone de una interfaz gráfica (Gufw) para usuarios menos expertos. Este artículo explica cómo listar y eliminar reglas de UFW forma sencilla en Ubuntu.

    En anteriores artículos he explicado cómo borrar una regla de iptables, cómo crear un firewall simple con iptables, e incluso he publicado un tutorial básico de iptables con el objetivo de comprender su funcionamiento y reglas en pocos minutos.

    Nunca voy a entender por qué tantos desarrolladores se empecinan en reinventar la rueda creando capas de abstracción que podan funcionalidades a herramientas existentes. Especialmente cuando se trata de iptables, pues sus reglas son simples e intuitivas. Sin embargo, a veces se debe trabajar sobre sistemas de clientes donde no es posible o factible optar por las mejores tecnologías, y uno debe trabajar con lo que tiene a su disposición. Por ello, en este artículo voy a demostrar cómo listar y eliminar reglas del firewall con UFW.

  • Se me ocurrió bloquear intentos de acceso a ciertas URLs en mi servidor Web. Al buscar alternativas para realizar esta tarea, lo primero que surge es fail2ban. Pero me pareció que, para este caso en particular, era como matar una mosca con una bazooka. Por ello decidí implementar un pequeño script bash que corra periódicamente desde cron.

  • El plugin iptables de collectd se encarga de recuperar contadores de paquetes y bytes del firewall del kernel Linux para IPv4 e IPv6. Este plugin requiere que se especifique qué reglas se desean monitorear (seleccionar qué contadores registrar). Es posible seleccionar reglas de una tabla y cadena por su comentario o por su número de regla (posición).

    Dependiendo de la configuración de cada firewall es posible recolectar estadísticas de paquetes/bytes para cierto servicio, host fuente/destino, paquetes descartados, etc.

    Un aspecto interesante, desde el punto de vista de la eficiencia de la implementación, es que este plugin utiliza la librería libiptc en lugar de la herramienta iptables. Esto significa que se comunica directamente con el kernel y la sobrecarga es tan baja como sea posible. Cabe recordar que collectd está especialmente enfocado en la eficiencia ya que apunta a ser utilizado en sistemas embebidos y routers (OpenWRT).

    Este artículo demuestra cómo configurar el plugin iptables de collectd para visualizar contadores de bytes y paquetes con Grafana.

  • Un firewall (cortafuegos en español) es una medida de protección básica en un servidor. Es utilizado para filtrar o restringir el tráfico de red en un sistema, tanto entrante como saliente. En los sistemas operativos Linux, iptables es la herramienta más ampliamente utilizada para implementar firewalls. Esta es una interfaz de alto nivel al framework de filtrado de paquetes netfilter, parte de la pila de red del kernel Linux. Este tutorial trata de clarificar el significado de las tablas, cadenas, reglas y targets, así como hacer una breve introducción al uso y funcionamiento de iptables.

  • Luego de 5 días de ataques bloqueados por GTFO, finalmente se saturó el firewall y se cayó el servicio. ¿Es el remedio es peor que la enfermedad?

  • Hace un tiempo escribí un tutorial básico sobre iptables que permite entender los conceptos básicos detrás del firewall (cortafuegos) del kernel Linux. En ese tutorial demostré cómo listar las reglas de las diferentes cadenas de una tabla. Veamos ahora cómo es posible listar o visualizar los contadores para cada regla de una cadena, junto con su respectivo número.