Practica2 IP Tables Miguel Angel Gonzalez Gonzalez
-
Upload
miguel-gonzalez -
Category
Documents
-
view
522 -
download
0
description
Transcript of Practica2 IP Tables Miguel Angel Gonzalez Gonzalez
Prctica Seguridad: Ip-Tables 2
Miguel ngel Gonzlez Gonzlez
0
Miguel ngel Gonzlez Gonzlez
ndiceObjetivos ....................................................................................................................................... 2 Configuracin Cliente ................................................................................................................... 3 Configuracin Servidor ................................................................................................................ 4 Comprobacin ............................................................................................................................... 7 Fuentes .......................................................................................................................................... 8
1
Miguel ngel Gonzlez Gonzlez
ObjetivosPartiendo de la configuracin de la prctica anterior aadir la siguiente configuracin:
La poltica por defecto para el reenvo de paquetes es la de descartarlos. Sin embargo: o Se permite el reenvo para el trfico TCP por el puerto 80. o Se permite el reenvo para poder acceder al servicio DNS. o Se permite el reenvo para el trfico por el puerto 443 solamente para un dominio concreto.
Realizad una memoria con los pasos seguidos correctamente documentada y donde se compruebe el funciononamiento del cortafuegos. Entregarla en formato .pdf
2
Miguel ngel Gonzlez Gonzlez
Configuracin ClienteEn la mquina cliente agregaremos una tarjeta de red en modo RedInterna con los siguientes datos:
Y para terminar aadiremos la ltima lnea para que pueda resolver los nombres:
3
Miguel ngel Gonzlez Gonzlez
Configuracin ServidorAntes de nada aadiremos las tarjetas de red necesarias en la mquina cortafuegos:
Como ya vimos anteriormente es la mquina que configuramos como router y cortafuegos modificaremos y agregaremos algunas reglas IpTables para realizar las acciones que se nos piden en el enunciado del ejercicio.
Bien , abrimos el script reglas.sh en el servidor y aadimos las siguientes reglas iptables para lo que se nos pide:
-Denegamos el reenvo -Dejamos abierto el puerto del servidor web o HTTP -Dejamos abierto el Puerto HTTPS -Aceptamos que consulten los DNS
4
Miguel ngel Gonzlez Gonzlez
-Reglas.sh
#!/bin/sh ## SCRIPT de IPTABLES - ejemplo del manual de iptables echo -n Aplicando Reglas de Firewall... ## FLUSH iptables iptables iptables iptables de reglas -F -X -Z -t nat -F
## Establecemos politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP --------------------- Denegamos el reenvo. iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ##Empezamos a filtrar #A la interfaz lo le permitimos todo iptables A INPUT i lo j ACCEPT iptables A INPUT o lo j ACCEPT ## Dejamos abierto el puerto del servidor web o HTTP iptables -A INPUT -p tcp --dport 80 -j ACCEPT ##Dejamos abierto el Puerto HTTPS iptables -A INPUT -p tcp --dport 443 -j ACCEPT # Aceptamos que consulten los DNS iptables -A FORWARD s 0/0 -p tcp --dport 53 -j ACCEPT iptables A FORWARD s 0/0 -p udp -dport 53 j ACCEPT # Abrimos el Puerto 22 SSH Iptables A INPUT p tcp dport 22 j ACCEPT ## Cerramos el rango de puertos privilegiados. /sbin/iptables A INPUT p tcp -dport 1:1024 j DROP /sbin/iptables A INPUT p udp dport 1:1024 j DROP ##Por ultimo las dos siguientes reglas permiten salir del equipo #(output) conexiones nuevas que nosotros solicitamos, conexiones establecidas # y conexiones relacionadas, y deja entrar (input) slo conexiones #establecidas y relacionadas. iptables A FORWARD m state -state ESTABLISHED,RELATED j ACCEPT # Enrutamiento la red local( para poder acceder al exterior desde el cliente. #En este punto debemos colocar la interfaz de red que usa el servidor para #conectarse a internet.
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.56.0/255.255.255.0 -j MASQUERADE sysctl w net.ipv4.ip_forward=1
5
Miguel ngel Gonzlez Gonzlez
Denegamos el reenvo:
Abrimos los puertos que se piden (http, https, dns):
6
Miguel ngel Gonzlez Gonzlez
Guardamos los cambios realizados y ejecutamos el script:
ComprobacinAhora comprobaremos que efectivamente se estn aplicando las nuevas reglas insertadas, para ello ejecutamos el comando: -# Iptables L -n
Por ltimo tambin podremos comprobar desde el cliente que se estn aplicando correctamente los servicios haciendo uso de la orden nmap 192.168.10.4 ( red del instituto ): -Nmap 192.168.10.4
7
Miguel ngel Gonzlez Gonzlez
Vemos como aparecen habilitados los servicios que le hemos concedido al cliente en la red. Ahora comprobaremos que el cliente tiene conexin a Internet:
Fuentes-http://moodle.iesgrancapitan.org/file.php/48/IPTABLEs.pdf
8