Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Texto 12

    Cargado por

    navarro ramos
    4 vistas8 páginas

    Título original

    texto12

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    4 vistas8 páginas

    Texto 12

    Cargado por

    navarro ramos

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 8

    TECSUP-PFR Redes de Computadoras II

    UNIDAD XII

    SERVICIO FIREWALL EN LINUX

    1. INTRODUCCIÓN

    Actualmente, muchas empresas disponen de un acceso a Internet para buscar


    información y publicar datos relacionados a su negocio. Adicional a la
    implementación de un servidor Proxy se requiere la instalación de un Firewall la
    cual complementa las funciones realizadas por el servidor Proxy.

    Durante esta exposición se tratará los conceptos y modos de utilizar el servidor


    Firewall.

    2. OBJETIVOS

    Al finalizar la unidad el estudiante será capaz de:


     Identificar los componentes básicos que conforman el servicio Firewall.
     Describir el funcionamiento del servicio Firewall.
     Describir la implementación del servicio Firewall.

    3. IPTABLES

    En Linux estamos empleando, el firewall que viene con el kernel 2.4.x: Netfilter
    (más conocido por el nombre de su herramienta de configuración: iptables).

    IPtables está integrado con el kernel, es parte del sistema operativo. Lo que se hace
    es aplicar reglas. Para ello se ejecuta el comando iptables, con el que añadimos,
    borramos o creamos reglas.

    Un firewall de iptables no es sino un simple script de shell en el que se van


    ejecutando las reglas de firewall.

    3.1. REENVÍO

    El forwadeo (reenvío) es la propiedad de los equipos de comunicaciones de


    enviar los paquetes de una red a otra red.

    El firewall opera básicamente como un router que interconecta 2 redes; la red


    privada y la red pública.

    El firewall recibe los paquetes de la red privada y lo envía a la red pública y


    viceversa. Para permitir este proceso debe de habilitarse el forwadeo.

    169
    Redes de Computadoras II TECSUP-PFR

    Para habilitar el FORWARD en LINUX, editemos el archivo “sysctl.conf”


    ubicado en “/etc” y colocamos el siguiente valor:

     net.ipv4.ip_forward = 1

    Otra forma es insertar el valor “1” al archivo “ip_forward"

     echo 1 > /proc/sys/net/ipv4/ip_forward

    3.2. PASO DE LOS PAQUETES POR EL FIREWALL

    Cuando el paquete llega se revisa si está destinado a la propia máquina o si va


    a otra. Para los paquetes (o datagramas, según el protocolo) que van a la
    propia máquina se aplican las reglas input y output, y para filtrar paquetes que
    van a otras redes o máquinas se aplican simplemente reglas forward.

    input, output y forward son los tres tipos de reglas de filtrado. Pero antes de
    aplicar esas reglas es posible aplicar reglas de nat: estas se usan para hacer
    redirecciones de puertos o cambios en las IPs de origen y destino. Las reglas
    de NAT son prerouting, output y postrouting.

    El diagrama muestra la trayectoria por donde pasa los paquetes.


     Cuando un paquete pasa a través del firewall: prerouting, forward,
    postrouting.
     Cuando un paquete va con destino al firewall: prerouting, input
     Cuando el firewall envía paquetes: output, postrouting

    170
    TECSUP-PFR Redes de Computadoras II

    3.3. TABLAS IPTABLES

    El sistema de filtrado de paquetes del kernel se divide en tres tablas, cada una
    con varias chains a las que puede pertenecer un paquete, de la siguiente
    manera.

    FILTER: Tabla por defecto, para los paquetes que se refieran a nuestra
    máquina.
    INPUT: Paquetes recibidos para nuestro sistema.
    FORWARD: Paquetes enrutados a través de nuestro sistema.
    OUTPUT: Paquetes generados en nuestro sistema y que son enviados.
    NAT: Tabla referida a los paquetes enrutados en un sistema con
    Masquerading.
    PREROUTING: Para alterar los paquetes según entren.
    OUTPUT: Para alterar paquetes generados localmente antes de enlutar.
    POSTROUTING: Para alterar los paquetes cuando están a punto para salir.

    3.4. PARÁMETROS DE IPTABLES

    El comando “iptables” puede utilizar diversos parámetros:


     iptables -t [tabla] -[AIRDLFZNXP] [regla] [criterio] -j [acción]

    Entre ellos están:


     -P: Predetermina una política.
     - L: Lista el contenido de las tablas.
     - F: Elimina las políticas de las tablas .
     -A: Agregar Política.
     -p: Protocolo ( tcp, udp, icmp ).
     -s: Red origen del paquete.
     -d: Red Destino del paquete.
     -- sport: Rango de puerto del origen del paquete.
     -- dport: Rango de puerto del destino del paquete.

    171
    Redes de Computadoras II TECSUP-PFR

    3.5. DEFINIENDO LAS ACCIONES A TOMAR

    IPTABLES, según la lista de políticas podrá tomar dos acciones que se tendrá
    que especificar:
     ACCEPT = Aceptar paquete
     DROP = Rechazar paquete

    Parámetro “P” = Predetermina la acción (ACCEPT, DROP) que predominará al


    final de la lista de políticas por cada sentido.

    Ejemplo:

    iptables –F INPUT
    iptables –F OUTPUT
    iptables –F FORWARD
    iptables –t nat –F PREROUTING
    iptables –t nat –F POSTROUTING
    iptables –t nat –F OUTPUT
    //Todas las tablas están en ACCEPT

    iptables –P INPUT DROP


    iptables –P OUTPUT DROP

    iptables –L
    Iptables –L nat

    3.6. PERMISO LOOPBACK

    La interfase LOCALHOST es afectada por el BLOQUEO: # iptables –P INPUT


    DROP.
    Varios procesos internos del FIREWALL realizan conexiones a su interfase
    LOCALHOST.

    Para permitir libre comunicación con la interfase LOCALHOST:

    172
    TECSUP-PFR Redes de Computadoras II

     iptables -A INPUT -i lo -j ACCEPT

    Para comprobar, se podrá hacer un PING a la dirección 127.0.0.1 desde el


    propio FIREWALL.

    3.7. ENMASCARAMIENTO

    El enmascaramiento realiza el proceso de reemplazar la ip origen de los


    paquetes de la red local por la ip externa (200.10.20.31) que pertenece al
    enmascarador (firewall).

    Esta propiedad permite que varias estaciones accedan a internet con la ip


    pública del firewall.

     Parámetro: -j MASQUERADE = Enmascaramiento de paquetes.

    3.8. ACCESO A SERVIDORES

    El siguiente gráfico muestra como se permite el acceso, por parte de los


    clientes de la red privada, a los servidores DNS de la red pública.

    173
    Redes de Computadoras II TECSUP-PFR

    3.9. SERVIDORES DE LA RED INTERNA

    Al ubicar a los servidores en la red local se asigna una ip privada, esto ocasiona
    que desde internet no puedan acceder a estos servidores.

    El nat en el firewall permitirá redireccionar alguna petición realizada a la ip


    pública del firewall y llevarla la petición hacia algún SERVIDOR de la red local.

    Para relacionar otra ip pública con un servidor de la red privada, al FIREWALL se


    agregará la respectiva ip pública usando el comando “ifconfig”

    Luego con la política de redireccionamiento se relacionará la ip pública con la ip


    privada.

     ifconfig eth0:0 200.10.20.32 netmask 255.255.255.0

    3.9.1. REDIRECCIONAMIENTO DNAT

    Permite asociar una dirección IP pública a una dirección IP privada,


    esto permite que el servidor sea accedido desde la red pública.

    174
    TECSUP-PFR Redes de Computadoras II

    3.9.2. REDIRECCIONAMIENTO SNAT

    Con dnat estamos trasladando direcciones de la red pública hacia la


    red privada. Los paquetes de salida de los servidores están saliendo
    por defecto con la ip pública enmascarada, que es la primera IP que
    tiene el firewall.

    Para permitir que una IP de la red privada, salga con una


    determinada ip pública independiente de la IP que se está utilizando
    para enmascarar, realizar lo siguiente:
    i. Agregar la ip pública al firewall.
    ii. Agregar una política de iptables con la opción snat indicando la
    ip privada y la ip pública a usar.

    3.10. LOG

    Permite visualizar los eventos de las conexiones realizadas a través del


    Firewall, puede usarse para monitorear el intento de acciones no
    autorizadas; para luego tomar las acciones respectivas, como el bloqueo de
    la IP.

    De la información mostrada, deberá de ignorar los paquetes broadcast, que


    son generados por diversas aplicaciones, como ejemplo: Log generados
    por netbios.

    175
    Redes de Computadoras II TECSUP-PFR

    3.11. PROXY TRANSPARENTE

    EL Iptables no puede revisar el contenido de las páginas Web que se visitan;


    por eso es recomendable instalar un servicio De PROXY “SQUID” en el
    Firewall, y que se derive las peticiones de acceso Web hacia el Proxy.

    Iptables tiene una propiedad de redireccionamiento que reenvía los paquetes


    de un determinado puerto destino, lo deriva hacia un puerto de algún
    Servicio instalado en el Firewall.

    Ejemplo: La interfase de entrada del paquete es “eth1”; el puerto a donde se


    dirige el paquete es “80” y el puerto del Proxy es “8080”.

    4. REFERENCIAS BIBLIOGRÁFICAS

     Website de IPTABLES
    http://www.netfilter.org/

     Manual de IPTABLES
    http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_
    Ch14_:_Linux_Firewalls_Using_iptables

     IPTABLES em Wikipédia
    http://es.wikipedia.org/wiki/Netfilter/iptables

    176

    También podría gustarte