Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Firewalls
Asignatura: Intranet
Una PC muy importante dentro de la red es el servidor, ya que tiene muchos puertos abiertos y ofrece muchas formas de conexin, ya que ofrece un sinnmero de servicios, y de entre todas estas conexiones pueden existir algunas que sean indeseadas. Para hacer que slo se acceda utilizando los servicios que hemos configurado, usaremos un firewall, que acepta, deniega o ignora los paquetes que han de pasar por el servidor. El firewall que utilizaremos est al nivel del kernel (que es quien controla el filtrado de paquetes), utilizando el programa iptables. Anteriormente llamado: ipfwadm (Kernel 2.0), ipchains (Kernel 2.2) e iptables para (Kernel 2.4), al ser una herramienta de kernel es probable que ya lo tengamos instalado. Para verificar si el paquete esta instalado, prueba con el siguiente comando desde consola: rpm qa|grep iptables Si el comando te devuelve un resultado, es por que ya lo tienes instalado, en caso de que no te devuelva ningn resultado, tendrs que dirigirte a www.netfilter.org y bajarte la ultima versin estable de iptables, en caso de bajarte un rpm, instlalo con el siguiente comando:
Hay algunas otras formas de instalacin como puede ser a travs de un tarball (archivo .tar) o con apt-get (la forma ms fcil de instalar paquetes)
FILTER (Esta tabla es la que se utiliza por defecto y es la que mas se trabaja) NAT (Traducciones de Direccin de red) se utiliza con DNAT y SNAT (destino y fuente NAT) el cual utiliza las cadenas PREROUTING Y POSTROUTING
MANGLE Para modificar los bit de tipo de servicio (TOS) del encabezado del paquete ip.
EI-UTSAM
Asignatura: Intranet
La tabla FILTER posee sub-tablas, las cuales son: INPUT, FORWARD y OUTPUT, para separar los paquetes: INPUT: los paquetes que llegan al servidor desde el exterior o desde la misma mquina pasan por esta tabla. FORWARD: los paquetes que llegan al servidor para ser enrutados hacia otro sitio pasan por la regla FORWARD. Hay que activar una opcin antes para permitir el forwarding. OUTPUT: los paquetes generados en el mismo computador y listos para ser enviados hacia el exterior pasan por esta tabla.
Cada subtabla consta de una serie lgica de reglas que deciden el destino del paquete. El paquete acabar bsicamente de una de estas formas:
ACCEPT: se deja pasar el paquete; el firewall no acta para nada. REJECT: se deniega el paquete. El firewall contesta diciendo que no quiere hacer la conexin, por tanto el emisor del paquete se entera.
Adems de todo esto, al firewall se le pueden definir polticas para cada tabla, por defecto cada tabla tiene como poltica ACCEPT, lo que indica que todos los paquetes sern aceptados, cada vez y cuando no cumpla alguna regla del firewall que tengan como destino DROP.
Lo recomendable es poner como poltica de acceso DROP a la tabla INPUT, para que ningn paquete ingrese, hasta que no haya cumplido alguna regla del firewall que tenga como destino ACCEPT.
EI-UTSAM
Asignatura: Intranet
iptables -A <tabla> -i <interfaz de entrada> -o <interfaz de salida> -s <IP de origen> -d <IP de destino> -p <protocolo> --sport <puerto origen> --dport <puerto destino> -j <accin>
Comando = A (adicionar), D (borrar), -F (vaciar), P (poltica), L (listar) Ejemplo: Servidor que recepta conexiones SSH desde la red 192.168.1.0/24 iptables A INPUT -s 192.168.1.0/24 dport ssh j ACCEPT
Para obtener una mayor especificacin del comando, teclear desde consola man iptables
Servidor con las siguientes caractersticas: eth0 = 157.100.192.66 Servidor Web (Regla 8) Servidor de Bases de Datos MySQL (Regla 9) Acepta conexiones por SSH solo desde la LAN (Regla 6) Acepta todas las conexiones realizadas desde la interface loopback. (Regla 1 y 2) DNS, solo se recepta paquetes UDP de los DNS del ISP, as como tambin las peticiones de la LAN, lo dems se desecha con un error (Regla 4 y 5) Servidor de correo (SMTP puerto 25, POP3 puerto 110) (Reglas 10 y 11) Servidor Proxy (Regla 7) Servidor de FTP (Reglas 12) Aceptar el Protocolo ICMP (necesario para que puedan comprobarnos la conectividad) (Regla 3) La poltica de acceso para todo paquete va a ser de DROP. eth1 = 192.168.1.2
EI-UTSAM
Asignatura: Intranet
Enmascaramiento (para poder utilizar algunos servicios, ya que algunos servicios no salen a travs del Proxy. Ejemplo: IRC programas P2P, entre otros)
#!/bin/bash echo "Firewall. INTRANET - UTSAM" #Borrado de las reglas anteriores iptables -F -t filter iptables -F -t nat iptables -F -t mangle #Polticas de Acceso iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT #Activacin del Forwarding y Enmascaramiento echo 1 >/proc/sys/net/ipv4/ip_forward iptables -A POSTROUTING -o eth0 -t nat -j MASQUERADE #Inicio de las Reglas echo "Regla 1" iptables -A INPUT -i lo -j ACCEPT echo "Regla 2" iptables -A OUTPUT -o lo -j ACCEPT echo "Regla 3" iptables -A INPUT -p icmp -j ACCEPT echo "Regla 4" iptables -A INPUT -p udp --dport 53 -j ACCEPT echo "Regla 5" iptables -A INPUT -p udp -j REJECT --reject-with icmp-portunreachable echo "Regla 6" iptables -A INPUT -i eth1 -p tcp --dport ssh -j ACCEPT
EI-UTSAM
Asignatura: Intranet
iptables -A INPUT -i eth1 -s 192.168.9.0/24 -p tcp --dport 8080 -j ACCEPT echo "Regla 8" iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT echo "Regla 9" iptables -A INPUT -i eth1 -p tcp --dport 3306 -j ACCEPT echo "Regla 10" iptables -A INPUT -i eth1 -p tcp --sport 25 -j ACCEPT echo "Regla 11" iptables -A INPUT -i eth1 -p tcp --sport 110 -j ACCEPT echo "Regla 12" iptables -A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT echo "Fin del Firewall"
EI-UTSAM