Practica Firewall Linux

Nmap
1. La herramienta nmap nos da información de los puertos abiertos en un determinado equipo.
Esto nos puede servir para eliminar aplicaciones innecesarias o bloquear puertos con el
firewall que no se estén realmente utilizando
a) Realiza en ubuntu un nmap sobre el localhost
b) Añade la opción -A para que de más información sobre los servicios asociados a los
puertos abiertos.
c) Comprueba que en windows tienes abiertos todos los puertos relacionados con
habilitadas todas las reglas que creaste en la práctica anterior con el firewall (tendrás que
deshabilitar las reglas que bloqueaban el tráfico).
d) Realiza el nmap desde ubuntu sobre la ip del equipo windows. Si no funciona utiliza la
opción -Pn.
e) Bloquea con la regla que creaste el puerto correspondiente al escritorio remoto.
Comprueba con nmap si hay cambios en la información que nos da nmap.
f) Instala nmap en Windows. Realiza un nmap sobre el mismo windows y sobre ubuntu.

iptables
El tutorial de esta página puede resultarte útil
https://www.hostinger.es/tutoriales/iptables-asegurar-ubuntu-vps-linux-firewall/

1. Comprueba el estado de iptables

2.
a) Haz un ping a la máquina ubuntu desde otra máquina comprobando que funciona
b) Añade una regla para INPUT bloqueando (DROP) el trafico del protocolo ICMP (el que
utiliza el ping). Comprueba que ahora no hay ping
3.
a) Comprueba que desde otra máquina puedes acceder a la página inicial de apache como
preparaste en la práctica anterior.
b) Bloquea el protocolo tcp puerto 80 para la entrada.
c) Comprueba que no se puede acceder a la web ahora.
d) Elimina la regla y comprueba que ya se puede.
4.
a) Repite lo anterior, pero bloquea el puerto 80 solo para las peticiones que lleguen desde la
máquina virtual Windows. Comprueba que desde la máquina virtual Windows estás
bloqueado pero que desde tu máquina real accedes.
b) Comprueba con el nmap de Windows que el puerto 80 de la máquina ubuntu ya no está
abierto.

Si reiniciamos el ordenador las definiciones de iptables se pierden.

Podemos guardar la configuración de iptables para pasarla a otro equipo (o como copia de
seguridad en el mismo) para ello utilizamos los siguientes comandos (firewall.bak simplemente es
un nombre de fichero)
iptables-save > firewall.bak
firewall.bak < iptables-restore
 5.
a) Guarda la configuración actual de iptables en un fichero llamado firewall_tunombre
b) Reincia el equipo. Comprueba que las definiciones de iptables se han perdido.
c) Restaura la configuración de iptables desde el fichero firewall_tunombre. Comprueba
que se han restaurado correctamente.

Si queremos que la configuración sea persistente hacemos lo siguiente

• Instalamos el paquete iptables-persistent
• Este paquete genera unos ficheros llamados /etc/iptables/rules.v4 y /etc/iptables/rules.v6
• Cuando queramos guardar cambios para que sean persistentes ejecutamos el comando
sudo iptables-save | sudo tee -a /etc/iptables/rules.v4

6.
a) Ejecuta los comandos necesarios para que la configuración que has generado hasta ahora
sea persistente, aun después de reiniciar. Comprueba que funciona.
b) Elimina todas las reglas de iptables (opción flush -F)
c) Haz persistente la nueva configuración (sin reglas)

Podemos cambiar la política por defecto (si aceptamos o rechazamos cualquier paquete que no
cumpla alguna de las reglas) con la opción -P. Por ejemplo para bloquear todo el tráfico entrante:
sudo iptables -P INPUT DROP

7. Vamos a imaginar que tenemos un equipo en el que queremos la máxima seguridad. Vamos
a cambiar el planteamiento hecho hasta ahora.
a) Haz que la política por defecto tanto para INPUT como para OUTPUT sea DROP
b) Añade todas las reglas necesarias (ahora serán accept) para tener el funcionamiento que
hemos tenido hasta ahora (poder hacer ping, acceder a su servidor web, poder
conectarnos por ssh y poder hacer terminal remoto con Windows)