Introducción al IPCHAINS.

Linux emphipchains es una modificación de la codificación de Linux IPv4 firewalling y una modificación de ipfwadm. Es necesaria para la administración del filtrado de paquetes de IP en las versiones 2.1.102 o posteriores.

Ipchains es la herramienta que te permite administrar los recursos de tu red a nivel ip, permitiendo el tráfico de determinados paquetes y denegando el acceso a otros, permite cerrar puertos, redireccionarlos, esconderlos, etc. Es la herramienta necesaria para montar y administrar los cortafuegos.

Ipchains se basa en una lista (cadena) de reglas que determinan el comportamiento y las decisiones a tomar sobre paquetes cuando alcanzan un interfaz de entrada o salida. Inicialmente siempre hay cadenas de reglas que son las básicas y sobre las que se construye todo lo demás. Estas son:

• Input
• Output
• Forward

Con ellas hacemos respectivamente alusión a los paquetes que entran, a los que salen, y a los que se enruta. Aparte de estas tres básicas se pueden definir otras por el usuario.

Cada lista de reglas contiene, como se ha comentado anteriormente, las reglas, a las cuales se van consultando secuencialmente desde la primera a la última, cuando se encuentra una con la que coincide el paquete, se aplica. Si al final de todas las reglas no se ha encontrado ninguna, se adopta la política por defecto que recordemos tenía dos formas: aceptar o denegar.

Los comandos para manipular las listas de reglas son (siempre en mayúsculas):

• N: Crea una nueva cadena de reglas.
• X: Borra una cadena de reglas que antes debe estar vacía.
• P: Cambia la política de la cadena de reglas. Esta puede ser ACCEPT, DENY, REJECT y MASQ (ésta solo valida en forward).
• L: Lista las reglas de la cadena de reglas.
• F: Borra todas las reglas.
• Z: Pone a cero todos los contadores de bytes en todas las reglas de la lista.

Los comandos para manipular las reglas que están dentro de la cadena:

• A: Añade una nueva regla a la cadena (la añade al final).
• I: Inserta una regla en una posición indicada.
• R: Reemplaza una regla.
• D: Borra una regla.

Las reglas suelen seguir el formato de: ipchains -(ADIR) opciones -j (salto)

Donde:

• salto: Si el paquete coincide con la susodicha regla se saltará a donde indique -j que puede ser aceptar, denegar, rejectar u otra cadena definida por el usuario. De todas formas no es imprescindible el -j.
• opciones:
  • -s fuente del paquete. Se puede expresar redes o IP, se sigue el formato: [red|ip]/mask. Si no se pone mask se usa por defecto la 32. Con 0/0 referenciamos a todo el mundo. también se pueden especificar los puertos, estos se especifican al final, tras la ip/mask y pueden ser un puerto solo o un rango que se expresa separando los puertos límites por un ``:''", para expresarlos se pueden usar números o el nombre (que se pueden encontrar en /etc/services).
  • -d igual que -s pero para destino.
  • -p especifica el protocolo (TCP, UDP, ICMP). Se pueden poner también los números equivalentes. Con el protocolo ICMP, se puede especificar el tipo y código, se puede poner en -s y -d el nombre del paquete ICMP o si se prefiere el tipo en -s y el código en -d.
  • -i especifica el interfaz por el que entra el paquete (en input) o sale (en output y forward). Se pueden especificar interfaces inexistentes. Se permite el uso del comodín ``+'' para designar un conjunto de interfaces.
  • -y referencia a los paquetes SYN que son los que se usan para iniciar una conexión. Con ! hacemos referencia a los que no son para iniciar una conexión.
  • -f la regla solo se aplicará al segundo y demás fragmentos de un paquete, no se permite especificar puertos.
  • -j especifica el objetivo de la regla que puede ser: ACCEPT, REJECT y DENY (deniegan), MASQ (aplica masquerade a un paquete, solo válida en forward), REDIRECT (redirecciona a otro puerto o máquina, RETURN (aplica la política por defecto). Se puede especificar otra cadena de reglas definidas por el usuario con lo que se aplicarán las reglas de esa cadena y luego se volverá al original. Si no se especifica -j, la regla solo realizará una actualización de la cuenta, esto es, se pueden contar el número de paquetes que cumplen la regla sin tomar acción sobre ellos (también se cuentan cuando se usa -j).
  • -l si un paquete coincide con la regla se registra en el syslog.
  • -v en conjunción con -L aumenta la información ofrecida.