ip firewall
TRANSCRIPT
-
7/21/2019 Ip Firewall
1/4
1
.........
Universidad Francisco Gavidia
Maestra en Informtica aplicada a Redes
Seguridad en Redes
IP Firewall
Prctica No 3
Leyla Rivera
Hugo Colato
Nelson Tesorero
Presentado a Ing. Luis Ernesto Escobar Brizuela
San Salvador, 29 de mayo de 2006
-
7/21/2019 Ip Firewall
2/4
.........1. Aislando fsicamente el segmento de red que deseamos proteger (192.168.125.0/24)
2
-
7/21/2019 Ip Firewall
3/4
3
.........2. Segmentar la red y creando las rutas necesarias para la comunicacin entre todos los segmentos
En PC02:
r oute ADD 192. 168. 125. 0 MASK 255. 255. 255. 0 192. 168. 85. 53 METRI C 2
3.
Habilitar el reenvio de paquetes en la maquina con el role de firewallEn el servidor de Firewall red de prueba ejecutamos el siguiente comando:
echo 1 > /proc/sys/net/ipv4/ip_forward
5. Utilizando iptables agregamos las siguientes reglas para permitir todo el trafico entre las redes:
# Flushiptables -t nat -F POSTROUTINGiptables -t nat -F PREROUTING
iptables -t nat -F OUTPUTiptables -F
iptables -P INPUT ACCEPTiptables -P FORWARD ACCEPTiptables -P OUTPUT ACCEPT
6. Agregando las siguientes reglas para que solo se puedan iniciar conexiones salientes http y bloquear todas las
conexiones entrantes:
Permitiendo solo conexiones salientes http:
iptables -A FORWARD -s 192.168.125.0/24 -i eth1 -p TCP --dport 80 -j ACCEPT
Bloqueando las conexiones entrantes
iptables -A FORWARD -s 0/0 -i eth0 -p TCP --dport 1:1024 -j DROPiptables -A FORWARD -s 0/0 -i eth0 -p UDP --dport 1:1024 -j DROPiptables -A FORWARD -s 0/0 -i eth0 -p ICMP -j DROP
7. Agregando reglas iptables para evitar que ciertos equipos de la red interna accedan a servidores externos:
Asumiendo un servidor http corriendo en el PC02:iptables -A FORWARD -s 192.168.125.2 -i eth1 -p TCP --dport 80 -j DROP
8. Habilitando conexiones entrantes solo a servicios especificos en servidores internos:
Cambiamos la ip de la PC01 a 192.168.125.3 para hacer la prueba de la siguiente regla:
iptables -A FORWARD -s 0/0 -i eth0 -d 192.168.125.3 -p TCP --dport 80 -j ACCEPT
o bien esta otra para cualquier servidor que ejecute el servicio http en el puerto 80
iptables -A FORWARD -s 0/0 -i eth0 -d 192.168.125.0/24 -o eth1 -p TCP --dport 80 -j ACCEPT
-
7/21/2019 Ip Firewall
4/4
.........NOTA: los comandos utilizados para ver el correcto funcionamiento de esta reglas fueron:
4
iptables -L -n -v -t filter
iptables -n -L -v -t mangleping
9.
Utilizando SNAT para crear un proxy transparente, de tal forma que todos los equipos de la red interna puedanacceder a los servicios externos utilizando la misma direccion IP.
Los equipos internos accederan a servicios externos utilizando la IP del equipo firewall trabajando como proxy con la
siguiente regla:
iptables -t nat -A POSTROUTING -s 192.168.125.0/24 -o eth0 -j SNAT --to-source 192.168.85.53
10.Utilizando DNAT para permitir que equipos externos puedan acceder a servicios especificos en la red interna.
Asumiendo que la PC01 tienen instalado el servicio apache (http) escuchando en el puerto 80 tenemos la siguienteregla:
iptables -t nat -A PREROUTING -s 0/0 -i eth0 -d 192.168.125.3 -p TCP --dport 80 -j DNAT --to-destination
192.168.125.3
11.Utilizando PAT para redireccionar el trafico http hacia un proxy externo, para habilitar la navegacion a traves deInternet de forma transparente.
La siguiente regla cambiara la direccion destino de los paquete provenientes desde la red interna por la direccion ypuerto del proxy externo siempre que la direccion fuente sea diferente a la del proxy externo:
iptables -t nat -A PREROUTING -i eth1 -s ! 209.124.102.11 -p tcp --dport 80 -j DNAT --to 209.124.102.11:8080
La siguiente regla cambia la direccion fuente de los clientes internos por la direccion del firewall trabajando comoproxy transaparente en este caso:
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.125.0/24 -d 209.124.102.11 -j SNAT --to 192.168.85.53
y la siguiente regla permite el forward de los paquetes provenientes desde la red interna hacia la direccion del proxyexterno:
iptables -A FORWARD -s 192.168.125.0/24 -d 209.124.102.11 -i eth1 -o eth0 -p tcp --dport 8080 -j ACCEPT
Nota: Con el siguiente comando logramos ver el correcto funcionamiento de los literales 9, 10 y 11 de esta guia:
iptables -L -n -v -t nat