Embed Size (px)
Citation preview
7/23/2019 Firewall Basico Iptables Sistemas
http://slidepdf.com/reader/full/firewall-basico-iptables-sistemas 1/5
Seguridad en Linux
Ejercicios para implementar un firewall básico utilizando iptables. -
Este ejercicio se basa en el escenario siguiente:
Sistemas UNI – FIIS Profesor: José Julio Gonzales Villegas 1
7/23/2019 Firewall Basico Iptables Sistemas
http://slidepdf.com/reader/full/firewall-basico-iptables-sistemas 2/5
Seguridad en Linux
Configurando las reglas iptables
1.- En el firewall, liste las reglas actuales de filtrado iptables
[root@server ~] iptables -n -!
".- Eli#ine todas las reglas definidas previa#ente por el usuario, borre el resto de las reglas, estable$ca las pol%ticas pordefecto a &'() para las cadenas *+), () /('0'&.
[root@server ~] iptables -2[root@server ~] iptables -/[root@server ~] iptables -) *+) &'()[root@server ~] iptables -) () &'()[root@server ~] iptables -) /('0'& &'()
3.- *ntente 4acer un ping al firewall desde una #a5uina cliente 0indows 2) 4abilitada desde 670are luego intente conectarse.Es posible reali$ar estas tareas8 de#9s, intente 4acer ping al cliente 0indows 2) desde el firewall ta#bin al dispositivoloopbac;.o#e nota de sus resultados.
<.- En la #a5uina firewall, a=ada las siguientes reglas para per#itir el trafico sobre la interface loopbac;:
[root@server ~] iptables - *+) -i lo -j CCE)[root@server ~] iptables - () -o lo -j CCE)
>.- *ntente 4acer un ping al dispositivo loopbac; nueva#ente. /unciona8 4ora intente conectarse via ss4 al fireweall.
?.- =ada las siguientes reglas para per#itir trafico ili#itado sobre la interface interna conectada a la red local:
Sistemas UNI – FIIS Profesor: José Julio Gonzales Villegas 2
7/23/2019 Firewall Basico Iptables Sistemas
http://slidepdf.com/reader/full/firewall-basico-iptables-sistemas 3/5
Seguridad en Linux
[root@server ~] iptables - *+) -i et41 -j CCE)[root@server ~] iptables - () -o et41 -j CCE).- &esde la estacion de trabajo 0indows intente 4acer un ping nueva#ente al firewall.
A.- )roteja la interface eBterna de pa5uetes enviados o recibidos 5ue no tengan origen o destino la *) eBterna o publica.
[root@server ~] iptables - *+) -i et4D -s D.D.D.DD -d 1F".1?A."D.1A> -j &'()[root@server ~] iptables - () -o et4D -s 1F".1?A."D.1A> -d D.D.D.DD -j &'()
F.- Estable$ca reglas para per#itir coneBiones eBternas del tipo tcp o udp en la interface eBterna o publica.
[root@server ~] iptables - *+) -i et4D -p tcp -s anD --sport :1D"3 -d 1F".1?A."D.1A> --dport 1D"<: -j CCE)[root@server ~] iptables - () -o et4D -p tcp -s 1F".1?A."D.1> --sport 1D"<: -d anD --dport :1D"3 -j CCE)[root@server ~] iptables - *+) -i et4D -p udp -s anD --sport :1D"3 -d 1F".1?A."D.1A> --dport 1D"<: -j CCE)[root@server ~] iptables - () -o et4D -p udp -s 1F".1?A."D.1A> --sport 1D"<: -d anD --dport :1D"3 -j CCE)
1D.- Configure reglas para per#itir pingGs de entrada o salida otros pa5uetes *C7)
[root@server ~] iptables - () -o et4D -p ic#p -s 1F".1?A."D.1A> -d D.D.D.DD --ic#p-tpe A -j CCE)[root@server ~] iptables - *+) -i et4D -p ic#p -s D.D.D.DD -d 1F".1?A."D.1A> --ic#p-tpe D -j CCE)[root@server ~] iptables - *+) -i et4D -p ic#p -s D.D.D.DD -d 1F".1?A."D.1A> --ic#p-tpe A -j CCE)[root@server ~] iptables - () -o et4D -p ic#p -s 1F".1?A."D.1A> -d D.D.D.DD --ic#p-tpe D -j CCE)
1D.- Estable$ca una regla para rec4a$ar solicitud de coneBiHn al puerto 113 I*&E+&J
[root@server ~] iptables - *+) -i et4D -p tcp -s D.D.D.DD -d 1F".1?A."D.1A> --dport 113 -j 'EKEC
Sistemas UNI – FIIS Profesor: José Julio Gonzales Villegas 3
7/23/2019 Firewall Basico Iptables Sistemas
http://slidepdf.com/reader/full/firewall-basico-iptables-sistemas 4/5
Seguridad en Linux
6erificando las reglas iptables.-
aJ 6erifi5ue 5ue desde la #a5uina cliente usted puede 4acer ping al firewall
bJ &esde el firewall verifi5ue 5ue puede 4acer ping al cliente
cJ &esde la #a5uina del profesor debe verificar 5ue:
i.- se puede 4acer ping al firewallii.- no se puede reali$ar coneBiones ss4 o telnetiii.- no se puede 4acer ping al clienteiv.- no se puede 4acer ss4 o telnet al cliente
Network Address Translation (NAT)
Configure + de tal #anera 5ue todas las coneBiones tcp, udp e ic#p desde la #a5uina cliente a *nternet estn en#ascaradas.'ecuerde tener activo el enca#ina#iento *) en el ;ernel.
iptables -t nat - )(L'(*+M -o et4D -p tcp -s 1D.1.D.D1? --sport 1D"<: -d 1D.1.D.D1? --dport :1D"3 -j L+ --to1F".1?A."D.1A> iptables -t nat - )(L'(*+M -o et4D -p udp -s 1D.1.D.D1? --sport 1D"<: -d 1D.1.D.D1? --dport :1D"3 -j L+ --to1F".1?A."D.1A> iptables -t nat - )(L'(*+M -o et4D -p ic#p -s 1D.1.D.D1? -d 1D.1.D.D1? -j L+ --to 1F".1?A."D.1A>
Sistemas UNI – FIIS Profesor: José Julio Gonzales Villegas 4
7/23/2019 Firewall Basico Iptables Sistemas
http://slidepdf.com/reader/full/firewall-basico-iptables-sistemas 5/5
Seguridad en Linux
Implementar las reglas FORWARD
'ecuerde 5ue las reglas + sie#pre van aco#pa=adas de reglas /('0'& para per#itir el traslado de los pa5uetes a travsdel ;ernel
[root@server ~] iptables - /('0'& -i et41 -o et4D -p tcp -s 1D.1.D.D1? --sport 1D"<: -d 1D.1.D.D1? --dport :1D"3 -j CCE)[root@server ~] iptables - /('0'& -i et4D -o et41 -p tcp -s 1D.1.D.D1? --sport :1D"3 -d 1D.1.D.D1? --dport 1D"<: -j CCE)
[root@server ~] iptables - /('0'& -i et41 -o et4D -p udp -s 1D.1.D.D1? --sport 1D"<: -d 1D.1.D.D1? --dport :1D"3 -j CCE)[root@server ~] iptables - /('0'& -i et4D -o et41 -p udp -s 1D.1.D.D1? --sport :1D"3 -d 1D.1.D.D1? --dport 1D"<: -j CCE)
[root@server ~] iptables - /('0'& -i et41 -o et4D -p ic#p -s 1D.1.D.D1? -d 1D.1.D.D1? -j CCE)[root@server ~] iptables - /('0'& -i et4D -o et41 -p ic#p -s 1D.1.D.D1? -d 1D.1.D.D1? -j CCE)
Para todos los casos considerar lo siguiente:
et4D --N interface conectada a la red pOblica *) P 1F".1?A."D.1A>
et41 --N interface conectada a la red local *) P 1D.1.D.11?
Sistemas UNI – FIIS Profesor: José Julio Gonzales Villegas
