![[imprimir]](/images/icons/print.jpg){kind=icon}
![[trackback]](/images/icons/link.jpg){kind=icon}
![[fecha]](/images/icons/calendar.jpg "Fecha de la anotación"){kind=icon}
27/11/2008 20:16:54
Trabajar con iptables en CentOS
Tampoco es la leche, pero me he encontrado gente que no sabe cómo integrar sus reglas con la gestión que hace el sistema de iptables.
¿La consecuencia? Gente que pone reglas en ficheros dentro de /etc/init.d/ (¡horror!), incluso dentro de otros ficheros existentes (¡doble horror!), ¿quién espera encontrar reglas de iptables en ficheros que no tienen nada que ver con el tema? A eso lo llamo yo un sistema insostenible.
Pues es mucho más sencillo. Resulta que CentOS es una versión de comunidad de Red Hat, así que usaremos sus herramientas (que las hay).
Lo primero que podemos pensar es que será un GUI (un interfaz gráfico de usuario), aunque sea en modo texto, y los sysadm más clásicos arrugarán la nariz (ughks!). Pues no necesariamente :P.
En primer lugar, comprobamos que iptables arranca con el sistema:
# chkconfig --list iptables iptables 0:desactivado 1:desactivado 2:desactivado 3:desactivado 4:desactivado 5:desactivado 6:desactivado
En este caso no arrancará con el sistema (los números indican los runlevels, y todos están desactivados), así que lo cambiaremos para que sí lo haga:
# chkconfig iptables on # chkconfig --list iptables iptables 0:desactivado 1:desactivado 2:activo 3:activo 4:activo 5:activo 6:desactivado
Por defecto aplica la información que tiene en un comentario /etc/init.d/iptables (chkconfig: 2345 08 92 en este caso), para decidir en qué runlevels se ejecuta.
Ahora arrancaríamos el servicio, seguido de un flush para empezar a poner nuestras reglas del cortafuegos:
# service iptables start # iptables -F # iptables -I INPUT 1 -i lo -p tcp --dport 389 -j ACCEPT # iptables -I INPUT 2 -i eth0 -p tcp --dport 389 -j REJECT
Como ejemplo he cerrado el acceso al puerto de LDAP, salvo para localhost. Tampoco voy a meterme demasiado a hablar de iptables :P.
Ahora guardamos esta configuración en el sistema:
# service iptables save Guardando las reglas del cortafuegos a /etc/sysconfig/iptables [ OK ]
Con lo que nos aseguramos que al arrancar el sistema se cargarán las reglas que hemos introducido (con las opciones start y stop podemos poner en marcha y parar iptables).
Puede ser interesante ojear /etc/sysconfig/iptables para ver que todo está correcto (es la salida de ejecutar iptables-save).
La verdad es que es bastante sencillo, y me parece muy buena idea saber cómo funcionan las cosas en el sistema en el que estamos trabajando, aunque signifique un pequeño esfuerzo extra :).
![[comentarios]](/images/icons/comment.jpg){kind=icon}
Hay 3 comentarios:
![[xml]](/images/xml.gif)
