7/21/2019 Ip Firewall

1/4

1

.........

Universidad Francisco Gavidia

Maestra en Informtica aplicada a Redes

Seguridad en Redes

IP Firewall

Prctica No 3

Leyla Rivera

Hugo Colato

Nelson Tesorero

Presentado a Ing. Luis Ernesto Escobar Brizuela

San Salvador, 29 de mayo de 2006

7/21/2019 Ip Firewall

2/4

.........1. Aislando fsicamente el segmento de red que deseamos proteger (192.168.125.0/24)

2

7/21/2019 Ip Firewall

3/4

3

.........2. Segmentar la red y creando las rutas necesarias para la comunicacin entre todos los segmentos

En PC02:

r oute ADD 192. 168. 125. 0 MASK 255. 255. 255. 0 192. 168. 85. 53 METRI C 2

3.

Habilitar el reenvio de paquetes en la maquina con el role de firewallEn el servidor de Firewall red de prueba ejecutamos el siguiente comando:

echo 1 > /proc/sys/net/ipv4/ip_forward

5. Utilizando iptables agregamos las siguientes reglas para permitir todo el trafico entre las redes:

# Flushiptables -t nat -F POSTROUTINGiptables -t nat -F PREROUTING

iptables -t nat -F OUTPUTiptables -F

iptables -P INPUT ACCEPTiptables -P FORWARD ACCEPTiptables -P OUTPUT ACCEPT

6. Agregando las siguientes reglas para que solo se puedan iniciar conexiones salientes http y bloquear todas las

conexiones entrantes:

Permitiendo solo conexiones salientes http:

iptables -A FORWARD -s 192.168.125.0/24 -i eth1 -p TCP --dport 80 -j ACCEPT

Bloqueando las conexiones entrantes

iptables -A FORWARD -s 0/0 -i eth0 -p TCP --dport 1:1024 -j DROPiptables -A FORWARD -s 0/0 -i eth0 -p UDP --dport 1:1024 -j DROPiptables -A FORWARD -s 0/0 -i eth0 -p ICMP -j DROP

7. Agregando reglas iptables para evitar que ciertos equipos de la red interna accedan a servidores externos:

Asumiendo un servidor http corriendo en el PC02:iptables -A FORWARD -s 192.168.125.2 -i eth1 -p TCP --dport 80 -j DROP

8. Habilitando conexiones entrantes solo a servicios especificos en servidores internos:

Cambiamos la ip de la PC01 a 192.168.125.3 para hacer la prueba de la siguiente regla:

iptables -A FORWARD -s 0/0 -i eth0 -d 192.168.125.3 -p TCP --dport 80 -j ACCEPT

o bien esta otra para cualquier servidor que ejecute el servicio http en el puerto 80

iptables -A FORWARD -s 0/0 -i eth0 -d 192.168.125.0/24 -o eth1 -p TCP --dport 80 -j ACCEPT

7/21/2019 Ip Firewall

4/4

.........NOTA: los comandos utilizados para ver el correcto funcionamiento de esta reglas fueron:

4

iptables -L -n -v -t filter

iptables -n -L -v -t mangleping

9.

Utilizando SNAT para crear un proxy transparente, de tal forma que todos los equipos de la red interna puedanacceder a los servicios externos utilizando la misma direccion IP.

Los equipos internos accederan a servicios externos utilizando la IP del equipo firewall trabajando como proxy con la

siguiente regla:

iptables -t nat -A POSTROUTING -s 192.168.125.0/24 -o eth0 -j SNAT --to-source 192.168.85.53

10.Utilizando DNAT para permitir que equipos externos puedan acceder a servicios especificos en la red interna.

Asumiendo que la PC01 tienen instalado el servicio apache (http) escuchando en el puerto 80 tenemos la siguienteregla:

iptables -t nat -A PREROUTING -s 0/0 -i eth0 -d 192.168.125.3 -p TCP --dport 80 -j DNAT --to-destination

192.168.125.3

11.Utilizando PAT para redireccionar el trafico http hacia un proxy externo, para habilitar la navegacion a traves deInternet de forma transparente.

La siguiente regla cambiara la direccion destino de los paquete provenientes desde la red interna por la direccion ypuerto del proxy externo siempre que la direccion fuente sea diferente a la del proxy externo:

iptables -t nat -A PREROUTING -i eth1 -s ! 209.124.102.11 -p tcp --dport 80 -j DNAT --to 209.124.102.11:8080

La siguiente regla cambia la direccion fuente de los clientes internos por la direccion del firewall trabajando comoproxy transaparente en este caso:

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.125.0/24 -d 209.124.102.11 -j SNAT --to 192.168.85.53

y la siguiente regla permite el forward de los paquetes provenientes desde la red interna hacia la direccion del proxyexterno:

iptables -A FORWARD -s 192.168.125.0/24 -d 209.124.102.11 -i eth1 -o eth0 -p tcp --dport 8080 -j ACCEPT

Nota: Con el siguiente comando logramos ver el correcto funcionamiento de los literales 9, 10 y 11 de esta guia:

iptables -L -n -v -t nat