PROGRAMA DE FORMACION

REGULAR
REDES Y COMUNICACIONES DE DATOS

SEGURIDAD PERIMETRAL

Laboratorio N 1

FIREWALL IPTABLES
 FIREWALL IPTABLES

OBJETIVOS
Aprender a usar iptables para la creacin de reglas
Implementar un Servidor FIREWALL en Linux

TOPOLOGIA

1.- INSTALACIN

IPTABLES es un poderoso firewall integrado en el kernel de Linux y que forma parte del proyecto
netfilter.
Para la creacin de reglas usaremos el comando iptables, que viene dentro de un pquete RPM del mismo
nombre. Generalmente ya viene instalado.

Verificacin:

2.- CONFIGURACIN

a) FILTRADO

Sintaxis: iptables t [tabla] operacin cadena parmetros accin

Operaciones:
-A Agrega
-D Elimina
-I Inserta una regla en una determinada ubicacin
-L Lista todas las reglas
-F Borra todas las reglas

2
Para empezar a crear reglas se requiere que se entienda el concepto detrs de las cadenas de NetFilter
Cadenas:

Parametros:
-p Sirve para especificar el protocolo que se utiliza
-s Sirve para especificar la direccin IP de origen
-d Sirve para especificar la direccin IP de destino
-i Especifica la interfaz de entrada
-o Especifica la interfaz de salida

Accines:

ACCEPT Se acepta el paquete

DROP Se elimina el paquete
REJECT Elimina el paquete y adems notifica al origen

A continuacin, se muestran sus reglas ms usadas.

a.1.- Creacin de reglas

iptables A INPUT p icmp j DROP ##Bloquea todo el trfico ICMP con destino a este equipo
iptables A OUTPUT d 8.8.8.8 jACCEPT ##Permite todo el trafico que sale de este equipo
##con destino a la direccin IP 8.8.8.8
iptables A FORWARD p tcp dport 80 j ACCEPT ##Permite el trfico TCP que pasa por este
##equipo con puerto TCP de destino 80.
a.2.- Verificar las reglas ingresadas

iptables L ##Verificar solamente las reglas

iptables nL ##Visualizar los datos en formato numrico
Iptables nvL ##Permite ver las estadsticas del trfico
##que coincidi con las reglas.
Iptables -L line-number ##Permite ver la numeracin de las reglas.

a.3.- Eliminacin de reglas

iptables D INPUT 1 ##Elimina la regla Nmero 1 de la cadena

##INPUT
a.4.- Revisar y probar las opciones generales

Ejecutar el script de reglas: sh firewall.sh

Service ipatbles save

3
Otros ejemplos:

b) NAT

b.1) Nat esttico

iptables t nat PREROUTING d 192.168.13.65 p tcp dport 80 j DNAT to 172.16.10.3

##Habilita el NAT de entrada para el trfico con destino a la ip 192.168.13.65 y el puerto TCP 80
##destino (en la OUTSIDE) cambie a la direccin 172.16.10.3 (en la DMZ).

b.2) Nat dinmico

iptables t nat POSTROUTING s 192.168.1.0/24 o eth0 j MASQUERADE

##Habilita el NAT de salida para el trafico con origen de la red interna 192.168.1.0/24 y que sale
##por la interfaz eth0, se enmascare con la direccin ip de la interfaz eth0.

O tambin se puede hacer de la siguiente manera.

iptables t nat POSTROUTING s 192.168.1.0/24 o eth0 j SNAT to 192.168.13.65

-------------------------------------------------

ACTIVIDADES.

Bridge H.O.2
H.O.2

eth2

H.O.1

H.O.1
eth1 eth1
H.O.1

4
ACTIVIDADES

A continuacin, se da una tabla de los servicios que deben ser aperturados, y los dems
deben ser bloqueados.

Protocolo (Servicio) Posicin Comentarios

SSH dmz IP=172.16.20.2, Proto=tcp, port=22
CUPS interno
IP=172.16.10.2, IPe=201.4.5.6, Proto=udp,
NTP dmz,externo port=123
SMTP dmz,interno
DNS interno, externo
HTTP Dmz
HTTPS dmz
POP3 dmz,interno
IMAP dmz,interno
SAMBA interno
PROXY
SYSLOG externo, interno
FTP dmz,interno
LDAP interno
DHCP interno
DB ORACLE DMZ2 No debe ser accesible desde internet
FTPS DMZ
SMTPS DMZ
IMAPS DMZ
POP3S DMZ
ICMP Interno,externo,DMZ
10000-20000 interno, externo Abrir un rango de puertos UDP
SIP externo

Actividades extras.

Crear una regla de filtrado a www.facebook.com mediante iptables

Crear una regla de filtrado mediante mac-address
Crear una regla que se aplique a un rango de direcciones (bajo el formato de direccin inicial - final)
Conclusiones

NOTA:
-Se debe presentar el script aplicado al firewall, con los comentarios de cada protocolo.
-Imgenes de los resultados pedidos (Slo resultados de 10 pruebas)
- Reenvio de paquetes se habilita en dos pasos
Editando /etc/sysctl.conf
net.ipv4.ip_forward = 0
sysctl -p /etc/sysctl.conf