Semana 3 – Actividad 3.

1. Escribir la regla iptables correspondiente para:

1.1. Bloquear solicitudes ICMP ping.
La regla es:
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP

Respuestas Ping también puede estar limitada a ciertas redes o hosts:

iptables -A INPUT -s 192.168.1.0/24 -p icmp --icmp-type echo-request -j ACCEPT

1.2. Aceptar conexiones desde una dirección MAC específica.

La regla es:
iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 –j ACCEPT

1.3. Bloquear todo el tráfico de salida a un dominio específico.

La regla es:
iptables -A OUTPUT -p tcp -d www.facebook.com -j DROP

O también:
iptables -A OUTPUT -p tcp -d facebook.com -j DROP

1.4. Bloquear todas las conexiones de la red 192.168.1.0/24

La regla es:
iptables -A INPUT -s 192.168.1.0/24 -j DROP

o también:
iptables –A INPUT –s 192.168.1.0/255.255.255.0 –j DROP

2. Indagar en diferentes fuentes, las reglas de iptables que se utiliza, cuando un Servidor está
configurado para reenviar paquetes (modo router).
R.-
Para ejecutar iptables en modo Router se utiliza la cadena FORWARD.

FORWARD - Todos los paquetes que no son originados o dirigidos a nuestra computadora, pero pasan a
través de nuestra computadora. Esta cadena es usada si usted está usando su computadora como un
enrutador.
A continuación se mencionan algunos ejemplos:

1. Permitir todo el tráfico que pasa a través de nuestra computadora:

iptables -P FORWARD ACCEPT

2. Denegar todo el tráfico que pasa a través de nuestra computadora, , esto porque no estamos
usando nuestra computadora como enrutador, por tanto no deberían pasar paquetes por nuestra
computadora.
iptables -P FORWARD DROP
3. Permitir sólo los mensajes entrantes desde la IP del compañero de tu máquina física.
iptables -A INPUT -s 192.168.203.200 -j ACCEPT
iptables -A INPUT -j DROP

iptables -A FORWARD -s 192.168.203.200 -j ACCEPT

iptables -A FORWARD -s -j DROP

4. Permitir que el tráfico interno salga a internet

En el caso de tener 2 tarjetas de red (eth0 en local y eth1 conectada a internet) podemos configurar el
firewall para que reenvíe el tráfico de la red local a través de internet. Para ello escribiremos:

iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

También existen los parámetros que se utilizan mediante NAT:

 PREROUTING
 POSTROUTING

Ejemplo 1: Peticiones entrantes a tu máquina virtual al puerto 81 por http vayan mediante NAT al
puerto 80 de la máquina local
iptables -t nat -A PREROUTING -p tcp –dport 81 -j DNAT –to- destination 192.168.203.200:80
iptables -t nat -A POSTROUTING -s 192.168.203.0/24 -j MASQUERADE

Ejemplo 2: Nuestro PC por el puerto que no sea eth0 se enmascara para reenviarlo a la tarjeta eth0
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Donde:
 Iptables es el comando para modificar las reglas.
 -t Es para especificar el tipo de tabla a la que van dirigidas las reglas.
 nat Es el tipo de tabla.
 -A Añade la regla a las ya existentes.
 POSTROUTING Modifica los paquetes justo antes de reenviarlos a las máquinas
correspondientes
 -o Sirve para especificar hacia que tarjeta van redirigidos los paquetes.
 eth0 Es nuestra tarjeta conectada a internet.
 -j Especifica hacia donde se aplican las reglas
 MASQUERADE Indica el enmascaramiento ip.