Firewall Simple y Firewall AvanzadoContenido Firewall Simple y wall Avanzado... Firewall Simple. 4 Lista Blanca y Lista Negra. Filtrado de Servicios Externos. Filtrado de Protocolos Level 7. Para terminar con Firewall Simple... Firewall Avanzado... Configuracion de las Reglas de! Bloque y apertura de puertos en archivo de configuracién de Firewall. Bloque y apertura de Mac addres en archivo de configuracién de Firewall. Bloque y apertura de direccién IP en archivo de configuracién de Firewall. Bloque de protocolos en archivo de configuracién de Firewall. Relacionar una IP con una MAC addres en archivo de configuracién de Firewall. Seccion Editar Reglas de Firewall Personalizadas.... Reglas: .. Opciones: Extensiones:, Level 7 Filterinf Capas. Bibliografia.Introduccion BrazilFW Firewall & Router es una distribucién del sistema operativo Linux que implementa un cortafuegos (o firewall) y puede realizar tareas avanzadas de ruteo y Q0S, proporciona una interfaz web para administracion, cuenta con agregados o funcionalidades extra llamados add-ons de facil instalacién BrazilFW tiene como objetivo ser un potente router firewall con altas funcionalidades extra, sin dejar de lado la simplicidad tanto en administracién como en requerimientos de hardware. La imagen ISO puede ser descargada desde el foro del proyecto, tiene un tamafio de 4,5 megabytes, y puede ser grabada en un CD e instalada en cualquier PC. BrazilFW esta en constante desarrollo y cuenta con soporte en tres idiomas: portugués, espafiole inglés.Firewall Simple y Firewall Avanzado Bueno para comenzar quisiera explicar un poco la pantalla principal del BrazilFW e indicar donde se encuentran estas opciones, mucho de esto se explica solo leyendo la pantalla imientas. [Brazitew Firewall and Router guagesFirewall Simple El objetivo es lograr un entendimiento mas amplio de su funcionamiento .En la imagen se muestra la parte del Firewall simple por completo con cada una de sus partes. BrazilFW Firewall and Router etnies ar eae ee | reer cictinesbenegar el acento nae las Serer ale co eS eR recrcen [ely Pars boast orotneslos 2208 oe naeee ewe = a a ea © (eee eeLista Blanca y Lista Negra. Iniciando con la explicacién de “firewall simple” contamos con las. siguientes herramientas para administracién, navegacién acceso y uso de la red, como son: permitir, denegar y/o filtrar, IP, puertos y protocolos En este punto contamos con los siguientes items: Permitir Denegar Filtrar Empecemos con la seccién de Filtrado de Usuarios Internos, esta parte se divide en dos secciones L.-Permitir el acceso a todos los usuarios internos (aqui debemos agregar que se puede dar el uso de la lista negra) Como dice su nombre es para que todo aquel que se conecte a la red pueda navegar y tener acceso a los servicios brindados por nuestra red. A menos que se agregue algiin dato especifico para que algtin equipo en nuestra red no tenga esos privilegios de este modo agregamos en la lista negra la IP la MAC addres de este equipo ( recordar que la ‘mac adres se conforma por 6 bloques de 2 digitos hexadecimales. 2. Denegar el acceso a todos los usuarios internos (aqui se puede dar el uso de la lista blanca) Como dice su nombre impide la entrada 0 el uso de la red a todos los usuarios de la red a menos que se especifique en la lista Blanca ya sea por su IP y MAC addres, de este modo solo navegaran los equipos que nosotros permitamos. Pero la seccién de Denegar el acceso a todos los usuarios internos tiene una herramienta mas, Direcciones IP y MAC relacionadas, lo que hace esta opcién una vez que se configura de la manera adecuada solo permitiré la navegacién de los equipos que tengan configurada la IP que uno le asigne y estaré relacionada a su direccién MAC que tenga en su equipo. Ejempl Si asigno la IP 192.168.0.2 a la MAC 00:11:22:33:44 :55, entonces mientras ese quipo tenga la IP asignada podré usar la red , pero si el equipo se le configura una IP diferentenegara la navegacion ya que en el sistema su MAC adres no coincidir con la IP que le ‘tenemos asignada) Openeaar 2 Hsta atonca TE ee ar Bocionas 12 sta Neara Bama 1S ee 02 oso y MAG saad, eee eee Filtrado de Servicios Externos. Esta herramienta permite administrar a nivel general de la red los puertos que estaran cerrados 0 abiertos ya sea en UDP 0 en TCP dentro del rango de los 65535 puertos que pertenecen al protocolo TCP. Esta herramienta permite administrar los puertos de acceso y restriccién para protocolos UDP o TCP en el rango de los 65535 puertos pertenecientes al protocolo Top. Esta parte se sub divide en: 1.- Permitir el uso de todos los servicios externos (con la lista negra son administrados los puertos que desees tener cerrados) Con la lista negra son administrados los puertos con restriccién) Aqui solo los puertos o rango de puertos que indiquemos en la lista negra serén bloqueados. 2.- Denegar el uso de todos los servicios externos (con la lista blanca administrara los puertos sin restriccién abiertos )Con el uso de la lista blanca los puertos o rango de puertos que se indiquen serén los que se encuentren con acceso 0 estén abiertos. La sintaxis a usar en ambos casos serd la siguiente: Para utilizar un puerto simple se redacta numero de puerto protocolo solo separado por un espacio Ejemplo 80tcp 0 80udp Para utilizar un rango de puertos la nomenclatura es la siguiente : Namero inicial de puerto dos puntos nimero final de puerto Ejemplo 80:89 tcp_0 80:89 udp Esto quiere decir que comprenderé todos estos puertos 80 81 82 83 84 85 86 87 88 89 y asi dependiendo del rango que se escoja. Ustetos mumeros de] 22 £2 i 2 3 aes tor Filtrado de Protocolos Level 7. EL modo de emplear esta seccién es simple, solo en el recuadro es agregar el nombre del protocolo (en algunos casos programas de descargas masivas como son emule, Ares, image). Entre otros, de hecho aparece una Lista de protocolos disponibles en la cual podemos consultar los diferentes protocolos que podemos agregar con el fin de bloquear y evitar el uso de los mismos. ESListado Protocolos Disponibles 100ba0 aim —dayoflefeat-—_http- mute napster rtp risp thecircle tor tsp almwebcontent source hep freshdownload _nbns nep shouteast sip unknown unset applejulce ares directconnect _http-Ituneshttp-netbios nimda skypeout uuuep armagetron — dnsdoom3 tsp http nntpntp ogg —skypetoskype __valldcertssl edonkey exe —_httpaudio opentt smb smtp snmp-ventrilo vne battlefield1942 tasttrack finger httpeachehit _peanywhere pdf mon snmp-trap whois battlefield2 flash freenet ftp httpcachemiss perlpng poco snmpsocks —_ worldofwarcraft. battlefield2142 gifgkrellm —_httpvideoident_pop3 postscript soribada x11 xboxlive bgp bift gnucleuslan —imapimesh ipp pressplayqq soulseek ssdp _xunlei yahoo zip bittorrent gnutella incjabber jpeg quake-halflife ssh ssl stun zmaap chikka cimd — goboogy gopher kugoo live365. quaket subspace ciscovpn citrix 323 halflife2-liveforspeed Ipd quicktime subversion tar code_red deathmatch mohaamp3—radminrarrdp_ teamfortress2 counterstrike-heeltemp hotline msn-filetransfer replaytv-ivs _teamspeak sourcecvs _htmlhttp-dap msnmessenger rloginrpmrtf telnet tesla tftp Para terminar con Firewall Simple Una vez que hemos terminado de configurar nuestro Firewall simple el paso siguiente es de los mas importantes ya que si no presionamos en el botén que dice “Enviar” nuestra configuracién no seré almacenada en la memoria temporal y nuestras modificaciones se perderan. Una vez enviado nos apareceran las siguientes leyendas 1- Su regia. = de_~—reenvio © fue._—cambiada_—exitosamente. 2. Usted debe Recargar el Firewall para aplicar los cambios. (Nos recuerda que hay que presionar en Recargar firewall para que surtan efecto nuestras configuraciones.) 3.- Usted necesita resguardar su configuracién para grabar los cambios. (Nos recuerda resguardar los cambios, de este modo quedara gravado en la memoria permanente , si no se realiza esto una vez que se reinicie el router se perderé cualquier configuracién que hayamos hecho. facdones de (Recauapealfapeall | edtardcivade canfiuracin | Eitar Renee de awl Control arsonalzadasFirewall Avanzado Firewall avanzado es una herramienta avanzada de administraci6n de la red ya que con ella podemos administrar a nivel de IP y protocolos dando Accesos o Denegando el mismo de manera més confiable y especifica Para empezar debemos saber que haremos por ejemplo si nosotros hemos usado en el wall simple el Denegar el uso de todos los servicios externos a continuacién haremos algunos ejemplos de cémo se crean las reglas en el router para la navegacion e iremos abriendo algunos puertos y veremos como enrutar la navegacién a sitios especificos. Primero que nada vamos hasta la parte final de la pagina del Firewall avanzado y presionamos en donde dice Acceso y nos abre una pagina con un formato a llenar creorne vera real: [lusts | sexes] accones de Contr (2acacatalfrewall | Gatch de Confaurniéo | Eetac Ral de fesal Peconicee ae sie nee Rash cieniinbe iveasere eerie igueeney Sa a cme ca 1 (ne — iin Dts CE En la parte superior se muestra el formato que nos apareceré para poder crear una regla en nuestro router. Acontinuacién de desglosa y explica cada parte Active? Habits /Deshabitar esta regia sin rr, ONO OSt En esta opcién claramente se entiende que nos sirve para saber si la Regla que hagamos estaré activa o no, digamos que es para reservar alguna regla que se aplique posteriormente o simplemente saber sila tenemos activa seals DPemite Oneneor sec cob ear una eo ten oases De este modo sabemos que es lo que hard nuestra regia ya sea permitir o negar Protecolo) ——s) g Usted debe olor lerotncleo unero de protozoa que usa @ seh Aqui se escoge el protocolo que sera usado en la regla se puede elegir entre ALL TCP UDP y ICMP 0 el numero del protocolo que use el servicio. 10rsctn dele oneanaras ea dese ont ree oigen Tt Aqui se establece el origen, se puede escoger entre IP or Host name, MAC, local Network, Local Interface, Local IP Adres, internet, Internet interface, interface IP Address y Any. En la Segunda barra de texto se podra introducir Nombre, IP, MAC u otro dato de la red. imere de Puerto tical ‘mere de Puerto Final (Opcional) Aqui se puede agregar el puerto o el rango de puertos que se negarén 0 se permitiran seguin sea el caso. SES ae Aqui se estable el destino al igual que en el origen, se escoge de la lista antes mencionada y en el recuadro en blanco pondremos el destino segtin se halla definido Se \dica el puerto o el rango de puertos que se aplicaran en la regia, Al final nos deja poner un comentario para que podamos identificar o saber para qué /e la regla que hemos puesto. 1sororities vere Fina (Oncol) ede Questa ownage hk (enor) [revisor] Ejemplo: Se da a entender que el proceso esté activo, es para permitir a la IP de la red especificada el uso de un Puerto en especifico (22) en cualquier destino. ‘Alfinal se comenta el nombre de la persona a la que se le asigno la regla y el motivo que es tener el puerto de conexién Ssh abierto para los diferentes sitios que se utiliza, ey ee Ss lire protocolo © numero da erotcola que use elaemic, ALLS] © ie siete ogee Pr Bee a en ad Sesde donde orovia wane HN or Host Nemo _ | es ee somes nt eae SS oS reas pipet ose one eran rag rapt eet Sania eeu —— | sprue pene tne eee Eimer tamer oe pena de st Sica encanta aa init * Ge Domina para sceders este sorvgo, (Por), Wob0 HTTP. 12Otro ejemplo es con una regla que nos permite que toda la red local navegue o Acece a la direccién que esté en internet. Para editar alguna de las regias que hemos creado solo es cuestién de ir a la pagina principal de Firewall avanzado buscar en la lista la regla que queremos modificar y presionar en la opcién de editar Para borrar una regla creada solo es cuestién de presionar sobre la misma al final el botén de “Delete” Por Ultimo veremos algunas funciones que también podemos encontrar en el Firewall simple, es una configuracién no grafica y se agregan comando como si fuera simple texto [reer una nueve reel: (asnmatania | Gaaaa Primero veremos la parte que se marca en rojo, si presionamos sobre el nombre nos mandara a una pantalla de este tipo En este apartado encontraremos la mayor parte de las configuraciones que se hagan en cualquiera de las dos modalidades del Firewall, puestos bloqueados o permitidos, IP's MAC addres y /o cualquier otra configuracién que agregamos en los pasos anteriores, asi mismo podemos usar este medio para dar de alta las reglas que queramos o para realizar un resguardo manual a un block de notas copii contenidaConfiguracion de las Reglas del Firewall. access ¥ permit all 192.168.0.31 any all all # canisales Desglosado access = Y = pones "Y" para activada y "N" para no activa permit = a permitido y puede ir Deny para denegar un acceso all= el protocolo que utilizara ya sea TCP UDP o todos (all) 192.168.0.31 = ala ip que deseas que tenga los privilegios 0 negaciones any = Aqui puede ir IP, nombre de dominio u otros destinos (any significa cualquiera), con any indicas que a cualquier red externa all = puertos destino (note se que se repite esta palabra) , delimitaras los puertos a usar del destino al cual estas dirigiendo los privilegios ( lo mas probable de red externa) all = puertos origen, Los puertos que estaré permitido 0 negados del Ip origen (lo mas probable de nuestra red interna) Ejemplos: ‘© access Y permit all 192.168.0.0/24 imap.gmail.com 993 all # Correo = aqui habilito el puerto 993 exclusivamente para la direccién final de internet de gmail a su servicio pop. * access Y deny all 192.168.0.0/24 64.13.161.61 all all # imo.im = aqui denegé el acceso a toda la red para el destino imo.im directamente a su ip. ‘* access Y permit all 192.168.0.70 any 443 all # carmen = aqui abro el puerto 443 para una ip especifica de mired. ‘© access Y permit all 192.168.0.108 any 8080:8081 all # Paty = aqi e le abre un rango de puertos , esto lo utilizas para no crear més de una regia por puertos continuos el rango se da a través de ":" simbolo dos puntosBloque y apertura de puertos en archivo de configuracion de Firewall. Sintaxis block_port (puerto a bloquear) (después de un espacio el protocol tcp udp) Ejemplo: block_port 22 tep allow_port (puerto a permitir) (después de un espacio el protocolo tcp udp) Ejemplo: allow_port 33885 udp Bloque y apertura de Mac addres en archivo de configuracién de Firewall Sintaxis block_mac (la MAC addres a bloquear que esté conformado por 6 bloques de 2 digitos hexadecimales) Ejemplo: block_mac 00:11:22:33:44:55 allow_mac (la MAC addres a admitir que est conformado por 6 bloques de 2 digitos hexadecimales) Ejemplo: allow_mac 00:11:22:33:44:55 15Bloque y apertura de direccién IP en archivo de configuracién de Firewall Sintaxis block_ip (direccién IP a bloquear) Ejemplo: block_ip 192.168.0.254 allow_ip (direccién IP a Permitir) Ejemplo: allow_ip 192.168.0.10 Bloque de protocolos en archivo de configuracién de Firewall Block_protocol (nombre del protocolo pueden obtener la lista actualizada de este link http://I7-filter.sourceforge.net/protocols en el cual se explica mas afondo cada uno) Ejemplo: block_protocol msn-filetransferRelacionar una IP con una MAC addres en archivo de configuracién de Firewall match_Ip_mac (direccion IP) (direccion MAC addres de la tarjeta de red que pertenece al equipo con la ip) match_ip_mac 192.168.0.100 00:11:22:33:44:55 Seccion Editar Reglas de Firewall Personalizadas. eva regia: (Acnnsiatva | Sasa) ontrok [Eocaraarsléiowall | EitarAchwo do Confauacén || Por Ultimo para este manual siguen dos secciones que son importantes pero menos usadas ya que su nivel técnico es més avanzado, los iptables son un programa de aplicacién del espacio del usuario que permite que un administrador de sistema configure las tablas proporcionadas por el cortafuego del nticleo del linux (ejecutado como diversos médulos de Netfilter) y las cadenas y las reglas que almacena. Diversos médulos y los programas del nucleo se utilizan actualmente para diversos protocolos; los iptables se aplican a IPv4, a ip6tables a IPV6, a los arptables al ARP, y a los ebtables como special para los marcos de Ethernet.” Comandos de Ip tables. = Chain - Conjunto de regias al final de una cadena (chain). Si un nombre de host es designado como origen o destino, una regla es agregada por cada IP relacionada con ese host. -D Chain ~ Borra una o més reglas de la cadena especificada - D chain regra_num — Borra la regia residente en la posicién indicada para regra_num de la cadena especificada. q7= R Chain regra_num ~ sustituye la regla regra_num de la cadena especificada por una regia dada. - | Chain regra_num ~ Inserta una o més reglas al comienzo de una cadena. Si se suministra un nombre de host, como origen o destino, una regla es agregada por cada IP relacionada al Host. = L [Chain] — Lista todas las reglas de una cadena. En caso de que no tenga ninguna cadena especificada se listarén todas las reglas en todas las cadenas. - F [Chain] — Remueve todas las reglas de una cadena, si no se especifica ninguna cadena, remueve las reglas de todas las cadenas, también las del usuario. -Z [Chain] ~ Restaura el conteo de datagramas y bytes en todas las reglas de la cadena especificadas para CERO, o para todas las cadenas si ninguna fuera especificada -N [Chain] - Crea una cadena definida por el usuario con un nombre especifico -X [Chain] ~ Borra la cadena especificada por el usuario 0 todas si no se especifica una. = C [Chain] ~ Verifica el datagrama descripto para la regla especificada contra una cadena especificada. Este comando devuelve un mensaje describiendo como la cadena procesa el datagrama. Es muy util para probar la configuracién del router para un posterior andlisis. -P [Chain] — Politicas — Las politicas definen el Standard. La politicas validas son: \CCEPT, DROP, QUEUE y RETURN. ACCEPT permite el paso del datagrama DROP descarta el datagrama QUEUE pasa el datagrama a una cola para su posterior procesamiento RETURN Fuerza al cédigo del firewall a regresar a la cadena previa y continua el proceso con la regla siguiente a la que regresé Reglas: 18Las siguientes reglas pueden ser usadas -p (!)[Protocol] ~ Define a que protocolo se aplica la regla. El parémetro Protocolo puede ser un valor numérico del archivo /etc/protocol o una de las palabras clave; TCP, UDP 0 ICMP. -5 (!) [Adress] - Define el origen del paquete al que se le aplicaré la regla. El valor puede ser un nombre de host, un nombre de una Red 0 una direccién IP opcionalmente con mascara de red. -d (!) [Adress] — Define el destino del paquete al que se le aplicaré la regla. La direccién y el puerto son definidos usando las mismas reglas que para el origen del paquete -j Insertada en la regla define el destino del paquete, los valores posibles son ACCEPT, DROP, QUEUE 0 RETURN. Es posible especificar una cadena del usuario. También es posible especificar una extension -i(!) [Nombre de la Interface] Define por que interface va a ser recibido el datagrama. Se puede usar el signo + para definir un nombre parcial de interface. Por ejemplo eth+ corresponderia a todas las interfaces cuyo nombre empiece con eth: -o (!) [Nombre de la Interface] Define por que interface va a ser transmitido el datagrama [!] - f- Indicates that the rule is only mentioned to as | break up and to the subsequent ones of fragamentados packages. Comment: The symbol "!" he is used in the rules as a negation of the expression. Ejemplos: ~5 192.168.0.10/32 es equivalente a la direccién origen 192.168.0.10 ~5 (j) 192.168.0.10/32 es equivalente a todas las direcciones menos 192.168.0.10 19Opciones: -v-Termina el comando en Modo verboso. Muy util ver que es lo que esta haciendo o pasando. -n—Termina en una forma numérica, no es para nombres de hosts, redes, puertos. -x— Muestra el valor exacto del paquete y el conteo de bytes en lugar de redondearlo dea miles o millones. ine-nuimeros — Cuando lista las reglas, agrega un nimero de orden al comienzo de cada regla correspondiente a la posicion de la regla en la cadena. Extensiones: Iptables es imposible de traducir Para hacer uso de las extensiones es necesario especificar el nombre usando el parémetro~_m [argument] para que Iptables cargue el médulo En ocasiones el parémetro utilizado es -p para determinar el protocolo (En ciertos casos el pardémetro -m no es necesario, puesto que es cargado automaticamente, por ejemplo cuando se usa TCP, UDP 0 ICMP) Extensién TCP: usado con -m tep -p tep ~ sport (i) -port:port — Especifica el puerto de origen del datagrama. Los puertos pueden ser utilizados de a uno o por rango con el limite inferior separado del superior con el sigo “:”, también se puede utilizar (i) para invertir la expresién. ~ dport (i) -port:port — Especifica el puerto de destino del datagrama. Los puertos pueden ser utilizados de a uno 0 por rango con el limite inferior separado del superior con el sigo “:", también se puede utilizar (i) para invertir la expresion. - tep-flags (i) mask comp — Especifica que la regla solo sera valida cuando los flags del datagrama coincidan con los especificados ‘en mask comp la méscara es una lista separada de comas de los flags que deben ser examinados cuando se haga la prueba. 20Comp es una lista separada de comas de flags que deben ser configuradas. Flags validos: SYN, ACK, END, RST, URG, PSH, ALL oO NONE, ~ syn — Especifica que la regla solo debe buscar datagramas con el bit SYN on y el ACK y END off . Los datagramas con estas Opciones son requeridas para comenzar las comunicaciones TCP Extensién UDP: usado con - m UDP - p UDP sport (i) -port:port —Este parametro tiene una funci6n idéntica a cuando es utilizado con TCP dport (i) -port:port — Este parémetro tiene una funcién idéntica a cuando es utilizado con TCP Extensién ICMP: usado con - m ICMP - p ICMP ~ ICMP-TYPE(i) Especifica el tipo de mensaje que debe satisfacer la regla ICMP. El tipo puede estar determinado por un nombre o un ntimero. Algunos nombres validos son: echo-request, echo-reply, source-quench, teams-exceeded, destionation-unreachable, network-unreachable, host-unreanchable, protocol-unreachable and port-unreachable.- t, +table table This option specifies the packet matching table which the com- mand should operate on. If the kernel is configured with auto- matic module loading, an attempt will be made to load the appro- priate module for that table if itis not already there. Extensién MAC: usado con - m mac mac ~source (i) address —Especifica que la regia encuentre la direccién ethernet del host que transmite el datagrama Proteccién contra el IPspoofing. El Ipspoofing es una técnica para crear direcciones IP falsas y asi ejecutar ataques a méquinas en la WEB. Generalmente se utilizan IP falsa en las redes 10.0.0.0, 172.16.0.0 y 192.168.0. Para bloquear estas direcciones: Con maquinas con interface de red: 21ff iptables - INPUT - 5 10.0.0.0/8 - iethO -j DROP # iptables - INPUT - s 172.16.0.0/8 - iethO - j DROP # iptables - INPUT - 5 192.168.0.0/8 - iethO -j DROP Con maquinas con interface MODEM ADSL: # iptables - INPUT - s 10.0.0.0/8 - i ppp0 - j DROP # iptables - INPUT - s 172.16.0.0/8 - i ppp0 -j DROP # iptables - INPUT - s 192.168.0.0/8 - i ppp0 -j DROP Para garantizar la navegacién de nuestros equipos # iptables - INPUT - m state - state RELATED, ESTABLISHED - j ACCEPT Sin este comando la estacién no navegara. El médulo ip_conntrack permite especificar reglas en concordancia al estado de conexién del paquete. Que se logra con el pardmetro — state NEW ~ Consulta siel paquete es nuevo ESTABLISHED — Consulta siel paquete es de una conexién ya establecida RELATED — Consulta si el paquete esta indirectamente vinculado a una conexién como un mensaje de error. INVALID-Consulta los paquetes que no pudieron ser identificados por alguna razén. Como una respuesta desconocia de la conexi6n Para registrar conexiones a los puertos no autorizados ~ es importante saber cuando estamos siendo escaneados ~ y para defendernos de posibles ataques externos, podemos hacer que iptables registre los mensajes de los intentos de conexién a los puertos bloqueados # iptables - INPUT - s 0.0.0.0/0 - i eth0 - j LOG - log-prefix "Conexiones Prohibidas” Si quieres cerrar puertos especificos: # iptables - INPUT - p tep - dport 21 -j LOG - log-prefix "Servicio: ftp " # iptables - INPUT - p tcp - dport 23 - j LOG - log-prefix "Servicio: telnet” El tamajio del mensaje para el pardmetro — log-prefix es de 64 caracteres 22Para filtrar mensajes “echo-request” del comando ping o traceroute - Trough del comando Ping Podriamos descubrir que sistema operativo se esta ejecutando en un determinado equipo Si quisiéramos no responder los pedidos de ping en nuestra maquina: # iptables - INPUT - p ICMP - ICMP-TYPE echo-request - j DROP Level 7 Filterinf Leve 7 hace referencia al modelo OSI E| modelo de referencia de Interconexién de Sistemas Abiertos (OSI, Open System Interconnection) fue el modelo de red descriptivo creado por la Organizacién Internacional _para la Estandarizacién lanzado en 1984. Es decir, fue un marco de referencia para la definicién de arquitecturas de interconexién de sistemas de comunicaciones. La cual esta sub dividida en 7 capas ( yo manejo 8 ) este marco de referencia nos ayuda a poder encontrar un problema en nuestro sistema de computo ya sea a nivel personal © nivel empresarial se supone que uno debe revisar las 7 capas y en ese orden ir viendo donde puede radicar un problema, en este caso plantear una limitacién en nuestra red.Capas. Ejemplo: Esto es lo que nos aparece en el archivo de configuracién que hace referencia al Level 7: # Level 7 Filtering example: iptables -t mangle -A POSTROUTING -m layer? ~-I7proto edonkey -j DROP Como pueden notar el level 7 es una parte del iptables con esto nos podemos dar idea de cémo funciona si hacemos caso a la pequefia guia explicada anteriormente Para implementar este tipo de filtrado podran usarlo de este modo iptables -t mangle -A POSTROUTING -m layer? ~I7proto (protocol a bloquear, se escogeré de la lista antes mencionada) -j DROP 24Bibliografia. Foro de ayuda y soporte para BrazilFW (comunidad activa y alegre) http://www. brazilfw.com.br/ IPTABLES, contiene informacién bésica del tema pero sus links de referencias son bastante amplios muy bien informados. (ingles) http://en.wikipedia.org/wiki/Iptables Manual y referencia completa del uso de las IPTABLES (ingles) http://manpages.debian.net/cgi- bin/man.cgi?query=iptables&apropos=0&sektion=0&manpath=Debian+Si d&format=htmi&locale=en Traduccién de Mini tuto de iptables http://www. brazilfw.com.br/forum/viewtopic.php?f=25 &t=68560 Mini tuto de Iptables en ingles http://www. brazilfw.com.br/forum/viewtopic, php?f=388t=62483 Pagina principal del sistema Level 7 Filters (ingles) http://17-filter. sourceforge.net/protocols Pagina de referencias barias sobre protocolos (ingles) http://security.maruhn.com/iptables-tutorial/a13413.htmi#L7-FILTER Referencia del modelo OSI 25