LinuxParty
NUESTRO SITIO necesita la publicidad para costear hosting y el dominio. Por favor considera deshabilitar tu AdBlock en nuestro sitio. También puedes hacernos una donación entrando en linuxparty.es, en la columna de la derecha.
Los firewalls de juniper vienen con una plantilla de configuración contra determinados ataques conocida como screening que previene contra diferentes tipos de ataques.
El objetivo de este artículo es hacer un compendio de directivas que puedan cubrir un espectro de reglas útiles que puedan añadirse a iptables a modo del screening de juniper, siempre con precaución y no haciéndolas permanentes (no grabándolas a fichero), hasta que se compruebe que no se bloquea ningún servicio que no se debiera.
Una de los primeros problemas que nos enfrentaremos con iptables es intentar parar ataques de denegación de servicio, bien sea distribuido bien sea desde un único origen:
ANTIDoS/ANTIDDoS:
Bloqueamos paquetes con determinada longitud:
iptables -A INPUT -p tcp -d IP -m length –length 40:48 -j DROP
Bloqueamos paquetes con determinado ttl:
iptables -A INPUT -p tcp -s 0.0.0.0/0 -d IP -m ttl –ttl 111 -j DROP
SYN FLOOD PREVENTION:
$IPT -N syn-flood
$IPT -A INPUT -i eth+ -p tcp –tcp-flags SYN,ACK,FIN,RST RST -j syn-flood
$IPT -A FORWARD -i eth+ -p tcp –tcp-flags SYN,ACK,FIN,RST RST -j syn-flood
$IPT -A syn-flood -m limit –limit 4/s –limit-burst 16 -j RETURN
$IPT -A syn-flood -m limit –limit 75/s –limit-burst 100 -j RETURN -A syn-flood -j LOG –log-prefix “SYN FLOOD ” –log-tcp-sequence –log-tcp-options –log-ip-options -m limit –limit 1/second
$IPT -A syn-flood -j DROP
UDP FLOOD PREVENTION:
$IPT -A OUTPUT -p udp -m state –state NEW -j ACCEPT
$IPT -A OUTPUT -p udp -m limit –limit 100/s -j ACCEPT
$IPT -A OUTPUT -p udp -j DROP
Limitando el máximo de conexiones al puerto 80 (o otro puerto, en general defensa en capa 7):
$IPT -A INPUT -p tcp –dport 80 -m hashlimit –hashlimit-upto 50/min –hashlimit-burst 80 –hashlimit-mode srcip –hashlimit-name http -j ACCEPT
$IPT -A INPUT -p tcp –dport 80 -j DROP
Limita el máximo número de conexiones por minuto contra apache:
iptables -A INPUT -p tcp –dport 80 -m state –state NEW -m limit –limit 50/minute –limit-burst 200 -j ACCEPT
ICMP FLOOD:
Permite ping, pero a 1 paquete por segundo, evitar ataques ICMP Flood
$IPT -A INPUT -p icmp -m state –state NEW –icmp-type echo-request -m limit –limit 1/s –limit-burst 1 -j ACCEPT
$IPT -A INPUT -p icmp -j DROP
RECENT TABLE:
Por por cada ip en la tabla de recent si hace mas de x hits en x segundos, se descarta.
$IPT -I INPUT -p tcp –syn -m recent –set
$IPT -I INPUT -p tcp –syn -m recent –update –seconds 10 –hitcount 30 -j DROP
Nota: Algunas de las siguientes reglas de bloqueo DDOS (más bien mitigación), utilizan un parámetro como iplimit-above que quizás no venga con iptables que tengas instalado (con un man, deberías de poder ver si viene en la ayuda de iptables). Si es así, quizás te toque compilar el kernel con plugins para iptables/netfilter.
echo “Block DOS – Ping of Death” Bloquea por tamaño de paquetes icmp.
iptables -A INPUT -p ICMP –icmp-type echo-request -m length –length 60:65535 -j ACCEPT
echo “Block DOS – Teardrop” Bloque tráfico de entrada udp fragmentado
iptables -A INPUT -p UDP -f -j DROP
echo “Block DDOS – SYN-flood”
iptables -A INPUT -p TCP –syn -m iplimit –iplimit-above 9 -j DROP
echo “Block DDOS – Smurf”
iptables -A INPUT -m pkttype –pkt-type broadcast -j DROP
iptables -A INPUT -p ICMP –icmp-type echo-request -m pkttype –pkttype broadcast -j DROP
iptables -A INPUT -p ICMP –icmp-type echo-request -m limit –limit 3/s -j ACCEPT
echo “Block DDOS – Connection-flood”
iptables -A INPUT -p TCP –syn -m iplimit –iplimit-above 3 -j DROP
echo “Block DDOS – Fraggle” Bloquea tráfico udp de entrada broadcast y limitándolo a 3 paquetes por segundo
iptables -A INPUT -p UDP -m pkttype –pkt-type broadcast -j DROP
iptables -A INPUT -p UDP -m limit –limit 3/s -j ACCEPT
echo “Block DDOS – Jolt” Bloquea paquetes fragmentados ICMP:
iptables -A INPUT -p ICMP -f -j DROP
echo “Block DDOS – SMBnuke” Esta regla más que para parar un ataque DDOS es para bloquear el acceso al troyano SMBnuke
iptables -A INPUT -p UDP –dport 135:139 -j DROP
iptables -A INPUT -p TCP –dport 135:139 -j DROP
En este artículo, tenemos una explicación más extensa. Te gustará.
Filtrado de paquetes en Linux con IPTABLES
-
Seguridad
- Cómo saber qué versión del protocolo TLS se tiene instalada desde Linux
- Exclude dir tar gz para excluir directorios en la copia de seguridad de tar
- Script para hacer copia de seguridad de los Usuarios, Bases de Datos y /var/www/html
- Que son UEFI, BIOS y Secure Boot y cómo lo desactivo (si es necesario)
- Los ataques de PRISM vuelan bajo el radar
- Configurar OpenVPN en Linux
- Estados Unidos recurre a Amazon, Google, Microsoft y otros para ayudar a combatir el ransomware y las amenazas cibernéticas
- Cómo se utilizó MemCached para realizar ataques DDoS
- Cómo configurar un cliente VPN en Linux con OpenVPN
- Automatización con Ansible en Linux
- ¿Cómo eliminar malware de tu ordenador?
- Borrar una regla de iptables
- Cryptojacking... Qué es y cómo puedes evitarlo... El que te utilicen para minar criptomonedas
- El IRS pide ayuda para piratear carteras de hardware de criptomonedas
- Quitar o desbloquear una IP del Firewall iptables en Linux
Redes: |
 |
 |
 |
 |
Suscribete / Newsletter
El Top de LinuxParty
- Cambiar la Hora y la Fecha al sistema Linux
- Cómo configurar la tarjeta de Red Inalámbrica ( WiFi ) en Linux
- Manual para hackear una red wifi
- Cómo configurar el Modem USB o Tarjeta GPRS / 3G para Linux.
- 20 Comandos Netstat para Administradores de Redes Linux
- Tutorial de C/C++, programar paso a paso, para Linux, Windows y Mac
- 29 Prácticos ejemplos de Nmap para Administradores de Sistemas / Redes
- Exportar Bases de Datos de Access (MDB) a MySQL
- ERROR 1045: Access denied for user: 'root@localhost' (Using password: YES)
- 20 ejemplos iptables para administradores de sistemas Linux
- Cómo Montar tu Propio Wiki
- Cómo bloquear fotos e imágenes porno con SafeSquid, servidor proxy
- Introducción a los comandos SNMP, snmpwalk, snmpget, snmptranslate...
- Instalar Microsoft Office en Linux (con Wine)
- Cómo Crear una Base de Datos MySQL e inicializar los privilegios.
- Programar y depurar en un IDE para PHP con Eclipse, plugins PDT, xdebug y Remote debug
- 40 cosas que probablemente no sepas sobre Linux
- Sexo, Violencia, y Tensión en los Juegos.
- 15 Herramientas de la línea de comandos para supervisar el rendimiento de Linux
- Renombrar múltiples ficheros (quitar espacios, cambiar mayúsculas) a la vez en Linux
Donar a LinuxParty
Probablemente te niegues, pero.. ¿Podrías ayudarnos con una donación?
Tutorial de Linux
Últimos comentarios
- Aprender a programar en Basic con QB64, La versión QuickBASIC para Linux, MacOS y Windows es la opción que las escuelas deberían escoger (2)
- Por qué Linux no triunfa en el Escritorio. (1)
- Configuración del servidor DNS en Linux (3)
- Los 27 mejores IDEs para programación C/C++ o editores de código de Linux (1)
- Q4OS hace que Linux sea fácil para todos (1)
- Cómo configurar un servidor de correo con Postfix y Dovecot para diferentes necesidades (9)
- Optimizar, cambiar tamaño y peso de las imágenes desde la consola terminal Linux (1)
- Cambiar la Hora y la Fecha al sistema Linux (13)
- 20 ejemplos iptables para administradores de sistemas Linux (7)
- Crear tu propia sistema de Mensajería Instantánea / Servidor de Chat utilizando “Openfire” en Linux (11)