Está en la página 1de 5

TALLER 1

INTEGRANTES: RAMOS FABIAN, BUSTAMANTE MARIA, LEÓN LUIS, TIGUA GRACE.

FIREWALL PRACTICA
Primero instalamos el Modulo conntrack con el comando sudo apt-get install conntrack,
el cual nos va a permitir llevar un registro del estado de los paquetes y las conexiones
existentes en nuestro firewall.

Luego eliminamos todo el trafico entrante utilizando este comando sudo iptables –A INPUT –i
eth0 –j DROP, el cual deniega todas las entradas que intenten entrar en nuestra interfaz de
red. Lo cual nos ocasiona que perdamos la conexion a internet:

Por consiguiente, luego creamos reglas para permitir el tráfico entrante para los puertos de
TCP 80 que es para navegacion web no segura, y puerto 443 que es para navegacion web
segura, y el puerto UDP 53, que nos ayuda a la obtener comunicacion de dominios.

De la misma forma creamos la permision de el trafico saliente para los puertos de TCP 80 que
es para navegacion web no segura, y puerto 443 que es para navegacion web segura, y el
puerto UDP 53, que nos ayuda a la obtener comunicacion de dominios. Utilizando el comando
sudo iptables –L podemos observar la siguienta captura que nos muestra la configuración de
firewall para los paquetes salientes y entrantes usando el modulo conntrack y ctstate para
especificar los estados de conexion en las reglas:
Usando el comando sudo iptables –t filter –list podremos ver la tabla filter y sus tres
cadenas INPUT, OUTPUT y FORWARD, todas estaban en blanco, lo que indicaba que no
existen reglas definidas, pero ahora que hemos configurado las reglas anteriores para
permitir paquetes entrantes y salientes del firewall, nuestra tabla filter nos queda asi:
Aunque creamos reglas para habilitar la conectividad a internet, aun el firewall esta
tomando en cuenta la primera regla DROP de denegar todo el trafico entrante, asi que
cambiamos el orden de las reglas con los siguientes comandos: sudo iptables –D
INPUT 1, sudo iptables –I INPUT 4 –i eth0 –j DROP. Ahora al haber cambiado el orden
de las reglas, y haber puesto al ultimo la denegacion de todo lo demas que no sean los
paquetes con los puertos 443, 80 y 53, permitiendo los paquetes entrantes y salientes
para la navegacion web y comunicacion de dominios, tenemos otra vez conectividad a
internet:

Por ultimo, ya habiendo habilitado la conectividad a internet, ahora solo nos falta
cambiar la politica por defecto, de ACCEPT a DROP, es decir que haremos que la
politica por defecto pase de aceptar todo el trafico por defecto, a denegar todo por
defecto, permitiendonos tener mayor seguridad en nuestro host y evitando que
cualquier agente externo intente ingresar a nuestro dispositivo intentando infectar u
ocasionar alguna vulnerabilidad. Por ello creamos con el siguiente comando sudo
iptables –P INPUT DROP, ahora ya tenemos especificado en la cadena de entrada denuestro
firewall, que en los paquetes entrantes la politica sea que denieguen por defecto todas las
entradas que no cumplan las reglas que hemos creado en nuestro firewall de host.

En la siguiente captura mostramos la tabla de filter de nuestro firewall, donde se muestra que
ya se ha cambiado la politica por defecto:
Acontinuacion mostramos la informacion de las conexiones actuales presentes, usando
el comando sudo conntrack –L:
Por ultimo mostramos con el comando sudo iptables –S todos los comando ingresados
y configurados en nuestro firewall, utilizando los comudulos conntrack y ctstate, y
permitiendo la conectividad web (HTTP, HTTPS, DNS) para los paquetes entrantes y
salientes, y especificando la politica por defecto de denegacion (DROP), y evitando que
se genere error ordenando las reglas prioritarias y poniendo al ultimo las reglas menos
importantes, para evitar problemas en la conectividad.