Firewall y nat
-
Upload
kristianfilipp -
Category
Technology
-
view
50 -
download
0
Transcript of Firewall y nat
1. FIREWALL BASICO
Desarrollo del Script
El script con tiene las siguientes líneas:
Iptables –F (Elimina cualquier tipo de regla existente)
Iptables –X (Elimina las reglas definidas por el usuario)
Iptables -P INPUT DROP (Si un paquete entra a la computadora y no coincide con las
reglas del firewall será descartado)
Iptables -P OUTPUT DROP (Si un paquete sale de la computadora y no coincide con las
reglas del firewall será descartado)
Iptables -P FORWARD DROP (Si un paquete pasa por computadora y no coincide con
las reglas del firewall será descartado)
Iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 4 –j DROP (Se elimina
la posibilidad de un ataque de DOS, limitando la cantidad de paquetes a recibir por
segundo)
Iptables -A INPUT -p icmp -j DROP (No se permita el ingreso de solicitudes de Ping)
Iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT (Permite
salir del equipo nuevas conexiones que la computadora solicite, estén establecidas y están
realicionadas)
Iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
(Permite entrar del equipo conexiones establecidas y relacionadas)
A este script se le deben asignar permisos de ejecución y correrlo para que funcione como se
muestra en las siguientes imágenes
Acontinuacion se muestra imágenes de que antes de correr el script se puede realizar comunicación
mediante ping y despues de correr el script ya no se permite
2. NAT CON IPTABLES
El servidor c centos tiene dos interfaces como se muestra a continuación la ETH0 es la WAN y
la eth1 es la LAN.
En primera instancia se desarrolla el script con las siguientes líneas
echo 1 > /proc/sys/net/ipv4/ip_forward (Activacion del soporte rara reenvio de paquetes
de una interface a otra, enrrutamiento)
iptables –F (Deshabilita todas las reglas existentes en el equipo )
iptables –X (Deshabilita todas las reglas establecidas por el usuario en la computadora )
iptables -t nat –F (Desabilita todas las reglas de NAT existentes en la computadora)
iptables -P INPUT ACCEPT (Acepta todos los paquetes que entran a la computadora)
iptables -P OUTPUT ACCEPT (Acepta todos los paquetes que salen de la computadora)
iptables -P FORWARD ACCEPT (Acepta todos los paquetes que pasan por
computadora, paquetes enrrutados)
iptables -t nat -P PREROUTING ACCEPT (Permite que sean alterados todos los
paquetes antes de salir de la computadora)
iptables -t nat -P POSTROUTING ACCEPT (Permite que sean alterados todos los
paquetes que llegan a la computadora)
/sbin/iptables -A INPUT -i lo -j ACCEPT (Todos los paquetes entrantes serán aceptados
y todos los paquetes provenientes de la misma computadora también será aceptado)
iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j ACCEPT (Establece que todo paquete
entrante proveniente de la red WAN cuya IP pertenezca a la red LAN sea aceptado)
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE ()
Establece que todo paquete de la red LAN que se dirija a la WAN sea enmascarado con
la dirección IP de la RED WAN).
El script se le debe dar permios de ejecucion
La comunicación entre el servidor y el clinte se prueba con un ping desde el cliente
En el cliente se ingreso a la pagina de www.google.com.co para confirmar el uso del NAT