Prctica Seguridad: Ip-Tables 2

Miguel ngel Gonzlez Gonzlez

Miguel ngel Gonzlez Gonzlez

ndice
Objetivos ....................................................................................................................................... 2 Configuracin Cliente ................................................................................................................... 3 Configuracin Servidor ................................................................................................................ 4 Comprobacin ............................................................................................................................... 7 Fuentes .......................................................................................................................................... 8

Miguel ngel Gonzlez Gonzlez

Objetivos
Partiendo de la configuracin de la prctica anterior aadir la siguiente configuracin:

La poltica por defecto para el reenvo de paquetes es la de descartarlos. Sin embargo: o Se permite el reenvo para el trfico TCP por el puerto 80. o Se permite el reenvo para poder acceder al servicio DNS. o Se permite el reenvo para el trfico por el puerto 443 solamente para un dominio concreto.

Realizad una memoria con los pasos seguidos correctamente documentada y donde se compruebe el funciononamiento del cortafuegos. Entregarla en formato .pdf

Miguel ngel Gonzlez Gonzlez

Configuracin Cliente
En la mquina cliente agregaremos una tarjeta de red en modo RedInterna con los siguientes datos:

Y para terminar aadiremos la ltima lnea para que pueda resolver los nombres:

Miguel ngel Gonzlez Gonzlez

Configuracin Servidor
Antes de nada aadiremos las tarjetas de red necesarias en la mquina cortafuegos:

Como ya vimos anteriormente es la mquina que configuramos como router y cortafuegos modificaremos y agregaremos algunas reglas IpTables para realizar las acciones que se nos piden en el enunciado del ejercicio.

Bien , abrimos el script reglas.sh en el servidor y aadimos las siguientes reglas iptables para lo que se nos pide:

-Denegamos el reenvo -Dejamos abierto el puerto del servidor web o HTTP -Dejamos abierto el Puerto HTTPS -Aceptamos que consulten los DNS

Miguel ngel Gonzlez Gonzlez

-Reglas.sh

#!/bin/sh ## SCRIPT de IPTABLES - ejemplo del manual de iptables echo -n Aplicando Reglas de Firewall... ## FLUSH iptables iptables iptables iptables de reglas -F -X -Z -t nat -F

## Establecemos politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP --------------------- Denegamos el reenvo. iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ##Empezamos a filtrar #A la interfaz lo le permitimos todo iptables A INPUT i lo j ACCEPT iptables A INPUT o lo j ACCEPT ## Dejamos abierto el puerto del servidor web o HTTP iptables -A INPUT -p tcp --dport 80 -j ACCEPT ##Dejamos abierto el Puerto HTTPS iptables -A INPUT -p tcp --dport 443 -j ACCEPT # Aceptamos que consulten los DNS iptables -A FORWARD s 0/0 -p tcp --dport 53 -j ACCEPT iptables A FORWARD s 0/0 -p udp -dport 53 j ACCEPT # Abrimos el Puerto 22 SSH Iptables A INPUT p tcp dport 22 j ACCEPT ## Cerramos el rango de puertos privilegiados. /sbin/iptables A INPUT p tcp -dport 1:1024 j DROP /sbin/iptables A INPUT p udp dport 1:1024 j DROP ##Por ultimo las dos siguientes reglas permiten salir del equipo #(output) conexiones nuevas que nosotros solicitamos, conexiones establecidas # y conexiones relacionadas, y deja entrar (input) slo conexiones #establecidas y relacionadas. iptables A FORWARD m state -state ESTABLISHED,RELATED j ACCEPT # Enrutamiento la red local( para poder acceder al exterior desde el cliente. #En este punto debemos colocar la interfaz de red que usa el servidor para #conectarse a internet.

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.56.0/255.255.255.0 -j MASQUERADE sysctl w net.ipv4.ip_forward=1

Miguel ngel Gonzlez Gonzlez

Denegamos el reenvo:

Abrimos los puertos que se piden (http, https, dns):

Miguel ngel Gonzlez Gonzlez

Guardamos los cambios realizados y ejecutamos el script:

Comprobacin
Ahora comprobaremos que efectivamente se estn aplicando las nuevas reglas insertadas, para ello ejecutamos el comando: -# Iptables L -n

Por ltimo tambin podremos comprobar desde el cliente que se estn aplicando correctamente los servicios haciendo uso de la orden nmap 192.168.10.4 ( red del instituto ): -Nmap 192.168.10.4

Miguel ngel Gonzlez Gonzlez

Vemos como aparecen habilitados los servicios que le hemos concedido al cliente en la red. Ahora comprobaremos que el cliente tiene conexin a Internet:

Fuentes
-http://moodle.iesgrancapitan.org/file.php/48/IPTABLEs.pdf