SlideShare une entreprise Scribd logo

Manual Iptables

Télécharger en tant que DOC, PDF
Cesar Pineda
Cesar Pineda
Technologie
1  sur  33
SERVIDOR FIREWALL IPTABLES POR: DEYSSY ARICAPA ARAQUE CESAR PINEDA GONZALEZ ANDRÈS FELIPE DEOSSA INSTRUCTOR FERNANDO QUINTERO ADMINISTRACION DE REDES DE COMPUTADORES REGIONAL ANTIOQUIA SENA 2009
INTRODUCCION En este escenario podemos ver una herramienta que posee unas cualidades las cuales nos brinda las necesidades para cumplir con los objetivos de este escenario. La importante de saber como es la estructura de las reglas como funciona, además de saber las definiciones de las cadenas como es un prerouting, posrouting, inpunt output. Forward, mas las tablas que se debe implementar para que nos funciones nuestro iptable. El implementar herramientas tan potentes con licenciamiento libre nos ofrece la ventaja de mantener segura nuestra red con tan solo saber del manejo adecuado de la herramienta lo cual favorece tanto para la compañía como para los administradores de red de la misma.
IPTABLE Es un filtro y manipulador de paquetes IP. Que se denomina PACEKT FILTER, por que todas las operaciones que realiza la hace sobre paquetes de red, Y nos permite realizar NAT para que las maquinas de la red LAN puedan acceder a Internet. Las reglas de iptable se agrupa en cadena y las cadenas en tablas, y las tablas están asociadas a un tipo de procesamiento de paquetes. CARACTERISTICAS DE IPTABLE • Filtrado de paquetes • Por protocolos, puertos, IP… • Por estado de los paquetes (connection tracking) • Network Address translation (NAT) • Infraestructura flexible y entendible • Capacidad de añadir funcionalidades mediante parches CADENA: una cadena es un conjunto de reglas para paquetes IP, que determina lo que se debe hacer con dicho paquete. TABLAS: Las tablas son contenedores de cadenas, existen 3 tipos de tablas las cuales son: • Iptable_filter. • Iptable_nat. • Iptable_mangle IPTABLE_FILTER: Llamada también la tabla de filtro, encargada de filtrar todos los paquetes, este filtrado se logra gracias a una serie de cadenas que la compone, las cuales son: • INPUT (entrada) • OUTPUT (salida) • FORWARD (reenvió)
Entrada --> Enrutamiento ------> FORWARD ------> Salida --> | ^ V | INPUT OUTPUT | ^ | | +----------> PC Local ------------+ El enrutamiento no es mas que decidir si el paquete esta dirigido hacia la propia PC o hacia una red externa, en caso de ser para la propia red, pasaría por la cadena de INPUT (entrada), de lo contrario por la de FORWARD (reenvió). Todo paquete generado localmente pasa por la cadena OUTPUT (salida). REGLA: Es la que indica que sucederá con el paquete. Estas reglas siguen un orden, el cual depende del orden en que son ingresadas, por lo tanto es el orden a seguir cuando se evaluaran a los paquetes. DESTINO: Llamaremos destino a la acción a realizar con un paquete, según una regla dada, por defecto los destinos son: • ACEPT: Permite el paso del paquete. • QUEUE: Provoca que el paquete sea transferido a una cola de espera, para que sea revisado. • RETURN: Implica volver a la cadena anterior. • DROP: Desecha completamente el paquete. Sin mandar acuse de recibo. IPTABLE_NAT: Su utilidad es hacer NAT (Traducción de dirección de red), con el fin de dar salida a Internet a una red LAN con dirección IP privada, por una única IP pública. Posee tres cadenas por defecto las cuales son: ---> PREROUTING --> Enrutamiento --> FORWARD --> POSTROUTING ---> | ^ V |
INPUT OUTPUT | ^ | | +-------> PC Local ------>---+ • OUTPUT: Es idéntica a la utilizada en iptable_filter en cuanto al papel que representa, la diferencia radica en las demás cadenas que posee esta tabla. • PREROUTING: (pre-ruteo): • POSTROUTING: (post-ruteo): IPTABLE_MANGLE: Esta nueva tabla posee todas las cadenas antes mencionadas, con el fin de modificar cualquier aspecto conocido, de un paquete dado. SINTAXIS: • Para trabajar con una tabla en especial se especifica con el comando: -t nombre_tabla • Para crear una nueva cadena: -N nombre_cadena • Ver cadenas existentes: -L nombre_cadena • Eliminar una cadena: -X nombre_cadena • Agregar regla a una cadena al final: -A regla_deseada • Agregar regla a una cadena al principio: -I regla_deseada • Eliminar una regla, ya sea por el nombre o número de orden.
-D numero_de_regla -D regla_deseada (recordar enunciado de la misma) • Eliminar todas las reglas: -F cadena • Eliminar extensiones del sistema los cuales llevan cuenta de ciertos paquetes: -Z cadena • Reemplazar una regla en una cadena: -R cadena numero_de_regla • Destino del filtro: -j destino_valido (ACCEPT o DROP) • Filtrado por protocolo: -p protocolo (tcp, udp, icmp…) • Filtrado por dirección los paquetes que estén originados por dicha IP: -s direccion_IP/mascara _ red • Filtrado por dirección los paquetes que estén destinados a dicha IP: -d direccion_IP/mascara _ red • Filtrado por interfaz de entrada: -i nombre _ interfaz • Filtrado por interfaz de salida: -o nombre_interfaz
CONFIGURACION DE IPTABLES: En la presente configuración de iptable, esta basada en un escenario, el cual procederemos a explicar a continuación: Como se puede observar en la grafica, tenemos una pequeña red Lan, la cual necesita salir a Internet por medio de un Firewall, el cual va a cumplir con el rol de Gateway, haciendo filtrado de paquetes con las políticas ACCEPT (aceptar) y DROP (denegar) por omisión, también se implementara una zona desmilitarizada la cual va a contener todos los servidores que estarán expuestos permanentemente a INET.
RECURSOS: 1. FISICOS: • Servidor (FW) con tres interfaces de red. Eth0 (LAN) y eth1 (DMZ). Y Eth2 (WAN). • Switch. • Usuarios. 2. LOGICOS: • S.O del servidor Linux Debían. • Implementación de IPtables. • Usuarios en S.O Windows y Linux. OBJETIVOS: • Desde INTERNET solo es posible entrar directamente al servidor PostgresQL de la LAN, el resto del tráfico hacia la LAN estará denegado. • Puedo entrar a los servidores WEB y de CORREO desde INTERNET y desde la LAN, usando • puertos seguros para descarga y envío de correos. • El servidor WEB puede acceder solamente al servidor SQL SERVER de la LAN. • El servidor de CORREO puede acceder únicamente al servidor de impresión de la LAN. siempre y cuando sea sábado o Domingo. • Los usuarios de la LAN no podrán acceder a los aplicativos que aparecen en el diagrama. Teniendo claro el trabajo a realizar procederemos a realizar la respectiva configuración.
ACCEPT POR DEFECTO: HACIENDO NAT: 1. Empezaremos configurando nuestra interfaces las cuales son: eth0 (WAN) y la eth1 (LAN). • Eth0 (WAN) : 192.168.1.2 255.255.255.0 192.168.1.254 172.16.2.62 • Eth1 (DMZ): 10.0.0.1 255.0.0.0 • Eth2 (LAN): 172.16.0.1 255.255.0.0 Esta configuración la ingresamos en la siguiente ruta:
2. Ahora activaremos el reenvió, para poder hacer NAT. Para esto ingresaremos al archivo ip_forward.
El archivo debe quedar como lo muestra el siguiente pantallaza: El 1 significa que esta activa la opción ip_forward, pero temporalmente, ya que cuando apaguemos o reiniciemos nuestro equipo volverá a configurarse la opción por defecto (0), para evitar que esto suceda y no tener que estar
ingresando a esta ruta a modificar el 0 por el 1, haremos que nuestra maquina la cargue por defecto y no cambie nuestra configuración. 3. Para ello, ingresaremos a la siguiente ruta: E ingresamos la siguiente línea: net.ipv4.ip_forward=1 4. Ahora veremos las reglas que tiene nuestro ip_table ejecutando el siguiente comando:
El cual nos deberá aparecer algo similar a esto: Esto nos quiere decir que el firewall esta aceptando todos los paquetes, o lo que es lo mismo, no filtra absolutamente nada, esto nos indica dos cosas:
• Las 3 cadenas (INPUT, FORWARD, OUTPUT) están vacías. • Las 3 cadenas tiene como política default ACCEPT. NOTA: Recordemos que estamos implementando la configuración de default ACCEPT, por lo cual el escenario en el que lo estamos desarrollando no nos pide hacer ningún tipo de filtrado de paquetes, ni de protocolos, por lo que ahora pasaremos a hacer una regla NAT para dar salida a Internet a nuestros usuarios. 5. Para hacer el respectivo NAT ejecutamos el siguiente comando: • Iptables -t nat : Esto nos indica a que tabla le vamos a aplicar dicha regla, en este caso sera a la de nat.
• -s 172.16.0.0/16: Esto nos indica la interfaz de entrada, la cual va a hacer la de nuestra LAN. • -A POSTROUTING: Esto nos indica la regla a implementar, la cual va a hacer post_ruteo, o sea que todas las peticiones que vengan desde la LAN hacia otra red le haga ruteo a la interfaz eth0 • -o eth0: Esta nos indica la interfaz de salida, la cual es la que nos comunicara a la Internet, en nuestro caso es la eth0. • -j MASQUERADE: Esto nos indica la acción a realizar a dicho paquete,la cual va a ser enmascarar los paqutes de la LAN que vayan hacia una red distinta con la IPpublica, esto con el fin de lograr salir a Internet. MASQUERADE: Es enmascarar los paquetes de la Lan que vayan hacia la red WAN, para que puedan salir con una unica IP publica. 6. Ahora visualizaremos nuestra tabla IPtable para verificar que si haya cogido nuestra nueva regla ejecutando: iptables –t nat –n -L
Respectivamente, nos quedo la nueva regla definida y quiere decir que todos los paquetes que vengan desde la red 172.16.0.0/16 y con destino a cualquier red, sean enmascarados. 7. Realizaremos las respectivas pruebas con uno de nuestros usuarios, cabe aclara que el usuario se conectara a un switch, y el switch a la interfaz eth1 de nuestro firewall. NOTA: Como no implementamos un servicio DHCP la configuración de la tarjeta de red de nuestro usuario se hará de manera statica. 8. Ingresamos a la configuración de nuestra tarjeta de red:
9. Pondremos una dirección statica, en el rango que esta configurada en la interfaz eth1 de nuestro Firewall. NOTA: La puerta de enlace va a hacer la IP que esta configurada estáticamente en la interfaz eth1 de nuestro Firewall.
10. Antes de intentar salir a Internet desde nuestro navegador, haremos pruebas de conectividad primero hacia nuestra puerta de enlace predeterminada. Esto con la herramienta de ping. Ejecutaremos desde una consola de Windows el comando ping. Como vemos en el pantallaso, le damos ping a nuestro Gateway, el resultado es exitoso, o sea el host es alcansable por nuestra maquina. Procederemos a darle ping a la interfaz de salida del Firewall o sea la eth0 De nuevo la prueba es exitosa, o sea si es alcanzada por nuestra maquina.
11. Listo ahora si abriremos nuestro navegador favorito y trataremos de conectarnos a google. Perfecto, ya configuramos el NAT para poder acceder a la WAN desde nuestra LAN, para dar salida a nuestra DMZ hacemos la siguiente regla: Iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -j MASQUERADE En la cual dice: toda comunicación que venga desde el origen 10.0.0.0/8 hacia interfaz eth2 (WAN) la acción es MASQUERADE (enmascarar o sea reemplazar la IP privada para que salga con la IP publica del firewall). Ahora procederemos a generar las reglas para cumplir con los requisitos del escenario.
ACCEDIENDO DESDE INTERNET A SERVIDOR PostgresQL de la LAN. En nuestra LAN estará corriendo un servidor PostgerQL, el cual se le aceptaran las peticiones que vengan desde la WAN hacia el servidor. Para crear dicha regla accederemos al archivo de configuración del iptables con un editor de texto plano. #nano /etc/rc.local Este archivo debe contener lo siguiente: #!/bin/sh -e # # rc.local # # This script is executed at the end of each multiuser runlevel. # Make sure that the script will quot;exit 0quot; on success or any other # value on error. # # In order to enable or disable this script just change the execution # bits. # # By default this script does nothing. #Vaciar y reiniciar las tablas actuales iptables -F iptables -X iptables -Z #Borra tablas NAT iptables -F -t nat #Establecemos Politicas por Defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P -t nat POSTROUTING ACCEPT iptables -P -t nat PREROUTING ACCEPT echo Definicion de Variables tar_EXTERNA=quot;eth2quot; tar_LAN=quot;eth0quot; tar_DMZ=quot;eth1quot; red_Externa=quot;192.168.1.0/24quot; ip_Externa=quot;192.168.1.2quot; red_LAN=quot;172.16.0.0/16quot; ip_LAN=quot;172.16.0.1quot; ip_PostgreSQL=quot;172.16.0.10quot; ip_SQL=quot;172.16.0.20quot; ip_Impresion=quot;172.16.0.30quot; red_DMZ=quot;10.0.0.0/8quot;
ip_Web=quot;10.0.0.10quot; ip_Correo=quot;10.0.0.20quot; #Reenvio de Paquetes echo 1 > /proc/sys/net/ipv4/ip_forward #Acceso de la LAN a internet iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -o eth2 -j MASQUERADE iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -j MASQUERADE Hasta ahora, ya que apenas le hemos especificado las reglas por defecto ACCEPT, y las de Enmascaramiento. Para ingresar nuestra nueva regla hay que tener en cuenta el orden de las mismas en el archivo, ya que el iptables cumplira las que estan de primeras y posteriormente las que le sigen. Empesemos a aplicar las reglas: NOTA: Antes de aplicar una regla, especificaremos con un comentario concreto y claro para que sirve dicha regla, esto nos evitara dolores de cabeza a la hora de resolver un problema. Empecemos a aplicar las reglas: Explicación: La regla dice: Todo lo que venga hacia la interfaz WAN por el protocolo tcp, Puerto 5432 la acción es redireccionarlo hacia la IP del servidor PostgreSQL 172.16.0.10 por el Puerto 5432. NOTA: La regla para definir los estados estará siempre presente en todas las reglas que implementaremos en ACCEPT por defecto, la cual significa que toda comunicación con estado relacionado, establecida, la acepte, esto con el fin de minimizar el consumo de recurso de maquina, axial se evitaría el firewall estar filtrando continuamente la misma comunicación.
ACCEDIENDO DESDE LA RED LAN A SERVIDOR WEB Y CORREO DE LA DMZ POR SSL Ahora crearemos la regla que permita las comunicaciones de la LAN al servidor WEB y CORREO de la DMS. Explicación: • todo lo que venga desde el rango de red 172.16.0.0/16 (LAN) con destino la IP 10.0.0.10 (Servidor WEB de DMZ) y puerto 443 (WEB seguro) la acción es Aceptar. • Todo lo que venga desde la red 172.16.0.0/16 hacia la 10.0.0.20 por el protocolo tcp y puerto 465 la acción es aceptar. • Todo lo que venga desde el rango de red 172.16.0.0/16 con destino 10.0.0.20 por el protocolo tcp y puerto 993 la acción es aceptar. • Todo lo que venga desde el rango de red 172.16.0.0/16 con destino 10.0.0.20 por el protocolo tcp y puerto 995 la acción es aceptar. NOTA: Como la comunicación se establece desde la red interna no se redirecciona los paquetes, ya que las redes de origen y destino estan directamente conectados al firewall y las peticiones entre ambas redes se producen con sus respectivas IPS privadas lo cual no necesitan salir a la red Externa lo que no es necesario hacer un redireccionamiento.
ACCEDIENDO DESDE LA WAN A SERVIDOR DE CORREO Y WEB DE LA DMZ POR SSL Ahora crearemos las reglas para poder que desde la WAN se tenga acceso a servidores de WEB y CORREO de la DMZ: Quedarían así: EXPLICACION: • Todo lo que venga desde cualquier red con destino al firewall, por el protocolo tcp y puerto 443 redireccionalo al equipo con la IP 10.0.0.10 por el puerto 443. • Todo lo que venga desde cualquier red con destino al firewall, por el protocolo tcp y puerto 465 lo redireccione al equipo con la IP 10.0.0.20 por el puerto 465 • Todo lo que venga desde cualquier red con destino al firewall, por el protocolo tcp y puerto 993 lo redireccione al equipo con la IP 10.0.0.20 por el puerto 993
• Todo lo que venga desde cualquier red con destino al firewall, por el protocolo tcp y puerto 465 lo redireccione al equipo con la IP 10.0.0.20 por el puerto 465 • Todo lo que venga desde cualquier red con destino al firewall, por el protocolo tcp y puerto 995 lo redireccione al equipo con la IP 10.0.0.20 por el puerto 995 ACCEDER DESDE SERVIDOR WEB DE LA DMZ AL SERVER SQL DE LA LAN Ahora haremos que el servidor Web de nuestra DMZ tenga acceso al servidor SQL de la LAN. EXPLICACION: • Todo lo que venga desde el equipo 10.0.0.10 para el equipo 172.16.0.20 por el protocolo tcp y puerto 1432 la acción es aceptar. Terminada de definir las reglas, guardamos y recargamos nuestro archivo de configuración con el siguiente comando para verificar que las líneas estén correctamente configuradas: # sh –x rc.local NOTA: Con el anterior comando se cargan las reglas en memoria y se verifican si están correctamente configuradas.
REGLA DENEGAR POR DEFECTO: Terminada la creación de las reglas con ACCEPT por defecto pasaremos a crear las mismas reglas pero ya con la regla por defecto DROP, para esto se requiere un poco mas de paciencia y un poco mas de reglas. #!/bin/sh -e # # rc.local # # This script is executed at the end of each multiuser runlevel. # Make sure that the script will quot;exit 0quot; on success or any other # value on error. # # In order to enable or disable this script just change the execution # bits. # # By default this script does nothing. #Vaciar y reiniciar las tablas actuales iptables -F iptables -X iptables -Z #Borra tablas NAT iptables -F -t nat #Establecemos Politicas por Defecto iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP NOTA: Cuando implementamos iptables con política por defecto DROP debemos de tener en cuenta dos cosas muy importantes: 1.Se debe permitir el acceso a todo paquete procedente de la red WAN hacia el Firewall, con el fin de establecer la conexión para luego redireccionarla al destino correspondiente 2. Hacer el debido redireccionamiento de dichos paquetes a su destino 3. Especificar la regla con el parámetro –sport, eso para que el sepa por donde devolverse.
Comencemos con lo básico, darle acceso a la DMZ, LAN y HOST LOCAL a Internet, para esto se debe configurar las siguientes reglas: Haciendo NAT: #Acceso de la LAN a la WAN iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -o eth2 -j MASQUERADE iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -j MASQUERADE REGLAS PARA PERMITIR CONEXIONES POR EL PUERTO 80 DESDE LA LAN, DMZ Y HOST LOCAL HACIA LA WAN. Como la política por defecto es DROP, tendremos que crear reglas para permitir que el paquete que venga desde la LAN; DMZ Y HOST LOCAL, pueda salir hacia la WAN, y posteriormente crear reglas para que la respuesta del servidor remoto pueda acceder a las maquinas que hicieron las peticiones. Permitiendo que el host local acceda a la WAN: Empezamos dándole salida a Internet a nuestro firewall creando la siguientes reglas:
Las cuales quieren decir: • Todo trafico que venga desde el firewall y vaya hacia cualquier red, por el protocolo tcp y puerto 80 la acción es aceptar. • Todo trafico que venga desde cualquier lugar hacia el firewall por el protocolo tcp y puerto 80 como respuesta a la petición del firewall la acción es aceptar. Ahora hay que permitir que se haga la resolución de nombres de dominio aplicando las siguientes reglas: Lo cual quiere decir: • Todo lo que provenga del firewall hacia la WAN por el protocolo UDP y puerto 53 la acción es aceptar. • Todos los paquetes que vengan desde cualquier red y que vayan hacia el firewall por el protocolo tcp y puerto 53 como respuesta a la petición hecha por el firewall Permitiendo que la LAN acceda a Internet: Ahora procederemos a permitir que la red local tenga acceso a la red WAN, para ello aplicaremos las siguientes reglas: Lo que quiere decir es: • Todas las conexiones que se realicen desde la red 172.16.0.0/16 con destino a cualquier red por el protocolo tcp y puerto 80 la accion es aceptar. • Todo trafico procedente desde cualquier red con destino a la red 172.16.0.0/16 por el protocolo tcp y el puerto 80 como respuesta a la petición de la red local la accion sera aceptar.
Ahora permitiremos que realice consultas al DNS: Lo cual significa: • Que todo paquete procedente de la red 172.16.0.0/16 para cualquier red por el protocolo UDP y puerto 53 la acción es permitir. • Todo paquete que provenga desde cualquier red con destino a la red LAN por el protocolo UDP y el puerto 53 como respuesta a la petición de la LAN la acción es aceptar. Permitir acceso a WAN a la DMZ: Ahora le daremos acceso a la WAN a nuestra DMZ con las siguientes reglas: Lo cual quieren decir: • Todo paquete desde la DMZ con destino a cualquier red por el protocolo TCP y el puerto 80 la acción es aceptar. • Todo paquete que llegue desde cualquier red, con destino a la DMZ por el protocolo TCP y puerto 80 y como respuesta de la petición de la DMZ la acción es aceptar. Permitiendo consultas DNS:
• Todo paquete procedente de la DMZ con destino a cualquier red por el protocolo UDP y por el puerto 53 la acción es aceptar. • Todo paquete procedente de cualquier destino hacia la DMZ por el protocolo UDP y por el puerto 53 como respuesta a la petición de la DMZ la acción es aceptar. Permitiendo peticiones desde WAN al servidor PostgreSQL de la LAN Ahora crearemos las reglas que permitiran al acceso desd einternet al servidor PosgreSQL de la LAN • Todo trafico procedente de cualquier red con destino a la red 10.0.0.20 por el protocolo TCP y puerto 465 la accion es aceptar. • Todo trafico propende de la 10.0.0.10 con destino a cualquier red por el protocolo TCp y puerto 465 como respuesta a la petición de la DMZ la accion es aceptada Redireccionamiento: Después de haber aceptado la conexión desde la WAN, procederemos a realizar el respectivo redireccionamiento del paquete hacia su destino con la respectiva regla: • Toda peticiobn proveniente de la red WAN que tenga como destino el firewall por le protocolo tcp y puerto 5432 lo redireccione al equipo con la IP 172.16.0.10 por el puerto 5432.
ACCEDIENDO DESDE LA WAN A SERVIDOR DE CORREO DE LA DMZ POR SSL Ahora crearemos las reglas que permitirán acceder desde la WAN a nuestro servidor de correo de forma segura. Para ello realizamos las siguientes reglas: • Todos los paquetes procedentes desde cualquier red con destino la 10.0.0.20 por el protocolo tcp y puerto 465 la accion es aceptar. • Todos los paquetes desde la 10.0.0.20 con destino a cualquier red por el protocolo tcp y puerto 465 como respuesta a la petición del equipo 10.0.0.20 la accion es permitir Redireccionando: • Todo paquete que venga desde cualquier red con destino al firewall por el protocolo tcp y puerto 465 la accion es redireccionarlo al equipo 10.0.0.20 por el puerto 465. Para descargar el correo de forma segura seria: • Todo el trafico que venga desde cualquier origen para el equipo 10.0.0.20 por el protocolo tcp y puerto 993, 995 la acción es aceptar.
• Todo el tráfico que venga desde el equipo 10.0.0.20 para cualquier red por el protocolo tcp y puerto 993, 995 como respuesta a la petición de la red externa la acción es aceptar. Ahora redireccionaremos las peticiones: • Todo el trafico procedente de cualquier red para nuestra maquina por el protocolo tcp y puertos 993 y 995 la acción es redireccionarlo al equipo con la IP 10.0.0.20 por el puerto 993 y 995. ACCEDIENDO DESDE LA LAN AL SERVIDOR DE CORREO DE LA DMZ POR SSL Terminada la creación de las reglas de la WAN procedemos a crear las de la LAN, para permitir el acceso al servidor de correo de forma segura: • Las conexiones procedentes de la LAN con destino al servidor de correo de la DMZ por el protocolo tcp y puerto 465 la acción es permitir. • Las conexiones procedentes del servidor de correo de la DMZ hacia nuestra LAN por el protocolo tcp y puerto 465 como respuesta a la petición de la LAN la acción es permitir. NOTA: Como las conexiones se están haciendo desde la propia red local, las conexiones se establecen sin necesidad de redireccionarlas hacia su destino. Por lo tanto basta con solo aceptar las conexiones.
Ahora crearemos las reglas que permitirán descargar de manera segura el correo. • Todas las conexiones que provengan desde la LAN hacia el servidor de correo de nuestra DMZ por el protocolo tcp y puerto 993y 995 la acción es permitir. • Todas las conexiones que provengan desde el servidor de correo hacia la LAN por el protocolo tcp y puerto 993, y 995 como respuesta a las peticiones de la LAN la acción es permitir. ACCEDER DESDE EL SERVIDOR DE CORREO HACIA EL SERVIDOR SQL SERVER DE LA LAN Ahora permitiremos que el equipo del servidor de correo tenga acceso a nuestro equipo SQL de la LAN con la siguiente regla: • Permita las conexiones procedentes de el equipo 10.0.0.10 que tengan como destino el equipo 172.16.0.20 por le protocolo tcp y el puerto 1432. • Permitir las conexiones desde la IP 172.16.0.20 hacia el servidor de correo de la DMZ por el protocolo tcp y el puerto 1432 como respuesta a las peticiones del Servidor de correo.
Manual Iptables

Recommandé

Hot standby router protocol (hsrp) using
Hot standby router protocol (hsrp) usingHot standby router protocol (hsrp) using
Hot standby router protocol (hsrp) usingShubhiGupta94
 
Comandos cli router
Comandos cli routerComandos cli router
Comandos cli routercyberleon95
 
Protocolo de enrutamiento
Protocolo de enrutamientoProtocolo de enrutamiento
Protocolo de enrutamientoStuart Guzman
 
Estrutura da Internet
Estrutura da InternetEstrutura da Internet
Estrutura da InternetÁlecson Vinícius Machado Guimarães
 
Gns3 practica
Gns3 practicaGns3 practica
Gns3 practicaAlex Vasquez
 
Stack Doble IPv4-IPv6
Stack Doble IPv4-IPv6Stack Doble IPv4-IPv6
Stack Doble IPv4-IPv6bramstoker
 
Iptables
IptablesIptables
Iptablescercer
 
Subredes
SubredesSubredes
SubredesVíctor Núñez
 

Recommandé

Hot standby router protocol (hsrp) using
Hot standby router protocol (hsrp) usingHot standby router protocol (hsrp) using
Hot standby router protocol (hsrp) usingShubhiGupta94
 
Comandos cli router
Comandos cli routerComandos cli router
Comandos cli routercyberleon95
 
Protocolo de enrutamiento
Protocolo de enrutamientoProtocolo de enrutamiento
Protocolo de enrutamientoStuart Guzman
 
Estrutura da Internet
Estrutura da InternetEstrutura da Internet
Estrutura da InternetÁlecson Vinícius Machado Guimarães
 
Gns3 practica
Gns3 practicaGns3 practica
Gns3 practicaAlex Vasquez
 
Stack Doble IPv4-IPv6
Stack Doble IPv4-IPv6Stack Doble IPv4-IPv6
Stack Doble IPv4-IPv6bramstoker
 
Iptables
IptablesIptables
Iptablescercer
 
Subredes
SubredesSubredes
SubredesVíctor Núñez
 
Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11
Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11
Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11Ivan Sanchez
 
História e futuro do tcp ip
História e futuro do tcp ipHistória e futuro do tcp ip
História e futuro do tcp ipPaula Lopes
 
Advanced Captive Portal - pfSense Hangout June 2017
Advanced Captive Portal - pfSense Hangout June 2017Advanced Captive Portal - pfSense Hangout June 2017
Advanced Captive Portal - pfSense Hangout June 2017Netgate
 
Configuración básica de un router y switch
Configuración básica de un router y switchConfiguración básica de un router y switch
Configuración básica de un router y switchAlex Yungan
 
ccna cheat_sheet
ccna cheat_sheetccna cheat_sheet
ccna cheat_sheetGuntaka Reddy
 
Resumen IPTABLES
Resumen IPTABLESResumen IPTABLES
Resumen IPTABLESalexmerono
 
Monografía sobre Enrutamiento estático - Redes de computadoras
Monografía sobre Enrutamiento estático - Redes de computadorasMonografía sobre Enrutamiento estático - Redes de computadoras
Monografía sobre Enrutamiento estático - Redes de computadorasJ-SociOs
 
Implementación de un Servidor DHCP
Implementación de un Servidor DHCPImplementación de un Servidor DHCP
Implementación de un Servidor DHCPEsteban Saavedra
 
Nat (network address translation) qué es y cómo funciona
Nat (network address translation) qué es y cómo funcionaNat (network address translation) qué es y cómo funciona
Nat (network address translation) qué es y cómo funcionaqueches
 
5.2.2.6 lab configuring dynamic and static nat - ilm
5.2.2.6 lab configuring dynamic and static nat - ilm5.2.2.6 lab configuring dynamic and static nat - ilm
5.2.2.6 lab configuring dynamic and static nat - ilmOmar E Garcia V
 
Analisis de trafico con wireshark
Analisis de trafico con wiresharkAnalisis de trafico con wireshark
Analisis de trafico con wiresharkLuis Martínez
 
(106708832) e2 pt act_6_5_1_directions
(106708832) e2 pt act_6_5_1_directions(106708832) e2 pt act_6_5_1_directions
(106708832) e2 pt act_6_5_1_directionsRoberto Cesar Chang
 
Spanning tree protocol
Spanning tree protocolSpanning tree protocol
Spanning tree protocolJuan Zambrano Burgos
 
Resumen comandos router
Resumen comandos routerResumen comandos router
Resumen comandos routerjlvive
 
Basic onos-tutorial
Basic onos-tutorialBasic onos-tutorial
Basic onos-tutorialEueung Mulyana
 
Comandos de configuracion de dispositivos cisco
Comandos de configuracion de dispositivos ciscoComandos de configuracion de dispositivos cisco
Comandos de configuracion de dispositivos ciscoCISCO NETWORKING
 
Linux comandos gerais e servidores de rede
Linux comandos gerais e servidores de redeLinux comandos gerais e servidores de rede
Linux comandos gerais e servidores de redefernandao777
 
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.Anthony Torres Bastidas
 
Kernel Recipes 2019 - XDP closer integration with network stack
Kernel Recipes 2019 - XDP closer integration with network stackKernel Recipes 2019 - XDP closer integration with network stack
Kernel Recipes 2019 - XDP closer integration with network stackAnne Nicolas
 
Configurar snmp en cisco
Configurar snmp en ciscoConfigurar snmp en cisco
Configurar snmp en ciscochulver
 
IPTABLES ¿Que es? y ¿Como Funciona?
IPTABLES ¿Que es? y ¿Como Funciona? IPTABLES ¿Que es? y ¿Como Funciona?
IPTABLES ¿Que es? y ¿Como Funciona? Alfredo Fiebig
 
Firewall en Ubuntu con IPtables
Firewall en Ubuntu con IPtablesFirewall en Ubuntu con IPtables
Firewall en Ubuntu con IPtablesMena Inu
 

Contenu connexe

Tendances

Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11
Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11
Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11Ivan Sanchez
 
História e futuro do tcp ip
História e futuro do tcp ipHistória e futuro do tcp ip
História e futuro do tcp ipPaula Lopes
 
Advanced Captive Portal - pfSense Hangout June 2017
Advanced Captive Portal - pfSense Hangout June 2017Advanced Captive Portal - pfSense Hangout June 2017
Advanced Captive Portal - pfSense Hangout June 2017Netgate
 
Configuración básica de un router y switch
Configuración básica de un router y switchConfiguración básica de un router y switch
Configuración básica de un router y switchAlex Yungan
 
Resumen IPTABLES
Resumen IPTABLESResumen IPTABLES
Resumen IPTABLESalexmerono
 
Monografía sobre Enrutamiento estático - Redes de computadoras
Monografía sobre Enrutamiento estático - Redes de computadorasMonografía sobre Enrutamiento estático - Redes de computadoras
Monografía sobre Enrutamiento estático - Redes de computadorasJ-SociOs
 
Implementación de un Servidor DHCP
Implementación de un Servidor DHCPImplementación de un Servidor DHCP
Implementación de un Servidor DHCPEsteban Saavedra
 
Nat (network address translation) qué es y cómo funciona
Nat (network address translation) qué es y cómo funcionaNat (network address translation) qué es y cómo funciona
Nat (network address translation) qué es y cómo funcionaqueches
 
5.2.2.6 lab configuring dynamic and static nat - ilm
5.2.2.6 lab configuring dynamic and static nat - ilm5.2.2.6 lab configuring dynamic and static nat - ilm
5.2.2.6 lab configuring dynamic and static nat - ilmOmar E Garcia V
 
Analisis de trafico con wireshark
Analisis de trafico con wiresharkAnalisis de trafico con wireshark
Analisis de trafico con wiresharkLuis Martínez
 
(106708832) e2 pt act_6_5_1_directions
(106708832) e2 pt act_6_5_1_directions(106708832) e2 pt act_6_5_1_directions
(106708832) e2 pt act_6_5_1_directionsRoberto Cesar Chang
 
Resumen comandos router
Resumen comandos routerResumen comandos router
Resumen comandos routerjlvive
 
Comandos de configuracion de dispositivos cisco
Comandos de configuracion de dispositivos ciscoComandos de configuracion de dispositivos cisco
Comandos de configuracion de dispositivos ciscoCISCO NETWORKING
 
Linux comandos gerais e servidores de rede
Linux comandos gerais e servidores de redeLinux comandos gerais e servidores de rede
Linux comandos gerais e servidores de redefernandao777
 
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.Anthony Torres Bastidas
 
Kernel Recipes 2019 - XDP closer integration with network stack
Kernel Recipes 2019 - XDP closer integration with network stackKernel Recipes 2019 - XDP closer integration with network stack
Kernel Recipes 2019 - XDP closer integration with network stackAnne Nicolas
 
Configurar snmp en cisco
Configurar snmp en ciscoConfigurar snmp en cisco
Configurar snmp en ciscochulver
 

Tendances (20)

Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11
Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11
Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11
 
História e futuro do tcp ip
História e futuro do tcp ipHistória e futuro do tcp ip
História e futuro do tcp ip
 
Advanced Captive Portal - pfSense Hangout June 2017
Advanced Captive Portal - pfSense Hangout June 2017Advanced Captive Portal - pfSense Hangout June 2017
Advanced Captive Portal - pfSense Hangout June 2017
 
Configuración básica de un router y switch
Configuración básica de un router y switchConfiguración básica de un router y switch
Configuración básica de un router y switch
 
ccna cheat_sheet
ccna cheat_sheetccna cheat_sheet
ccna cheat_sheet
 
Resumen IPTABLES
Resumen IPTABLESResumen IPTABLES
Resumen IPTABLES
 
Monografía sobre Enrutamiento estático - Redes de computadoras
Monografía sobre Enrutamiento estático - Redes de computadorasMonografía sobre Enrutamiento estático - Redes de computadoras
Monografía sobre Enrutamiento estático - Redes de computadoras
 
Implementación de un Servidor DHCP
Implementación de un Servidor DHCPImplementación de un Servidor DHCP
Implementación de un Servidor DHCP
 
Nat (network address translation) qué es y cómo funciona
Nat (network address translation) qué es y cómo funcionaNat (network address translation) qué es y cómo funciona
Nat (network address translation) qué es y cómo funciona
 
5.2.2.6 lab configuring dynamic and static nat - ilm
5.2.2.6 lab configuring dynamic and static nat - ilm5.2.2.6 lab configuring dynamic and static nat - ilm
5.2.2.6 lab configuring dynamic and static nat - ilm
 
Analisis de trafico con wireshark
Analisis de trafico con wiresharkAnalisis de trafico con wireshark
Analisis de trafico con wireshark
 
(106708832) e2 pt act_6_5_1_directions
(106708832) e2 pt act_6_5_1_directions(106708832) e2 pt act_6_5_1_directions
(106708832) e2 pt act_6_5_1_directions
 
Spanning tree protocol
Spanning tree protocolSpanning tree protocol
Spanning tree protocol
 
Resumen comandos router
Resumen comandos routerResumen comandos router
Resumen comandos router
 
Basic onos-tutorial
Basic onos-tutorialBasic onos-tutorial
Basic onos-tutorial
 
Comandos de configuracion de dispositivos cisco
Comandos de configuracion de dispositivos ciscoComandos de configuracion de dispositivos cisco
Comandos de configuracion de dispositivos cisco
 
Linux comandos gerais e servidores de rede
Linux comandos gerais e servidores de redeLinux comandos gerais e servidores de rede
Linux comandos gerais e servidores de rede
 
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
 
Kernel Recipes 2019 - XDP closer integration with network stack
Kernel Recipes 2019 - XDP closer integration with network stackKernel Recipes 2019 - XDP closer integration with network stack
Kernel Recipes 2019 - XDP closer integration with network stack
 
Configurar snmp en cisco
Configurar snmp en ciscoConfigurar snmp en cisco
Configurar snmp en cisco
 

En vedette

IPTABLES ¿Que es? y ¿Como Funciona?
IPTABLES ¿Que es? y ¿Como Funciona? IPTABLES ¿Que es? y ¿Como Funciona?
IPTABLES ¿Que es? y ¿Como Funciona? Alfredo Fiebig
 
Firewall en Ubuntu con IPtables
Firewall en Ubuntu con IPtablesFirewall en Ubuntu con IPtables
Firewall en Ubuntu con IPtablesMena Inu
 
Como crear una carpeta encriptada en una memoria usb
Como crear una carpeta encriptada en una memoria usbComo crear una carpeta encriptada en una memoria usb
Como crear una carpeta encriptada en una memoria usbMilton Marte Feliú
 
Como crear una carpeta en ubuntu
Como crear una carpeta en ubuntuComo crear una carpeta en ubuntu
Como crear una carpeta en ubuntukalencitapincay96
 
Configuracion de red en Ubuntu Linux
Configuracion de red en Ubuntu LinuxConfiguracion de red en Ubuntu Linux
Configuracion de red en Ubuntu LinuxFabian Ortiz
 
Administración básica de ubuntu server parte 1
Administración básica de ubuntu server parte 1Administración básica de ubuntu server parte 1
Administración básica de ubuntu server parte 1Santiago Márquez Solís
 
Tipos de Malware
Tipos de MalwareTipos de Malware
Tipos de Malwareedelahozuah
 
Securizando sistemas a nivel de usuario y administrador
Securizando sistemas a nivel de usuario y administradorSecurizando sistemas a nivel de usuario y administrador
Securizando sistemas a nivel de usuario y administradorastralia
 
Seminario Administradores Febrero 2007
Seminario Administradores Febrero 2007Seminario Administradores Febrero 2007
Seminario Administradores Febrero 2007Antonio Durán
 
routerosbasicsv0-3espaol
routerosbasicsv0-3espaol routerosbasicsv0-3espaol
routerosbasicsv0-3espaolpattala01
 
Linux ud12 - configuracion de iptables en linux
Linux ud12 - configuracion de iptables en linuxLinux ud12 - configuracion de iptables en linux
Linux ud12 - configuracion de iptables en linuxJavier Muñoz
 
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercacheConfiguración de mikro tik para thundercache
Configuración de mikro tik para thundercacheMarco Arias
 
09 configuracion proxy server freddy beltran
09 configuracion proxy server freddy beltran09 configuracion proxy server freddy beltran
09 configuracion proxy server freddy beltranbeppo
 
Nivel 1. manual para instalar mikrotik
Nivel 1. manual para instalar mikrotikNivel 1. manual para instalar mikrotik
Nivel 1. manual para instalar mikrotikvscwifi2
 

En vedette (20)

IPTABLES ¿Que es? y ¿Como Funciona?
IPTABLES ¿Que es? y ¿Como Funciona? IPTABLES ¿Que es? y ¿Como Funciona?
IPTABLES ¿Que es? y ¿Como Funciona?
 
Firewall en Ubuntu con IPtables
Firewall en Ubuntu con IPtablesFirewall en Ubuntu con IPtables
Firewall en Ubuntu con IPtables
 
Como crear una carpeta encriptada en una memoria usb
Como crear una carpeta encriptada en una memoria usbComo crear una carpeta encriptada en una memoria usb
Como crear una carpeta encriptada en una memoria usb
 
Como crear una carpeta en ubuntu
Como crear una carpeta en ubuntuComo crear una carpeta en ubuntu
Como crear una carpeta en ubuntu
 
Configuracion de red en Ubuntu Linux
Configuracion de red en Ubuntu LinuxConfiguracion de red en Ubuntu Linux
Configuracion de red en Ubuntu Linux
 
Administración básica de ubuntu server parte 1
Administración básica de ubuntu server parte 1Administración básica de ubuntu server parte 1
Administración básica de ubuntu server parte 1
 
Tipos de Malware
Tipos de MalwareTipos de Malware
Tipos de Malware
 
Linux
LinuxLinux
Linux
 
Securizando sistemas a nivel de usuario y administrador
Securizando sistemas a nivel de usuario y administradorSecurizando sistemas a nivel de usuario y administrador
Securizando sistemas a nivel de usuario y administrador
 
Firewalls iptables
Firewalls iptablesFirewalls iptables
Firewalls iptables
 
Seminario Administradores Febrero 2007
Seminario Administradores Febrero 2007Seminario Administradores Febrero 2007
Seminario Administradores Febrero 2007
 
firewall
firewallfirewall
firewall
 
routerosbasicsv0-3espaol
routerosbasicsv0-3espaol routerosbasicsv0-3espaol
routerosbasicsv0-3espaol
 
Linux ud12 - configuracion de iptables en linux
Linux ud12 - configuracion de iptables en linuxLinux ud12 - configuracion de iptables en linux
Linux ud12 - configuracion de iptables en linux
 
Firewall
FirewallFirewall
Firewall
 
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercacheConfiguración de mikro tik para thundercache
Configuración de mikro tik para thundercache
 
Crear una VPN PPTP amb Mikrotik
Crear una VPN PPTP amb MikrotikCrear una VPN PPTP amb Mikrotik
Crear una VPN PPTP amb Mikrotik
 
Firewall
FirewallFirewall
Firewall
 
09 configuracion proxy server freddy beltran
09 configuracion proxy server freddy beltran09 configuracion proxy server freddy beltran
09 configuracion proxy server freddy beltran
 
Nivel 1. manual para instalar mikrotik
Nivel 1. manual para instalar mikrotikNivel 1. manual para instalar mikrotik
Nivel 1. manual para instalar mikrotik
 

Similaire à Manual Iptables

Listas de acceso estándar y extendidas
Listas de acceso estándar y extendidasListas de acceso estándar y extendidas
Listas de acceso estándar y extendidasJAV_999
 
Practica nat
Practica natPractica nat
Practica nat1 2d
 
Ccna2 (chapter2) presentation by halvyn
Ccna2 (chapter2) presentation by halvynCcna2 (chapter2) presentation by halvyn
Ccna2 (chapter2) presentation by halvynAdames Bakery SRL
 
Taller comandos para solucionar problemas en la red
Taller comandos para solucionar problemas en la redTaller comandos para solucionar problemas en la red
Taller comandos para solucionar problemas en la redguestf6e4f00
 
Herramientas Administrativas de Red
Herramientas Administrativas de RedHerramientas Administrativas de Red
Herramientas Administrativas de Redcyberleon95
 
Config switch basico
Config switch basicoConfig switch basico
Config switch basicoRaul Lozada
 
Instalación de raptorcache en debían 7. Por ADL
Instalación de raptorcache en debían 7. Por ADLInstalación de raptorcache en debían 7. Por ADL
Instalación de raptorcache en debían 7. Por ADLLorenzo
 
Ucv sesion 13 router2
Ucv sesion 13 router2Ucv sesion 13 router2
Ucv sesion 13 router2Taringa!
 
Presentacion de seguridad de la redes
Presentacion de seguridad de la redesPresentacion de seguridad de la redes
Presentacion de seguridad de la redeselvisprieto2
 
Herramientas administrativas de red en diferentes sistemas operativos
Herramientas administrativas de red en diferentes sistemas operativosHerramientas administrativas de red en diferentes sistemas operativos
Herramientas administrativas de red en diferentes sistemas operativosYinaGarzon
 
Herramientas administrativas de red en diferentes sistemas operativos
Herramientas administrativas de red en diferentes sistemas operativosHerramientas administrativas de red en diferentes sistemas operativos
Herramientas administrativas de red en diferentes sistemas operativosYinaGarzon
 
Practica 1 eigrp
Practica 1 eigrpPractica 1 eigrp
Practica 1 eigrpw2k111984
 
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docxCABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docxManuelAlejandroUlloa3
 

Similaire à Manual Iptables (20)

firewall
firewallfirewall
firewall
 
Listas de acceso estándar y extendidas
Listas de acceso estándar y extendidasListas de acceso estándar y extendidas
Listas de acceso estándar y extendidas
 
Ccna4 lab 1_1_4b_es
Ccna4 lab 1_1_4b_esCcna4 lab 1_1_4b_es
Ccna4 lab 1_1_4b_es
 
Linux Redes
Linux RedesLinux Redes
Linux Redes
 
Practica nat
Practica natPractica nat
Practica nat
 
Ip tables manual
Ip tables manualIp tables manual
Ip tables manual
 
Listas de acceso
Listas de accesoListas de acceso
Listas de acceso
 
Ccna2 (chapter2) presentation by halvyn
Ccna2 (chapter2) presentation by halvynCcna2 (chapter2) presentation by halvyn
Ccna2 (chapter2) presentation by halvyn
 
SEGURIDAD DE LAS REDES
SEGURIDAD DE LAS REDES SEGURIDAD DE LAS REDES
SEGURIDAD DE LAS REDES
 
Taller comandos para solucionar problemas en la red
Taller comandos para solucionar problemas en la redTaller comandos para solucionar problemas en la red
Taller comandos para solucionar problemas en la red
 
Herramientas Administrativas de Red
Herramientas Administrativas de RedHerramientas Administrativas de Red
Herramientas Administrativas de Red
 
Config switch basico
Config switch basicoConfig switch basico
Config switch basico
 
Instalación de raptorcache en debían 7. Por ADL
Instalación de raptorcache en debían 7. Por ADLInstalación de raptorcache en debían 7. Por ADL
Instalación de raptorcache en debían 7. Por ADL
 
Ucv sesion 13 router2
Ucv sesion 13 router2Ucv sesion 13 router2
Ucv sesion 13 router2
 
Presentacion de seguridad de la redes
Presentacion de seguridad de la redesPresentacion de seguridad de la redes
Presentacion de seguridad de la redes
 
Herramientas administrativas de red en diferentes sistemas operativos
Herramientas administrativas de red en diferentes sistemas operativosHerramientas administrativas de red en diferentes sistemas operativos
Herramientas administrativas de red en diferentes sistemas operativos
 
Herramientas administrativas de red en diferentes sistemas operativos
Herramientas administrativas de red en diferentes sistemas operativosHerramientas administrativas de red en diferentes sistemas operativos
Herramientas administrativas de red en diferentes sistemas operativos
 
Practica 1 eigrp
Practica 1 eigrpPractica 1 eigrp
Practica 1 eigrp
 
7.herramientas de redes
7.herramientas de redes7.herramientas de redes
7.herramientas de redes
 
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docxCABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
 

Plus de Cesar Pineda

ORACLE LINUX 7 + DB 12C + WEBLOGIC + FORMS AND REPORTS 12C + WEBUTIL + APEX
ORACLE LINUX 7 + DB 12C + WEBLOGIC + FORMS AND REPORTS 12C + WEBUTIL + APEXORACLE LINUX 7 + DB 12C + WEBLOGIC + FORMS AND REPORTS 12C + WEBUTIL + APEX
ORACLE LINUX 7 + DB 12C + WEBLOGIC + FORMS AND REPORTS 12C + WEBUTIL + APEXCesar Pineda
 
Manual Zebra ZT230
Manual Zebra ZT230 Manual Zebra ZT230
Manual Zebra ZT230 Cesar Pineda
 
Clonacion disco duro
Clonacion disco duroClonacion disco duro
Clonacion disco duroCesar Pineda
 
Configuracion De Dispositivo Blackberry Como Modem Win Vista
Configuracion De Dispositivo Blackberry Como Modem Win VistaConfiguracion De Dispositivo Blackberry Como Modem Win Vista
Configuracion De Dispositivo Blackberry Como Modem Win VistaCesar Pineda
 
Manual De Isa Server
Manual De Isa ServerManual De Isa Server
Manual De Isa ServerCesar Pineda
 
Manual De Instalacion De Asterisk
Manual De Instalacion De AsteriskManual De Instalacion De Asterisk
Manual De Instalacion De AsteriskCesar Pineda
 
Proyecto Aplicaciones Web
Proyecto Aplicaciones WebProyecto Aplicaciones Web
Proyecto Aplicaciones WebCesar Pineda
 
Servidor De Correo En Debian
Servidor De Correo En DebianServidor De Correo En Debian
Servidor De Correo En DebianCesar Pineda
 
Monitoreo En Windows
Monitoreo En WindowsMonitoreo En Windows
Monitoreo En WindowsCesar Pineda
 

Plus de Cesar Pineda (15)

ORACLE LINUX 7 + DB 12C + WEBLOGIC + FORMS AND REPORTS 12C + WEBUTIL + APEX
ORACLE LINUX 7 + DB 12C + WEBLOGIC + FORMS AND REPORTS 12C + WEBUTIL + APEXORACLE LINUX 7 + DB 12C + WEBLOGIC + FORMS AND REPORTS 12C + WEBUTIL + APEX
ORACLE LINUX 7 + DB 12C + WEBLOGIC + FORMS AND REPORTS 12C + WEBUTIL + APEX
 
Manual Zebra ZT230
Manual Zebra ZT230 Manual Zebra ZT230
Manual Zebra ZT230
 
Clonacion disco duro
Clonacion disco duroClonacion disco duro
Clonacion disco duro
 
Configuracion De Dispositivo Blackberry Como Modem Win Vista
Configuracion De Dispositivo Blackberry Como Modem Win VistaConfiguracion De Dispositivo Blackberry Como Modem Win Vista
Configuracion De Dispositivo Blackberry Como Modem Win Vista
 
Manual Endian
Manual EndianManual Endian
Manual Endian
 
Manual De Isa Server
Manual De Isa ServerManual De Isa Server
Manual De Isa Server
 
Manual De Instalacion De Asterisk
Manual De Instalacion De AsteriskManual De Instalacion De Asterisk
Manual De Instalacion De Asterisk
 
Conceptos Vo Ip
Conceptos Vo IpConceptos Vo Ip
Conceptos Vo Ip
 
Paper Final
Paper FinalPaper Final
Paper Final
 
Paper
PaperPaper
Paper
 
Proyecto Aplicaciones Web
Proyecto Aplicaciones WebProyecto Aplicaciones Web
Proyecto Aplicaciones Web
 
Servidor De Correo En Debian
Servidor De Correo En DebianServidor De Correo En Debian
Servidor De Correo En Debian
 
Monitoreo En Windows
Monitoreo En WindowsMonitoreo En Windows
Monitoreo En Windows
 
Aplicaciones Web
Aplicaciones WebAplicaciones Web
Aplicaciones Web
 
Zenoss Manual
Zenoss ManualZenoss Manual
Zenoss Manual
 

Dernier

Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxRogerPrieto3
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 

Dernier (15)

Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 

Manual Iptables

  • 1. SERVIDOR FIREWALL IPTABLES POR: DEYSSY ARICAPA ARAQUE CESAR PINEDA GONZALEZ ANDRÈS FELIPE DEOSSA INSTRUCTOR FERNANDO QUINTERO ADMINISTRACION DE REDES DE COMPUTADORES REGIONAL ANTIOQUIA SENA 2009
  • 2. INTRODUCCION En este escenario podemos ver una herramienta que posee unas cualidades las cuales nos brinda las necesidades para cumplir con los objetivos de este escenario. La importante de saber como es la estructura de las reglas como funciona, además de saber las definiciones de las cadenas como es un prerouting, posrouting, inpunt output. Forward, mas las tablas que se debe implementar para que nos funciones nuestro iptable. El implementar herramientas tan potentes con licenciamiento libre nos ofrece la ventaja de mantener segura nuestra red con tan solo saber del manejo adecuado de la herramienta lo cual favorece tanto para la compañía como para los administradores de red de la misma.
  • 3. IPTABLE Es un filtro y manipulador de paquetes IP. Que se denomina PACEKT FILTER, por que todas las operaciones que realiza la hace sobre paquetes de red, Y nos permite realizar NAT para que las maquinas de la red LAN puedan acceder a Internet. Las reglas de iptable se agrupa en cadena y las cadenas en tablas, y las tablas están asociadas a un tipo de procesamiento de paquetes. CARACTERISTICAS DE IPTABLE • Filtrado de paquetes • Por protocolos, puertos, IP… • Por estado de los paquetes (connection tracking) • Network Address translation (NAT) • Infraestructura flexible y entendible • Capacidad de añadir funcionalidades mediante parches CADENA: una cadena es un conjunto de reglas para paquetes IP, que determina lo que se debe hacer con dicho paquete. TABLAS: Las tablas son contenedores de cadenas, existen 3 tipos de tablas las cuales son: • Iptable_filter. • Iptable_nat. • Iptable_mangle IPTABLE_FILTER: Llamada también la tabla de filtro, encargada de filtrar todos los paquetes, este filtrado se logra gracias a una serie de cadenas que la compone, las cuales son: • INPUT (entrada) • OUTPUT (salida) • FORWARD (reenvió)
  • 4. Entrada --> Enrutamiento ------> FORWARD ------> Salida --> | ^ V | INPUT OUTPUT | ^ | | +----------> PC Local ------------+ El enrutamiento no es mas que decidir si el paquete esta dirigido hacia la propia PC o hacia una red externa, en caso de ser para la propia red, pasaría por la cadena de INPUT (entrada), de lo contrario por la de FORWARD (reenvió). Todo paquete generado localmente pasa por la cadena OUTPUT (salida). REGLA: Es la que indica que sucederá con el paquete. Estas reglas siguen un orden, el cual depende del orden en que son ingresadas, por lo tanto es el orden a seguir cuando se evaluaran a los paquetes. DESTINO: Llamaremos destino a la acción a realizar con un paquete, según una regla dada, por defecto los destinos son: • ACEPT: Permite el paso del paquete. • QUEUE: Provoca que el paquete sea transferido a una cola de espera, para que sea revisado. • RETURN: Implica volver a la cadena anterior. • DROP: Desecha completamente el paquete. Sin mandar acuse de recibo. IPTABLE_NAT: Su utilidad es hacer NAT (Traducción de dirección de red), con el fin de dar salida a Internet a una red LAN con dirección IP privada, por una única IP pública. Posee tres cadenas por defecto las cuales son: ---> PREROUTING --> Enrutamiento --> FORWARD --> POSTROUTING ---> | ^ V |
  • 5. INPUT OUTPUT | ^ | | +-------> PC Local ------>---+ • OUTPUT: Es idéntica a la utilizada en iptable_filter en cuanto al papel que representa, la diferencia radica en las demás cadenas que posee esta tabla. • PREROUTING: (pre-ruteo): • POSTROUTING: (post-ruteo): IPTABLE_MANGLE: Esta nueva tabla posee todas las cadenas antes mencionadas, con el fin de modificar cualquier aspecto conocido, de un paquete dado. SINTAXIS: • Para trabajar con una tabla en especial se especifica con el comando: -t nombre_tabla • Para crear una nueva cadena: -N nombre_cadena • Ver cadenas existentes: -L nombre_cadena • Eliminar una cadena: -X nombre_cadena • Agregar regla a una cadena al final: -A regla_deseada • Agregar regla a una cadena al principio: -I regla_deseada • Eliminar una regla, ya sea por el nombre o número de orden.
  • 6. -D numero_de_regla -D regla_deseada (recordar enunciado de la misma) • Eliminar todas las reglas: -F cadena • Eliminar extensiones del sistema los cuales llevan cuenta de ciertos paquetes: -Z cadena • Reemplazar una regla en una cadena: -R cadena numero_de_regla • Destino del filtro: -j destino_valido (ACCEPT o DROP) • Filtrado por protocolo: -p protocolo (tcp, udp, icmp…) • Filtrado por dirección los paquetes que estén originados por dicha IP: -s direccion_IP/mascara _ red • Filtrado por dirección los paquetes que estén destinados a dicha IP: -d direccion_IP/mascara _ red • Filtrado por interfaz de entrada: -i nombre _ interfaz • Filtrado por interfaz de salida: -o nombre_interfaz
  • 7. CONFIGURACION DE IPTABLES: En la presente configuración de iptable, esta basada en un escenario, el cual procederemos a explicar a continuación: Como se puede observar en la grafica, tenemos una pequeña red Lan, la cual necesita salir a Internet por medio de un Firewall, el cual va a cumplir con el rol de Gateway, haciendo filtrado de paquetes con las políticas ACCEPT (aceptar) y DROP (denegar) por omisión, también se implementara una zona desmilitarizada la cual va a contener todos los servidores que estarán expuestos permanentemente a INET.
  • 8. RECURSOS: 1. FISICOS: • Servidor (FW) con tres interfaces de red. Eth0 (LAN) y eth1 (DMZ). Y Eth2 (WAN). • Switch. • Usuarios. 2. LOGICOS: • S.O del servidor Linux Debían. • Implementación de IPtables. • Usuarios en S.O Windows y Linux. OBJETIVOS: • Desde INTERNET solo es posible entrar directamente al servidor PostgresQL de la LAN, el resto del tráfico hacia la LAN estará denegado. • Puedo entrar a los servidores WEB y de CORREO desde INTERNET y desde la LAN, usando • puertos seguros para descarga y envío de correos. • El servidor WEB puede acceder solamente al servidor SQL SERVER de la LAN. • El servidor de CORREO puede acceder únicamente al servidor de impresión de la LAN. siempre y cuando sea sábado o Domingo. • Los usuarios de la LAN no podrán acceder a los aplicativos que aparecen en el diagrama. Teniendo claro el trabajo a realizar procederemos a realizar la respectiva configuración.
  • 9. ACCEPT POR DEFECTO: HACIENDO NAT: 1. Empezaremos configurando nuestra interfaces las cuales son: eth0 (WAN) y la eth1 (LAN). • Eth0 (WAN) : 192.168.1.2 255.255.255.0 192.168.1.254 172.16.2.62 • Eth1 (DMZ): 10.0.0.1 255.0.0.0 • Eth2 (LAN): 172.16.0.1 255.255.0.0 Esta configuración la ingresamos en la siguiente ruta:
  • 10. 2. Ahora activaremos el reenvió, para poder hacer NAT. Para esto ingresaremos al archivo ip_forward.
  • 11. El archivo debe quedar como lo muestra el siguiente pantallaza: El 1 significa que esta activa la opción ip_forward, pero temporalmente, ya que cuando apaguemos o reiniciemos nuestro equipo volverá a configurarse la opción por defecto (0), para evitar que esto suceda y no tener que estar
  • 12. ingresando a esta ruta a modificar el 0 por el 1, haremos que nuestra maquina la cargue por defecto y no cambie nuestra configuración. 3. Para ello, ingresaremos a la siguiente ruta: E ingresamos la siguiente línea: net.ipv4.ip_forward=1 4. Ahora veremos las reglas que tiene nuestro ip_table ejecutando el siguiente comando:
  • 13. El cual nos deberá aparecer algo similar a esto: Esto nos quiere decir que el firewall esta aceptando todos los paquetes, o lo que es lo mismo, no filtra absolutamente nada, esto nos indica dos cosas:
  • 14. Las 3 cadenas (INPUT, FORWARD, OUTPUT) están vacías. • Las 3 cadenas tiene como política default ACCEPT. NOTA: Recordemos que estamos implementando la configuración de default ACCEPT, por lo cual el escenario en el que lo estamos desarrollando no nos pide hacer ningún tipo de filtrado de paquetes, ni de protocolos, por lo que ahora pasaremos a hacer una regla NAT para dar salida a Internet a nuestros usuarios. 5. Para hacer el respectivo NAT ejecutamos el siguiente comando: • Iptables -t nat : Esto nos indica a que tabla le vamos a aplicar dicha regla, en este caso sera a la de nat.
  • 15. -s 172.16.0.0/16: Esto nos indica la interfaz de entrada, la cual va a hacer la de nuestra LAN. • -A POSTROUTING: Esto nos indica la regla a implementar, la cual va a hacer post_ruteo, o sea que todas las peticiones que vengan desde la LAN hacia otra red le haga ruteo a la interfaz eth0 • -o eth0: Esta nos indica la interfaz de salida, la cual es la que nos comunicara a la Internet, en nuestro caso es la eth0. • -j MASQUERADE: Esto nos indica la acción a realizar a dicho paquete,la cual va a ser enmascarar los paqutes de la LAN que vayan hacia una red distinta con la IPpublica, esto con el fin de lograr salir a Internet. MASQUERADE: Es enmascarar los paquetes de la Lan que vayan hacia la red WAN, para que puedan salir con una unica IP publica. 6. Ahora visualizaremos nuestra tabla IPtable para verificar que si haya cogido nuestra nueva regla ejecutando: iptables –t nat –n -L
  • 16. Respectivamente, nos quedo la nueva regla definida y quiere decir que todos los paquetes que vengan desde la red 172.16.0.0/16 y con destino a cualquier red, sean enmascarados. 7. Realizaremos las respectivas pruebas con uno de nuestros usuarios, cabe aclara que el usuario se conectara a un switch, y el switch a la interfaz eth1 de nuestro firewall. NOTA: Como no implementamos un servicio DHCP la configuración de la tarjeta de red de nuestro usuario se hará de manera statica. 8. Ingresamos a la configuración de nuestra tarjeta de red:
  • 17. 9. Pondremos una dirección statica, en el rango que esta configurada en la interfaz eth1 de nuestro Firewall. NOTA: La puerta de enlace va a hacer la IP que esta configurada estáticamente en la interfaz eth1 de nuestro Firewall.
  • 18. 10. Antes de intentar salir a Internet desde nuestro navegador, haremos pruebas de conectividad primero hacia nuestra puerta de enlace predeterminada. Esto con la herramienta de ping. Ejecutaremos desde una consola de Windows el comando ping. Como vemos en el pantallaso, le damos ping a nuestro Gateway, el resultado es exitoso, o sea el host es alcansable por nuestra maquina. Procederemos a darle ping a la interfaz de salida del Firewall o sea la eth0 De nuevo la prueba es exitosa, o sea si es alcanzada por nuestra maquina.
  • 19. 11. Listo ahora si abriremos nuestro navegador favorito y trataremos de conectarnos a google. Perfecto, ya configuramos el NAT para poder acceder a la WAN desde nuestra LAN, para dar salida a nuestra DMZ hacemos la siguiente regla: Iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -j MASQUERADE En la cual dice: toda comunicación que venga desde el origen 10.0.0.0/8 hacia interfaz eth2 (WAN) la acción es MASQUERADE (enmascarar o sea reemplazar la IP privada para que salga con la IP publica del firewall). Ahora procederemos a generar las reglas para cumplir con los requisitos del escenario.
  • 20. ACCEDIENDO DESDE INTERNET A SERVIDOR PostgresQL de la LAN. En nuestra LAN estará corriendo un servidor PostgerQL, el cual se le aceptaran las peticiones que vengan desde la WAN hacia el servidor. Para crear dicha regla accederemos al archivo de configuración del iptables con un editor de texto plano. #nano /etc/rc.local Este archivo debe contener lo siguiente: #!/bin/sh -e # # rc.local # # This script is executed at the end of each multiuser runlevel. # Make sure that the script will quot;exit 0quot; on success or any other # value on error. # # In order to enable or disable this script just change the execution # bits. # # By default this script does nothing. #Vaciar y reiniciar las tablas actuales iptables -F iptables -X iptables -Z #Borra tablas NAT iptables -F -t nat #Establecemos Politicas por Defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P -t nat POSTROUTING ACCEPT iptables -P -t nat PREROUTING ACCEPT echo Definicion de Variables tar_EXTERNA=quot;eth2quot; tar_LAN=quot;eth0quot; tar_DMZ=quot;eth1quot; red_Externa=quot;192.168.1.0/24quot; ip_Externa=quot;192.168.1.2quot; red_LAN=quot;172.16.0.0/16quot; ip_LAN=quot;172.16.0.1quot; ip_PostgreSQL=quot;172.16.0.10quot; ip_SQL=quot;172.16.0.20quot; ip_Impresion=quot;172.16.0.30quot; red_DMZ=quot;10.0.0.0/8quot;
  • 21. ip_Web=quot;10.0.0.10quot; ip_Correo=quot;10.0.0.20quot; #Reenvio de Paquetes echo 1 > /proc/sys/net/ipv4/ip_forward #Acceso de la LAN a internet iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -o eth2 -j MASQUERADE iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -j MASQUERADE Hasta ahora, ya que apenas le hemos especificado las reglas por defecto ACCEPT, y las de Enmascaramiento. Para ingresar nuestra nueva regla hay que tener en cuenta el orden de las mismas en el archivo, ya que el iptables cumplira las que estan de primeras y posteriormente las que le sigen. Empesemos a aplicar las reglas: NOTA: Antes de aplicar una regla, especificaremos con un comentario concreto y claro para que sirve dicha regla, esto nos evitara dolores de cabeza a la hora de resolver un problema. Empecemos a aplicar las reglas: Explicación: La regla dice: Todo lo que venga hacia la interfaz WAN por el protocolo tcp, Puerto 5432 la acción es redireccionarlo hacia la IP del servidor PostgreSQL 172.16.0.10 por el Puerto 5432. NOTA: La regla para definir los estados estará siempre presente en todas las reglas que implementaremos en ACCEPT por defecto, la cual significa que toda comunicación con estado relacionado, establecida, la acepte, esto con el fin de minimizar el consumo de recurso de maquina, axial se evitaría el firewall estar filtrando continuamente la misma comunicación.
  • 22. ACCEDIENDO DESDE LA RED LAN A SERVIDOR WEB Y CORREO DE LA DMZ POR SSL Ahora crearemos la regla que permita las comunicaciones de la LAN al servidor WEB y CORREO de la DMS. Explicación: • todo lo que venga desde el rango de red 172.16.0.0/16 (LAN) con destino la IP 10.0.0.10 (Servidor WEB de DMZ) y puerto 443 (WEB seguro) la acción es Aceptar. • Todo lo que venga desde la red 172.16.0.0/16 hacia la 10.0.0.20 por el protocolo tcp y puerto 465 la acción es aceptar. • Todo lo que venga desde el rango de red 172.16.0.0/16 con destino 10.0.0.20 por el protocolo tcp y puerto 993 la acción es aceptar. • Todo lo que venga desde el rango de red 172.16.0.0/16 con destino 10.0.0.20 por el protocolo tcp y puerto 995 la acción es aceptar. NOTA: Como la comunicación se establece desde la red interna no se redirecciona los paquetes, ya que las redes de origen y destino estan directamente conectados al firewall y las peticiones entre ambas redes se producen con sus respectivas IPS privadas lo cual no necesitan salir a la red Externa lo que no es necesario hacer un redireccionamiento.
  • 23. ACCEDIENDO DESDE LA WAN A SERVIDOR DE CORREO Y WEB DE LA DMZ POR SSL Ahora crearemos las reglas para poder que desde la WAN se tenga acceso a servidores de WEB y CORREO de la DMZ: Quedarían así: EXPLICACION: • Todo lo que venga desde cualquier red con destino al firewall, por el protocolo tcp y puerto 443 redireccionalo al equipo con la IP 10.0.0.10 por el puerto 443. • Todo lo que venga desde cualquier red con destino al firewall, por el protocolo tcp y puerto 465 lo redireccione al equipo con la IP 10.0.0.20 por el puerto 465 • Todo lo que venga desde cualquier red con destino al firewall, por el protocolo tcp y puerto 993 lo redireccione al equipo con la IP 10.0.0.20 por el puerto 993
  • 24. Todo lo que venga desde cualquier red con destino al firewall, por el protocolo tcp y puerto 465 lo redireccione al equipo con la IP 10.0.0.20 por el puerto 465 • Todo lo que venga desde cualquier red con destino al firewall, por el protocolo tcp y puerto 995 lo redireccione al equipo con la IP 10.0.0.20 por el puerto 995 ACCEDER DESDE SERVIDOR WEB DE LA DMZ AL SERVER SQL DE LA LAN Ahora haremos que el servidor Web de nuestra DMZ tenga acceso al servidor SQL de la LAN. EXPLICACION: • Todo lo que venga desde el equipo 10.0.0.10 para el equipo 172.16.0.20 por el protocolo tcp y puerto 1432 la acción es aceptar. Terminada de definir las reglas, guardamos y recargamos nuestro archivo de configuración con el siguiente comando para verificar que las líneas estén correctamente configuradas: # sh –x rc.local NOTA: Con el anterior comando se cargan las reglas en memoria y se verifican si están correctamente configuradas.
  • 25. REGLA DENEGAR POR DEFECTO: Terminada la creación de las reglas con ACCEPT por defecto pasaremos a crear las mismas reglas pero ya con la regla por defecto DROP, para esto se requiere un poco mas de paciencia y un poco mas de reglas. #!/bin/sh -e # # rc.local # # This script is executed at the end of each multiuser runlevel. # Make sure that the script will quot;exit 0quot; on success or any other # value on error. # # In order to enable or disable this script just change the execution # bits. # # By default this script does nothing. #Vaciar y reiniciar las tablas actuales iptables -F iptables -X iptables -Z #Borra tablas NAT iptables -F -t nat #Establecemos Politicas por Defecto iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP NOTA: Cuando implementamos iptables con política por defecto DROP debemos de tener en cuenta dos cosas muy importantes: 1.Se debe permitir el acceso a todo paquete procedente de la red WAN hacia el Firewall, con el fin de establecer la conexión para luego redireccionarla al destino correspondiente 2. Hacer el debido redireccionamiento de dichos paquetes a su destino 3. Especificar la regla con el parámetro –sport, eso para que el sepa por donde devolverse.
  • 26. Comencemos con lo básico, darle acceso a la DMZ, LAN y HOST LOCAL a Internet, para esto se debe configurar las siguientes reglas: Haciendo NAT: #Acceso de la LAN a la WAN iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -o eth2 -j MASQUERADE iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -j MASQUERADE REGLAS PARA PERMITIR CONEXIONES POR EL PUERTO 80 DESDE LA LAN, DMZ Y HOST LOCAL HACIA LA WAN. Como la política por defecto es DROP, tendremos que crear reglas para permitir que el paquete que venga desde la LAN; DMZ Y HOST LOCAL, pueda salir hacia la WAN, y posteriormente crear reglas para que la respuesta del servidor remoto pueda acceder a las maquinas que hicieron las peticiones. Permitiendo que el host local acceda a la WAN: Empezamos dándole salida a Internet a nuestro firewall creando la siguientes reglas:
  • 27. Las cuales quieren decir: • Todo trafico que venga desde el firewall y vaya hacia cualquier red, por el protocolo tcp y puerto 80 la acción es aceptar. • Todo trafico que venga desde cualquier lugar hacia el firewall por el protocolo tcp y puerto 80 como respuesta a la petición del firewall la acción es aceptar. Ahora hay que permitir que se haga la resolución de nombres de dominio aplicando las siguientes reglas: Lo cual quiere decir: • Todo lo que provenga del firewall hacia la WAN por el protocolo UDP y puerto 53 la acción es aceptar. • Todos los paquetes que vengan desde cualquier red y que vayan hacia el firewall por el protocolo tcp y puerto 53 como respuesta a la petición hecha por el firewall Permitiendo que la LAN acceda a Internet: Ahora procederemos a permitir que la red local tenga acceso a la red WAN, para ello aplicaremos las siguientes reglas: Lo que quiere decir es: • Todas las conexiones que se realicen desde la red 172.16.0.0/16 con destino a cualquier red por el protocolo tcp y puerto 80 la accion es aceptar. • Todo trafico procedente desde cualquier red con destino a la red 172.16.0.0/16 por el protocolo tcp y el puerto 80 como respuesta a la petición de la red local la accion sera aceptar.
  • 28. Ahora permitiremos que realice consultas al DNS: Lo cual significa: • Que todo paquete procedente de la red 172.16.0.0/16 para cualquier red por el protocolo UDP y puerto 53 la acción es permitir. • Todo paquete que provenga desde cualquier red con destino a la red LAN por el protocolo UDP y el puerto 53 como respuesta a la petición de la LAN la acción es aceptar. Permitir acceso a WAN a la DMZ: Ahora le daremos acceso a la WAN a nuestra DMZ con las siguientes reglas: Lo cual quieren decir: • Todo paquete desde la DMZ con destino a cualquier red por el protocolo TCP y el puerto 80 la acción es aceptar. • Todo paquete que llegue desde cualquier red, con destino a la DMZ por el protocolo TCP y puerto 80 y como respuesta de la petición de la DMZ la acción es aceptar. Permitiendo consultas DNS:
  • 29. Todo paquete procedente de la DMZ con destino a cualquier red por el protocolo UDP y por el puerto 53 la acción es aceptar. • Todo paquete procedente de cualquier destino hacia la DMZ por el protocolo UDP y por el puerto 53 como respuesta a la petición de la DMZ la acción es aceptar. Permitiendo peticiones desde WAN al servidor PostgreSQL de la LAN Ahora crearemos las reglas que permitiran al acceso desd einternet al servidor PosgreSQL de la LAN • Todo trafico procedente de cualquier red con destino a la red 10.0.0.20 por el protocolo TCP y puerto 465 la accion es aceptar. • Todo trafico propende de la 10.0.0.10 con destino a cualquier red por el protocolo TCp y puerto 465 como respuesta a la petición de la DMZ la accion es aceptada Redireccionamiento: Después de haber aceptado la conexión desde la WAN, procederemos a realizar el respectivo redireccionamiento del paquete hacia su destino con la respectiva regla: • Toda peticiobn proveniente de la red WAN que tenga como destino el firewall por le protocolo tcp y puerto 5432 lo redireccione al equipo con la IP 172.16.0.10 por el puerto 5432.
  • 30. ACCEDIENDO DESDE LA WAN A SERVIDOR DE CORREO DE LA DMZ POR SSL Ahora crearemos las reglas que permitirán acceder desde la WAN a nuestro servidor de correo de forma segura. Para ello realizamos las siguientes reglas: • Todos los paquetes procedentes desde cualquier red con destino la 10.0.0.20 por el protocolo tcp y puerto 465 la accion es aceptar. • Todos los paquetes desde la 10.0.0.20 con destino a cualquier red por el protocolo tcp y puerto 465 como respuesta a la petición del equipo 10.0.0.20 la accion es permitir Redireccionando: • Todo paquete que venga desde cualquier red con destino al firewall por el protocolo tcp y puerto 465 la accion es redireccionarlo al equipo 10.0.0.20 por el puerto 465. Para descargar el correo de forma segura seria: • Todo el trafico que venga desde cualquier origen para el equipo 10.0.0.20 por el protocolo tcp y puerto 993, 995 la acción es aceptar.
  • 31. Todo el tráfico que venga desde el equipo 10.0.0.20 para cualquier red por el protocolo tcp y puerto 993, 995 como respuesta a la petición de la red externa la acción es aceptar. Ahora redireccionaremos las peticiones: • Todo el trafico procedente de cualquier red para nuestra maquina por el protocolo tcp y puertos 993 y 995 la acción es redireccionarlo al equipo con la IP 10.0.0.20 por el puerto 993 y 995. ACCEDIENDO DESDE LA LAN AL SERVIDOR DE CORREO DE LA DMZ POR SSL Terminada la creación de las reglas de la WAN procedemos a crear las de la LAN, para permitir el acceso al servidor de correo de forma segura: • Las conexiones procedentes de la LAN con destino al servidor de correo de la DMZ por el protocolo tcp y puerto 465 la acción es permitir. • Las conexiones procedentes del servidor de correo de la DMZ hacia nuestra LAN por el protocolo tcp y puerto 465 como respuesta a la petición de la LAN la acción es permitir. NOTA: Como las conexiones se están haciendo desde la propia red local, las conexiones se establecen sin necesidad de redireccionarlas hacia su destino. Por lo tanto basta con solo aceptar las conexiones.
  • 32. Ahora crearemos las reglas que permitirán descargar de manera segura el correo. • Todas las conexiones que provengan desde la LAN hacia el servidor de correo de nuestra DMZ por el protocolo tcp y puerto 993y 995 la acción es permitir. • Todas las conexiones que provengan desde el servidor de correo hacia la LAN por el protocolo tcp y puerto 993, y 995 como respuesta a las peticiones de la LAN la acción es permitir. ACCEDER DESDE EL SERVIDOR DE CORREO HACIA EL SERVIDOR SQL SERVER DE LA LAN Ahora permitiremos que el equipo del servidor de correo tenga acceso a nuestro equipo SQL de la LAN con la siguiente regla: • Permita las conexiones procedentes de el equipo 10.0.0.10 que tengan como destino el equipo 172.16.0.20 por le protocolo tcp y el puerto 1432. • Permitir las conexiones desde la IP 172.16.0.20 hacia el servidor de correo de la DMZ por el protocolo tcp y el puerto 1432 como respuesta a las peticiones del Servidor de correo.