1. SERVIDOR FIREWALL IPTABLES
POR:
DEYSSY ARICAPA ARAQUE
CESAR PINEDA GONZALEZ
ANDRÈS FELIPE DEOSSA
INSTRUCTOR
FERNANDO QUINTERO
ADMINISTRACION DE REDES DE COMPUTADORES
REGIONAL ANTIOQUIA
SENA
2009
2. INTRODUCCION
En este escenario podemos ver una herramienta que posee unas
cualidades las cuales nos brinda las necesidades para cumplir con
los objetivos de este escenario.
La importante de saber como es la estructura de las reglas como
funciona, además de saber las definiciones de las cadenas como es
un prerouting, posrouting, inpunt output. Forward, mas las tablas
que se debe implementar para que nos funciones nuestro iptable.
El implementar herramientas tan potentes con licenciamiento libre nos ofrece la
ventaja de mantener segura nuestra red con tan solo saber del manejo
adecuado de la herramienta lo cual favorece tanto para la compañía como para
los administradores de red de la misma.
3. IPTABLE
Es un filtro y manipulador de paquetes IP. Que se denomina PACEKT FILTER,
por que todas las operaciones que realiza la hace sobre paquetes de red, Y
nos permite realizar NAT para que las maquinas de la red LAN puedan acceder
a Internet.
Las reglas de iptable se agrupa en cadena y las cadenas en tablas, y las tablas
están asociadas a un tipo de procesamiento de paquetes.
CARACTERISTICAS DE IPTABLE
• Filtrado de paquetes
• Por protocolos, puertos, IP…
• Por estado de los paquetes (connection tracking)
• Network Address translation (NAT)
• Infraestructura flexible y entendible
• Capacidad de añadir funcionalidades mediante parches
CADENA: una cadena es un conjunto de reglas para paquetes IP, que
determina lo que se debe hacer con dicho paquete.
TABLAS: Las tablas son contenedores de cadenas, existen 3 tipos de tablas
las cuales son:
• Iptable_filter.
• Iptable_nat.
• Iptable_mangle
IPTABLE_FILTER: Llamada también la tabla de filtro, encargada de filtrar
todos los paquetes, este filtrado se logra gracias a una serie de cadenas que la
compone, las cuales son:
• INPUT (entrada)
• OUTPUT (salida)
• FORWARD (reenvió)
4. Entrada --> Enrutamiento ------> FORWARD ------> Salida -->
| ^
V |
INPUT OUTPUT
| ^
| |
+----------> PC Local ------------+
El enrutamiento no es mas que decidir si el paquete esta dirigido hacia la
propia PC o hacia una red externa, en caso de ser para la propia red, pasaría
por la cadena de INPUT (entrada), de lo contrario por la de FORWARD
(reenvió).
Todo paquete generado localmente pasa por la cadena OUTPUT (salida).
REGLA: Es la que indica que sucederá con el paquete. Estas reglas siguen un
orden, el cual depende del orden en que son ingresadas, por lo tanto es el
orden a seguir cuando se evaluaran a los paquetes.
DESTINO: Llamaremos destino a la acción a realizar con un paquete, según
una regla dada, por defecto los destinos son:
• ACEPT: Permite el paso del paquete.
• QUEUE: Provoca que el paquete sea transferido a una cola de espera,
para que sea revisado.
• RETURN: Implica volver a la cadena anterior.
• DROP: Desecha completamente el paquete. Sin mandar acuse de
recibo.
IPTABLE_NAT: Su utilidad es hacer NAT (Traducción de dirección de red), con
el fin de dar salida a Internet a una red LAN con dirección IP privada, por una
única IP pública. Posee tres cadenas por defecto las cuales son:
---> PREROUTING --> Enrutamiento --> FORWARD --> POSTROUTING --->
| ^
V |
5. INPUT OUTPUT
| ^
| |
+-------> PC Local ------>---+
• OUTPUT: Es idéntica a la utilizada en iptable_filter en cuanto al papel
que representa, la diferencia radica en las demás cadenas que posee
esta tabla.
• PREROUTING: (pre-ruteo):
• POSTROUTING: (post-ruteo):
IPTABLE_MANGLE: Esta nueva tabla posee todas las cadenas antes
mencionadas, con el fin de modificar cualquier aspecto conocido, de un
paquete dado.
SINTAXIS:
• Para trabajar con una tabla en especial se especifica con el comando:
-t nombre_tabla
• Para crear una nueva cadena:
-N nombre_cadena
• Ver cadenas existentes:
-L nombre_cadena
• Eliminar una cadena:
-X nombre_cadena
• Agregar regla a una cadena al final:
-A regla_deseada
• Agregar regla a una cadena al principio:
-I regla_deseada
• Eliminar una regla, ya sea por el nombre o número de orden.
6. -D numero_de_regla
-D regla_deseada (recordar enunciado de la misma)
• Eliminar todas las reglas:
-F cadena
• Eliminar extensiones del sistema los cuales llevan cuenta de ciertos
paquetes:
-Z cadena
• Reemplazar una regla en una cadena:
-R cadena numero_de_regla
• Destino del filtro:
-j destino_valido (ACCEPT o DROP)
• Filtrado por protocolo:
-p protocolo (tcp, udp, icmp…)
• Filtrado por dirección los paquetes que estén originados por dicha IP:
-s direccion_IP/mascara _ red
• Filtrado por dirección los paquetes que estén destinados a dicha IP:
-d direccion_IP/mascara _ red
• Filtrado por interfaz de entrada:
-i nombre _ interfaz
• Filtrado por interfaz de salida:
-o nombre_interfaz
7. CONFIGURACION DE IPTABLES:
En la presente configuración de iptable, esta basada en un escenario, el cual
procederemos a explicar a continuación:
Como se puede observar en la grafica, tenemos una pequeña red Lan, la cual
necesita salir a Internet por medio de un Firewall, el cual va a cumplir con el rol
de Gateway, haciendo filtrado de paquetes con las políticas ACCEPT (aceptar)
y DROP (denegar) por omisión, también se implementara una zona
desmilitarizada la cual va a contener todos los servidores que estarán
expuestos permanentemente a INET.
8. RECURSOS:
1. FISICOS:
• Servidor (FW) con tres interfaces de red. Eth0 (LAN) y eth1
(DMZ). Y Eth2 (WAN).
• Switch.
• Usuarios.
2. LOGICOS:
• S.O del servidor Linux Debían.
• Implementación de IPtables.
• Usuarios en S.O Windows y Linux.
OBJETIVOS:
• Desde INTERNET solo es posible entrar directamente al
servidor PostgresQL de la LAN, el resto del tráfico
hacia la LAN estará denegado.
• Puedo entrar a los servidores WEB y de CORREO desde
INTERNET y desde la LAN, usando
• puertos seguros para descarga y envío de correos.
• El servidor WEB puede acceder solamente al servidor
SQL SERVER de la LAN.
• El servidor de CORREO puede acceder únicamente al
servidor de impresión de la LAN. siempre y cuando sea
sábado o Domingo.
• Los usuarios de la LAN no podrán acceder a los
aplicativos que aparecen en el diagrama.
Teniendo claro el trabajo a realizar procederemos a realizar la respectiva
configuración.
9. ACCEPT POR DEFECTO:
HACIENDO NAT:
1. Empezaremos configurando nuestra interfaces las cuales son: eth0
(WAN) y la eth1 (LAN).
• Eth0 (WAN) : 192.168.1.2
255.255.255.0
192.168.1.254
172.16.2.62
• Eth1 (DMZ): 10.0.0.1
255.0.0.0
• Eth2 (LAN): 172.16.0.1
255.255.0.0
Esta configuración la ingresamos en la siguiente ruta:
10. 2. Ahora activaremos el reenvió, para poder hacer NAT. Para esto
ingresaremos al archivo ip_forward.
11. El archivo debe quedar como lo muestra el siguiente pantallaza:
El 1 significa que esta activa la opción ip_forward, pero temporalmente, ya
que cuando apaguemos o reiniciemos nuestro equipo volverá a configurarse
la opción por defecto (0), para evitar que esto suceda y no tener que estar
12. ingresando a esta ruta a modificar el 0 por el 1, haremos que nuestra
maquina la cargue por defecto y no cambie nuestra configuración.
3. Para ello, ingresaremos a la siguiente ruta:
E ingresamos la siguiente línea: net.ipv4.ip_forward=1
4. Ahora veremos las reglas que tiene nuestro ip_table ejecutando el
siguiente comando:
13. El cual nos deberá aparecer algo similar a esto:
Esto nos quiere decir que el firewall esta aceptando todos los paquetes, o lo
que es lo mismo, no filtra absolutamente nada, esto nos indica dos cosas:
14. • Las 3 cadenas (INPUT, FORWARD, OUTPUT) están vacías.
• Las 3 cadenas tiene como política default ACCEPT.
NOTA: Recordemos que estamos implementando la configuración de default
ACCEPT, por lo cual el escenario en el que lo estamos desarrollando no nos
pide hacer ningún tipo de filtrado de paquetes, ni de protocolos, por lo que
ahora pasaremos a hacer una regla NAT para dar salida a Internet a nuestros
usuarios.
5. Para hacer el respectivo NAT ejecutamos el siguiente comando:
• Iptables -t nat : Esto nos indica a que tabla le vamos a aplicar dicha
regla, en este caso sera a la de nat.
15. • -s 172.16.0.0/16: Esto nos indica la interfaz de entrada, la cual va a
hacer la de nuestra LAN.
• -A POSTROUTING: Esto nos indica la regla a implementar, la cual
va a hacer post_ruteo, o sea que todas las peticiones que vengan
desde la LAN hacia otra red le haga ruteo a la interfaz eth0
• -o eth0: Esta nos indica la interfaz de salida, la cual es la que nos
comunicara a la Internet, en nuestro caso es la eth0.
• -j MASQUERADE: Esto nos indica la acción a realizar a dicho
paquete,la cual va a ser enmascarar los paqutes de la LAN que
vayan hacia una red distinta con la IPpublica, esto con el fin de lograr
salir a Internet.
MASQUERADE: Es enmascarar los paquetes de la Lan que vayan hacia la red
WAN, para que puedan salir con una unica IP publica.
6. Ahora visualizaremos nuestra tabla IPtable para verificar que si haya
cogido nuestra nueva regla ejecutando: iptables –t nat –n -L
16. Respectivamente, nos quedo la nueva regla definida y quiere decir que
todos los paquetes que vengan desde la red 172.16.0.0/16 y con destino a
cualquier red, sean enmascarados.
7. Realizaremos las respectivas pruebas con uno de nuestros usuarios,
cabe aclara que el usuario se conectara a un switch, y el switch a la
interfaz eth1 de nuestro firewall.
NOTA: Como no implementamos un servicio DHCP la configuración de la
tarjeta de red de nuestro usuario se hará de manera statica.
8. Ingresamos a la configuración de nuestra tarjeta de red:
17. 9. Pondremos una dirección statica, en el rango que esta configurada en la
interfaz eth1 de nuestro Firewall.
NOTA: La puerta de enlace va a hacer la IP que esta configurada
estáticamente en la interfaz eth1 de nuestro Firewall.
18. 10. Antes de intentar salir a Internet desde nuestro navegador, haremos
pruebas de conectividad primero hacia nuestra puerta de enlace
predeterminada. Esto con la herramienta de ping. Ejecutaremos desde
una consola de Windows el comando ping.
Como vemos en el pantallaso, le damos ping a nuestro Gateway, el
resultado es exitoso, o sea el host es alcansable por nuestra maquina.
Procederemos a darle ping a la interfaz de salida del Firewall o sea la eth0
De nuevo la prueba es exitosa, o sea si es alcanzada por nuestra maquina.
19. 11. Listo ahora si abriremos nuestro navegador favorito y trataremos de
conectarnos a google.
Perfecto, ya configuramos el NAT para poder acceder a la WAN desde nuestra
LAN, para dar salida a nuestra DMZ hacemos la siguiente regla:
Iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -j MASQUERADE
En la cual dice: toda comunicación que venga desde el origen 10.0.0.0/8 hacia
interfaz eth2 (WAN) la acción es MASQUERADE (enmascarar o sea
reemplazar la IP privada para que salga con la IP publica del firewall).
Ahora procederemos a generar las reglas para cumplir con los requisitos del
escenario.
20. ACCEDIENDO DESDE INTERNET A SERVIDOR PostgresQL de la LAN.
En nuestra LAN estará corriendo un servidor PostgerQL, el cual se le
aceptaran las peticiones que vengan desde la WAN hacia el servidor.
Para crear dicha regla accederemos al archivo de configuración del iptables
con un editor de texto plano.
#nano /etc/rc.local
Este archivo debe contener lo siguiente:
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will quot;exit 0quot; on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
#Vaciar y reiniciar las tablas actuales
iptables -F
iptables -X
iptables -Z
#Borra tablas NAT
iptables -F -t nat
#Establecemos Politicas por Defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P -t nat POSTROUTING ACCEPT
iptables -P -t nat PREROUTING ACCEPT
echo Definicion de Variables
tar_EXTERNA=quot;eth2quot;
tar_LAN=quot;eth0quot;
tar_DMZ=quot;eth1quot;
red_Externa=quot;192.168.1.0/24quot;
ip_Externa=quot;192.168.1.2quot;
red_LAN=quot;172.16.0.0/16quot;
ip_LAN=quot;172.16.0.1quot;
ip_PostgreSQL=quot;172.16.0.10quot;
ip_SQL=quot;172.16.0.20quot;
ip_Impresion=quot;172.16.0.30quot;
red_DMZ=quot;10.0.0.0/8quot;
21. ip_Web=quot;10.0.0.10quot;
ip_Correo=quot;10.0.0.20quot;
#Reenvio de Paquetes
echo 1 > /proc/sys/net/ipv4/ip_forward
#Acceso de la LAN a internet
iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -o eth2 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -j MASQUERADE
Hasta ahora, ya que apenas le hemos especificado las reglas por defecto
ACCEPT, y las de Enmascaramiento.
Para ingresar nuestra nueva regla hay que tener en cuenta el orden de las
mismas en el archivo, ya que el iptables cumplira las que estan de primeras y
posteriormente las que le sigen. Empesemos a aplicar las reglas:
NOTA: Antes de aplicar una regla, especificaremos con un comentario
concreto y claro para que sirve dicha regla, esto nos evitara dolores de cabeza
a la hora de resolver un problema.
Empecemos a aplicar las reglas:
Explicación:
La regla dice: Todo lo que venga hacia la interfaz WAN por el protocolo tcp,
Puerto 5432 la acción es redireccionarlo hacia la IP del servidor PostgreSQL
172.16.0.10 por el Puerto 5432.
NOTA: La regla para definir los estados estará siempre presente en todas las
reglas que implementaremos en ACCEPT por defecto, la cual significa que toda
comunicación con estado relacionado, establecida, la acepte, esto con el fin de
minimizar el consumo de recurso de maquina, axial se evitaría el firewall estar
filtrando continuamente la misma comunicación.
22. ACCEDIENDO DESDE LA RED LAN A SERVIDOR WEB Y CORREO DE LA
DMZ POR SSL
Ahora crearemos la regla que permita las comunicaciones de la LAN al servidor
WEB y CORREO de la DMS.
Explicación:
• todo lo que venga desde el rango de red 172.16.0.0/16 (LAN) con
destino la IP 10.0.0.10 (Servidor WEB de DMZ) y puerto 443 (WEB
seguro) la acción es Aceptar.
• Todo lo que venga desde la red 172.16.0.0/16 hacia la 10.0.0.20 por el
protocolo tcp y puerto 465 la acción es aceptar.
• Todo lo que venga desde el rango de red 172.16.0.0/16 con destino
10.0.0.20 por el protocolo tcp y puerto 993 la acción es aceptar.
• Todo lo que venga desde el rango de red 172.16.0.0/16 con destino
10.0.0.20 por el protocolo tcp y puerto 995 la acción es aceptar.
NOTA: Como la comunicación se establece desde la red interna no se
redirecciona los paquetes, ya que las redes de origen y destino estan
directamente conectados al firewall y las peticiones entre ambas redes se
producen con sus respectivas IPS privadas lo cual no necesitan salir a la red
Externa lo que no es necesario hacer un redireccionamiento.
23. ACCEDIENDO DESDE LA WAN A SERVIDOR DE CORREO Y WEB DE LA
DMZ POR SSL
Ahora crearemos las reglas para poder que desde la WAN se tenga acceso a
servidores de WEB y CORREO de la DMZ: Quedarían así:
EXPLICACION:
• Todo lo que venga desde cualquier red con destino al firewall, por el
protocolo tcp y puerto 443 redireccionalo al equipo con la IP 10.0.0.10
por el puerto 443.
• Todo lo que venga desde cualquier red con destino al firewall, por el
protocolo tcp y puerto 465 lo redireccione al equipo con la IP 10.0.0.20
por el puerto 465
• Todo lo que venga desde cualquier red con destino al firewall, por el
protocolo tcp y puerto 993 lo redireccione al equipo con la IP 10.0.0.20
por el puerto 993
24. • Todo lo que venga desde cualquier red con destino al firewall, por el
protocolo tcp y puerto 465 lo redireccione al equipo con la IP 10.0.0.20
por el puerto 465
• Todo lo que venga desde cualquier red con destino al firewall, por el
protocolo tcp y puerto 995 lo redireccione al equipo con la IP 10.0.0.20
por el puerto 995
ACCEDER DESDE SERVIDOR WEB DE LA DMZ AL SERVER SQL DE LA
LAN
Ahora haremos que el servidor Web de nuestra DMZ tenga acceso al servidor
SQL de la LAN.
EXPLICACION:
• Todo lo que venga desde el equipo 10.0.0.10 para el equipo 172.16.0.20
por el protocolo tcp y puerto 1432 la acción es aceptar.
Terminada de definir las reglas, guardamos y recargamos nuestro archivo de
configuración con el siguiente comando para verificar que las líneas estén
correctamente configuradas:
# sh –x rc.local
NOTA: Con el anterior comando se cargan las reglas en memoria y se verifican
si están correctamente configuradas.
25. REGLA DENEGAR POR DEFECTO:
Terminada la creación de las reglas con ACCEPT por defecto pasaremos a
crear las mismas reglas pero ya con la regla por defecto DROP, para esto se
requiere un poco mas de paciencia y un poco mas de reglas.
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will quot;exit 0quot; on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
#Vaciar y reiniciar las tablas actuales
iptables -F
iptables -X
iptables -Z
#Borra tablas NAT
iptables -F -t nat
#Establecemos Politicas por Defecto
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
NOTA: Cuando implementamos iptables con política por defecto DROP
debemos de tener en cuenta dos cosas muy importantes:
1.Se debe permitir el acceso a todo paquete procedente de la red WAN hacia el
Firewall, con el fin de establecer la conexión para luego redireccionarla al
destino correspondiente
2. Hacer el debido redireccionamiento de dichos paquetes a su destino
3. Especificar la regla con el parámetro –sport, eso para que el sepa por donde
devolverse.
26. Comencemos con lo básico, darle acceso a la DMZ, LAN y HOST LOCAL a
Internet, para esto se debe configurar las siguientes reglas:
Haciendo NAT:
#Acceso de la LAN a la WAN
iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -o eth2 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -j MASQUERADE
REGLAS PARA PERMITIR CONEXIONES POR EL PUERTO 80 DESDE LA
LAN, DMZ Y HOST LOCAL HACIA LA WAN.
Como la política por defecto es DROP, tendremos que crear reglas para
permitir que el paquete que venga desde la LAN; DMZ Y HOST LOCAL, pueda
salir hacia la WAN, y posteriormente crear reglas para que la respuesta del
servidor remoto pueda acceder a las maquinas que hicieron las peticiones.
Permitiendo que el host local acceda a la WAN:
Empezamos dándole salida a Internet a nuestro firewall creando la siguientes
reglas:
27. Las cuales quieren decir:
• Todo trafico que venga desde el firewall y vaya hacia cualquier red, por
el protocolo tcp y puerto 80 la acción es aceptar.
• Todo trafico que venga desde cualquier lugar hacia el firewall por el
protocolo tcp y puerto 80 como respuesta a la petición del firewall la
acción es aceptar.
Ahora hay que permitir que se haga la resolución de nombres de dominio
aplicando las siguientes reglas:
Lo cual quiere decir:
• Todo lo que provenga del firewall hacia la WAN por el protocolo UDP y
puerto 53 la acción es aceptar.
• Todos los paquetes que vengan desde cualquier red y que vayan hacia
el firewall por el protocolo tcp y puerto 53 como respuesta a la petición
hecha por el firewall
Permitiendo que la LAN acceda a Internet:
Ahora procederemos a permitir que la red local tenga acceso a la red WAN,
para ello aplicaremos las siguientes reglas:
Lo que quiere decir es:
• Todas las conexiones que se realicen desde la red 172.16.0.0/16 con
destino a cualquier red por el protocolo tcp y puerto 80 la accion es
aceptar.
• Todo trafico procedente desde cualquier red con destino a la red
172.16.0.0/16 por el protocolo tcp y el puerto 80 como respuesta a la
petición de la red local la accion sera aceptar.
28. Ahora permitiremos que realice consultas al DNS:
Lo cual significa:
• Que todo paquete procedente de la red 172.16.0.0/16 para cualquier red
por el protocolo UDP y puerto 53 la acción es permitir.
• Todo paquete que provenga desde cualquier red con destino a la red
LAN por el protocolo UDP y el puerto 53 como respuesta a la petición de
la LAN la acción es aceptar.
Permitir acceso a WAN a la DMZ:
Ahora le daremos acceso a la WAN a nuestra DMZ con las siguientes reglas:
Lo cual quieren decir:
• Todo paquete desde la DMZ con destino a cualquier red por el protocolo
TCP y el puerto 80 la acción es aceptar.
• Todo paquete que llegue desde cualquier red, con destino a la DMZ por
el protocolo TCP y puerto 80 y como respuesta de la petición de la DMZ
la acción es aceptar.
Permitiendo consultas DNS:
29. • Todo paquete procedente de la DMZ con destino a cualquier red por el
protocolo UDP y por el puerto 53 la acción es aceptar.
• Todo paquete procedente de cualquier destino hacia la DMZ por el
protocolo UDP y por el puerto 53 como respuesta a la petición de la
DMZ la acción es aceptar.
Permitiendo peticiones desde WAN al servidor PostgreSQL de la LAN
Ahora crearemos las reglas que permitiran al acceso desd einternet al servidor
PosgreSQL de la LAN
• Todo trafico procedente de cualquier red con destino a la red 10.0.0.20
por el protocolo TCP y puerto 465 la accion es aceptar.
• Todo trafico propende de la 10.0.0.10 con destino a cualquier red por el
protocolo TCp y puerto 465 como respuesta a la petición de la DMZ la
accion es aceptada
Redireccionamiento:
Después de haber aceptado la conexión desde la WAN, procederemos a
realizar el respectivo redireccionamiento del paquete hacia su destino con la
respectiva regla:
• Toda peticiobn proveniente de la red WAN que tenga como destino el
firewall por le protocolo tcp y puerto 5432 lo redireccione al equipo con la
IP 172.16.0.10 por el puerto 5432.
30. ACCEDIENDO DESDE LA WAN A SERVIDOR DE CORREO DE LA DMZ
POR SSL
Ahora crearemos las reglas que permitirán acceder desde la WAN a nuestro
servidor de correo de forma segura. Para ello realizamos las siguientes reglas:
• Todos los paquetes procedentes desde cualquier red con destino la
10.0.0.20 por el protocolo tcp y puerto 465 la accion es aceptar.
• Todos los paquetes desde la 10.0.0.20 con destino a cualquier red por el
protocolo tcp y puerto 465 como respuesta a la petición del equipo
10.0.0.20 la accion es permitir
Redireccionando:
• Todo paquete que venga desde cualquier red con destino al firewall por
el protocolo tcp y puerto 465 la accion es redireccionarlo al equipo
10.0.0.20 por el puerto 465.
Para descargar el correo de forma segura seria:
• Todo el trafico que venga desde cualquier origen para el equipo
10.0.0.20 por el protocolo tcp y puerto 993, 995 la acción es aceptar.
31. • Todo el tráfico que venga desde el equipo 10.0.0.20 para cualquier red
por el protocolo tcp y puerto 993, 995 como respuesta a la petición de la
red externa la acción es aceptar.
Ahora redireccionaremos las peticiones:
• Todo el trafico procedente de cualquier red para nuestra maquina por el
protocolo tcp y puertos 993 y 995 la acción es redireccionarlo al equipo
con la IP 10.0.0.20 por el puerto 993 y 995.
ACCEDIENDO DESDE LA LAN AL SERVIDOR DE CORREO DE LA DMZ
POR SSL
Terminada la creación de las reglas de la WAN procedemos a crear las de la
LAN, para permitir el acceso al servidor de correo de forma segura:
• Las conexiones procedentes de la LAN con destino al servidor de correo
de la DMZ por el protocolo tcp y puerto 465 la acción es permitir.
• Las conexiones procedentes del servidor de correo de la DMZ hacia
nuestra LAN por el protocolo tcp y puerto 465 como respuesta a la
petición de la LAN la acción es permitir.
NOTA: Como las conexiones se están haciendo desde la propia red local, las
conexiones se establecen sin necesidad de redireccionarlas hacia su destino.
Por lo tanto basta con solo aceptar las conexiones.
32. Ahora crearemos las reglas que permitirán descargar de manera segura el
correo.
• Todas las conexiones que provengan desde la LAN hacia el servidor de
correo de nuestra DMZ por el protocolo tcp y puerto 993y 995 la acción
es permitir.
• Todas las conexiones que provengan desde el servidor de correo hacia
la LAN por el protocolo tcp y puerto 993, y 995 como respuesta a las
peticiones de la LAN la acción es permitir.
ACCEDER DESDE EL SERVIDOR DE CORREO HACIA EL SERVIDOR SQL
SERVER DE LA LAN
Ahora permitiremos que el equipo del servidor de correo tenga acceso a
nuestro equipo SQL de la LAN con la siguiente regla:
• Permita las conexiones procedentes de el equipo 10.0.0.10 que tengan
como destino el equipo 172.16.0.20 por le protocolo tcp y el puerto 1432.
• Permitir las conexiones desde la IP 172.16.0.20 hacia el servidor de
correo de la DMZ por el protocolo tcp y el puerto 1432 como respuesta a
las peticiones del Servidor de correo.