SlideShare une entreprise Scribd logo

Manual Iptables

Télécharger en tant que DOC, PDF
Cesar Pineda
Cesar Pineda
Technologie
1  sur  33
SERVIDOR FIREWALL IPTABLES POR: DEYSSY ARICAPA ARAQUE CESAR PINEDA GONZALEZ ANDRÈS FELIPE DEOSSA INSTRUCTOR FERNANDO QUINTERO ADMINISTRACION DE REDES DE COMPUTADORES REGIONAL ANTIOQUIA SENA 2009
INTRODUCCION En este escenario podemos ver una herramienta que posee unas cualidades las cuales nos brinda las necesidades para cumplir con los objetivos de este escenario. La importante de saber como es la estructura de las reglas como funciona, además de saber las definiciones de las cadenas como es un prerouting, posrouting, inpunt output. Forward, mas las tablas que se debe implementar para que nos funciones nuestro iptable. El implementar herramientas tan potentes con licenciamiento libre nos ofrece la ventaja de mantener segura nuestra red con tan solo saber del manejo adecuado de la herramienta lo cual favorece tanto para la compañía como para los administradores de red de la misma.
IPTABLE Es un filtro y manipulador de paquetes IP. Que se denomina PACEKT FILTER, por que todas las operaciones que realiza la hace sobre paquetes de red, Y nos permite realizar NAT para que las maquinas de la red LAN puedan acceder a Internet. Las reglas de iptable se agrupa en cadena y las cadenas en tablas, y las tablas están asociadas a un tipo de procesamiento de paquetes. CARACTERISTICAS DE IPTABLE • Filtrado de paquetes • Por protocolos, puertos, IP… • Por estado de los paquetes (connection tracking) • Network Address translation (NAT) • Infraestructura flexible y entendible • Capacidad de añadir funcionalidades mediante parches CADENA: una cadena es un conjunto de reglas para paquetes IP, que determina lo que se debe hacer con dicho paquete. TABLAS: Las tablas son contenedores de cadenas, existen 3 tipos de tablas las cuales son: • Iptable_filter. • Iptable_nat. • Iptable_mangle IPTABLE_FILTER: Llamada también la tabla de filtro, encargada de filtrar todos los paquetes, este filtrado se logra gracias a una serie de cadenas que la compone, las cuales son: • INPUT (entrada) • OUTPUT (salida) • FORWARD (reenvió)
Entrada --> Enrutamiento ------> FORWARD ------> Salida --> | ^ V | INPUT OUTPUT | ^ | | +----------> PC Local ------------+ El enrutamiento no es mas que decidir si el paquete esta dirigido hacia la propia PC o hacia una red externa, en caso de ser para la propia red, pasaría por la cadena de INPUT (entrada), de lo contrario por la de FORWARD (reenvió). Todo paquete generado localmente pasa por la cadena OUTPUT (salida). REGLA: Es la que indica que sucederá con el paquete. Estas reglas siguen un orden, el cual depende del orden en que son ingresadas, por lo tanto es el orden a seguir cuando se evaluaran a los paquetes. DESTINO: Llamaremos destino a la acción a realizar con un paquete, según una regla dada, por defecto los destinos son: • ACEPT: Permite el paso del paquete. • QUEUE: Provoca que el paquete sea transferido a una cola de espera, para que sea revisado. • RETURN: Implica volver a la cadena anterior. • DROP: Desecha completamente el paquete. Sin mandar acuse de recibo. IPTABLE_NAT: Su utilidad es hacer NAT (Traducción de dirección de red), con el fin de dar salida a Internet a una red LAN con dirección IP privada, por una única IP pública. Posee tres cadenas por defecto las cuales son: ---> PREROUTING --> Enrutamiento --> FORWARD --> POSTROUTING ---> | ^ V |
INPUT OUTPUT | ^ | | +-------> PC Local ------>---+ • OUTPUT: Es idéntica a la utilizada en iptable_filter en cuanto al papel que representa, la diferencia radica en las demás cadenas que posee esta tabla. • PREROUTING: (pre-ruteo): • POSTROUTING: (post-ruteo): IPTABLE_MANGLE: Esta nueva tabla posee todas las cadenas antes mencionadas, con el fin de modificar cualquier aspecto conocido, de un paquete dado. SINTAXIS: • Para trabajar con una tabla en especial se especifica con el comando: -t nombre_tabla • Para crear una nueva cadena: -N nombre_cadena • Ver cadenas existentes: -L nombre_cadena • Eliminar una cadena: -X nombre_cadena • Agregar regla a una cadena al final: -A regla_deseada • Agregar regla a una cadena al principio: -I regla_deseada • Eliminar una regla, ya sea por el nombre o número de orden.
-D numero_de_regla -D regla_deseada (recordar enunciado de la misma) • Eliminar todas las reglas: -F cadena • Eliminar extensiones del sistema los cuales llevan cuenta de ciertos paquetes: -Z cadena • Reemplazar una regla en una cadena: -R cadena numero_de_regla • Destino del filtro: -j destino_valido (ACCEPT o DROP) • Filtrado por protocolo: -p protocolo (tcp, udp, icmp…) • Filtrado por dirección los paquetes que estén originados por dicha IP: -s direccion_IP/mascara _ red • Filtrado por dirección los paquetes que estén destinados a dicha IP: -d direccion_IP/mascara _ red • Filtrado por interfaz de entrada: -i nombre _ interfaz • Filtrado por interfaz de salida: -o nombre_interfaz
CONFIGURACION DE IPTABLES: En la presente configuración de iptable, esta basada en un escenario, el cual procederemos a explicar a continuación: Como se puede observar en la grafica, tenemos una pequeña red Lan, la cual necesita salir a Internet por medio de un Firewall, el cual va a cumplir con el rol de Gateway, haciendo filtrado de paquetes con las políticas ACCEPT (aceptar) y DROP (denegar) por omisión, también se implementara una zona desmilitarizada la cual va a contener todos los servidores que estarán expuestos permanentemente a INET.
RECURSOS: 1. FISICOS: • Servidor (FW) con tres interfaces de red. Eth0 (LAN) y eth1 (DMZ). Y Eth2 (WAN). • Switch. • Usuarios. 2. LOGICOS: • S.O del servidor Linux Debían. • Implementación de IPtables. • Usuarios en S.O Windows y Linux. OBJETIVOS: • Desde INTERNET solo es posible entrar directamente al servidor PostgresQL de la LAN, el resto del tráfico hacia la LAN estará denegado. • Puedo entrar a los servidores WEB y de CORREO desde INTERNET y desde la LAN, usando • puertos seguros para descarga y envío de correos. • El servidor WEB puede acceder solamente al servidor SQL SERVER de la LAN. • El servidor de CORREO puede acceder únicamente al servidor de impresión de la LAN. siempre y cuando sea sábado o Domingo. • Los usuarios de la LAN no podrán acceder a los aplicativos que aparecen en el diagrama. Teniendo claro el trabajo a realizar procederemos a realizar la respectiva configuración.
ACCEPT POR DEFECTO: HACIENDO NAT: 1. Empezaremos configurando nuestra interfaces las cuales son: eth0 (WAN) y la eth1 (LAN). • Eth0 (WAN) : 192.168.1.2 255.255.255.0 192.168.1.254 172.16.2.62 • Eth1 (DMZ): 10.0.0.1 255.0.0.0 • Eth2 (LAN): 172.16.0.1 255.255.0.0 Esta configuración la ingresamos en la siguiente ruta:
2. Ahora activaremos el reenvió, para poder hacer NAT. Para esto ingresaremos al archivo ip_forward.
El archivo debe quedar como lo muestra el siguiente pantallaza: El 1 significa que esta activa la opción ip_forward, pero temporalmente, ya que cuando apaguemos o reiniciemos nuestro equipo volverá a configurarse la opción por defecto (0), para evitar que esto suceda y no tener que estar
ingresando a esta ruta a modificar el 0 por el 1, haremos que nuestra maquina la cargue por defecto y no cambie nuestra configuración. 3. Para ello, ingresaremos a la siguiente ruta: E ingresamos la siguiente línea: net.ipv4.ip_forward=1 4. Ahora veremos las reglas que tiene nuestro ip_table ejecutando el siguiente comando:
El cual nos deberá aparecer algo similar a esto: Esto nos quiere decir que el firewall esta aceptando todos los paquetes, o lo que es lo mismo, no filtra absolutamente nada, esto nos indica dos cosas:
• Las 3 cadenas (INPUT, FORWARD, OUTPUT) están vacías. • Las 3 cadenas tiene como política default ACCEPT. NOTA: Recordemos que estamos implementando la configuración de default ACCEPT, por lo cual el escenario en el que lo estamos desarrollando no nos pide hacer ningún tipo de filtrado de paquetes, ni de protocolos, por lo que ahora pasaremos a hacer una regla NAT para dar salida a Internet a nuestros usuarios. 5. Para hacer el respectivo NAT ejecutamos el siguiente comando: • Iptables -t nat : Esto nos indica a que tabla le vamos a aplicar dicha regla, en este caso sera a la de nat.
• -s 172.16.0.0/16: Esto nos indica la interfaz de entrada, la cual va a hacer la de nuestra LAN. • -A POSTROUTING: Esto nos indica la regla a implementar, la cual va a hacer post_ruteo, o sea que todas las peticiones que vengan desde la LAN hacia otra red le haga ruteo a la interfaz eth0 • -o eth0: Esta nos indica la interfaz de salida, la cual es la que nos comunicara a la Internet, en nuestro caso es la eth0. • -j MASQUERADE: Esto nos indica la acción a realizar a dicho paquete,la cual va a ser enmascarar los paqutes de la LAN que vayan hacia una red distinta con la IPpublica, esto con el fin de lograr salir a Internet. MASQUERADE: Es enmascarar los paquetes de la Lan que vayan hacia la red WAN, para que puedan salir con una unica IP publica. 6. Ahora visualizaremos nuestra tabla IPtable para verificar que si haya cogido nuestra nueva regla ejecutando: iptables –t nat –n -L
Respectivamente, nos quedo la nueva regla definida y quiere decir que todos los paquetes que vengan desde la red 172.16.0.0/16 y con destino a cualquier red, sean enmascarados. 7. Realizaremos las respectivas pruebas con uno de nuestros usuarios, cabe aclara que el usuario se conectara a un switch, y el switch a la interfaz eth1 de nuestro firewall. NOTA: Como no implementamos un servicio DHCP la configuración de la tarjeta de red de nuestro usuario se hará de manera statica. 8. Ingresamos a la configuración de nuestra tarjeta de red:
9. Pondremos una dirección statica, en el rango que esta configurada en la interfaz eth1 de nuestro Firewall. NOTA: La puerta de enlace va a hacer la IP que esta configurada estáticamente en la interfaz eth1 de nuestro Firewall.
10. Antes de intentar salir a Internet desde nuestro navegador, haremos pruebas de conectividad primero hacia nuestra puerta de enlace predeterminada. Esto con la herramienta de ping. Ejecutaremos desde una consola de Windows el comando ping. Como vemos en el pantallaso, le damos ping a nuestro Gateway, el resultado es exitoso, o sea el host es alcansable por nuestra maquina. Procederemos a darle ping a la interfaz de salida del Firewall o sea la eth0 De nuevo la prueba es exitosa, o sea si es alcanzada por nuestra maquina.
11. Listo ahora si abriremos nuestro navegador favorito y trataremos de conectarnos a google. Perfecto, ya configuramos el NAT para poder acceder a la WAN desde nuestra LAN, para dar salida a nuestra DMZ hacemos la siguiente regla: Iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -j MASQUERADE En la cual dice: toda comunicación que venga desde el origen 10.0.0.0/8 hacia interfaz eth2 (WAN) la acción es MASQUERADE (enmascarar o sea reemplazar la IP privada para que salga con la IP publica del firewall). Ahora procederemos a generar las reglas para cumplir con los requisitos del escenario.
ACCEDIENDO DESDE INTERNET A SERVIDOR PostgresQL de la LAN. En nuestra LAN estará corriendo un servidor PostgerQL, el cual se le aceptaran las peticiones que vengan desde la WAN hacia el servidor. Para crear dicha regla accederemos al archivo de configuración del iptables con un editor de texto plano. #nano /etc/rc.local Este archivo debe contener lo siguiente: #!/bin/sh -e # # rc.local # # This script is executed at the end of each multiuser runlevel. # Make sure that the script will quot;exit 0quot; on success or any other # value on error. # # In order to enable or disable this script just change the execution # bits. # # By default this script does nothing. #Vaciar y reiniciar las tablas actuales iptables -F iptables -X iptables -Z #Borra tablas NAT iptables -F -t nat #Establecemos Politicas por Defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P -t nat POSTROUTING ACCEPT iptables -P -t nat PREROUTING ACCEPT echo Definicion de Variables tar_EXTERNA=quot;eth2quot; tar_LAN=quot;eth0quot; tar_DMZ=quot;eth1quot; red_Externa=quot;192.168.1.0/24quot; ip_Externa=quot;192.168.1.2quot; red_LAN=quot;172.16.0.0/16quot; ip_LAN=quot;172.16.0.1quot; ip_PostgreSQL=quot;172.16.0.10quot; ip_SQL=quot;172.16.0.20quot; ip_Impresion=quot;172.16.0.30quot; red_DMZ=quot;10.0.0.0/8quot;
ip_Web=quot;10.0.0.10quot; ip_Correo=quot;10.0.0.20quot; #Reenvio de Paquetes echo 1 > /proc/sys/net/ipv4/ip_forward #Acceso de la LAN a internet iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -o eth2 -j MASQUERADE iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -j MASQUERADE Hasta ahora, ya que apenas le hemos especificado las reglas por defecto ACCEPT, y las de Enmascaramiento. Para ingresar nuestra nueva regla hay que tener en cuenta el orden de las mismas en el archivo, ya que el iptables cumplira las que estan de primeras y posteriormente las que le sigen. Empesemos a aplicar las reglas: NOTA: Antes de aplicar una regla, especificaremos con un comentario concreto y claro para que sirve dicha regla, esto nos evitara dolores de cabeza a la hora de resolver un problema. Empecemos a aplicar las reglas: Explicación: La regla dice: Todo lo que venga hacia la interfaz WAN por el protocolo tcp, Puerto 5432 la acción es redireccionarlo hacia la IP del servidor PostgreSQL 172.16.0.10 por el Puerto 5432. NOTA: La regla para definir los estados estará siempre presente en todas las reglas que implementaremos en ACCEPT por defecto, la cual significa que toda comunicación con estado relacionado, establecida, la acepte, esto con el fin de minimizar el consumo de recurso de maquina, axial se evitaría el firewall estar filtrando continuamente la misma comunicación.
ACCEDIENDO DESDE LA RED LAN A SERVIDOR WEB Y CORREO DE LA DMZ POR SSL Ahora crearemos la regla que permita las comunicaciones de la LAN al servidor WEB y CORREO de la DMS. Explicación: • todo lo que venga desde el rango de red 172.16.0.0/16 (LAN) con destino la IP 10.0.0.10 (Servidor WEB de DMZ) y puerto 443 (WEB seguro) la acción es Aceptar. • Todo lo que venga desde la red 172.16.0.0/16 hacia la 10.0.0.20 por el protocolo tcp y puerto 465 la acción es aceptar. • Todo lo que venga desde el rango de red 172.16.0.0/16 con destino 10.0.0.20 por el protocolo tcp y puerto 993 la acción es aceptar. • Todo lo que venga desde el rango de red 172.16.0.0/16 con destino 10.0.0.20 por el protocolo tcp y puerto 995 la acción es aceptar. NOTA: Como la comunicación se establece desde la red interna no se redirecciona los paquetes, ya que las redes de origen y destino estan directamente conectados al firewall y las peticiones entre ambas redes se producen con sus respectivas IPS privadas lo cual no necesitan salir a la red Externa lo que no es necesario hacer un redireccionamiento.
ACCEDIENDO DESDE LA WAN A SERVIDOR DE CORREO Y WEB DE LA DMZ POR SSL Ahora crearemos las reglas para poder que desde la WAN se tenga acceso a servidores de WEB y CORREO de la DMZ: Quedarían así: EXPLICACION: • Todo lo que venga desde cualquier red con destino al firewall, por el protocolo tcp y puerto 443 redireccionalo al equipo con la IP 10.0.0.10 por el puerto 443. • Todo lo que venga desde cualquier red con destino al firewall, por el protocolo tcp y puerto 465 lo redireccione al equipo con la IP 10.0.0.20 por el puerto 465 • Todo lo que venga desde cualquier red con destino al firewall, por el protocolo tcp y puerto 993 lo redireccione al equipo con la IP 10.0.0.20 por el puerto 993
• Todo lo que venga desde cualquier red con destino al firewall, por el protocolo tcp y puerto 465 lo redireccione al equipo con la IP 10.0.0.20 por el puerto 465 • Todo lo que venga desde cualquier red con destino al firewall, por el protocolo tcp y puerto 995 lo redireccione al equipo con la IP 10.0.0.20 por el puerto 995 ACCEDER DESDE SERVIDOR WEB DE LA DMZ AL SERVER SQL DE LA LAN Ahora haremos que el servidor Web de nuestra DMZ tenga acceso al servidor SQL de la LAN. EXPLICACION: • Todo lo que venga desde el equipo 10.0.0.10 para el equipo 172.16.0.20 por el protocolo tcp y puerto 1432 la acción es aceptar. Terminada de definir las reglas, guardamos y recargamos nuestro archivo de configuración con el siguiente comando para verificar que las líneas estén correctamente configuradas: # sh –x rc.local NOTA: Con el anterior comando se cargan las reglas en memoria y se verifican si están correctamente configuradas.
REGLA DENEGAR POR DEFECTO: Terminada la creación de las reglas con ACCEPT por defecto pasaremos a crear las mismas reglas pero ya con la regla por defecto DROP, para esto se requiere un poco mas de paciencia y un poco mas de reglas. #!/bin/sh -e # # rc.local # # This script is executed at the end of each multiuser runlevel. # Make sure that the script will quot;exit 0quot; on success or any other # value on error. # # In order to enable or disable this script just change the execution # bits. # # By default this script does nothing. #Vaciar y reiniciar las tablas actuales iptables -F iptables -X iptables -Z #Borra tablas NAT iptables -F -t nat #Establecemos Politicas por Defecto iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP NOTA: Cuando implementamos iptables con política por defecto DROP debemos de tener en cuenta dos cosas muy importantes: 1.Se debe permitir el acceso a todo paquete procedente de la red WAN hacia el Firewall, con el fin de establecer la conexión para luego redireccionarla al destino correspondiente 2. Hacer el debido redireccionamiento de dichos paquetes a su destino 3. Especificar la regla con el parámetro –sport, eso para que el sepa por donde devolverse.
Comencemos con lo básico, darle acceso a la DMZ, LAN y HOST LOCAL a Internet, para esto se debe configurar las siguientes reglas: Haciendo NAT: #Acceso de la LAN a la WAN iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -o eth2 -j MASQUERADE iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -j MASQUERADE REGLAS PARA PERMITIR CONEXIONES POR EL PUERTO 80 DESDE LA LAN, DMZ Y HOST LOCAL HACIA LA WAN. Como la política por defecto es DROP, tendremos que crear reglas para permitir que el paquete que venga desde la LAN; DMZ Y HOST LOCAL, pueda salir hacia la WAN, y posteriormente crear reglas para que la respuesta del servidor remoto pueda acceder a las maquinas que hicieron las peticiones. Permitiendo que el host local acceda a la WAN: Empezamos dándole salida a Internet a nuestro firewall creando la siguientes reglas:
Las cuales quieren decir: • Todo trafico que venga desde el firewall y vaya hacia cualquier red, por el protocolo tcp y puerto 80 la acción es aceptar. • Todo trafico que venga desde cualquier lugar hacia el firewall por el protocolo tcp y puerto 80 como respuesta a la petición del firewall la acción es aceptar. Ahora hay que permitir que se haga la resolución de nombres de dominio aplicando las siguientes reglas: Lo cual quiere decir: • Todo lo que provenga del firewall hacia la WAN por el protocolo UDP y puerto 53 la acción es aceptar. • Todos los paquetes que vengan desde cualquier red y que vayan hacia el firewall por el protocolo tcp y puerto 53 como respuesta a la petición hecha por el firewall Permitiendo que la LAN acceda a Internet: Ahora procederemos a permitir que la red local tenga acceso a la red WAN, para ello aplicaremos las siguientes reglas: Lo que quiere decir es: • Todas las conexiones que se realicen desde la red 172.16.0.0/16 con destino a cualquier red por el protocolo tcp y puerto 80 la accion es aceptar. • Todo trafico procedente desde cualquier red con destino a la red 172.16.0.0/16 por el protocolo tcp y el puerto 80 como respuesta a la petición de la red local la accion sera aceptar.
Ahora permitiremos que realice consultas al DNS: Lo cual significa: • Que todo paquete procedente de la red 172.16.0.0/16 para cualquier red por el protocolo UDP y puerto 53 la acción es permitir. • Todo paquete que provenga desde cualquier red con destino a la red LAN por el protocolo UDP y el puerto 53 como respuesta a la petición de la LAN la acción es aceptar. Permitir acceso a WAN a la DMZ: Ahora le daremos acceso a la WAN a nuestra DMZ con las siguientes reglas: Lo cual quieren decir: • Todo paquete desde la DMZ con destino a cualquier red por el protocolo TCP y el puerto 80 la acción es aceptar. • Todo paquete que llegue desde cualquier red, con destino a la DMZ por el protocolo TCP y puerto 80 y como respuesta de la petición de la DMZ la acción es aceptar. Permitiendo consultas DNS:
• Todo paquete procedente de la DMZ con destino a cualquier red por el protocolo UDP y por el puerto 53 la acción es aceptar. • Todo paquete procedente de cualquier destino hacia la DMZ por el protocolo UDP y por el puerto 53 como respuesta a la petición de la DMZ la acción es aceptar. Permitiendo peticiones desde WAN al servidor PostgreSQL de la LAN Ahora crearemos las reglas que permitiran al acceso desd einternet al servidor PosgreSQL de la LAN • Todo trafico procedente de cualquier red con destino a la red 10.0.0.20 por el protocolo TCP y puerto 465 la accion es aceptar. • Todo trafico propende de la 10.0.0.10 con destino a cualquier red por el protocolo TCp y puerto 465 como respuesta a la petición de la DMZ la accion es aceptada Redireccionamiento: Después de haber aceptado la conexión desde la WAN, procederemos a realizar el respectivo redireccionamiento del paquete hacia su destino con la respectiva regla: • Toda peticiobn proveniente de la red WAN que tenga como destino el firewall por le protocolo tcp y puerto 5432 lo redireccione al equipo con la IP 172.16.0.10 por el puerto 5432.
ACCEDIENDO DESDE LA WAN A SERVIDOR DE CORREO DE LA DMZ POR SSL Ahora crearemos las reglas que permitirán acceder desde la WAN a nuestro servidor de correo de forma segura. Para ello realizamos las siguientes reglas: • Todos los paquetes procedentes desde cualquier red con destino la 10.0.0.20 por el protocolo tcp y puerto 465 la accion es aceptar. • Todos los paquetes desde la 10.0.0.20 con destino a cualquier red por el protocolo tcp y puerto 465 como respuesta a la petición del equipo 10.0.0.20 la accion es permitir Redireccionando: • Todo paquete que venga desde cualquier red con destino al firewall por el protocolo tcp y puerto 465 la accion es redireccionarlo al equipo 10.0.0.20 por el puerto 465. Para descargar el correo de forma segura seria: • Todo el trafico que venga desde cualquier origen para el equipo 10.0.0.20 por el protocolo tcp y puerto 993, 995 la acción es aceptar.
• Todo el tráfico que venga desde el equipo 10.0.0.20 para cualquier red por el protocolo tcp y puerto 993, 995 como respuesta a la petición de la red externa la acción es aceptar. Ahora redireccionaremos las peticiones: • Todo el trafico procedente de cualquier red para nuestra maquina por el protocolo tcp y puertos 993 y 995 la acción es redireccionarlo al equipo con la IP 10.0.0.20 por el puerto 993 y 995. ACCEDIENDO DESDE LA LAN AL SERVIDOR DE CORREO DE LA DMZ POR SSL Terminada la creación de las reglas de la WAN procedemos a crear las de la LAN, para permitir el acceso al servidor de correo de forma segura: • Las conexiones procedentes de la LAN con destino al servidor de correo de la DMZ por el protocolo tcp y puerto 465 la acción es permitir. • Las conexiones procedentes del servidor de correo de la DMZ hacia nuestra LAN por el protocolo tcp y puerto 465 como respuesta a la petición de la LAN la acción es permitir. NOTA: Como las conexiones se están haciendo desde la propia red local, las conexiones se establecen sin necesidad de redireccionarlas hacia su destino. Por lo tanto basta con solo aceptar las conexiones.
Ahora crearemos las reglas que permitirán descargar de manera segura el correo. • Todas las conexiones que provengan desde la LAN hacia el servidor de correo de nuestra DMZ por el protocolo tcp y puerto 993y 995 la acción es permitir. • Todas las conexiones que provengan desde el servidor de correo hacia la LAN por el protocolo tcp y puerto 993, y 995 como respuesta a las peticiones de la LAN la acción es permitir. ACCEDER DESDE EL SERVIDOR DE CORREO HACIA EL SERVIDOR SQL SERVER DE LA LAN Ahora permitiremos que el equipo del servidor de correo tenga acceso a nuestro equipo SQL de la LAN con la siguiente regla: • Permita las conexiones procedentes de el equipo 10.0.0.10 que tengan como destino el equipo 172.16.0.20 por le protocolo tcp y el puerto 1432. • Permitir las conexiones desde la IP 172.16.0.20 hacia el servidor de correo de la DMZ por el protocolo tcp y el puerto 1432 como respuesta a las peticiones del Servidor de correo.
Manual Iptables

Recommandé

Routage
RoutageRoutage
RoutageSirine Ibrahim
 
CCNP Route - EIGRP
CCNP Route - EIGRPCCNP Route - EIGRP
CCNP Route - EIGRPmdyabi
 
netfilter and iptables
netfilter and iptablesnetfilter and iptables
netfilter and iptablesKernel TLV
 
Hot standby router protocol (hsrp) using
Hot standby router protocol (hsrp) usingHot standby router protocol (hsrp) using
Hot standby router protocol (hsrp) usingShubhiGupta94
 
Fun with Network Interfaces
Fun with Network InterfacesFun with Network Interfaces
Fun with Network InterfacesKernel TLV
 
Reglas acl
Reglas aclReglas acl
Reglas aclSandra Sotelo
 
Lab huawei2
Lab huawei2Lab huawei2
Lab huawei2pablo6842
 
Tutoriel nat pat
Tutoriel nat patTutoriel nat pat
Tutoriel nat patDimitri LEMBOKOLO
 

Recommandé

Routage
RoutageRoutage
RoutageSirine Ibrahim
 
CCNP Route - EIGRP
CCNP Route - EIGRPCCNP Route - EIGRP
CCNP Route - EIGRPmdyabi
 
netfilter and iptables
netfilter and iptablesnetfilter and iptables
netfilter and iptablesKernel TLV
 
Hot standby router protocol (hsrp) using
Hot standby router protocol (hsrp) usingHot standby router protocol (hsrp) using
Hot standby router protocol (hsrp) usingShubhiGupta94
 
Fun with Network Interfaces
Fun with Network InterfacesFun with Network Interfaces
Fun with Network InterfacesKernel TLV
 
Reglas acl
Reglas aclReglas acl
Reglas aclSandra Sotelo
 
Lab huawei2
Lab huawei2Lab huawei2
Lab huawei2pablo6842
 
Tutoriel nat pat
Tutoriel nat patTutoriel nat pat
Tutoriel nat patDimitri LEMBOKOLO
 
HSRP ccna
HSRP ccna HSRP ccna
HSRP ccna MohamedJafar5
 
Taller enrutamiento dinámico RIP
Taller enrutamiento dinámico RIPTaller enrutamiento dinámico RIP
Taller enrutamiento dinámico RIPcyberleon95
 
Ccna cheat sheet
Ccna cheat sheetCcna cheat sheet
Ccna cheat sheetaromal4frnz
 
Bgp protocol
Bgp protocolBgp protocol
Bgp protocolSmriti Tikoo
 
Instalacion y Configuracion de Correo REDHAT
Instalacion y Configuracion de Correo REDHATInstalacion y Configuracion de Correo REDHAT
Instalacion y Configuracion de Correo REDHATK-milo Rivera
 
2015 FOSDEM - OVS Stateful Services
2015 FOSDEM - OVS Stateful Services2015 FOSDEM - OVS Stateful Services
2015 FOSDEM - OVS Stateful ServicesThomas Graf
 
Subneteo
Subneteo Subneteo
Subneteo AlexisDorante
 
Dhcp & dhcp relay agent in cent os 5.3
Dhcp & dhcp relay agent in cent os 5.3Dhcp & dhcp relay agent in cent os 5.3
Dhcp & dhcp relay agent in cent os 5.3Sophan Nhean
 
Dynamic Routing IGRP
Dynamic Routing IGRPDynamic Routing IGRP
Dynamic Routing IGRPKishore Kumar
 
Iptables the Linux Firewall
Iptables the Linux Firewall Iptables the Linux Firewall
Iptables the Linux Firewall Syed fawad Gillani
 
Linux device drivers
Linux device drivers Linux device drivers
Linux device drivers Emertxe Information Technologies Pvt Ltd
 
eBPF maps 101
eBPF maps 101eBPF maps 101
eBPF maps 101SUSE Labs Taipei
 
HUAWEI Switch HOW-TO - Configuring link aggregation in static LACP mode
HUAWEI Switch HOW-TO - Configuring link aggregation in static LACP modeHUAWEI Switch HOW-TO - Configuring link aggregation in static LACP mode
HUAWEI Switch HOW-TO - Configuring link aggregation in static LACP modeIPMAX s.r.l.
 
Cisco CCNA- How to Configure Multi-Layer Switch
Cisco CCNA- How to Configure Multi-Layer SwitchCisco CCNA- How to Configure Multi-Layer Switch
Cisco CCNA- How to Configure Multi-Layer SwitchHamed Moghaddam
 
Kernel Module Programming
Kernel Module ProgrammingKernel Module Programming
Kernel Module ProgrammingSaurabh Bangad
 
Ch 19 Network-layer protocols Section 1
Ch 19 Network-layer protocols Section 1Ch 19 Network-layer protocols Section 1
Ch 19 Network-layer protocols Section 1Hossam El-Deen Osama
 
Dynamic routing protocols (CCNA)
Dynamic routing protocols (CCNA)Dynamic routing protocols (CCNA)
Dynamic routing protocols (CCNA)Varinder Singh Walia
 
MULTICAST BY SAIKIRAN PANJALA
MULTICAST BY SAIKIRAN PANJALAMULTICAST BY SAIKIRAN PANJALA
MULTICAST BY SAIKIRAN PANJALASaikiran Panjala
 
Trame mic
Trame micTrame mic
Trame micMohamed Ferchichi
 
Ejercicios ripv2 2 enrutamiento por defecto con los protocolos rip e igrp
Ejercicios ripv2 2 enrutamiento por defecto con los protocolos rip e igrpEjercicios ripv2 2 enrutamiento por defecto con los protocolos rip e igrp
Ejercicios ripv2 2 enrutamiento por defecto con los protocolos rip e igrpcomputacion e informatica jose santos chocano
 
IPTABLES ¿Que es? y ¿Como Funciona?
IPTABLES ¿Que es? y ¿Como Funciona? IPTABLES ¿Que es? y ¿Como Funciona?
IPTABLES ¿Que es? y ¿Como Funciona? Alfredo Fiebig
 
Firewall en Ubuntu con IPtables
Firewall en Ubuntu con IPtablesFirewall en Ubuntu con IPtables
Firewall en Ubuntu con IPtablesMena Inu
 

Contenu connexe

Tendances

Taller enrutamiento dinámico RIP
Taller enrutamiento dinámico RIPTaller enrutamiento dinámico RIP
Taller enrutamiento dinámico RIPcyberleon95
 
Ccna cheat sheet
Ccna cheat sheetCcna cheat sheet
Ccna cheat sheetaromal4frnz
 
Instalacion y Configuracion de Correo REDHAT
Instalacion y Configuracion de Correo REDHATInstalacion y Configuracion de Correo REDHAT
Instalacion y Configuracion de Correo REDHATK-milo Rivera
 
2015 FOSDEM - OVS Stateful Services
2015 FOSDEM - OVS Stateful Services2015 FOSDEM - OVS Stateful Services
2015 FOSDEM - OVS Stateful ServicesThomas Graf
 
Dhcp & dhcp relay agent in cent os 5.3
Dhcp & dhcp relay agent in cent os 5.3Dhcp & dhcp relay agent in cent os 5.3
Dhcp & dhcp relay agent in cent os 5.3Sophan Nhean
 
Dynamic Routing IGRP
Dynamic Routing IGRPDynamic Routing IGRP
Dynamic Routing IGRPKishore Kumar
 
HUAWEI Switch HOW-TO - Configuring link aggregation in static LACP mode
HUAWEI Switch HOW-TO - Configuring link aggregation in static LACP modeHUAWEI Switch HOW-TO - Configuring link aggregation in static LACP mode
HUAWEI Switch HOW-TO - Configuring link aggregation in static LACP modeIPMAX s.r.l.
 
Cisco CCNA- How to Configure Multi-Layer Switch
Cisco CCNA- How to Configure Multi-Layer SwitchCisco CCNA- How to Configure Multi-Layer Switch
Cisco CCNA- How to Configure Multi-Layer SwitchHamed Moghaddam
 
Kernel Module Programming
Kernel Module ProgrammingKernel Module Programming
Kernel Module ProgrammingSaurabh Bangad
 
Ch 19 Network-layer protocols Section 1
Ch 19 Network-layer protocols Section 1Ch 19 Network-layer protocols Section 1
Ch 19 Network-layer protocols Section 1Hossam El-Deen Osama
 
MULTICAST BY SAIKIRAN PANJALA
MULTICAST BY SAIKIRAN PANJALAMULTICAST BY SAIKIRAN PANJALA
MULTICAST BY SAIKIRAN PANJALASaikiran Panjala
 

Tendances (20)

HSRP ccna
HSRP ccna HSRP ccna
HSRP ccna
 
Taller enrutamiento dinámico RIP
Taller enrutamiento dinámico RIPTaller enrutamiento dinámico RIP
Taller enrutamiento dinámico RIP
 
Ccna cheat sheet
Ccna cheat sheetCcna cheat sheet
Ccna cheat sheet
 
Bgp protocol
Bgp protocolBgp protocol
Bgp protocol
 
Instalacion y Configuracion de Correo REDHAT
Instalacion y Configuracion de Correo REDHATInstalacion y Configuracion de Correo REDHAT
Instalacion y Configuracion de Correo REDHAT
 
2015 FOSDEM - OVS Stateful Services
2015 FOSDEM - OVS Stateful Services2015 FOSDEM - OVS Stateful Services
2015 FOSDEM - OVS Stateful Services
 
Subneteo
Subneteo Subneteo
Subneteo
 
Dhcp & dhcp relay agent in cent os 5.3
Dhcp & dhcp relay agent in cent os 5.3Dhcp & dhcp relay agent in cent os 5.3
Dhcp & dhcp relay agent in cent os 5.3
 
Dynamic Routing IGRP
Dynamic Routing IGRPDynamic Routing IGRP
Dynamic Routing IGRP
 
Iptables the Linux Firewall
Iptables the Linux Firewall Iptables the Linux Firewall
Iptables the Linux Firewall
 
Linux device drivers
Linux device drivers Linux device drivers
Linux device drivers
 
eBPF maps 101
eBPF maps 101eBPF maps 101
eBPF maps 101
 
HUAWEI Switch HOW-TO - Configuring link aggregation in static LACP mode
HUAWEI Switch HOW-TO - Configuring link aggregation in static LACP modeHUAWEI Switch HOW-TO - Configuring link aggregation in static LACP mode
HUAWEI Switch HOW-TO - Configuring link aggregation in static LACP mode
 
Cisco CCNA- How to Configure Multi-Layer Switch
Cisco CCNA- How to Configure Multi-Layer SwitchCisco CCNA- How to Configure Multi-Layer Switch
Cisco CCNA- How to Configure Multi-Layer Switch
 
Kernel Module Programming
Kernel Module ProgrammingKernel Module Programming
Kernel Module Programming
 
Ch 19 Network-layer protocols Section 1
Ch 19 Network-layer protocols Section 1Ch 19 Network-layer protocols Section 1
Ch 19 Network-layer protocols Section 1
 
Dynamic routing protocols (CCNA)
Dynamic routing protocols (CCNA)Dynamic routing protocols (CCNA)
Dynamic routing protocols (CCNA)
 
MULTICAST BY SAIKIRAN PANJALA
MULTICAST BY SAIKIRAN PANJALAMULTICAST BY SAIKIRAN PANJALA
MULTICAST BY SAIKIRAN PANJALA
 
Trame mic
Trame micTrame mic
Trame mic
 
Ejercicios ripv2 2 enrutamiento por defecto con los protocolos rip e igrp
Ejercicios ripv2 2 enrutamiento por defecto con los protocolos rip e igrpEjercicios ripv2 2 enrutamiento por defecto con los protocolos rip e igrp
Ejercicios ripv2 2 enrutamiento por defecto con los protocolos rip e igrp
 

En vedette

IPTABLES ¿Que es? y ¿Como Funciona?
IPTABLES ¿Que es? y ¿Como Funciona? IPTABLES ¿Que es? y ¿Como Funciona?
IPTABLES ¿Que es? y ¿Como Funciona? Alfredo Fiebig
 
Firewall en Ubuntu con IPtables
Firewall en Ubuntu con IPtablesFirewall en Ubuntu con IPtables
Firewall en Ubuntu con IPtablesMena Inu
 
Como crear una carpeta encriptada en una memoria usb
Como crear una carpeta encriptada en una memoria usbComo crear una carpeta encriptada en una memoria usb
Como crear una carpeta encriptada en una memoria usbMilton Marte Feliú
 
Resumen IPTABLES
Resumen IPTABLESResumen IPTABLES
Resumen IPTABLESalexmerono
 
Como crear una carpeta en ubuntu
Como crear una carpeta en ubuntuComo crear una carpeta en ubuntu
Como crear una carpeta en ubuntukalencitapincay96
 
Configuracion de red en Ubuntu Linux
Configuracion de red en Ubuntu LinuxConfiguracion de red en Ubuntu Linux
Configuracion de red en Ubuntu LinuxFabian Ortiz
 
Administración básica de ubuntu server parte 1
Administración básica de ubuntu server parte 1Administración básica de ubuntu server parte 1
Administración básica de ubuntu server parte 1Santiago Márquez Solís
 
Tipos de Malware
Tipos de MalwareTipos de Malware
Tipos de Malwareedelahozuah
 
Securizando sistemas a nivel de usuario y administrador
Securizando sistemas a nivel de usuario y administradorSecurizando sistemas a nivel de usuario y administrador
Securizando sistemas a nivel de usuario y administradorastralia
 
Seminario Administradores Febrero 2007
Seminario Administradores Febrero 2007Seminario Administradores Febrero 2007
Seminario Administradores Febrero 2007Antonio Durán
 
Iptables
IptablesIptables
Iptablescercer
 
routerosbasicsv0-3espaol
routerosbasicsv0-3espaol routerosbasicsv0-3espaol
routerosbasicsv0-3espaolpattala01
 
Linux ud12 - configuracion de iptables en linux
Linux ud12 - configuracion de iptables en linuxLinux ud12 - configuracion de iptables en linux
Linux ud12 - configuracion de iptables en linuxJavier Muñoz
 
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercacheConfiguración de mikro tik para thundercache
Configuración de mikro tik para thundercacheMarco Arias
 

En vedette (20)

IPTABLES ¿Que es? y ¿Como Funciona?
IPTABLES ¿Que es? y ¿Como Funciona? IPTABLES ¿Que es? y ¿Como Funciona?
IPTABLES ¿Que es? y ¿Como Funciona?
 
Firewall en Ubuntu con IPtables
Firewall en Ubuntu con IPtablesFirewall en Ubuntu con IPtables
Firewall en Ubuntu con IPtables
 
Como crear una carpeta encriptada en una memoria usb
Como crear una carpeta encriptada en una memoria usbComo crear una carpeta encriptada en una memoria usb
Como crear una carpeta encriptada en una memoria usb
 
Resumen IPTABLES
Resumen IPTABLESResumen IPTABLES
Resumen IPTABLES
 
Como crear una carpeta en ubuntu
Como crear una carpeta en ubuntuComo crear una carpeta en ubuntu
Como crear una carpeta en ubuntu
 
Configuracion de red en Ubuntu Linux
Configuracion de red en Ubuntu LinuxConfiguracion de red en Ubuntu Linux
Configuracion de red en Ubuntu Linux
 
Administración básica de ubuntu server parte 1
Administración básica de ubuntu server parte 1Administración básica de ubuntu server parte 1
Administración básica de ubuntu server parte 1
 
Tipos de Malware
Tipos de MalwareTipos de Malware
Tipos de Malware
 
Linux
LinuxLinux
Linux
 
Securizando sistemas a nivel de usuario y administrador
Securizando sistemas a nivel de usuario y administradorSecurizando sistemas a nivel de usuario y administrador
Securizando sistemas a nivel de usuario y administrador
 
Firewalls iptables
Firewalls iptablesFirewalls iptables
Firewalls iptables
 
Seminario Administradores Febrero 2007
Seminario Administradores Febrero 2007Seminario Administradores Febrero 2007
Seminario Administradores Febrero 2007
 
Iptables
IptablesIptables
Iptables
 
firewall
firewallfirewall
firewall
 
routerosbasicsv0-3espaol
routerosbasicsv0-3espaol routerosbasicsv0-3espaol
routerosbasicsv0-3espaol
 
Linux ud12 - configuracion de iptables en linux
Linux ud12 - configuracion de iptables en linuxLinux ud12 - configuracion de iptables en linux
Linux ud12 - configuracion de iptables en linux
 
Firewall
FirewallFirewall
Firewall
 
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercacheConfiguración de mikro tik para thundercache
Configuración de mikro tik para thundercache
 
Crear una VPN PPTP amb Mikrotik
Crear una VPN PPTP amb MikrotikCrear una VPN PPTP amb Mikrotik
Crear una VPN PPTP amb Mikrotik
 
Firewall
FirewallFirewall
Firewall
 

Similaire à Manual Iptables

Listas de acceso estándar y extendidas
Listas de acceso estándar y extendidasListas de acceso estándar y extendidas
Listas de acceso estándar y extendidasJAV_999
 
Practica nat
Practica natPractica nat
Practica nat1 2d
 
Ccna2 (chapter2) presentation by halvyn
Ccna2 (chapter2) presentation by halvynCcna2 (chapter2) presentation by halvyn
Ccna2 (chapter2) presentation by halvynAdames Bakery SRL
 
Taller comandos para solucionar problemas en la red
Taller comandos para solucionar problemas en la redTaller comandos para solucionar problemas en la red
Taller comandos para solucionar problemas en la redguestf6e4f00
 
Herramientas Administrativas de Red
Herramientas Administrativas de RedHerramientas Administrativas de Red
Herramientas Administrativas de Redcyberleon95
 
Config switch basico
Config switch basicoConfig switch basico
Config switch basicoRaul Lozada
 
Instalación de raptorcache en debían 7. Por ADL
Instalación de raptorcache en debían 7. Por ADLInstalación de raptorcache en debían 7. Por ADL
Instalación de raptorcache en debían 7. Por ADLLorenzo
 
Ucv sesion 13 router2
Ucv sesion 13 router2Ucv sesion 13 router2
Ucv sesion 13 router2Taringa!
 
Presentacion de seguridad de la redes
Presentacion de seguridad de la redesPresentacion de seguridad de la redes
Presentacion de seguridad de la redeselvisprieto2
 
Herramientas administrativas de red en diferentes sistemas operativos
Herramientas administrativas de red en diferentes sistemas operativosHerramientas administrativas de red en diferentes sistemas operativos
Herramientas administrativas de red en diferentes sistemas operativosYinaGarzon
 
Herramientas administrativas de red en diferentes sistemas operativos
Herramientas administrativas de red en diferentes sistemas operativosHerramientas administrativas de red en diferentes sistemas operativos
Herramientas administrativas de red en diferentes sistemas operativosYinaGarzon
 
Practica 1 eigrp
Practica 1 eigrpPractica 1 eigrp
Practica 1 eigrpw2k111984
 
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docxCABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docxManuelAlejandroUlloa3
 

Similaire à Manual Iptables (20)

firewall
firewallfirewall
firewall
 
Listas de acceso estándar y extendidas
Listas de acceso estándar y extendidasListas de acceso estándar y extendidas
Listas de acceso estándar y extendidas
 
Ccna4 lab 1_1_4b_es
Ccna4 lab 1_1_4b_esCcna4 lab 1_1_4b_es
Ccna4 lab 1_1_4b_es
 
Linux Redes
Linux RedesLinux Redes
Linux Redes
 
Practica nat
Practica natPractica nat
Practica nat
 
Ip tables manual
Ip tables manualIp tables manual
Ip tables manual
 
Listas de acceso
Listas de accesoListas de acceso
Listas de acceso
 
Ccna2 (chapter2) presentation by halvyn
Ccna2 (chapter2) presentation by halvynCcna2 (chapter2) presentation by halvyn
Ccna2 (chapter2) presentation by halvyn
 
SEGURIDAD DE LAS REDES
SEGURIDAD DE LAS REDES SEGURIDAD DE LAS REDES
SEGURIDAD DE LAS REDES
 
Taller comandos para solucionar problemas en la red
Taller comandos para solucionar problemas en la redTaller comandos para solucionar problemas en la red
Taller comandos para solucionar problemas en la red
 
Herramientas Administrativas de Red
Herramientas Administrativas de RedHerramientas Administrativas de Red
Herramientas Administrativas de Red
 
Config switch basico
Config switch basicoConfig switch basico
Config switch basico
 
Instalación de raptorcache en debían 7. Por ADL
Instalación de raptorcache en debían 7. Por ADLInstalación de raptorcache en debían 7. Por ADL
Instalación de raptorcache en debían 7. Por ADL
 
Ucv sesion 13 router2
Ucv sesion 13 router2Ucv sesion 13 router2
Ucv sesion 13 router2
 
Presentacion de seguridad de la redes
Presentacion de seguridad de la redesPresentacion de seguridad de la redes
Presentacion de seguridad de la redes
 
Herramientas administrativas de red en diferentes sistemas operativos
Herramientas administrativas de red en diferentes sistemas operativosHerramientas administrativas de red en diferentes sistemas operativos
Herramientas administrativas de red en diferentes sistemas operativos
 
Herramientas administrativas de red en diferentes sistemas operativos
Herramientas administrativas de red en diferentes sistemas operativosHerramientas administrativas de red en diferentes sistemas operativos
Herramientas administrativas de red en diferentes sistemas operativos
 
Practica 1 eigrp
Practica 1 eigrpPractica 1 eigrp
Practica 1 eigrp
 
7.herramientas de redes
7.herramientas de redes7.herramientas de redes
7.herramientas de redes
 
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docxCABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
 

Plus de Cesar Pineda

ORACLE LINUX 7 + DB 12C + WEBLOGIC + FORMS AND REPORTS 12C + WEBUTIL + APEX
ORACLE LINUX 7 + DB 12C + WEBLOGIC + FORMS AND REPORTS 12C + WEBUTIL + APEXORACLE LINUX 7 + DB 12C + WEBLOGIC + FORMS AND REPORTS 12C + WEBUTIL + APEX
ORACLE LINUX 7 + DB 12C + WEBLOGIC + FORMS AND REPORTS 12C + WEBUTIL + APEXCesar Pineda
 
Manual Zebra ZT230
Manual Zebra ZT230 Manual Zebra ZT230
Manual Zebra ZT230 Cesar Pineda
 
Clonacion disco duro
Clonacion disco duroClonacion disco duro
Clonacion disco duroCesar Pineda
 
Configuracion De Dispositivo Blackberry Como Modem Win Vista
Configuracion De Dispositivo Blackberry Como Modem Win VistaConfiguracion De Dispositivo Blackberry Como Modem Win Vista
Configuracion De Dispositivo Blackberry Como Modem Win VistaCesar Pineda
 
Manual De Isa Server
Manual De Isa ServerManual De Isa Server
Manual De Isa ServerCesar Pineda
 
Manual De Instalacion De Asterisk
Manual De Instalacion De AsteriskManual De Instalacion De Asterisk
Manual De Instalacion De AsteriskCesar Pineda
 
Proyecto Aplicaciones Web
Proyecto Aplicaciones WebProyecto Aplicaciones Web
Proyecto Aplicaciones WebCesar Pineda
 
Servidor De Correo En Debian
Servidor De Correo En DebianServidor De Correo En Debian
Servidor De Correo En DebianCesar Pineda
 
Monitoreo En Windows
Monitoreo En WindowsMonitoreo En Windows
Monitoreo En WindowsCesar Pineda
 

Plus de Cesar Pineda (15)

ORACLE LINUX 7 + DB 12C + WEBLOGIC + FORMS AND REPORTS 12C + WEBUTIL + APEX
ORACLE LINUX 7 + DB 12C + WEBLOGIC + FORMS AND REPORTS 12C + WEBUTIL + APEXORACLE LINUX 7 + DB 12C + WEBLOGIC + FORMS AND REPORTS 12C + WEBUTIL + APEX
ORACLE LINUX 7 + DB 12C + WEBLOGIC + FORMS AND REPORTS 12C + WEBUTIL + APEX
 
Manual Zebra ZT230
Manual Zebra ZT230 Manual Zebra ZT230
Manual Zebra ZT230
 
Clonacion disco duro
Clonacion disco duroClonacion disco duro
Clonacion disco duro
 
Configuracion De Dispositivo Blackberry Como Modem Win Vista
Configuracion De Dispositivo Blackberry Como Modem Win VistaConfiguracion De Dispositivo Blackberry Como Modem Win Vista
Configuracion De Dispositivo Blackberry Como Modem Win Vista
 
Manual Endian
Manual EndianManual Endian
Manual Endian
 
Manual De Isa Server
Manual De Isa ServerManual De Isa Server
Manual De Isa Server
 
Manual De Instalacion De Asterisk
Manual De Instalacion De AsteriskManual De Instalacion De Asterisk
Manual De Instalacion De Asterisk
 
Conceptos Vo Ip
Conceptos Vo IpConceptos Vo Ip
Conceptos Vo Ip
 
Paper Final
Paper FinalPaper Final
Paper Final
 
Paper
PaperPaper
Paper
 
Proyecto Aplicaciones Web
Proyecto Aplicaciones WebProyecto Aplicaciones Web
Proyecto Aplicaciones Web
 
Servidor De Correo En Debian
Servidor De Correo En DebianServidor De Correo En Debian
Servidor De Correo En Debian
 
Monitoreo En Windows
Monitoreo En WindowsMonitoreo En Windows
Monitoreo En Windows
 
Aplicaciones Web
Aplicaciones WebAplicaciones Web
Aplicaciones Web
 
Zenoss Manual
Zenoss ManualZenoss Manual
Zenoss Manual
 

Dernier

Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar24roberto21
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024u20211198540
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfFernandoOblitasVivan
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxobandopaula444
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfKarinaCambero3
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfcristianrb0324
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)JuanStevenTrujilloCh
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerenciacubillannoly
 
David_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDavid_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDAVIDROBERTOGALLEGOS
 
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxPLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxhasbleidit
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointValerioIvanDePazLoja
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptxHugoGutierrez99
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Viguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadoViguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadob7fwtwtfxf
 
Clasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxClasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxCarolina Bujaico
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosAlbanyMartinez7
 

Dernier (20)

Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdf
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdf
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdf
 
El camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVPEl camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVP
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerencia
 
David_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDavid_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptx
 
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxPLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power Point
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 Testcontainers
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Viguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadoViguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armado
 
Clasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxClasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptx
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos Juridicos
 

Manual Iptables

  • 1. SERVIDOR FIREWALL IPTABLES POR: DEYSSY ARICAPA ARAQUE CESAR PINEDA GONZALEZ ANDRÈS FELIPE DEOSSA INSTRUCTOR FERNANDO QUINTERO ADMINISTRACION DE REDES DE COMPUTADORES REGIONAL ANTIOQUIA SENA 2009
  • 2. INTRODUCCION En este escenario podemos ver una herramienta que posee unas cualidades las cuales nos brinda las necesidades para cumplir con los objetivos de este escenario. La importante de saber como es la estructura de las reglas como funciona, además de saber las definiciones de las cadenas como es un prerouting, posrouting, inpunt output. Forward, mas las tablas que se debe implementar para que nos funciones nuestro iptable. El implementar herramientas tan potentes con licenciamiento libre nos ofrece la ventaja de mantener segura nuestra red con tan solo saber del manejo adecuado de la herramienta lo cual favorece tanto para la compañía como para los administradores de red de la misma.
  • 3. IPTABLE Es un filtro y manipulador de paquetes IP. Que se denomina PACEKT FILTER, por que todas las operaciones que realiza la hace sobre paquetes de red, Y nos permite realizar NAT para que las maquinas de la red LAN puedan acceder a Internet. Las reglas de iptable se agrupa en cadena y las cadenas en tablas, y las tablas están asociadas a un tipo de procesamiento de paquetes. CARACTERISTICAS DE IPTABLE • Filtrado de paquetes • Por protocolos, puertos, IP… • Por estado de los paquetes (connection tracking) • Network Address translation (NAT) • Infraestructura flexible y entendible • Capacidad de añadir funcionalidades mediante parches CADENA: una cadena es un conjunto de reglas para paquetes IP, que determina lo que se debe hacer con dicho paquete. TABLAS: Las tablas son contenedores de cadenas, existen 3 tipos de tablas las cuales son: • Iptable_filter. • Iptable_nat. • Iptable_mangle IPTABLE_FILTER: Llamada también la tabla de filtro, encargada de filtrar todos los paquetes, este filtrado se logra gracias a una serie de cadenas que la compone, las cuales son: • INPUT (entrada) • OUTPUT (salida) • FORWARD (reenvió)
  • 4. Entrada --> Enrutamiento ------> FORWARD ------> Salida --> | ^ V | INPUT OUTPUT | ^ | | +----------> PC Local ------------+ El enrutamiento no es mas que decidir si el paquete esta dirigido hacia la propia PC o hacia una red externa, en caso de ser para la propia red, pasaría por la cadena de INPUT (entrada), de lo contrario por la de FORWARD (reenvió). Todo paquete generado localmente pasa por la cadena OUTPUT (salida). REGLA: Es la que indica que sucederá con el paquete. Estas reglas siguen un orden, el cual depende del orden en que son ingresadas, por lo tanto es el orden a seguir cuando se evaluaran a los paquetes. DESTINO: Llamaremos destino a la acción a realizar con un paquete, según una regla dada, por defecto los destinos son: • ACEPT: Permite el paso del paquete. • QUEUE: Provoca que el paquete sea transferido a una cola de espera, para que sea revisado. • RETURN: Implica volver a la cadena anterior. • DROP: Desecha completamente el paquete. Sin mandar acuse de recibo. IPTABLE_NAT: Su utilidad es hacer NAT (Traducción de dirección de red), con el fin de dar salida a Internet a una red LAN con dirección IP privada, por una única IP pública. Posee tres cadenas por defecto las cuales son: ---> PREROUTING --> Enrutamiento --> FORWARD --> POSTROUTING ---> | ^ V |
  • 5. INPUT OUTPUT | ^ | | +-------> PC Local ------>---+ • OUTPUT: Es idéntica a la utilizada en iptable_filter en cuanto al papel que representa, la diferencia radica en las demás cadenas que posee esta tabla. • PREROUTING: (pre-ruteo): • POSTROUTING: (post-ruteo): IPTABLE_MANGLE: Esta nueva tabla posee todas las cadenas antes mencionadas, con el fin de modificar cualquier aspecto conocido, de un paquete dado. SINTAXIS: • Para trabajar con una tabla en especial se especifica con el comando: -t nombre_tabla • Para crear una nueva cadena: -N nombre_cadena • Ver cadenas existentes: -L nombre_cadena • Eliminar una cadena: -X nombre_cadena • Agregar regla a una cadena al final: -A regla_deseada • Agregar regla a una cadena al principio: -I regla_deseada • Eliminar una regla, ya sea por el nombre o número de orden.
  • 6. -D numero_de_regla -D regla_deseada (recordar enunciado de la misma) • Eliminar todas las reglas: -F cadena • Eliminar extensiones del sistema los cuales llevan cuenta de ciertos paquetes: -Z cadena • Reemplazar una regla en una cadena: -R cadena numero_de_regla • Destino del filtro: -j destino_valido (ACCEPT o DROP) • Filtrado por protocolo: -p protocolo (tcp, udp, icmp…) • Filtrado por dirección los paquetes que estén originados por dicha IP: -s direccion_IP/mascara _ red • Filtrado por dirección los paquetes que estén destinados a dicha IP: -d direccion_IP/mascara _ red • Filtrado por interfaz de entrada: -i nombre _ interfaz • Filtrado por interfaz de salida: -o nombre_interfaz
  • 7. CONFIGURACION DE IPTABLES: En la presente configuración de iptable, esta basada en un escenario, el cual procederemos a explicar a continuación: Como se puede observar en la grafica, tenemos una pequeña red Lan, la cual necesita salir a Internet por medio de un Firewall, el cual va a cumplir con el rol de Gateway, haciendo filtrado de paquetes con las políticas ACCEPT (aceptar) y DROP (denegar) por omisión, también se implementara una zona desmilitarizada la cual va a contener todos los servidores que estarán expuestos permanentemente a INET.
  • 8. RECURSOS: 1. FISICOS: • Servidor (FW) con tres interfaces de red. Eth0 (LAN) y eth1 (DMZ). Y Eth2 (WAN). • Switch. • Usuarios. 2. LOGICOS: • S.O del servidor Linux Debían. • Implementación de IPtables. • Usuarios en S.O Windows y Linux. OBJETIVOS: • Desde INTERNET solo es posible entrar directamente al servidor PostgresQL de la LAN, el resto del tráfico hacia la LAN estará denegado. • Puedo entrar a los servidores WEB y de CORREO desde INTERNET y desde la LAN, usando • puertos seguros para descarga y envío de correos. • El servidor WEB puede acceder solamente al servidor SQL SERVER de la LAN. • El servidor de CORREO puede acceder únicamente al servidor de impresión de la LAN. siempre y cuando sea sábado o Domingo. • Los usuarios de la LAN no podrán acceder a los aplicativos que aparecen en el diagrama. Teniendo claro el trabajo a realizar procederemos a realizar la respectiva configuración.
  • 9. ACCEPT POR DEFECTO: HACIENDO NAT: 1. Empezaremos configurando nuestra interfaces las cuales son: eth0 (WAN) y la eth1 (LAN). • Eth0 (WAN) : 192.168.1.2 255.255.255.0 192.168.1.254 172.16.2.62 • Eth1 (DMZ): 10.0.0.1 255.0.0.0 • Eth2 (LAN): 172.16.0.1 255.255.0.0 Esta configuración la ingresamos en la siguiente ruta:
  • 10. 2. Ahora activaremos el reenvió, para poder hacer NAT. Para esto ingresaremos al archivo ip_forward.
  • 11. El archivo debe quedar como lo muestra el siguiente pantallaza: El 1 significa que esta activa la opción ip_forward, pero temporalmente, ya que cuando apaguemos o reiniciemos nuestro equipo volverá a configurarse la opción por defecto (0), para evitar que esto suceda y no tener que estar
  • 12. ingresando a esta ruta a modificar el 0 por el 1, haremos que nuestra maquina la cargue por defecto y no cambie nuestra configuración. 3. Para ello, ingresaremos a la siguiente ruta: E ingresamos la siguiente línea: net.ipv4.ip_forward=1 4. Ahora veremos las reglas que tiene nuestro ip_table ejecutando el siguiente comando:
  • 13. El cual nos deberá aparecer algo similar a esto: Esto nos quiere decir que el firewall esta aceptando todos los paquetes, o lo que es lo mismo, no filtra absolutamente nada, esto nos indica dos cosas:
  • 14. Las 3 cadenas (INPUT, FORWARD, OUTPUT) están vacías. • Las 3 cadenas tiene como política default ACCEPT. NOTA: Recordemos que estamos implementando la configuración de default ACCEPT, por lo cual el escenario en el que lo estamos desarrollando no nos pide hacer ningún tipo de filtrado de paquetes, ni de protocolos, por lo que ahora pasaremos a hacer una regla NAT para dar salida a Internet a nuestros usuarios. 5. Para hacer el respectivo NAT ejecutamos el siguiente comando: • Iptables -t nat : Esto nos indica a que tabla le vamos a aplicar dicha regla, en este caso sera a la de nat.
  • 15. -s 172.16.0.0/16: Esto nos indica la interfaz de entrada, la cual va a hacer la de nuestra LAN. • -A POSTROUTING: Esto nos indica la regla a implementar, la cual va a hacer post_ruteo, o sea que todas las peticiones que vengan desde la LAN hacia otra red le haga ruteo a la interfaz eth0 • -o eth0: Esta nos indica la interfaz de salida, la cual es la que nos comunicara a la Internet, en nuestro caso es la eth0. • -j MASQUERADE: Esto nos indica la acción a realizar a dicho paquete,la cual va a ser enmascarar los paqutes de la LAN que vayan hacia una red distinta con la IPpublica, esto con el fin de lograr salir a Internet. MASQUERADE: Es enmascarar los paquetes de la Lan que vayan hacia la red WAN, para que puedan salir con una unica IP publica. 6. Ahora visualizaremos nuestra tabla IPtable para verificar que si haya cogido nuestra nueva regla ejecutando: iptables –t nat –n -L
  • 16. Respectivamente, nos quedo la nueva regla definida y quiere decir que todos los paquetes que vengan desde la red 172.16.0.0/16 y con destino a cualquier red, sean enmascarados. 7. Realizaremos las respectivas pruebas con uno de nuestros usuarios, cabe aclara que el usuario se conectara a un switch, y el switch a la interfaz eth1 de nuestro firewall. NOTA: Como no implementamos un servicio DHCP la configuración de la tarjeta de red de nuestro usuario se hará de manera statica. 8. Ingresamos a la configuración de nuestra tarjeta de red:
  • 17. 9. Pondremos una dirección statica, en el rango que esta configurada en la interfaz eth1 de nuestro Firewall. NOTA: La puerta de enlace va a hacer la IP que esta configurada estáticamente en la interfaz eth1 de nuestro Firewall.
  • 18. 10. Antes de intentar salir a Internet desde nuestro navegador, haremos pruebas de conectividad primero hacia nuestra puerta de enlace predeterminada. Esto con la herramienta de ping. Ejecutaremos desde una consola de Windows el comando ping. Como vemos en el pantallaso, le damos ping a nuestro Gateway, el resultado es exitoso, o sea el host es alcansable por nuestra maquina. Procederemos a darle ping a la interfaz de salida del Firewall o sea la eth0 De nuevo la prueba es exitosa, o sea si es alcanzada por nuestra maquina.
  • 19. 11. Listo ahora si abriremos nuestro navegador favorito y trataremos de conectarnos a google. Perfecto, ya configuramos el NAT para poder acceder a la WAN desde nuestra LAN, para dar salida a nuestra DMZ hacemos la siguiente regla: Iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -j MASQUERADE En la cual dice: toda comunicación que venga desde el origen 10.0.0.0/8 hacia interfaz eth2 (WAN) la acción es MASQUERADE (enmascarar o sea reemplazar la IP privada para que salga con la IP publica del firewall). Ahora procederemos a generar las reglas para cumplir con los requisitos del escenario.
  • 20. ACCEDIENDO DESDE INTERNET A SERVIDOR PostgresQL de la LAN. En nuestra LAN estará corriendo un servidor PostgerQL, el cual se le aceptaran las peticiones que vengan desde la WAN hacia el servidor. Para crear dicha regla accederemos al archivo de configuración del iptables con un editor de texto plano. #nano /etc/rc.local Este archivo debe contener lo siguiente: #!/bin/sh -e # # rc.local # # This script is executed at the end of each multiuser runlevel. # Make sure that the script will quot;exit 0quot; on success or any other # value on error. # # In order to enable or disable this script just change the execution # bits. # # By default this script does nothing. #Vaciar y reiniciar las tablas actuales iptables -F iptables -X iptables -Z #Borra tablas NAT iptables -F -t nat #Establecemos Politicas por Defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P -t nat POSTROUTING ACCEPT iptables -P -t nat PREROUTING ACCEPT echo Definicion de Variables tar_EXTERNA=quot;eth2quot; tar_LAN=quot;eth0quot; tar_DMZ=quot;eth1quot; red_Externa=quot;192.168.1.0/24quot; ip_Externa=quot;192.168.1.2quot; red_LAN=quot;172.16.0.0/16quot; ip_LAN=quot;172.16.0.1quot; ip_PostgreSQL=quot;172.16.0.10quot; ip_SQL=quot;172.16.0.20quot; ip_Impresion=quot;172.16.0.30quot; red_DMZ=quot;10.0.0.0/8quot;
  • 21. ip_Web=quot;10.0.0.10quot; ip_Correo=quot;10.0.0.20quot; #Reenvio de Paquetes echo 1 > /proc/sys/net/ipv4/ip_forward #Acceso de la LAN a internet iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -o eth2 -j MASQUERADE iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -j MASQUERADE Hasta ahora, ya que apenas le hemos especificado las reglas por defecto ACCEPT, y las de Enmascaramiento. Para ingresar nuestra nueva regla hay que tener en cuenta el orden de las mismas en el archivo, ya que el iptables cumplira las que estan de primeras y posteriormente las que le sigen. Empesemos a aplicar las reglas: NOTA: Antes de aplicar una regla, especificaremos con un comentario concreto y claro para que sirve dicha regla, esto nos evitara dolores de cabeza a la hora de resolver un problema. Empecemos a aplicar las reglas: Explicación: La regla dice: Todo lo que venga hacia la interfaz WAN por el protocolo tcp, Puerto 5432 la acción es redireccionarlo hacia la IP del servidor PostgreSQL 172.16.0.10 por el Puerto 5432. NOTA: La regla para definir los estados estará siempre presente en todas las reglas que implementaremos en ACCEPT por defecto, la cual significa que toda comunicación con estado relacionado, establecida, la acepte, esto con el fin de minimizar el consumo de recurso de maquina, axial se evitaría el firewall estar filtrando continuamente la misma comunicación.
  • 22. ACCEDIENDO DESDE LA RED LAN A SERVIDOR WEB Y CORREO DE LA DMZ POR SSL Ahora crearemos la regla que permita las comunicaciones de la LAN al servidor WEB y CORREO de la DMS. Explicación: • todo lo que venga desde el rango de red 172.16.0.0/16 (LAN) con destino la IP 10.0.0.10 (Servidor WEB de DMZ) y puerto 443 (WEB seguro) la acción es Aceptar. • Todo lo que venga desde la red 172.16.0.0/16 hacia la 10.0.0.20 por el protocolo tcp y puerto 465 la acción es aceptar. • Todo lo que venga desde el rango de red 172.16.0.0/16 con destino 10.0.0.20 por el protocolo tcp y puerto 993 la acción es aceptar. • Todo lo que venga desde el rango de red 172.16.0.0/16 con destino 10.0.0.20 por el protocolo tcp y puerto 995 la acción es aceptar. NOTA: Como la comunicación se establece desde la red interna no se redirecciona los paquetes, ya que las redes de origen y destino estan directamente conectados al firewall y las peticiones entre ambas redes se producen con sus respectivas IPS privadas lo cual no necesitan salir a la red Externa lo que no es necesario hacer un redireccionamiento.
  • 23. ACCEDIENDO DESDE LA WAN A SERVIDOR DE CORREO Y WEB DE LA DMZ POR SSL Ahora crearemos las reglas para poder que desde la WAN se tenga acceso a servidores de WEB y CORREO de la DMZ: Quedarían así: EXPLICACION: • Todo lo que venga desde cualquier red con destino al firewall, por el protocolo tcp y puerto 443 redireccionalo al equipo con la IP 10.0.0.10 por el puerto 443. • Todo lo que venga desde cualquier red con destino al firewall, por el protocolo tcp y puerto 465 lo redireccione al equipo con la IP 10.0.0.20 por el puerto 465 • Todo lo que venga desde cualquier red con destino al firewall, por el protocolo tcp y puerto 993 lo redireccione al equipo con la IP 10.0.0.20 por el puerto 993
  • 24. Todo lo que venga desde cualquier red con destino al firewall, por el protocolo tcp y puerto 465 lo redireccione al equipo con la IP 10.0.0.20 por el puerto 465 • Todo lo que venga desde cualquier red con destino al firewall, por el protocolo tcp y puerto 995 lo redireccione al equipo con la IP 10.0.0.20 por el puerto 995 ACCEDER DESDE SERVIDOR WEB DE LA DMZ AL SERVER SQL DE LA LAN Ahora haremos que el servidor Web de nuestra DMZ tenga acceso al servidor SQL de la LAN. EXPLICACION: • Todo lo que venga desde el equipo 10.0.0.10 para el equipo 172.16.0.20 por el protocolo tcp y puerto 1432 la acción es aceptar. Terminada de definir las reglas, guardamos y recargamos nuestro archivo de configuración con el siguiente comando para verificar que las líneas estén correctamente configuradas: # sh –x rc.local NOTA: Con el anterior comando se cargan las reglas en memoria y se verifican si están correctamente configuradas.
  • 25. REGLA DENEGAR POR DEFECTO: Terminada la creación de las reglas con ACCEPT por defecto pasaremos a crear las mismas reglas pero ya con la regla por defecto DROP, para esto se requiere un poco mas de paciencia y un poco mas de reglas. #!/bin/sh -e # # rc.local # # This script is executed at the end of each multiuser runlevel. # Make sure that the script will quot;exit 0quot; on success or any other # value on error. # # In order to enable or disable this script just change the execution # bits. # # By default this script does nothing. #Vaciar y reiniciar las tablas actuales iptables -F iptables -X iptables -Z #Borra tablas NAT iptables -F -t nat #Establecemos Politicas por Defecto iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP NOTA: Cuando implementamos iptables con política por defecto DROP debemos de tener en cuenta dos cosas muy importantes: 1.Se debe permitir el acceso a todo paquete procedente de la red WAN hacia el Firewall, con el fin de establecer la conexión para luego redireccionarla al destino correspondiente 2. Hacer el debido redireccionamiento de dichos paquetes a su destino 3. Especificar la regla con el parámetro –sport, eso para que el sepa por donde devolverse.
  • 26. Comencemos con lo básico, darle acceso a la DMZ, LAN y HOST LOCAL a Internet, para esto se debe configurar las siguientes reglas: Haciendo NAT: #Acceso de la LAN a la WAN iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -o eth2 -j MASQUERADE iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -j MASQUERADE REGLAS PARA PERMITIR CONEXIONES POR EL PUERTO 80 DESDE LA LAN, DMZ Y HOST LOCAL HACIA LA WAN. Como la política por defecto es DROP, tendremos que crear reglas para permitir que el paquete que venga desde la LAN; DMZ Y HOST LOCAL, pueda salir hacia la WAN, y posteriormente crear reglas para que la respuesta del servidor remoto pueda acceder a las maquinas que hicieron las peticiones. Permitiendo que el host local acceda a la WAN: Empezamos dándole salida a Internet a nuestro firewall creando la siguientes reglas:
  • 27. Las cuales quieren decir: • Todo trafico que venga desde el firewall y vaya hacia cualquier red, por el protocolo tcp y puerto 80 la acción es aceptar. • Todo trafico que venga desde cualquier lugar hacia el firewall por el protocolo tcp y puerto 80 como respuesta a la petición del firewall la acción es aceptar. Ahora hay que permitir que se haga la resolución de nombres de dominio aplicando las siguientes reglas: Lo cual quiere decir: • Todo lo que provenga del firewall hacia la WAN por el protocolo UDP y puerto 53 la acción es aceptar. • Todos los paquetes que vengan desde cualquier red y que vayan hacia el firewall por el protocolo tcp y puerto 53 como respuesta a la petición hecha por el firewall Permitiendo que la LAN acceda a Internet: Ahora procederemos a permitir que la red local tenga acceso a la red WAN, para ello aplicaremos las siguientes reglas: Lo que quiere decir es: • Todas las conexiones que se realicen desde la red 172.16.0.0/16 con destino a cualquier red por el protocolo tcp y puerto 80 la accion es aceptar. • Todo trafico procedente desde cualquier red con destino a la red 172.16.0.0/16 por el protocolo tcp y el puerto 80 como respuesta a la petición de la red local la accion sera aceptar.
  • 28. Ahora permitiremos que realice consultas al DNS: Lo cual significa: • Que todo paquete procedente de la red 172.16.0.0/16 para cualquier red por el protocolo UDP y puerto 53 la acción es permitir. • Todo paquete que provenga desde cualquier red con destino a la red LAN por el protocolo UDP y el puerto 53 como respuesta a la petición de la LAN la acción es aceptar. Permitir acceso a WAN a la DMZ: Ahora le daremos acceso a la WAN a nuestra DMZ con las siguientes reglas: Lo cual quieren decir: • Todo paquete desde la DMZ con destino a cualquier red por el protocolo TCP y el puerto 80 la acción es aceptar. • Todo paquete que llegue desde cualquier red, con destino a la DMZ por el protocolo TCP y puerto 80 y como respuesta de la petición de la DMZ la acción es aceptar. Permitiendo consultas DNS:
  • 29. Todo paquete procedente de la DMZ con destino a cualquier red por el protocolo UDP y por el puerto 53 la acción es aceptar. • Todo paquete procedente de cualquier destino hacia la DMZ por el protocolo UDP y por el puerto 53 como respuesta a la petición de la DMZ la acción es aceptar. Permitiendo peticiones desde WAN al servidor PostgreSQL de la LAN Ahora crearemos las reglas que permitiran al acceso desd einternet al servidor PosgreSQL de la LAN • Todo trafico procedente de cualquier red con destino a la red 10.0.0.20 por el protocolo TCP y puerto 465 la accion es aceptar. • Todo trafico propende de la 10.0.0.10 con destino a cualquier red por el protocolo TCp y puerto 465 como respuesta a la petición de la DMZ la accion es aceptada Redireccionamiento: Después de haber aceptado la conexión desde la WAN, procederemos a realizar el respectivo redireccionamiento del paquete hacia su destino con la respectiva regla: • Toda peticiobn proveniente de la red WAN que tenga como destino el firewall por le protocolo tcp y puerto 5432 lo redireccione al equipo con la IP 172.16.0.10 por el puerto 5432.
  • 30. ACCEDIENDO DESDE LA WAN A SERVIDOR DE CORREO DE LA DMZ POR SSL Ahora crearemos las reglas que permitirán acceder desde la WAN a nuestro servidor de correo de forma segura. Para ello realizamos las siguientes reglas: • Todos los paquetes procedentes desde cualquier red con destino la 10.0.0.20 por el protocolo tcp y puerto 465 la accion es aceptar. • Todos los paquetes desde la 10.0.0.20 con destino a cualquier red por el protocolo tcp y puerto 465 como respuesta a la petición del equipo 10.0.0.20 la accion es permitir Redireccionando: • Todo paquete que venga desde cualquier red con destino al firewall por el protocolo tcp y puerto 465 la accion es redireccionarlo al equipo 10.0.0.20 por el puerto 465. Para descargar el correo de forma segura seria: • Todo el trafico que venga desde cualquier origen para el equipo 10.0.0.20 por el protocolo tcp y puerto 993, 995 la acción es aceptar.
  • 31. Todo el tráfico que venga desde el equipo 10.0.0.20 para cualquier red por el protocolo tcp y puerto 993, 995 como respuesta a la petición de la red externa la acción es aceptar. Ahora redireccionaremos las peticiones: • Todo el trafico procedente de cualquier red para nuestra maquina por el protocolo tcp y puertos 993 y 995 la acción es redireccionarlo al equipo con la IP 10.0.0.20 por el puerto 993 y 995. ACCEDIENDO DESDE LA LAN AL SERVIDOR DE CORREO DE LA DMZ POR SSL Terminada la creación de las reglas de la WAN procedemos a crear las de la LAN, para permitir el acceso al servidor de correo de forma segura: • Las conexiones procedentes de la LAN con destino al servidor de correo de la DMZ por el protocolo tcp y puerto 465 la acción es permitir. • Las conexiones procedentes del servidor de correo de la DMZ hacia nuestra LAN por el protocolo tcp y puerto 465 como respuesta a la petición de la LAN la acción es permitir. NOTA: Como las conexiones se están haciendo desde la propia red local, las conexiones se establecen sin necesidad de redireccionarlas hacia su destino. Por lo tanto basta con solo aceptar las conexiones.
  • 32. Ahora crearemos las reglas que permitirán descargar de manera segura el correo. • Todas las conexiones que provengan desde la LAN hacia el servidor de correo de nuestra DMZ por el protocolo tcp y puerto 993y 995 la acción es permitir. • Todas las conexiones que provengan desde el servidor de correo hacia la LAN por el protocolo tcp y puerto 993, y 995 como respuesta a las peticiones de la LAN la acción es permitir. ACCEDER DESDE EL SERVIDOR DE CORREO HACIA EL SERVIDOR SQL SERVER DE LA LAN Ahora permitiremos que el equipo del servidor de correo tenga acceso a nuestro equipo SQL de la LAN con la siguiente regla: • Permita las conexiones procedentes de el equipo 10.0.0.10 que tengan como destino el equipo 172.16.0.20 por le protocolo tcp y el puerto 1432. • Permitir las conexiones desde la IP 172.16.0.20 hacia el servidor de correo de la DMZ por el protocolo tcp y el puerto 1432 como respuesta a las peticiones del Servidor de correo.