Avance de Proyecto

Problema 1 UOAC

Alfredo Fiebig C.afiebig@ic.uach.cl

Esc. Ingenierıa en Computacion.Universidad Austral de Chile.

Sede Puerto Montt.

Agenda

Mapa de la RedListado de TareasDesarollo de las Tareas

FirewallQue es iptables?TablasPoliticas por DefectoComo crear ReglasSeguimiento de Conexiones

Mis Reglas

2/21

Agenda

Mapa de la RedListado de Tareas

Desarollo de las TareasFirewall

Que es iptables?TablasPoliticas por DefectoComo crear ReglasSeguimiento de Conexiones

3/21

Mapa de Red

4/21

Agenda

Mapa de la RedListado de Tareas

Desarollo de las TareasFirewall

Que es iptables?TablasPoliticas por DefectoComo crear ReglasSeguimiento de Conexiones

5/21

Tareas

I Respaldos Rsync.

I Active Directory.

I Implementacion Firewall.

6/21

Tareas

I Respaldos Rsync.

I Active Directory.

I Implementacion Firewall.

6/21

Tareas

I Respaldos Rsync.

I Active Directory.

I Implementacion Firewall.

6/21

Agenda

Mapa de la RedListado de Tareas

Desarollo de las TareasFirewall

Que es iptables?TablasPoliticas por DefectoComo crear ReglasSeguimiento de Conexiones

7/21

Que es iptables?

IPTABLES

Es una herramientas de cortafuegos que permite no solamente filtrarpaquetes, sino tambien realizar traduccion de direcciones de red(NAT) o mantener registros de log.

NETFILTER

Esta construido sobre Netfilter, el cual es un framework disponibleen el nucleo Linux que permite interceptar y manipular paquetes dered. Dicho framework permite realizar el manejo de paquetes endiferentes estados del procesamiento.

8/21

Reglas,Cadenas,Tablas

I Iptables permite definir reglas acerca de que hacer con lospaquetes de red.

I Las reglas se agrupan en cadenas.

I Cada cadena es una lista ordenada de reglas.

I Las cadenas se agrupan en tablas.

I Cada tabla esta asociada con un tipo diferente deprocesamiento de paquetes.

9/21

Tablas

10/21

Tablas

FILTER

Filtrado de paquetes, contiene las siguientes cadenas predefinidas:

I INPUT - Todos los paquetes destinados a este sistema.

I OUTPUT - Todos los paquetes creados por este sistema.

I FORWARD - Todos los paquetes que pasan por este sistema.

11/21

Tablas

NAT

Reenvio de paquetes, contiene las siguientes cadenas predefinidas:

I PREROUTING - Los paquetes entrantes pasan a travs de estacadena antes de que se consulte la tabla de ruteo local.(DNAT, destination-NAT)

I POSTROUTING - Los paquetes salientes pasan por estacadena despus de haberse tomado la decisin del ruteo. (SNAT,source-NAT)

I OUTPUT - Permite hacer un DNAT limitado en paquetesgenerados localmente.

12/21

Tablas

MANGLE

Diseada para efectos avanzados, Permite la alteracion de paquetes ytramas, Contiene las siguientes adenas predefinidas:

I PREROUTING - Todos los paquetes que logran entrar a estesistema, antes de que el ruteo decida si el paquete debe serreenviado o si tiene destino local

I INPUT - Todos los paquetes destinados para este sistema.

I FORWARD - Todos los paquetes que pasan por este sistema.

I OUTPUT - Todos los paquetes creados en este sistema.

I POSTROUTING - Todos los paquetes que abandonan estesistema.

13/21

Politicas por Defecto

I iptables -P INPUT DROP

I iptables -P FORWARD DROP

I iptables -t nat -P PREROUTING ACCEPT

I iptables -t nat -P POSTROUTING ACCEPT

14/21

Reglas

I Cada regla especifica que paquetes la cumplen y un destino queindica que hacer con el paquete si este cumple la regla.

I iptables -t [tabla] -o [operacion] [cadena][coincidencia] -j[ACCION]

I Operaciones:I A (add) Agrega la regla al finalI I (insert) Agrega la regla al principioI R (replace) Reemplaza una reglaI D (delete) Borra una reglaI F (flush) Borra todas las reglas de una cadenaI L (list) Muestra las reglas de una cadena

15/21

Reglas

I iptables -t [tabla] -o [operacion] [cadena][coincidencia] -j[ACCION]

I Coincidencias:I -p [protocolo]: puede ser tcp, udp, icmp, all. o alguno de los

indicados en /etc/protocols.I -s [ip/mascara]: direccion de origen o grupo de hosts.I -d [ip/mascara]: direccion de destino o grupo de hosts.I -i [interfaz]: interfaz desde donde se recive el paquete. ( solo

INPUT,FORWARD, PREROUTING)I -o [interfaz]: interfaz de salida. (solo OUTPUT,FORWARD,

POSTROUTING)I - -sport: puerto de origen de la transaccion. (solo para protocolo

tcp o udp)I - -dport: puerto de destino de la transaccion. (solo para

protocolo tcp o udp)16/21

Reglas

I iptables -t [tabla] -o [operacion] [cadena][coincidencia] -j[ACCION]

I Acciones:I ACCEPT : Acepta la transaccion.I DROP : Rechaza la transaccion.I REJECT : Rechaza la transaccion, y notifica al emisor.I QUEUE : Encola el paquete, para ser alterado con la biblioteca

libipq.I RETURN : El paquete deja de circular por la cadena.I LOG : Crea una bitacora de los paquetes. ( ejemplo: verificar

que paquetes estan siendo rechazados)I DNAT : Permite modficar la direccion y el puerto de destino.I SNAT: Permite modificar la direccion y el puerto de origen.I MASQUERADE: Forma especial y restringida de SNAT.

17/21

Seguimiento de Conexiones

El seguimento de conexiones le permite al nucleo llevar cuenta detodas las conexiones y relacionar todos los paquetes que formanparte de una conexion.Clasificacion:

I NEW -Intentando crear una conexion nueva.

I ESTABLISHED - Parte de una conexion ya existente.

I RELATED - Relacionada, aunque no realmente parte de unaconexion existente.

I INVALID - No es parte de una conexion existente e incapaz decrear una conexion nueva.

18/21

Paquet Fordwarding

Forma Fea

Escribir un 1 en el archivo /proc/sys/net/ipv4/ip forward

Forma Pro

Editar la linea net.ipv4.ip forward=0 del archivo /etc/sysctl.confpor

net.ipv4.ip forward=1

19/21

Agenda

Mapa de la RedListado de Tareas

Desarollo de las TareasFirewall

Que es iptables?TablasPoliticas por DefectoComo crear ReglasSeguimiento de Conexiones

20/21

MI FIREWALL

MIS REGLAS

21/21