Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ndice
Objetivos ....................................................................................................................................... 2 Configuracin Cliente ................................................................................................................... 3 Configuracin Servidor ................................................................................................................ 4 Comprobacin ............................................................................................................................... 7 Fuentes .......................................................................................................................................... 8
Objetivos
Partiendo de la configuracin de la prctica anterior aadir la siguiente configuracin:
La poltica por defecto para el reenvo de paquetes es la de descartarlos. Sin embargo: o Se permite el reenvo para el trfico TCP por el puerto 80. o Se permite el reenvo para poder acceder al servicio DNS. o Se permite el reenvo para el trfico por el puerto 443 solamente para un dominio concreto.
Realizad una memoria con los pasos seguidos correctamente documentada y donde se compruebe el funciononamiento del cortafuegos. Entregarla en formato .pdf
Configuracin Cliente
En la mquina cliente agregaremos una tarjeta de red en modo RedInterna con los siguientes datos:
Y para terminar aadiremos la ltima lnea para que pueda resolver los nombres:
Configuracin Servidor
Antes de nada aadiremos las tarjetas de red necesarias en la mquina cortafuegos:
Como ya vimos anteriormente es la mquina que configuramos como router y cortafuegos modificaremos y agregaremos algunas reglas IpTables para realizar las acciones que se nos piden en el enunciado del ejercicio.
Bien , abrimos el script reglas.sh en el servidor y aadimos las siguientes reglas iptables para lo que se nos pide:
-Denegamos el reenvo -Dejamos abierto el puerto del servidor web o HTTP -Dejamos abierto el Puerto HTTPS -Aceptamos que consulten los DNS
-Reglas.sh
#!/bin/sh ## SCRIPT de IPTABLES - ejemplo del manual de iptables echo -n Aplicando Reglas de Firewall... ## FLUSH iptables iptables iptables iptables de reglas -F -X -Z -t nat -F
## Establecemos politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP --------------------- Denegamos el reenvo. iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ##Empezamos a filtrar #A la interfaz lo le permitimos todo iptables A INPUT i lo j ACCEPT iptables A INPUT o lo j ACCEPT ## Dejamos abierto el puerto del servidor web o HTTP iptables -A INPUT -p tcp --dport 80 -j ACCEPT ##Dejamos abierto el Puerto HTTPS iptables -A INPUT -p tcp --dport 443 -j ACCEPT # Aceptamos que consulten los DNS iptables -A FORWARD s 0/0 -p tcp --dport 53 -j ACCEPT iptables A FORWARD s 0/0 -p udp -dport 53 j ACCEPT # Abrimos el Puerto 22 SSH Iptables A INPUT p tcp dport 22 j ACCEPT ## Cerramos el rango de puertos privilegiados. /sbin/iptables A INPUT p tcp -dport 1:1024 j DROP /sbin/iptables A INPUT p udp dport 1:1024 j DROP ##Por ultimo las dos siguientes reglas permiten salir del equipo #(output) conexiones nuevas que nosotros solicitamos, conexiones establecidas # y conexiones relacionadas, y deja entrar (input) slo conexiones #establecidas y relacionadas. iptables A FORWARD m state -state ESTABLISHED,RELATED j ACCEPT # Enrutamiento la red local( para poder acceder al exterior desde el cliente. #En este punto debemos colocar la interfaz de red que usa el servidor para #conectarse a internet.
Denegamos el reenvo:
Comprobacin
Ahora comprobaremos que efectivamente se estn aplicando las nuevas reglas insertadas, para ello ejecutamos el comando: -# Iptables L -n
Por ltimo tambin podremos comprobar desde el cliente que se estn aplicando correctamente los servicios haciendo uso de la orden nmap 192.168.10.4 ( red del instituto ): -Nmap 192.168.10.4
Vemos como aparecen habilitados los servicios que le hemos concedido al cliente en la red. Ahora comprobaremos que el cliente tiene conexin a Internet:
Fuentes
-http://moodle.iesgrancapitan.org/file.php/48/IPTABLEs.pdf