LAB273

UNIVERSIDAD MAYOR DE SAN ANDRÉS

VERSIÓN​: 02 PÁGINA​: 1 de 3
CARRERA DE INFORMÁTICA FECHA​: 03/2021

GUÍA DE LABORATORIO 3
VIGENCIA​: 2021
PARA PRÁCTICAS DE LABORATORIO DE TELEMATICA

LABORATORIO Nº 3: SEGURIDAD DE LA RED CON IPTABLES

1. OBJETIVOS DE APRENDIZAJE
1.1. Cómo utilizar cortafuegos para la seguridad de su red
1.2. Aplicar la herramienta iptables al tráfico de la red como cortafuegos en sistemas Linux

2. HERRAMIENTAS O MATERIALES REQUERIDOS

● Equipo requerido. ​Una PC de escritorio o portátil bajo ambiente Linux con conexión a internet
● Herramientas. ​ Iptables, ​Wireshark
3. INTRODUCCIÓN

El laboratorio 3 trata de la utilización de un cortafuegos como es iptables para proporcionar seguridad a la red.
La herramienta que mostraremos iptables está disponibles bajo plataforma Linux

Un firewall o cortafuegos es la primera línea de defensa de su red. El propósito básico de un firewall es evitar
que los no invitados naveguen por su red. Un firewall puede ser un dispositivo de hardware o una aplicación de
software que generalmente se coloca en el perímetro de la red para actuar como el guardián de todo el tráfico
entrante y saliente.

Un firewall le permite establecer ciertas reglas para identificar el tráfico que debe permitirse dentro o fuera de su
red privada. Dependiendo del tipo de firewall que se implemente, puede restringir el acceso solo a ciertas
direcciones IP y nombres de dominio o puede bloquear ciertos tipos de tráfico bloqueando los puertos TCP / IP
que utilizan.

Aquí hay básicamente cuatro mecanismos que utilizan los firewalls para restringir el tráfico. Un dispositivo o
aplicación puede usar más de uno de estos para brindar protección en profundidad. Los cuatro mecanismos son
filtrado de paquetes, puerta de enlace a nivel de circuito, servidor proxy y puerta de enlace de aplicaciones.

Un filtro de paquetes intercepta todo el tráfico hacia y desde la red y lo evalúa según las reglas que usted
proporciona. Normalmente, el filtro de paquetes puede evaluar la dirección IP de origen, el puerto de origen, la
dirección IP de destino y el puerto de destino. Son estos criterios los que puede filtrar para permitir o no permitir
el tráfico de ciertas direcciones IP o en ciertos puertos.

ELABORADO POR: RAMIRO CARGO: DOCENTE LAB273 FECHA: 4/3/2021

GALLARDO
 LAB273
UNIVERSIDAD MAYOR DE SAN ANDRÉS
VERSIÓN​: 02 PÁGINA​: 2 de 3
CARRERA DE INFORMÁTICA FECHA​: 03/2021

GUÍA DE LABORATORIO 3
VIGENCIA​: 2021
PARA PRÁCTICAS DE LABORATORIO DE TELEMATICA

IPtables es un sistema de firewall vinculado al kernel de linux, es decir es parte del sistema operativo. ¿Cómo
se pone en marcha? Realmente lo que se hace es aplicar reglas. Para ellos se ejecuta el comando iptables, con
el que añadimos, borramos, o creamos reglas. Por ello un firewall de iptables no es sino un simple script de
shell 1en el que se van ejecutando las reglas de firewall.

iptables gestiona, mantiene e inspecciona las reglas de filtrado de paquetes IPv4 a través de tablas. Estas
tablas clasifican y organizan las reglas de acuerdo al tipo de decisiones que se deben tomar sobre los paquetes.
Por ejemplo, si una regla se encarga de implementar traducción de direcciones, será puesta en la tabla "nat".
En cambio, si una regla decide cuándo o no dejar pasar un paquete hacia su destino, probablemente será
agregada en la tabla "filter".

Iptables es la herramienta utilizada en los sistemas Linux para controlar el paso de paquetes de red por el
equipo de la siguiente manera, filtrándolos, modificándolos o registrándolos. Por tanto, nos permitirá realizar un
cortafuegos (firewall) en nuestra red si lo utilizamos como router.

Iptables permite definir reglas sobre qué hacer con los paquetes de red.
● Las reglas se agrupan en cadenas.
● Las cadenas se dividen en tablas.

En Iptables existen las siguientes cadenas por donde van a circular los paquetes dentro del sistema:

PREROUTING: Contiene los paquetes que acaban de entrar al sistema, independientemente de que estén
generados por el mismo equipo o un equipo remoto.
INPUT: Contiene los paquetes destinados al equipo local con cualquier origen.
OUTPUT: Contiene los paquetes generados en el equipo local y que van a salir del mismo.
FORWARD: Contiene los paquetes que pasan por el equipo pero que son generados en equipos remotos y se
dirigen a otros equipos diferentes.
POSTROUTING: Contiene los paquetes que van a abandonar el sistema, independientemente de estén
generados en el mismo equipo o en un equipo remoto.
Iptables maneja tablas para procesar de manera diferente los paquetes. En cada tabla se van a permitir unas
cadenas determinadas. Estas son:
filter: Se utiliza exclusivamente para filtrar paquetes, es decir, aceptarlos, rechazarlos, etc.
nat: Se utiliza para traducir las direcciones de los paquetes,
mangle: Se utiliza modificar información en la cabecera de los paquetes.
Referencia Bibliográfica. ​Disponible en la plataforma virtual del curso
https://www.digitalocean.com/community/tutorials/how-the-iptables-firewall-works
Manual de Iptables en Español. ​https://www.linuxito.com/seguridad/793-tutorial-basico-de-iptables-en-linux
https://www.tiendalinux.com/docs/manuales/redhat/rhl-rg-es-7.3/s1-iptables-options.php3

1
El script de shell es un programa con comandos del sistema operativo Linux o shell.

ELABORADO POR: RAMIRO CARGO: DOCENTE LAB273 FECHA: 4/3/2021

GALLARDO
 LAB273
UNIVERSIDAD MAYOR DE SAN ANDRÉS
VERSIÓN​: 02 PÁGINA​: 3 de 3
CARRERA DE INFORMÁTICA FECHA​: 03/2021

GUÍA DE LABORATORIO 3
VIGENCIA​: 2021
PARA PRÁCTICAS DE LABORATORIO DE TELEMATICA

PROCEDIMIENTO
3.1. Uso de iptables para filtrar paquetes
El formato general tiene la siguiente estructura:
iptables [-t <tabla>] <comando> <cadena> <parametro-1> \
<opcion-1> <parametro-n> <opcion-n>
La tabla por defecto es filter o de filtrado de paquetes. Para la descripción de la lista de comandos, cadena y
parámetros revisar la referencia bibliográfica o con el comando iptables -h

A tener en cuenta es que el orden de las reglas en cada cadena es importante. Un paquete no debe
encontrarse con una regla más general que coincida si está destinado a coincidir con una regla más específica.

Debido a esto, las reglas cerca de la parte superior de una cadena deben tener un nivel más alto de
especificidad que las reglas en la parte inferior. Primero debe hacer coincidir casos específicos y luego
proporcionar reglas más generales para hacer coincidir patrones más amplios. Si un paquete cae por toda la
cadena (no coincide con ninguna regla), alcanzará la regla más general, la política predeterminada.

Por esta razón, la política predeterminada de una cadena dicta con mucha fuerza los tipos de reglas que se
incluirán en la cadena. Una cadena con la política predeterminada ACCEPT contendrá reglas que descartan
paquetes explícitamente. Una cadena que por defecto sea DROP contendrá excepciones para los paquetes que
deben aceptarse específicamente.

Los diferentes protocolos de red proporcionan opciones especializadas de concordancia que pueden ser
configurados de forma específica para identificar un paquete en particular usando dicho protocolo. Por supuesto
el protocolo deberá ser especificado en un primer momento en el comando iptables, como con la opción -p tcp
que indica que se trata del protocolo TCP para hacer que las opciones de dicho protocolo estén disponibles.
Otros ejemplos: -p udp -p icmp Para referirse a los protocolos UDP o ICMP respectivamente.

4. EJERCICIOS
1. Para los siguientes ejercicios escribir las reglas iptables y enviar las capturas (antes y después de
aplicar la regla) obtenidas con Wireshark
1.1. bloquear peticiones ping
1.2. Bloquear las conexiones UDP entrantes
2. Interpreta las siguientes reglas:
2.1. iptables -A OUTPUT -p tcp -d www.google.com -j DROP
2.2. iptables -A INPUT -p tcp –dport 1234 -j DROP

ELABORADO POR: RAMIRO CARGO: DOCENTE LAB273 FECHA: 4/3/2021

GALLARDO