tuc-315 habilitación profesional · enseñanza de los alumnos de pre-básica y básica, y el otro...
TRANSCRIPT
Universidad Católica del Maule
Facultad de Ciencias de la Ingeniería Técnico Universitario en Computación
TUC-315 Habilitación Profesional
INFORME DE PRÁCTICA
CRISTIÁN ARMANDO MENA LARA.
Talca, Mayo de 2006
Agradecimientos-
Estas son algunas palabras de agradecimiento a las personas que me ayudaron,
apoyaron y confiaron en mi, a lo largo de mi vida y de esta carrera.
En primer lugar quiero agradecer a Dios que me ha acompañado en los momentos
buenos y malos de la vida, y me dio la fuerza para terminar la carrera.
También agradezco a mi padre Domingo Mena y a mi madre Nilda Lara, por el
sacrificio que hicieron para poder darme estudios, y la confianza y el apoyo que
me dieron.
A mis hermanos, Mauricio y Cecilia, por toda la ayuda y apoyo brindado a lo largo
de esta carrera.
A mis familiares que se preocuparon de cómo me iba en mis estudios.
A los profesores de la Universidad que dieron lo mejor de ellos para que
pudiéramos terminar los cursos con el mayor conocimiento y experiencia posible.
A mis compañeros que me apoyaron y ayudaron a lo largo de la carrera.
A mis amigos que siempre estuvieron ahí cuando los necesite, y agradecerles el
aliento que me brindaron.
Espero no haber dejado a nadie a fuera y darles a todos las gracias que se
merecen.
Índice de contenidos.
1.- Introducción ……………………………….………………………….......……........ 1
1.1.- Lugar de Trabajo………………………………………………….............. 2
1.2.- La Institución……………………………………………………....….…..... 3
1.3.- Infraestructura……………………….……….……………….................... 5
2.- Descripción del problema ……………...........…………………….……...…....... 8
2.1.- Creación de un Firewall y Gateway bajo Linux……………………….... 8
2.2.- Mantenimiento………………………………...………………………...... 11
3.- Descripción de las competencias puestas en prác tica …........................... 12
3.1.- Creación de un Firewall y Gateway bajo Linux.…………………......... 12
3.2.- Mantenimiento………………………………..….……………………...... 13
4.- Descripción de la solución propuesta .......................................................... 14
4.1.- Creación de un Firewall y Gateway bajo Linux…............................... 14
4.1.1.- Desarrollo de Firewall……………………………………......... 15
4.1.2.- Creación del Script……………………………………….......... 19
4.2.- Mantenimiento……………………………..…………………………....... 28
5.- Conclusión ...………………………………………………………….................... 30
6.- Bibliografía ……………………………….………………………………............... 31
7.- Glosario ........................................................................................................... 32
8.- Anexos .……..…………………………………………………………...………...... 34
8.1.- Script del Firewall………..................................................................... 34
8.2.- Documentos práctica.......................................................................... 40
Índice figuras.
Figura 1 . Organigrama Colegio Juan Piamarta.………………………….................. 4
Figura 2. Diagrama inicial de la red local….......................................................... 10
Figura 3. Esquema de un Firewall y Gateway...................................................... 15
Figura 4. Modificación de la topología con implementación del Firewall.............. 17
Figura 5. Configuración final de la red local.......................................................... 18
Figura 6. Interfaz estándar de línea de comando................................................. 19
Figura 7. Flush de reglas ipatables....................................................................... 20
Figura 8. Política por defecto................................................................................ 20
Figura 9. Aceptar conexiones locales................................................................... 21
Figura 10. Acceso ha la red local.......................................................................... 21
Figura 11. Enmascaramiento de la red local......................................................... 21
Figura 12. Activar forward de paquetes................................................................ 22
Figura 13. Re-direccionamiento de puerto............................................................ 22
Figura 14. Habilitar puertos de servicios............................................................... 22
Figura 15. Cerrar puerto de webmin..................................................................... 23
Figura 16. Cerrar puertos bien conocidos............................................................. 23
Figura 17. Bloqueo de página no deseadas......................................................... 24
Figura 18. Permiso de ejecución........................................................................... 24
Figura 19. Ejecución en el inicio del Script............................................................ 24
Figura 20. Respuesta de comando ping............................................................... 25
Figura 21. Respuesta de comando nmap............................................................. 26
Figura 22. Respuesta comando netstat................................................................ 26
Figura 23. La herramienta IPTraf en funcionamiento............................................ 27
Figura 24. La conexión de un punto al Hub o Swtch............................................ 29
1
1.- Introducción.
En este informe se expone el problema de la organización y se describe las
soluciones planteadas y desarrolladas en la práctica, que se llevo acabo en el
periodo comprendido entre Agosto y Diciembre del 2004, con un total de 400
horas, para cumplir con los requerimientos de la carrera de Técnico Universitario
en Computación de la Universidad Católica del Maule, para acceder al título, de
acuerdo al reglamento de titulación de la carrera.
Esta práctica se realizó en el establecimiento educacional Juan Piamarta. Este
colegio imparte una educación Científico Humanista y Técnico Profesional, posee
una gran cantidad de computadores divididos principalmente en dos laboratorios.
El desempeño en el establecimiento fue mantener en buen funcionamiento los
equipos y la red de institución, para ello utilice el conocimiento en el área de
Soporte Técnico, y mis principales actividades fueron:
• Reparación y mantenimiento de equipos.
• Instalación y configuración de Hardware.
• Instalación y configuración de Software.
• Administración de la red local de la institución.
La supervisión del trabajo en todas las actividades realizadas estuvo a cargo del
jefe del área Técnico Profesional Gustavo Uribe Nadeau.
2
1.1.- Lugar de trabajo.
Principalmente las actividades se desarrollaron en los laboratorios de computación
y en la oficina donde permanecen las conexiones y el servidor del sistema del
establecimiento, también aquí se encuentra la conexión a Internet, donde se
realiza el principal cambio. Para ello es proporcionado un computador con un
procesador Pentium IV con 1.7Ghz, 128Mb en RAM, disco duro de 15Gb, también
con conectividad a Internet y a la red local, este equipo fue utilizado para la
creación del Firewall y Gateway de la red local, para este fin se utilizó la
distribución Fedora Core 2 del sistema operativo GNU/Linux.
- Horario.
El horario no fue tan regular, ya que tuvo que congeniar con el horario de clases,
porque la práctica estuvo comprendida entre el 2 de Agosto y el 17 de Diciembre
del 2004.
La distribución horaria semanal fue la siguiente:
Lunes:
• Desde las 8:30 hasta las 12:30 horas.
De Martes a Jueves:
• Desde las 8:30 hasta las 13:15 horas.
Viernes:
• Desde las 8:30 hasta las 10:00 horas y en la tarde de las 14:30 hasta 18:30
horas.
El problema de horario fue conversado previamente con la persona responsable
de la de la práctica, llegando a un buen acuerdo para cumplir con las 400 horas de
práctica que estipula el reglamento del proceso de titulación de la carrera.
3
- Cargos desempeñados.
Principalmente fueron dos cargos desempeñados: Administrador de Redes, y
Soporte Técnico. En el primer cargo las principales tareas fueron: la nueva
configuración de la red local para la introducción del Firewall, y configuración de
este último. En el segundo cargo las tareas fueron la reparación y mantenimiento
de equipos, y la instalación y configuración de Software y Hardware.
1.2.- La Institución.
- Descripción general.
Esta práctica fue realizada en el colegio particular subvencionado Juan Piamarta,
el cual se encuentra ubicado en calle 1 Oriente con 12 ½ Sur B #765 en Talca, VII
Región del Maule.
Este colegio depende de la Fundación Juan Piamarta, quien profesa los valores
cristianos y busca un crecimiento pleno, justo y fraterno de la sociedad.
El colegio tiene la visión de que los niños, jóvenes y educadores promuevan la
interrelación educativa y cultural entre sí, y se desenvuelvan de manera pacífica,
humanizadora y profesen el bien y la verdad. También tiene la misión de entregar
una educación integral y basada en los valores cristianos, que valoricen las
individualidades, capacidades y las competencias personales que les permitan
insertarse con éxito en la sociedad.
4
- El Organigrama.
Figura 1. Organigrama Colegio Juan Piamarta.
El colegio Juan Piamarta se encuentra a cargo del Rector Benjamín Montenegro, y
su representante educacional, la Directora María Alejandra Bustos.
Además posee un personal de aproximadamente 64 personas, distribuidas entre
docentes, inspectores y administrativos.
5
- Grupo de Trabajo.
Principalmente el grupo más próximo con el cual se trabajó fue con otros alumnos
en práctica, que pertenecían al mismo establecimiento y otro que era de un centro
de formación técnica. Todos bajo la supervisión del jefe del área Técnico
Profesional Gustavo Uribe Nadeau.
- Ambiente de Trabajo.
El ambiente de trabajo fue amigable y cooperativo entre los practicantes. Hubo un
apoyo mutuo para resolver distintos problemas. También con profesores existió un
arreglo para distribuir de mejor forma el horario de laboratorio, lo cual dejó
conforme al personal.
1.3.- Infraestructura.
El establecimiento posee una construcción sólida de tres niveles con más de 29
salas de clases, biblioteca, sala de profesores, las respectivas oficinas
administrativas, laboratorio de ciencias y de computación.
Tiene una central telefónica que recorre todo el establecimiento y comunica las
distintas oficinas, estas dependencias poseen conexión a la red local, al igual que
los laboratorios de computación, los cuales se dividen en dos: uno para la
enseñanza de los alumnos de Pre-Básica y Básica, y el otro para los alumnos de
educación Media y Técnico Profesional.
6
- Equipos.
El Primer laboratorio tiene un total de 23 computadores, que tienen las siguientes
características:
• 9 AMD Duron de 950Mhz, 128Mb en RAM, disco duro de 10Gb, SO
Windows 98 SE.
• 9 Intel Celeron de 1.0Ghz, 128Mb en RAM, disco duro de 10Gb, SO
Windows 98 SE.
• 3 Intel Celeron de 1.1Ghz, 128Mb en RAM, disco duro de 20Gb, SO
Windows 98 SE.
• 2 Intel Celeron de 700Mhz, 128Mb en RAM, disco duro de 10Gb, SO
Windows 98 SE.
El segundo laboratorio tiene un total de 23 computadores, que tienen las
siguientes características:
• 10 Intel Celeron de 1.7Ghz, 128Mb en RAM, disco duro de 40Gb, SO
Windows XP Pro.
• 1 Intel Pentium de 233Mhz, 32Mb de RAM, disco duro de 2Gb, SO
Windows 98 SE.
• 2 Intel Celeron de 700Mhz, 128Mb en RAM, disco duro de 10Gb, SO
Windows 98 SE.
• 10 Intel Celeron de 400Mhz, 64Mb en RAM, disco duro de 4Gb, SO
Windows 98 SE.
Encontramos distintos equipos informáticos, distribuidos en las distintas oficinas
de administración, los cuales detallamos en la siguiente lista:
• 6 Intel Celeron de 1.1Ghz, 128Mb en RAM, disco duro de 20Gb, SO
Windows 98 SE.
7
• 1 Intel Celeron de 700Mhz, 128Mb en RAM, disco duro de 10Gb SO
Windows 98 SE.
• 1 Intel Celeron de 1.1Ghz, 128Mb en RAM, disco duro de 40Gb, SO
Windows 98 SE.
• 3 486 DX100, 8Mb en RAM, disco duro de 840Mb, SO Windows 95.
• 5 Impresoras inyección de tinta marca Canon.
• 1 Impresora inyección de tinta marca Epson
• 2 Impresora matriz de punto marca Okidata modelo 320.
• 2 Impresora matriz de punto marca Okidata modelo 321.
• 1 Impresora matriz de punto marca Panasonic modelo 150
• 1 Tarjeta capturadota de Video, TV y Radio.
• 3 Switch TRENDnet 10/100 Mb/s 24 puertas.
• 1 Switch D-Link 10/100 Mb/s 16 puertas.
• 1 Hub D-Link 10 BaseT 16 puertas.
• 2 Hubs D-Link 10 BaseT 24 puertas.
8
2. - Descripción del problema.
2.1.- Creación de un Firewall 1 y Gateway 2 bajo Linux.
El principal problema de la organización fue el gran aumento en la cantidad de
computadores que poseen en sus laboratorios, y por ello se ven reducidos en gran
magnitud el acceso y velocidad en la navegación de Internet. Decidieron aumentar
considerablemente su velocidad de acceso a Internet, ya que ellos poseían un
plan ADSL3 multiusuario de 256 Kbps, y deseaban aumentarlo a un ADSL
monousuario de 2048 Kbps, ya que tiene un valor comercial similar, pero con
diferencias en la velocidad y el modo de conexión de los usuarios (multiusuario-
monousuario).
Este plan sólo sirve para un equipo, en consecuencia este computador tiene que
poseer la propiedad de compartir Internet en forma segura hacia la red local, es
por eso que, se optó por un equipo con un sistema operativo Linux, ya que nos
proporciona varias propiedades incluyendo las ya mencionadas. Este sistema
operativo nos permite gran flexibilidad en lo que se refiere a seguridad y
específicamente el Firewall, que requiere esta organización, para ello utilizaremos
el servicio de iptables4 con las distintas políticas y reglas que posee.
1 FIREWALL: Un cortafuegos, es un elemento de hardware o software utilizado en una red de computadoras para prevenir algunos tipos de comunicaciones prohibidas por las políticas de red, las cuales se fundamentan en las necesidades del usuario. La configuración correcta de cortafuegos se basa en conocimientos considerables de los protocolos de red y de la seguridad de la computadora. Errores pequeños pueden dejar a un cortafuego sin valor como herramienta de seguridad. 2 GATEWAY: Una puerta de enlace, un nodo en una red informática que sirve de punto de acceso a otra red o también llamada pasarela, un dispositivito dedicado a intercomunicar sistemas de protocolos incompatibles. 3 ADSL: son las siglas de Asymmetric Digital Subscriber Line (Línea de Abonado Digital Asimétrica). Consiste en una línea digital de alta velocidad, apoyada en el par trenzado de cobre que lleva la línea telefónica convencional. 4 Iptables: es un conjunto de reglas que nos permiten aceptar o rechazar paquetes y que conforman lo que se conoce como firewall, este se encuentra alojado en kernel. Se tienen órdenes básicas como: -A para añadir reglas, -i interfaz de la red, -p tipo de protocolo, estas y otras reglas nos permiten la configuración de iptables. Ver: http://www.pello.info/filez/IPTABLES_en_21_segundos.html
9
Las principales características y servicios que debe tener este equipo son:
• Debe tener el hardware necesario para albergar un sistema operativo
GNU/Linux.
• También nos debe permitir una puerta de acceso a otras redes, como los es
la Internet.
• Debe ser capas de controlar el tráfico y los posibles ataques de fuera o
dentro de la red local.
• Debe tener la capacidad de controlar el acceso a páginas y contenido no
apto para el desarrollo escolar.
• También debe permitir acceso a los servicios proporcionado y denegar el
acceso a los que no se utilizan.
- Objetivo.
Uno de los principales objetivos de esta tarea fue crear un punto de entrada a
Internet y además que fuese seguro para la red local y que tenga la posibilidad de
restringir el contenido de algunos sitios de Internet. El Firewall nos brinda distintas
ventajas como:
• Optimizar el acceso y la velocidad de conexión.
• Proteger de intrusos nuestra red local.
• Proteger la información de la organización.
• Proteger la red local de virus.
• Proteger el acceso a la información restringida.
La figura 2, muestra el diagrama de la red local que inicialmente poseía el colegio.
Posteriormente se realiza una modificación, donde se agrega el Firewall, que le
brindará mayor seguridad a la red local.
10
Figura 2. Diagrama inicial de la red local.
La red local tiene como punto de acceso a Internet el modem ADSL en
configuración multiusuario, pero también podemos ver la carencia de un Firewall
que mantenga segura la red local.
- Logros de la actividad.
La actividad se realizó satisfactoriamente, ya que la creación e implementación de
la puerta de enlace (Gateway) cumplió con el objetivo de permitir el acceso a
Internet de toda la red local.
Al igual que la puerta de enlace el cortafuego (Firewall) también se realizó
satisfactoriamente y cumplió con los objetivos para el cual fue configurado.
11
2.2.- Mantenimiento.
Principalmente en esta actividad se realizó una reparación, instalación,
configuración y chequeo de los distintos equipos informáticos del colegio, como los
siguientes:
• Impresoras de inyección tinta.
• Impresoras de matriz de punto.
• Computadores de distintas configuraciones.
• Distintos tipos de Hardware y Software.
• Puntos de red.
• Artículos periféricos de los computadores.
También se prestó una asesoría técnica y teórica a los distintos funcionarios,
docentes o alumnos que lo requiriesen en las distintas áreas de la computación e
informática.
- Objetivo.
Principalmente el objetivo de esta actividad fue reparar y mantener en buen
funcionamiento todos los recursos informáticos disponibles del establecimiento.
Logros de la actividad.
Esta actividad se desarrolló con éxito. Se repararon los equipos en mal estado y
se desecharon los que no tenían reparación, con ello quedaron operativos todos
los computadores para el siguiente año.
12
3.- Descripción de las competencias propuestas en p ráctica.
3.1.- Creación de una Gateway y Firewall.
Para la realización de esta actividad principalmente se colocó en práctica el
aprendizaje adquirido en las clases de sistema operativo, soporte técnico, entre
otras. También se consultó a personas entendidas en el tema, además se realizó
una búsqueda de información y manuales5 que se encuentran en Internet.
Las principales competencias puestas en práctica fueron las siguientes:
• Administración de redes.
• Utilización de plataforma x86 para el desarrollo del Firewall y Gateway.
• Utilización de plataformas GNU/Linux y Windows.
• Utilización de Software libre para las soluciones propuestas.
• Configuración de distintos equipos para adaptarse a la red local.
• Uso de diferentes metodologías para la solución de problemas.
En esta actividad el principal dominio de realización utilizado fue el área de
Soporte Técnico. En ella se vieron todos los aspectos de la instalación,
configuración y mantenimiento de redes y equipos computacionales que posee el
establecimiento.
Entre las dificultades encontradas se puede mencionar la escasa experiencia en el
manejo del Sistema Operativo Linux y la implementación de un Firewalls. Otra
dificultad fue la tarea de realizar una modificación en toda la red del
establecimiento para poder incorporar el Firewall a ella.
Para resolver las dificultades se consultó a personas entendidas en el tema de
seguridad en redes, posteriormente se revisaron manuales y documentos de 5 En este manual se muestran las habituales arquitecturas de redes con firewall y la forma de montar iptables para cada caso, con distintas opciones para cada ejemplo (ejemplos: red local e Internet, red local e internet con zona DMZ). Ver: http://www.pello.info/filez/firewall/iptables.html
13
Internet, todo esto fue de mucha ayuda para realizar satisfactoriamente la
actividad.
3.2.- Mantenimiento.
Las competencias utilizadas en esta fueron:
• Manipulación y configuración de distintos equipos computacionales
(Hardware, Software, PC, Impresora, etc.).
• La instalación y configuración de distintas plataformas (Windows 95, 98,
ME, XP).
• Configuración y manipulación de cableado y equipos de red.
El dominio de realización utilizado en esta actividad fue la del área de Soporte
Técnico. En este segmento se encontraron las herramientas necesarias para
lograr todas las actividades que se desarrollaron lo largo de esta práctica.
La principal dificultad encontrada, fue la poca experiencia en el manejo de algunos
equipos (Hardware, Software, etc.) que posee el establecimiento.
Para resolver la dificultad se recurrió a manuales e información de Internet, la cual
fue de gran utilidad para la correcta manipulación de los equipos.
14
4.- Descripción de las soluciones propuestas.
4.1.- Creación de un Firewall y Gateway.
- Situación inicial encontrada.
La situación encontrada en el establecimiento fue de una red desprovista de
protección y control, además con gran cantidad de equipos y un enlace a Internet
reducido (57 equipos y ADSL multiusuario de 256 Kbps), lo cual hacia un acceso
lento a Internet.
La figura 2 (ver figura 2 pagina 10), muestra el esquema encontrado, en el cual se
ve que el Modem ADSL hace de Gateway para la red local ya que se encuentra en
configuración multiusuario, pero esta red carece de una protección como un
Firewall.
- Búsqueda de la solución.
En conversaciones sostenidas con el supervisor se planteó el problema del
aumento de la velocidad de acceso a Internet, con un costo razonable y mejor
seguridad para su red, con un Sistema Operativo GNU/Linux.
- La solución.
La solución propuesta respecto a la seguridad, fue implementar un Firewall en un
Sistema Operativo GNU/Linux, el que además funciona como Gateway, que
permite el enrutamiento de la red local hacia Internet, [Mancill, 03a].
15
La figura 3, muestra el esquema básico de una red con un Firewall.
Figura 3. Esquema de un Firewall y Gateway.
4.1.1.- Desarrollo del Firewall.
- Implementación.
La implementación del Firewall se realizó en un equipo que posee las siguientes
características:
• Pentium IV 1.7Ghz.
• 128Mb en RAM.
• Disco duro de 15Gb.
• 2 tarjetas de red D-Link 530 10/100 Mb/s.
• Sistema Operativo GNU/Linux distribución Fedora Core 2.
Fue elegida la distribución Fedora Core 2, ya que en algunos cursos anteriores
(taller de hardware y taller de redes) se habría utilizado versiones anteriores de
esta distribución, además es muy usada por administradores de red.
16
Para su implementación ocupamos una herramienta que viene integrada en el
kernel6 del Sistema Operativo, la cual se llama iptables. Esta herramienta se utiliza
para crear un Script, el cual lleva distintas reglas y políticas, de las cuales
utilizaremos las de tipo NAT7 (PREROUTING, y POSTROUTING) [Petersen, 01].
Estas se usan para hacer redirecciones de puertos o cambios de las IP8s de
origen o destino.
También tenemos las de tipo FILTER (INPUT, OUTPUT, y FORWARD), las cuales
utilizan filtrado de paquetes que van a la propia máquina, o que van a otras redes
o máquinas. También hay que considerar que existen dos maneras de
implementar un Firewall:
1. Políticas por defecto ACEPTAR (todo lo que entra y sale se acepta,
excepto lo denegado explícitamente).
2. Políticas por defecto DENEGAR (todo queda denegado, excepto lo que se
permite explícitamente).
- Modificación de la topología de red.
Todas las figuras o esquemas de la topología de red son representaciones y no
equivalen el 100% de la realidad de la red local del establecimiento. Esta red
posee 57 computadores distribuidos entre 2 laboratorios de computación y las
distintas oficinas que se encuentran en el establecimiento.
6 Kernel: El kernel (también conocido como núcleo) es la parte fundamental de un sistema operativo. Es el software responsable de facilitar a los distintos programas acceso seguro al hardware de la computadora o en forma más básica, es el encargado de gestionar recursos, a través de servicios de llamada al sistema. 7 NAT: Network Address Translation (Traducción de Dirección de Red), el cual utiliza una o más direcciones IP para conectar varios computadores a otra red (normalmente a Internet), los cuales tiene una dirección IP completamente distinta (normalmente una IP no válida de Internet). Por lo tanto, se puede utilizar para dar salida a redes públicas a computadores que se encuentran con direccionamiento privado o para proteger máquinas públicas. 8 IP: son las siglas de Internet Protocol (protocolo de Internet), es un número que identifica a una interfaz de un dispositivo (habitualmente un ordenador) dentro de una red.
17
A continuación nombraremos los distintos equipos que conforman la red local del
establecimiento:
• 57 computadores.
• 104 puntos de red a lo largo del establecimiento.
• 3 Switch 10/100 Mb/s de 24 puertas.
• 1 Switch 10/100 Mb/s de 16 puertas.
• 1 Hub 10 Base T de 16 puerta.
• 1 Modem ADSL.
• Entre otras cosas.
La topología se tuvo que modificar para poder incorporar el Firewall a la red local
[Press, 01]. La principal modificación realizada fue la de cambio de IP en todas las
máquinas de la red, ya que cuando fue implementado el Firewall, el acceso a
Internet todavía se encontraba en configuración multiusuario, como se ve en el
ejemplo de la figura 4.
Figura 4. Modificación de la topología con implementación del Firewall.
18
La figura 4 muestra la red con el Firewall ya incluido, además se puede ver que el
Firewall posee dos interfaces que apuntan a distintas redes. La eth1 se dirige a la
red local y la eth0 hacia el Modem ADSL, que todavía se encuentra a una
velocidad de 256 Kbps y en configuración multiusuario, esta velocidad y
configuración será modificada posteriormente.
Mientras que la figura 5 (que se muestra a continuación), representa la
configuración final de la topología de la red local del establecimiento.
Figura 5. Configuración final de la red local.
En la figura 5 se aprecia se que no necesariamente ocurre un cambio físico en la
topología de red, si no mas bien un cambio en la configuración del Firewall
(principalmente en su interfaz de conexión a Internet), y el otro cambio ocurre en la
configuración y velocidad de la conexión a Internet a través del modem ADSL (hay
un cambio en la velocidad, que ahora es de 2 Mbps y su configuración que cambio
a monousuario).
Para realizar la modificación de la conexión a Internet, hubo que ponerse en
contacto con el proveedor de Internet (ENTEL Internet), y pedirles un cambio en la
19
velocidad y el tipo de configuración de modem ADSL. Posteriormente realizado
este cambio se modificó el Firewall para que pudiera conectarse a Internet, se
configuró la conexión a Internet en la distribución de Linux Fedora Core 2. Esto se
hizo con el comando adsl-setup, para ello se ingresaron los datos de la cuenta de
Internet y se indicó la interfaz a la que se encuentra conectada al modem ADSL,
una vez realizado esto se hace una pequeña modificación en el script del Firewall,
cambiando la interfaz por la cual se conecta la red local a Internet (se cambia la
interfaz eth0 por la interfaz ppp90).
4.1.2.- Creación del Script 10.
A continuación se explicarán los puntos más relevantes del Script del Firewall
creado para el establecimiento, según los requerimientos de la red loca. El Script
completo se muestra en el anexo 8.1 de este informe. Además debemos
mencionar que las líneas que comienza con “#” indican que es un comentario (el
uso del “#” como comentario se puede ver claramente en el script completo) y no
serán tomados en cuenta por el sistema.
En la figura 6, se indica que el archivo es un Script del Terminal Linux y será leído
(esta línea comienza “#!”, no es un comentario) línea a línea por el sistema.
#!/bin/bash
Figura 6. Interfaz estándar de línea de comando.
La figura 7, muestra las líneas que se utilizan para limpiar todas las reglas
actuales (llamadas Flush) que se encuentran en las tablas si es que existiesen, ya
que de ser así el Script no tendría efecto.
9 PPP: Point-to-point Protocol, es decir, Protocolo punto a punto, es un protocolo de nivel de enlace estandarizado. Por tanto, se trata de un protocolo asociado a la pila TCP/IP de uso en Internet. 10 Ver el script completo del firewall en anexo 8.1
20
iptables –F
iptables –X
iptables -Z
iptables –t nat –F
Figura 7. Flush de reglas ipatables.
Definimos las políticas por defecto ACEPTAR, es decir todo lo que entra o sale es
aceptado excepto lo denegado específicamente.
En la figura 8, tenemos las políticas INPUT, OUTPUT, y FORWARD por defecto
aceptada, esto fue escogido así, porque se quería tener un tráfico casi normal,
pero se protegieron los puertos y direcciones que nos interesan y esto debe
declararse en el Script del Firewall.
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
Figura 8. Política por defecto.
La tabla NAT se utiliza antes o después de enrutar los paquetes.
Se utilizó PREROUTING y POSTROUTING, por defecto aceptado, se usa para
manipular los paquetes, modificando los datos de destino y origen, de esta manera
podemos hacer una redirección a otra máquina o a otro puerto, también se puede
hacer modificación del origen de los paquetes.
En la figura 9, tenemos la línea que se usó para aceptar las conexiones al
localhost, esto se refiere a que podemos hacer conexiones a los puertos locales
21
de cada servicio, como por ejemplo a un servidor MySQL, PostgreSQL, Web, etc.
que este corriendo en la máquina.
iptables –A INPUT -i lo -j ACCEPT
Figura 9. Aceptar conexiones locales.
La figura 10 muestra la línea que se usó para poder tener acceso desde la red
local (IP red: 192.168.2.0/24) hacia el Firewall .Aquello se hace a través de la
interfaz eth1 que se encuentra conectada al Switch principal de la red local
[Mancill, 03b], esto no quiere decir que ya poseemos conexión a Internet, para ello
se debe utilizar otra línea de comando, y además utiliza otra interfaz del Firewall.
iptables -A INPUT -s 192.168.2.0/24 -i eth1 -j ACCEPT
Figura 10. Acceso ha la red local.
En la figura 11, la red local está representada por su IP (IP red: 192.168.2.0/24), la
cual sale a Internet haciendo uso de las reglas de NAT y su filtrado
POSTROUTING. Esta regla permite que los equipos de la red local salgan
enmascaradamente, haciendo uso de la política MASQUERADE (en GNU/Linux
esta es la política que hace compartir Internet a la red local), es decir ocupando la
IP pública11 que posee la conexión a Internet, haciendo que parezca solo un
equipo conectado a Internet, todo esto se realiza a través de la interfaz PPP0 que
es la que está conectada al modem ADSL.
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o ppp0 -j MASQUERADE
Figura 11. Enmascaramiento de la red local.
11 Norma RFC 1918. Se describe la asignación de la direcciones IP de las redes privadas que permite la conectividad entre los hosts de una red, así como entre los hosts públicos de diversas redes. http://www.ietf.org/rfc/rfc1918.txt
22
Se activa el Bit de Forward para el reenvío de paquetes. Esto permite que la
máquina actúe como Gateway y así reenviar paquetes con origen y destino
remoto, como lo vemos en la figura 12.
echo 1 > /proc/sys/net/ipv4/ip_forward
Figura 12. Activar forward de paquetes.
La figura 13, muestra la línea que se usa para redireccionar todo lo que venga a
través de la interfaz ppp0 y vaya con dirección al puerto 2350, lo redireccionamos
a una máquina interna al puerto 3389, que es una máquina que está habilitada con
un Terminal Server.
Iptables –t nat –A PREROUTING -i ppp0 -p tcp --dport 2350 -j DNAT --to
192.168.2.68:3389
Figura 13. Re-direccionamiento de puerto.
En la figura 14, se observa ver las líneas en las cuales se aceptan las conexiones
a los puertos de los servicios deseados. Las conexiones entrantes de estos
servicios, con origen de cualquier red (IP red: 0.0.0.0/0), que tengan como destino
los puertos expresados en el Script (ejemplo: TCP12 22, 21, etc.), ya que
posteriormente serán denegado los demás.
Figura 14. Habilitar puertos de servicios.
12 TCP: El Protocolo de Control de Transmisión (TCP en sus siglas en inglés, Transmission Control Protocol) es uno de los protocolos fundamentales en Internet. Muchos programas dentro de una red de datos compuesta por ordenadores pueden usar TCP para crear conexiones entre ellos a través de las cuales enviarse datos. El protocolo garantiza que los datos serán entregados en su destino sin errores y en el mismo orden en que se transmitieron.
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 3306 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT
23
Dependiendo de los casos que se ven en las figuras 15, 16 y 17, se hizo uso de
las políticas REJECT o DROP para bloquear los paquetes. La principal diferencia
que se puede encontrar entre estas dos políticas, es que el REJECT envía una
respuesta al cliente, diciendo que el puerto se encuentra cerrado, y en cambio el
DROP, simplemente no envía nada y el cliente recibe la respuesta de puerto
cerrado por el timeout.
En la figura 15, se cerraron todas la conexiones entrantes que provienen de
cualquier red (IP red: 0.0.0.0/0) que vayan con destino al puerto del servicio
Webmin (gestionador de servicios vía Web, que se accede a él a través del puerto
10000), ya que a este puerto se puede acceder remotamente (una vez bloqueado
se podrá acceder solo localmente).
Iptables –A INPUT -s 0.0.0.0/0 -p tcp --dport 10000 -j REJECT
Figura 15. Cerrar puerto de webmin.
En la figura 16, se cerraron todas las conexiones entrantes, provenientes de
cualquier red (IP red: 0.0.0.0/0), y que vayan a los puertos de servicios bien
conocidos tanto como TCP y UDP13.
iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP
Figura 16. Cerrar puertos bien conocidos.
Una de las principales características que debía tener el Firewall, era que se
pudiese bloquear el acceso a páginas no deseadas, como lo podemos ver en la
figura 17.
13 UDP: User Datagram Protocol, es un protocolo del nivel de transporte basado en el intercambio de datagramas. Permite el envío de datagramas a través de la red sin que se haya establecido previamente una conexión, ya que el propio datagrama incorpora suficiente información de direccionamiento en su cabecera.
24
El bloqueo de páginas no deseadas se puede realizar ocupando la política
REJECT la cual niega la conexión de una IP que se ha especificado. En el ejemplo
de la figura 17 se aprecia que esta página posee más de una IP. Para el bloqueo
de ella es necesario utilizar el comando netstat –na cuando se hace el ingreso a la
página que se desea bloquear, al realizarse esta acción se arroja como resultado
distintas IPs y sus respectivos puertos de acceso, con ello y la política REJECT se
logra el bloqueo de la página.
# Bloqueo de acceso a latinchat
iptables -A FORWARD -d 200.68.58.70 -j REJECT
iptables -A FORWARD -d 200.68.58.101 -j REJECT
iptables -A FORWARD -d 213.149.241.129 -j REJECT
iptables -A FORWARD -d 200.68.58.98 -j REJECT
Figura 17. Bloqueo de página no deseadas.
Para terminar con el comentario del Script del Firewall, es necesario mencionar
que para guardar el Script y ejecutarlo posteriormente, es necesario darle
permisos de ejecución, aquello se logra con el comando chmod (se debe estar
como usuario root), como se observa en la figura 18.
$ chmod +x firewall.sh
Figura 18. Permiso de ejecución.
Además si quiere que el Script se ejecute cada vez que se reinicie o se encienda
el equipo, se coloca una línea que indique la ruta al link (el link simbólico se debe
encontrar en /etc/rc.d/init.d) en el archivo rc.local, como en el caso de la figura 19.
/etc/rc.d/init.d/firewall.sh
Figura 19. Ejecución en el inicio del Script.
25
- Se pone a prueba la red.
Para poner a prueba el Firewall y la red se hizo uso de distintas herramientas
(comandos y software).
Primero se probó la red a través de los distintos comandos que nos proporcionan
los Sistemas Operativos (Linux y Windows). Uno de los más conocido y usado es
el comando ping, el permite hacer consultas si un host está activo. La figura 20
muestra un ejemplo donde se hace ping a una página en Internet, y se ve si
responde, y lograr conectarse a Internet.
C:\Documents and Settings\Windows>ping www.google.cl
Haciendo ping a www.l.google.com [64.233.179.99] con 32 bytes de datos:
Respuesta desde 64.233.179.99: bytes=32 tiempo=313ms TTL=240
Respuesta desde 64.233.179.99: bytes=32 tiempo=376ms TTL=240
Respuesta desde 64.233.179.99: bytes=32 tiempo=295ms TTL=240
Respuesta desde 64.233.179.99: bytes=32 tiempo=366ms TTL=240
Figura 20. Respuesta de comando ping.
Se puede ver que se obtuvo una respuesta, es decir se tiene acceso a Internet
desde la red local.
Otro comando que se usa es el nmap. Esta instrucción sólo funciona en la
plataforma Linux, y se utiliza para conocer los puertos de los servicios que está
proporcionado el Firewall, como se ve en la figura 21.
[root@serverlinux root]# nmap piamarta.sytes.net
Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2006-03-07 23:40 EST
26
Interesting ports on 164.77.127.104:
(The 1653 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
139/tcp open netbios-ssn
445/tcp open microsoft-ds
Figura 21. Respuesta de comando nmap.
También se usa el comando netstat –na (el comando se puede utilizar en ambas
plataformas). Este se utilizara para ver los puertos que están abiertos, sus IPs
(origen y destino) y el estado en que se encuentran, como en la figura 22.
[root@serverlinux root]# netstat -na
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN
tcp 0 0 :::22 :::* LISTEN
udp 0 0 0.0.0.0:137 0.0.0.0:*
udp 0 0 0.0.0.0:138 0.0.0.0:*
Figura 22. Respuesta comando netstat.
Ahora se utiliza la herramienta llamada IPTraf. La herramienta se usó para
monitorear las conexiones de las distintas interfaces del Firewall, la herramienta se
puede encontrar disponible solamente en la plataforma Linux.
Esta herramienta nos permitió hacer un filtrado de las conexiones, para ver el
comportamiento de la red, además nos fijó de mejor forma en el tráfico de un
puerto en específico como puede ser el TCP o UDP, según fueron las
necesidades.
27
También se puede ver que página están visitando los usuarios de la red local, y
ver de qué máquina lo hicieron, además saber a que puertos se conectaron para
hacer transferencias de paquetes.
Para este caso, se usó IPTraf, que es una herramienta para consola basada en
texto, la cual puede interceptar paquetes sobre la red y entrega información actual
sobre el tráfico IP. Esta herramienta es de uso libre y no se requieren licencias.
IPTraf es muy recomendada por los administradores de red y los textos de
Internet, como una herramienta de monitoreo en la cual podemos ver la cantidad
de paquetes que entran o salen por alguna interfaz (eth0, eth1, ppp0 y la local),
además podemos tener una vista general de todo el tráfico, también podemos ver
las direcciones IP a las que se conectan los clientes, entre otras cosas.
En la siguiente figura veremos el monitoreo de la red a través de la herramienta
IPTraf.
Figura 23. La herramienta IPTraf en funcionamiento.
28
4.2.- Mantenimiento.
En esta actividad se realizaron diferentes tareas de instalación, configuración y
mantenimientos de los diferentes equipos y recursos informáticos que posee el
establecimiento.
Se mencionan algunas de las tareas que se realizaron en esta actividad:
• Instalación y configuración de Windows 95, 98SE y XP.
• Instalación y configuración de hardware y software.
• Instalación, configuración y mantenimiento de equipos informáticos
(impresoras, unidades de respaldo, etc.).
• Instalación y configuración de equipos de red (hub, switch, cableado, etc.).
Se hizo un detalle de algunas de las actividades mencionadas anteriormente.
En la actividad instalación y configuración de hardware y software, se puede
mencionar la instalación y configuración de una tarjeta capturadora de video, tv y
radio (Fly video 2000 FM). La instalación del hardware se hizo en una ranura de
expansión PCI, después se instala el controlador que viene en un CD junto a un
Software de control de la capturadora y otro de edición de video, estos software se
utilizan para el traspaso de videos al computador.
En otra actividad como la instalación y configuración de equipos de red, se puede
mencionar las reparaciones de los puntos de red que se encontraban en mal
funcionamiento. Para ello utilizamos una herramienta para probar los puntos de
red, una ves encontrada la falla se procedió a re-instalar el punto, la conexión de
un punto se puede ver en la siguiente figura.
29
Figura 24. La conexión de un punto al Hub o Switch.
El cable que se utilizó en la instalación es un par trenzado UTP, ya que es un
medio económico y fiable de implementar la red, también en esta instalación se
ocuparon distintas herramientas especializadas como:
• Testing (probador de red).
• Crimping (para apretar los conectores de red).
• Patching (para apretar los patch).
30
5.- Conclusión.
La realización de las actividades que fueron desarrolladas en el establecimiento
educacional Juan Pia marta sirvió de gran experiencia y conocimiento, los cuales
se expresan en las siguientes conclusiones.
A lo largo de este informe se demostró que para una organización (grande o
pequeña) es necesario que por lo menos tenga implementado un Firewall en su
red, para así proteger su información y su red de ataques externos, aunque el
Firewall no sea 100% seguro, pero que lo hace vital para proteger una gran parte
de los servicios y recursos de la organización.
Es necesario mencionar la gran capacidad de herramientas y servicios que posee
el Sistema Operativo GNU/Linux en sus distintas distribuciones. Este Sistema
Operativo sirvió para implementar el Firewall a la medida de la organización,
además se pueden agregar varios servicios como Web, FTP, etc. Es
inminentemente necesario dominar este sistema operativo, ya que es una
herramienta potentísima para el desarrollo de distintos proyectos en nuestra
profesión.
GNU/Linux es un sistema abierto, también sus herramientas y aplicaciones, esto
facilita una implementación de varios servicios a un muy bajo costo para una
organización.
Es menester mencionar la experiencia adquirida en la actividad de mantenimiento,
en la cual se aprendió a instalar, operar y reparar distintos equipos informáticos de
uso cotidiano en una organización.
31
6.- Bibliografía.
[Petersen, 01] [R. Petersen. Linux Manual de Referencia. Capítulo 39. Seguridad
de Red: Firewall y Cifrado. Netfilter: IPTables y NAT (Kernel 2.4 y
2.6), pp. 1072- 1074. Segunda Edición, Osborne McGraw Hill,
2001.
[Mancill, 03a]
T. Mancill. Routers en Linux. Capítulo 1, Bloques Fundamentales
del
Enrutamiento, Hardware de un Router, pp. 3-16. Segunda Edición.
Prentice Hall, 2003.
[Mancill, 03b]
T. Mancill. Routers en Linux. Capítulo 3, Silicom: Un Router de
LAN, pp. 77-129. Segunda Edición. Prentice Hall, 2003.
[Press, 01] B. Press, M. Press, Redes con Ejemplos, Software de Red
Protocolos y Aplicaciones, Protocolo de Configuración de Host
Dinámico, pp 181-185, edición 2001, ISBN 987-9460-16-2.
Editorial Pearson, 2001.
32
7.- Glosario.
IP: Son las siglas de Internet Protocol (protocolo de Internet), es un número que
identifica a una interfaz de un dispositivo (habitualmente un ordenador) dentro de
una red.
TCP: El Protocolo de Control de Transmisión (TCP en sus siglas en inglés,
Transmission Control Protocol) es uno de los protocolos fundamentales en
Internet. Muchos programas dentro de una red de datos compuesta por
ordenadores pueden usar TCP para crear conexiones entre ellos a través de las
cuales enviarse datos. El protocolo garantiza que los datos serán entregados en
su destino sin errores y en el mismo orden en que se transmitieron.
UDP: User Datagram Protocol, es un protocolo del nivel de transporte basado en
el intercambio de datagramas. Permite el envío de datagramas a través de la red
sin que se haya establecido previamente una conexión, ya que el propio
datagrama incorpora suficiente información de direccionamiento en su cabecera.
ADSL: Son las siglas de Asymmetric Digital Subscriber Line (Línea de Abonado
Digital Asimétrica). Consiste en una línea digital de alta velocidad, apoyada en el
par trenzado de cobre que lleva la línea telefónica convencional.
FIREWALL: Un cortafuegos, es un elemento de hardware o software utilizado en
una red de computadoras para prevenir algunos tipos de comunicaciones
prohibidas por las políticas de red, las cuales se fundamentan en las necesidades
del usuario. La configuración correcta de cortafuegos se basa en conocimientos
considerables de los protocolos de red y de la seguridad de la computadora.
Errores pequeños pueden dejar a un cortafuego sin valor como herramienta de
seguridad.
33
GATEWAY: Una puerta de enlace, un nodo en una red informática que sirve de
punto de acceso a otra red o también llamada pasarela, un dispositivito dedicado a
intercomunicar sistemas de protocolos incompatibles.
PPP: Point-to-point Protocol, es decir, Protocolo punto a punto, es un protocolo de
nivel de enlace estandarizado. Por tanto, se trata de un protocolo asociado a la
pila TCP/IP de uso en Internet.
Kernel: El kernel (también conocido como núcleo) es la parte fundamental de un
sistema operativo. Es el software responsable de facilitar a los distintos programas
acceso seguro al hardware de la computadora o en forma más básica, es el
encargado de gestionar recursos, a través de servicios de llamada al sistema.
NAT: Network Address Translation (Traducción de Dirección de Red), el cual
utiliza una o más direcciones IP para conectar varios computadores a otra red
(normalmente a Internet), los cuales tiene una dirección IP completamente distinta
(normalmente una IP no válida de Internet). Por lo tanto, se puede utilizar para dar
salida a redes públicas a computadores que se encuentran con direccionamiento
privado o para proteger máquinas públicas.
34
8.- Anexos.
8.1.- Script del Firewall.
#!/bin/sh echo -n Aplicando Reglas de Firewall... ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT #### ppp0 es el interfaz conectado al ADSL y eth1 a la red local #### # Se aceptan las conexiones al localhost iptables -A INPUT -i lo -j ACCEPT # Al firewall tenemos acceso desde la red local iptables -A INPUT -s 192.168.2.0/24 -i eth1 -j ACCEPT # Ahora hacemos enmascaramiento de la red local iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o ppp0 -j MASQUERADE # Con esto permitimos hacer forward de paquetes en el firewall, o sea # que otras máquinas puedan salir a través del firewall. echo 1 > /proc/sys/net/ipv4/ip_forward # Todo lo que venga por la interfaz ppp0 y vaya al puerto 3389 lo redirigimos # a una maquina interna iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 2350 -j DNAT --to 192.168.2.68:3389
35
# habilitar puertos de los servicios iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 20 -j ACCEPT iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 21 -j ACCEPT iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 3306 -j ACCEPT iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT # Cerramos un puerto de gestión: webmin iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 10000 -j REJECT # cerrar puertos no utilizados iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP #### bloqueo de pagina no deseadas #### # Bloqueo de acseso a latinchat iptables -A FORWARD -d 200.68.58.70 -j REJECT iptables -A FORWARD -d 200.68.58.101 -j REJECT iptables -A FORWARD -d 213.149.241.129 -j REJECT iptables -A FORWARD -d 200.68.58.98 -j REJECT # Bloqueo de acseso a jugarjuegos.com iptables -A FORWARD -d 207.44.228.41 -j REJECT # Bloqueo de acseso a juegos666.com iptables -A FORWARD -d 207.44.134.136 -j REJECT # Bloqueo de acseso a minijuegos.com iptables -A FORWARD -d 80.69.64.154 -j REJECT iptables -A FORWARD -d 67.19.243.131 -j REJECT iptables -A FORWARD -d 80.69.64.200 -j REJECT # Bloqueo de acseso a juegosjuegos.com iptables -A FORWARD -d 66.98.172.17 -j REJECT # Bloqueo de acseso a elchat.com iptables -A FORWARD -d 200.76.190.254 -j REJECT # Bloqueo de acseso a latinchat.com iptables -A FORWARD -d 62.37.236.14 -j REJECT iptables -A FORWARD -d 200.68.58.83 -j REJECT iptables -A FORWARD -d 200.68.58.76 -j REJECT
36
# Bloqueo de acseso a latinchat.cl iptables -A FORWARD -d 200.74.171.188 -j REJECT # Bloqueo de acseso a michat.com iptables -A FORWARD -d 213.41.125.162 -j REJECT # Bloqueo de acseso a juegos10.com iptables -A FORWARD -d 66.98.192.66 -j REJECT iptables -A FORWARD -d 67.19.251.114 -j REJECT # Bloqueo de acseso a juegos.com iptables -A FORWARD -d 161.58.17.20 -j REJECT # Bloqueo de acseso a geojuegos.com iptables -A FORWARD -d 62.151.20.51 -j REJECT # Bloqueo de acseso a estasmuerto.com iptables -A FORWARD -d 205.209.172.112 -j REJECT # Bloqueo de acseso a tonterias.com iptables -A FORWARD -d 69.72.131.131 -j REJECT # Bloqueo de acseso a quefuerte.com iptables -A FORWARD -d 194.143.194.246 -j REJECT # Bloqueo de acseso a estasvivo.com iptables -A FORWARD -d 65.75.182.200 -j REJECT # Bloqueo de acseso a podrido.com iptables -A FORWARD -d 207.44.238.114 -j REJECT # Bloqueo de acseso a jocjuegos.com iptables -A FORWARD -d 212.0.105.123 -j REJECT iptables -A FORWARD -d 213.86.246.154 -j REJECT # Bloqueo de acseso a rotten.com iptables -A FORWARD -d 216.218.248.174 -j REJECT # Bloqueo de acseso a 1001juegos.com iptables -A FORWARD -d 64.49.219.154 -j REJECT # Bloqueo de acseso a 101juegos.com iptables -A FORWARD -d 212.227.34.3 -j REJECT
37
# Bloqueo de acseso a barbie.com iptables -A FORWARD -d 200.68.58.71 -j REJECT # Bloqueo de acseso a cartoonnetwork.com iptables -A FORWARD -d 207.25.71.118 -j REJECT iptables -A FORWARD -d 64.236.16.231 -j REJECT # Bloqueo de acseso a l1.lopeor.com iptables -A FORWARD -d 207.21.211.86 -j REJECT # Bloqueo de acseso a cartoonnetwork.cl iptables -A FORWARD -d 207.25.71.228 -j REJECT # Bloqueo de acseso a jetrixtv.com iptables -A FORWARD -d 199.181.132.33 -j REJECT # Bloqueo de acseso a miniclick.com iptables -A FORWARD -d 64.40.102.42 -j REJECT # Bloqueo de acseso a irc.cl iptables -A FORWARD -d 200.14.80.69 -j REJECT # Bloqueo de acseso a etc.cl iptables -A FORWARD -d 200.29.0.11 -j REJECT # Bloqueo de acseso a juegosjuegos.com iptables -A FORWARD -d 67.19.251.90 -j REJECT iptables -A FORWARD -d 217.11.100.83 -j REJECT iptables -A FORWARD -d 207.21.211.56 -j REJECT # Bloqueo de acseso a escalofrio.com iptables -A FORWARD -d 80.69.64.112 -j REJECT # Bloqueo de acseso a private.com iptables -A FORWARD -d 217.116.240.20 -j REJECT # Bloqueo de acceso a miniclip.com iptables -A FORWARD -d 66.165.172.181 -j REJECT iptables -A FORWARD -d 212.113.31.48 -j REJECT # Bloqueo de acceso a irc iptables -A FORWARD -d 200.83.0.166 -j REJECT
38
# Bloqueo de acceso a neopets.com iptables -A FORWARD -d 206.132.214.8 -j REJECT iptables -A FORWARD -d 206.132.214.10 -j REJECT iptables -A FORWARD -d 206.132.214.9 -j REJECT # Bloqueo de acceso a juegorama.com iptables -A FORWARD -d 207.21.211.56 -j REJECT iptables -A FORWARD -d 64.246.50.109 -j REJECT iptables -A FORWARD -d 66.98.148.62 -j REJECT iptables -A FORWARD -d 69.57.150.17 -j REJECT iptables -A FORWARD -d 67.19.243.123 -j REJECT iptables -A FORWARD -d 67.19.243.131 -j REJECT # Bloqueo de accesoa mejorbusqueda.com iptables -A FORWARD -d 213.173.190.47 -j REJECT iptables -A FORWARD -d 213.173.188.160 -j REJECT # Bloqueo de acceso a juegoramas.com iptables -A FORWARD -d 64.233.246.142 -j REJECT iptables -A FORWARD -d 64.235.246.150 -j REJECT iptables -A FORWARD -d 64.235.246.158 -j REJECT iptables -A FORWARD -d 64.235.246.141 -j REJECT # Bloqueo de accesoa chile.com/chat iptables -A FORWARD -d 200.29.90.58 -j REJECT # Bloqueo de acceso a terra.cl/chat iptables -A FORWARD -d 200.28.222.214 -j REJECT # Bloqueo de acceso a canal13.cl/chat iptables -A FORWARD -d 200.27.99.32 -j REJECT # Bloqueo de acceso a quemadres.com iptables -A FORWARD -d 207.44.182.102 -j REJECT # Bloqueo de acceso a quevideos.com iptables -A FORWARD -d 65.125.231.226 -j REJECT # Bloqueo de acceso a juegos666.com iptables -A FORWARD -d 66.98.169.230 -j REJECT # Bloqueo de acceso a jugarjuegos.net iptables -A FORWARD -d 66.115.176.45 -j REJECT
39
# Bloqueo de acceso a publispain.com iptables -A FORWARD -d 64.157.165.177 -j REJECT iptables -A FORWARD -d 70.84.44.84 -j REJECT # Bloqueo de acceso a murox.sytes.net iptables -A FORWARD -s 192.168.2.35 -d 200.27.56.114 -j ACCEPT iptables -A FORWARD -s 192.168.2.36 -d 200.27.56.114 -j ACCEPT iptables -A FORWARD -s 192.168.2.55 -d 200.27.56.114 -j ACCEPT iptables -A FORWARD -d 200.27.56.114 -j REJECT #iptables -A FORWARD -d 200.27.56.114 -p tcp --dport 80 -j REJECT echo OK . Verifique que lo que se aplica con: iptables L -n # Fin del script
40
41