SlideShare una empresa de Scribd logo

FIREWALL IPTABLES LINUX

A
Andrez12
Tecnología
1 de 8
Descargar para leer sin conexión
FIREWALL IPTABLES JULIAN CASTAÑEDA GESTION DE REDES DE DATOS 455596 INSTRUCTORA ISABEL CRISTINA YEPES SENA CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL MEDELLIN 2014
INTRODUCCION La seguridad en las redes de datos se ha vuelto una polémica buscando la manera de lograr una red 100% segura, lo que es imposible, pero existen varios métodos para aumentar la seguridad casi hasta un 99%, uno de los más comunes es la intervención de un servidor firewall que solo nos permitirá las conexiones que deseemos dejándonos filtrar por protocolos, ip etc.
TOPOLOGIA
REGLAS: DE LAN A INTERNET: ICMP HTTP HTTPS DNS FTP DE LAN A DMZ: ICMP HTTP HTTPS DNS FTP DE DMZ A LAN: NADA DE DMZ A INTERNET: FTP HTTP HTTPS DNS ICMP DE INTERNET A DMZ: HTTP HTTPS DNS FTP
FIREWALL CON IPTABLES Borramos todas las reglas incluyendo tablas de NAT. #!/bin/sh #Limpiando iptables -F iptables -X iptables -Z iptables -t nat –F Asignamos las políticas por defecto. #Politicas por defecto iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -t nat -P POSTROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT Ruteo y NATEO. ############################# NAT ############################## iptables -t nat -A POSTROUTING -o eth1 -s 172.16.2.0/24 -j MASQUERADE iptables -t nat -A POSTROUTING -s 172.16.2.0/24 -d 172.16.3.0/24 -o eth0 iptables -t nat -A POSTROUTING -o eth1 -s 172.16.3.0/24 -j MASQUERADE #Estas permiten que ingresen al servidor con la IP publica. iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 172.16.2.10:80 iptables -t nat -A PREROUTING -i eth1 -p udp --dport 53 -j DNAT --to 172.16.2.10:53 ######################### ACLs ########################
#*******************LAN A DMZ******************# #DNS iptables -A FORWARD -i eth2 -s 172.16.3.0/24 -d 172.16.2.0/24 -p udp --dport 53 -j ACCEPT iptables -A FORWARD -o eth2 -s 172.16.2.0/24 -d 172.16.3.0/24 -p udp --sport 53 -j ACCEPT #HTTP, HTTPS & FTP (Locales) iptables -A FORWARD -i eth2 -s 172.16.3.0/24 -d 172.16.2.0/24 -p tcp -m multiport --dports 20,21,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -i eth0 -s 172.16.2.0/24 -d 172.16.3.0/24 -p tcp -m multiport --sports 20,21,80,443 -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -i eth2 -s 172.16.3.0/24 -d 172.16.2.0/24 -m state --state ESTABLISHED,RELATED -p tcp --dport 1023:65000 -j ACCEPT iptables -A FORWARD -i eth0 -s 172.16.2.0/24 -d 172.16.3.0/24 -m state --state ESTABLISHED,RELATED -p tcp --sport 1023:65000 -j ACCEPT #ICMP (DE LAN & DMZ A INTERNET) iptables -A FORWARD -i eth2 -s 172.16.3.0/24 -d 172.16.2.0/21 -p icmp --icmp- type 8 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -o eth2 -s 172.16.2.0/24 -d 172.16.3.0/24 -p icmp --icmp- type 0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -s 172.16.2.0/24 -p icmp --icmp-type 8 -j ACCEPT iptables -A FORWARD -i eth2 -s 172.16.3.0/24 -p icmp --icmp-type 8 -j ACCEPT iptables -A FORWARD -i eth1 -d 172.16.3.0/24 -p icmp --icmp-type 0 -j ACCEPT iptables -A FORWARD -i eth1 -d 172.16.2.0/24 -p icmp --icmp-type 0 -j ACCEPT #****************LAN A INTERNET *************#
#DNS iptables -A FORWARD -o eth1 -s 172.16.3.0/24 -p udp --dport 53 -j ACCEPT iptables -A FORWARD -i eth1 -d 172.16.3.0/24 -p udp --sport 53 -j ACCEPT iptables -A FORWARD -o eth1 -s 172.16.2.0/24 -p udp --dport 53 -j ACCEPT iptables -A FORWARD -i eth1 -d 172.16.2.0/24 -p udp --sport 53 -j ACCEPT #HTTP & HTTPS & FTP iptables -A FORWARD -i eth2 -s 172.16.3.0/24 -p tcp -m multiport --dports 21,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -o eth2 -d 172.16.3.0/24 -p tcp -m multiport --sports 21,80,443 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -o eth1 -s 172.16.2.0/24 -p tcp -m multiport --dports 80,443,21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth1 -d 172.16.2.0/24 -p tcp -m multiport --sports 80,443,21 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth2 -s 172.16.3.0/24 -m state --state ESTABLISHED,RELATED -p tcp --sport 1023:65000 -j ACCEPT iptables -A FORWARD -i eth1 -d 172.16.3.0/24 -m state --state ESTABLISHED,RELATED -p tcp --dport 1023:65000 -j ACCEPT ####################### DE INTERNET A DMZ ################### #HTTP & HTTPS & FTP iptables -A FORWARD -i eth1 -d 172.16.2.0/24 -p tcp -m multiport --dports 21,80,443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -o eth1 -s 172.16.2.0/24 -p tcp -m multiport --sports 21,80,443 -m state --state ESTABLISHED,RELATED -j ACCEPT #DNS iptables -A FORWARD -i eth1 -d 172.16.2.0/24 -p udp --dport 53 -j ACCEPT iptables -A FORWARD -o eth1 -s 172.16.2.0/24 -p udp --sport 53 -j ACCEPT service iptables save
NOTA: Para trabajar el FTP tanto activo como pasivo, él se conecta a un puerto aleatorio, por eso en la regla del FTP agregamos un rango de puertos destinados para la conexión. *El comando service iptables save, lo que hace es guardar las reglas realizadas cada que ejecutamos el script.

Recomendados

Comandos Cisco
Comandos CiscoComandos Cisco
Comandos Ciscomafercita98
 
Configuraciones examen 3
Configuraciones examen 3Configuraciones examen 3
Configuraciones examen 3Andres Izquierdo
 
Proyecto: Rehabilitación de un rack de comunicaciones - Práctica OSPF vs RIPv2
Proyecto: Rehabilitación de un rack de comunicaciones - Práctica OSPF vs RIPv2Proyecto: Rehabilitación de un rack de comunicaciones - Práctica OSPF vs RIPv2
Proyecto: Rehabilitación de un rack de comunicaciones - Práctica OSPF vs RIPv2Francesc Perez
 
Uas praktikum jarkom 3_Dynamic Routing (RIP), HTTP, DNS, & Mail Server
Uas praktikum jarkom 3_Dynamic Routing (RIP), HTTP, DNS, & Mail ServerUas praktikum jarkom 3_Dynamic Routing (RIP), HTTP, DNS, & Mail Server
Uas praktikum jarkom 3_Dynamic Routing (RIP), HTTP, DNS, & Mail ServerJefri Fahrian
 
Sesion 7 - 1
Sesion 7 - 1Sesion 7 - 1
Sesion 7 - 1Taringa!
 
Semana 5-redes
Semana 5-redesSemana 5-redes
Semana 5-redesTaringa!
 
Configuracion rip en packet tracer
Configuracion rip en packet tracerConfiguracion rip en packet tracer
Configuracion rip en packet tracercomputacion e informatica jose santos chocano
 
Simulasi jaringan menggunakan 2 routing protocol yang berbeda pada cisco pack...
Simulasi jaringan menggunakan 2 routing protocol yang berbeda pada cisco pack...Simulasi jaringan menggunakan 2 routing protocol yang berbeda pada cisco pack...
Simulasi jaringan menggunakan 2 routing protocol yang berbeda pada cisco pack...Rezky Ramdhani
 

Recomendados

Comandos Cisco
Comandos CiscoComandos Cisco
Comandos Ciscomafercita98
 
Configuraciones examen 3
Configuraciones examen 3Configuraciones examen 3
Configuraciones examen 3Andres Izquierdo
 
Proyecto: Rehabilitación de un rack de comunicaciones - Práctica OSPF vs RIPv2
Proyecto: Rehabilitación de un rack de comunicaciones - Práctica OSPF vs RIPv2Proyecto: Rehabilitación de un rack de comunicaciones - Práctica OSPF vs RIPv2
Proyecto: Rehabilitación de un rack de comunicaciones - Práctica OSPF vs RIPv2Francesc Perez
 
Uas praktikum jarkom 3_Dynamic Routing (RIP), HTTP, DNS, & Mail Server
Uas praktikum jarkom 3_Dynamic Routing (RIP), HTTP, DNS, & Mail ServerUas praktikum jarkom 3_Dynamic Routing (RIP), HTTP, DNS, & Mail Server
Uas praktikum jarkom 3_Dynamic Routing (RIP), HTTP, DNS, & Mail ServerJefri Fahrian
 
Sesion 7 - 1
Sesion 7 - 1Sesion 7 - 1
Sesion 7 - 1Taringa!
 
Semana 5-redes
Semana 5-redesSemana 5-redes
Semana 5-redesTaringa!
 
Configuracion rip en packet tracer
Configuracion rip en packet tracerConfiguracion rip en packet tracer
Configuracion rip en packet tracercomputacion e informatica jose santos chocano
 
Simulasi jaringan menggunakan 2 routing protocol yang berbeda pada cisco pack...
Simulasi jaringan menggunakan 2 routing protocol yang berbeda pada cisco pack...Simulasi jaringan menggunakan 2 routing protocol yang berbeda pada cisco pack...
Simulasi jaringan menggunakan 2 routing protocol yang berbeda pada cisco pack...Rezky Ramdhani
 
Comandos para vo ip
Comandos para vo ipComandos para vo ip
Comandos para vo ipWagner Santiago
 
Comandos del proyeto
Comandos del proyetoComandos del proyeto
Comandos del proyetoNeylan Salas
 
Eigrp
EigrpEigrp
EigrpAbderrazak Mosaid
 
Configuracion rip
Configuracion ripConfiguracion rip
Configuracion riposnau
 
Lab2
Lab2Lab2
Lab2Taringa!
 
Codigo router
Codigo routerCodigo router
Codigo routerGabriel Cano
 
Cn lab
Cn labCn lab
Cn labMOHDAHMED52
 
Sesion 7 - 2
Sesion 7 - 2Sesion 7 - 2
Sesion 7 - 2Taringa!
 
Tugas e learning2 jarkom3 - Dynamic Routing (RIP)
Tugas e learning2 jarkom3 - Dynamic Routing (RIP)Tugas e learning2 jarkom3 - Dynamic Routing (RIP)
Tugas e learning2 jarkom3 - Dynamic Routing (RIP)Jefri Fahrian
 
Comandos de route map redistribucion (como se hace)
Comandos de route map redistribucion (como se hace)Comandos de route map redistribucion (como se hace)
Comandos de route map redistribucion (como se hace)Sergio Toro
 
Contoh static router
Contoh static routerContoh static router
Contoh static routeredisuryanegara
 
Configuracion de los router clase 04 agosto.ppt
Configuracion de los router clase 04 agosto.pptConfiguracion de los router clase 04 agosto.ppt
Configuracion de los router clase 04 agosto.pptmiguelangelperezhenao
 
Ericsson commond list, BSS+NSS=OSS
Ericsson commond list, BSS+NSS=OSSEricsson commond list, BSS+NSS=OSS
Ericsson commond list, BSS+NSS=OSSMd Shameem
 
NetScaler Basic Cinfiguration
NetScaler Basic CinfigurationNetScaler Basic Cinfiguration
NetScaler Basic Cinfigurationhideaki yanase
 
Configuracion basica de_un_router_cisco_mjm
Configuracion basica de_un_router_cisco_mjmConfiguracion basica de_un_router_cisco_mjm
Configuracion basica de_un_router_cisco_mjmjmatheus74
 
Vlsm dhcp
Vlsm dhcpVlsm dhcp
Vlsm dhcpEduardo Sanchez Piña
 
Sesion 6-1
Sesion 6-1Sesion 6-1
Sesion 6-1Taringa!
 
Iptables fundamentals
Iptables fundamentalsIptables fundamentals
Iptables fundamentalsram_b17
 
IP Tables Primer - Part 1
IP Tables Primer - Part 1IP Tables Primer - Part 1
IP Tables Primer - Part 1n|u - The Open Security Community
 
Packet Filtering Using Iptables
Packet Filtering Using IptablesPacket Filtering Using Iptables
Packet Filtering Using IptablesAhmed Mekkawy
 
Iptables in linux
Iptables in linuxIptables in linux
Iptables in linuxMandeep Singh
 
Introduction to firewalls through Iptables
Introduction to firewalls through IptablesIntroduction to firewalls through Iptables
Introduction to firewalls through IptablesBud Siddhisena
 

Más contenido relacionado

La actualidad más candente

Comandos del proyeto
Comandos del proyetoComandos del proyeto
Comandos del proyetoNeylan Salas
 
Configuracion rip
Configuracion ripConfiguracion rip
Configuracion riposnau
 
Sesion 7 - 2
Sesion 7 - 2Sesion 7 - 2
Sesion 7 - 2Taringa!
 
Tugas e learning2 jarkom3 - Dynamic Routing (RIP)
Tugas e learning2 jarkom3 - Dynamic Routing (RIP)Tugas e learning2 jarkom3 - Dynamic Routing (RIP)
Tugas e learning2 jarkom3 - Dynamic Routing (RIP)Jefri Fahrian
 
Comandos de route map redistribucion (como se hace)
Comandos de route map redistribucion (como se hace)Comandos de route map redistribucion (como se hace)
Comandos de route map redistribucion (como se hace)Sergio Toro
 
Configuracion de los router clase 04 agosto.ppt
Configuracion de los router clase 04 agosto.pptConfiguracion de los router clase 04 agosto.ppt
Configuracion de los router clase 04 agosto.pptmiguelangelperezhenao
 
Ericsson commond list, BSS+NSS=OSS
Ericsson commond list, BSS+NSS=OSSEricsson commond list, BSS+NSS=OSS
Ericsson commond list, BSS+NSS=OSSMd Shameem
 
NetScaler Basic Cinfiguration
NetScaler Basic CinfigurationNetScaler Basic Cinfiguration
NetScaler Basic Cinfigurationhideaki yanase
 
Configuracion basica de_un_router_cisco_mjm
Configuracion basica de_un_router_cisco_mjmConfiguracion basica de_un_router_cisco_mjm
Configuracion basica de_un_router_cisco_mjmjmatheus74
 
Sesion 6-1
Sesion 6-1Sesion 6-1
Sesion 6-1Taringa!
 

La actualidad más candente (17)

Comandos para vo ip
Comandos para vo ipComandos para vo ip
Comandos para vo ip
 
Comandos del proyeto
Comandos del proyetoComandos del proyeto
Comandos del proyeto
 
Eigrp
EigrpEigrp
Eigrp
 
Configuracion rip
Configuracion ripConfiguracion rip
Configuracion rip
 
Lab2
Lab2Lab2
Lab2
 
Codigo router
Codigo routerCodigo router
Codigo router
 
Cn lab
Cn labCn lab
Cn lab
 
Sesion 7 - 2
Sesion 7 - 2Sesion 7 - 2
Sesion 7 - 2
 
Tugas e learning2 jarkom3 - Dynamic Routing (RIP)
Tugas e learning2 jarkom3 - Dynamic Routing (RIP)Tugas e learning2 jarkom3 - Dynamic Routing (RIP)
Tugas e learning2 jarkom3 - Dynamic Routing (RIP)
 
Comandos de route map redistribucion (como se hace)
Comandos de route map redistribucion (como se hace)Comandos de route map redistribucion (como se hace)
Comandos de route map redistribucion (como se hace)
 
Contoh static router
Contoh static routerContoh static router
Contoh static router
 
Configuracion de los router clase 04 agosto.ppt
Configuracion de los router clase 04 agosto.pptConfiguracion de los router clase 04 agosto.ppt
Configuracion de los router clase 04 agosto.ppt
 
Ericsson commond list, BSS+NSS=OSS
Ericsson commond list, BSS+NSS=OSSEricsson commond list, BSS+NSS=OSS
Ericsson commond list, BSS+NSS=OSS
 
NetScaler Basic Cinfiguration
NetScaler Basic CinfigurationNetScaler Basic Cinfiguration
NetScaler Basic Cinfiguration
 
Configuracion basica de_un_router_cisco_mjm
Configuracion basica de_un_router_cisco_mjmConfiguracion basica de_un_router_cisco_mjm
Configuracion basica de_un_router_cisco_mjm
 
Vlsm dhcp
Vlsm dhcpVlsm dhcp
Vlsm dhcp
 
Sesion 6-1
Sesion 6-1Sesion 6-1
Sesion 6-1
 

Destacado

Iptables fundamentals
Iptables fundamentalsIptables fundamentals
Iptables fundamentalsram_b17
 
Packet Filtering Using Iptables
Packet Filtering Using IptablesPacket Filtering Using Iptables
Packet Filtering Using IptablesAhmed Mekkawy
 
Introduction to firewalls through Iptables
Introduction to firewalls through IptablesIntroduction to firewalls through Iptables
Introduction to firewalls through IptablesBud Siddhisena
 

Destacado (6)

Iptables fundamentals
Iptables fundamentalsIptables fundamentals
Iptables fundamentals
 
IP Tables Primer - Part 1
IP Tables Primer - Part 1IP Tables Primer - Part 1
IP Tables Primer - Part 1
 
Packet Filtering Using Iptables
Packet Filtering Using IptablesPacket Filtering Using Iptables
Packet Filtering Using Iptables
 
Iptables in linux
Iptables in linuxIptables in linux
Iptables in linux
 
Introduction to firewalls through Iptables
Introduction to firewalls through IptablesIntroduction to firewalls through Iptables
Introduction to firewalls through Iptables
 
Iptables presentation
Iptables presentationIptables presentation
Iptables presentation
 

Más de Andrez12

Servidor HTTP & FTP Autenticado
Servidor HTTP & FTP AutenticadoServidor HTTP & FTP Autenticado
Servidor HTTP & FTP AutenticadoAndrez12
 
Firewall Microsoft Forefront TMG 2010
Firewall Microsoft Forefront TMG 2010Firewall Microsoft Forefront TMG 2010
Firewall Microsoft Forefront TMG 2010Andrez12
 
Proxy Microsoft Forefront TMG 2010
Proxy Microsoft Forefront TMG 2010Proxy Microsoft Forefront TMG 2010
Proxy Microsoft Forefront TMG 2010Andrez12
 
Proxy Squid Basico en Linux
Proxy Squid Basico en LinuxProxy Squid Basico en Linux
Proxy Squid Basico en LinuxAndrez12
 
Servidor PXE con Spacewalk 2.1
Servidor PXE con Spacewalk 2.1Servidor PXE con Spacewalk 2.1
Servidor PXE con Spacewalk 2.1Andrez12
 
Servidor de Repos & Actualizaciones Spacewalk 2.1
Servidor de Repos & Actualizaciones Spacewalk 2.1Servidor de Repos & Actualizaciones Spacewalk 2.1
Servidor de Repos & Actualizaciones Spacewalk 2.1Andrez12
 
Servidor de Instalacion Remota Desatendida Windows
Servidor de Instalacion Remota Desatendida WindowsServidor de Instalacion Remota Desatendida Windows
Servidor de Instalacion Remota Desatendida WindowsAndrez12
 
Servidor de actualizaciones WSUS
Servidor de actualizaciones WSUSServidor de actualizaciones WSUS
Servidor de actualizaciones WSUSAndrez12
 
Plataforma de Monitoreo OpManager
Plataforma de Monitoreo OpManagerPlataforma de Monitoreo OpManager
Plataforma de Monitoreo OpManagerAndrez12
 
Plataforma de monitoreo Zabbix 2.0.11
Plataforma de monitoreo Zabbix 2.0.11Plataforma de monitoreo Zabbix 2.0.11
Plataforma de monitoreo Zabbix 2.0.11Andrez12
 
Servidor de Correo Seguro en Linux
Servidor de Correo Seguro en LinuxServidor de Correo Seguro en Linux
Servidor de Correo Seguro en LinuxAndrez12
 
Servidor de Correo en WindowsServer
Servidor de Correo en WindowsServerServidor de Correo en WindowsServer
Servidor de Correo en WindowsServerAndrez12
 
SERVIDOR OPEN LDAP
SERVIDOR OPEN LDAPSERVIDOR OPEN LDAP
SERVIDOR OPEN LDAPAndrez12
 
SERVIDOR DE DIRECTORIO WINDOWS
SERVIDOR DE DIRECTORIO WINDOWSSERVIDOR DE DIRECTORIO WINDOWS
SERVIDOR DE DIRECTORIO WINDOWSAndrez12
 

Más de Andrez12 (14)

Servidor HTTP & FTP Autenticado
Servidor HTTP & FTP AutenticadoServidor HTTP & FTP Autenticado
Servidor HTTP & FTP Autenticado
 
Firewall Microsoft Forefront TMG 2010
Firewall Microsoft Forefront TMG 2010Firewall Microsoft Forefront TMG 2010
Firewall Microsoft Forefront TMG 2010
 
Proxy Microsoft Forefront TMG 2010
Proxy Microsoft Forefront TMG 2010Proxy Microsoft Forefront TMG 2010
Proxy Microsoft Forefront TMG 2010
 
Proxy Squid Basico en Linux
Proxy Squid Basico en LinuxProxy Squid Basico en Linux
Proxy Squid Basico en Linux
 
Servidor PXE con Spacewalk 2.1
Servidor PXE con Spacewalk 2.1Servidor PXE con Spacewalk 2.1
Servidor PXE con Spacewalk 2.1
 
Servidor de Repos & Actualizaciones Spacewalk 2.1
Servidor de Repos & Actualizaciones Spacewalk 2.1Servidor de Repos & Actualizaciones Spacewalk 2.1
Servidor de Repos & Actualizaciones Spacewalk 2.1
 
Servidor de Instalacion Remota Desatendida Windows
Servidor de Instalacion Remota Desatendida WindowsServidor de Instalacion Remota Desatendida Windows
Servidor de Instalacion Remota Desatendida Windows
 
Servidor de actualizaciones WSUS
Servidor de actualizaciones WSUSServidor de actualizaciones WSUS
Servidor de actualizaciones WSUS
 
Plataforma de Monitoreo OpManager
Plataforma de Monitoreo OpManagerPlataforma de Monitoreo OpManager
Plataforma de Monitoreo OpManager
 
Plataforma de monitoreo Zabbix 2.0.11
Plataforma de monitoreo Zabbix 2.0.11Plataforma de monitoreo Zabbix 2.0.11
Plataforma de monitoreo Zabbix 2.0.11
 
Servidor de Correo Seguro en Linux
Servidor de Correo Seguro en LinuxServidor de Correo Seguro en Linux
Servidor de Correo Seguro en Linux
 
Servidor de Correo en WindowsServer
Servidor de Correo en WindowsServerServidor de Correo en WindowsServer
Servidor de Correo en WindowsServer
 
SERVIDOR OPEN LDAP
SERVIDOR OPEN LDAPSERVIDOR OPEN LDAP
SERVIDOR OPEN LDAP
 
SERVIDOR DE DIRECTORIO WINDOWS
SERVIDOR DE DIRECTORIO WINDOWSSERVIDOR DE DIRECTORIO WINDOWS
SERVIDOR DE DIRECTORIO WINDOWS
 

FIREWALL IPTABLES LINUX

  • 1. FIREWALL IPTABLES JULIAN CASTAÑEDA GESTION DE REDES DE DATOS 455596 INSTRUCTORA ISABEL CRISTINA YEPES SENA CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL MEDELLIN 2014
  • 2. INTRODUCCION La seguridad en las redes de datos se ha vuelto una polémica buscando la manera de lograr una red 100% segura, lo que es imposible, pero existen varios métodos para aumentar la seguridad casi hasta un 99%, uno de los más comunes es la intervención de un servidor firewall que solo nos permitirá las conexiones que deseemos dejándonos filtrar por protocolos, ip etc.
  • 4. REGLAS: DE LAN A INTERNET: ICMP HTTP HTTPS DNS FTP DE LAN A DMZ: ICMP HTTP HTTPS DNS FTP DE DMZ A LAN: NADA DE DMZ A INTERNET: FTP HTTP HTTPS DNS ICMP DE INTERNET A DMZ: HTTP HTTPS DNS FTP
  • 5. FIREWALL CON IPTABLES Borramos todas las reglas incluyendo tablas de NAT. #!/bin/sh #Limpiando iptables -F iptables -X iptables -Z iptables -t nat –F Asignamos las políticas por defecto. #Politicas por defecto iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -t nat -P POSTROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT Ruteo y NATEO. ############################# NAT ############################## iptables -t nat -A POSTROUTING -o eth1 -s 172.16.2.0/24 -j MASQUERADE iptables -t nat -A POSTROUTING -s 172.16.2.0/24 -d 172.16.3.0/24 -o eth0 iptables -t nat -A POSTROUTING -o eth1 -s 172.16.3.0/24 -j MASQUERADE #Estas permiten que ingresen al servidor con la IP publica. iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 172.16.2.10:80 iptables -t nat -A PREROUTING -i eth1 -p udp --dport 53 -j DNAT --to 172.16.2.10:53 ######################### ACLs ########################
  • 6. #*******************LAN A DMZ******************# #DNS iptables -A FORWARD -i eth2 -s 172.16.3.0/24 -d 172.16.2.0/24 -p udp --dport 53 -j ACCEPT iptables -A FORWARD -o eth2 -s 172.16.2.0/24 -d 172.16.3.0/24 -p udp --sport 53 -j ACCEPT #HTTP, HTTPS & FTP (Locales) iptables -A FORWARD -i eth2 -s 172.16.3.0/24 -d 172.16.2.0/24 -p tcp -m multiport --dports 20,21,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -i eth0 -s 172.16.2.0/24 -d 172.16.3.0/24 -p tcp -m multiport --sports 20,21,80,443 -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -i eth2 -s 172.16.3.0/24 -d 172.16.2.0/24 -m state --state ESTABLISHED,RELATED -p tcp --dport 1023:65000 -j ACCEPT iptables -A FORWARD -i eth0 -s 172.16.2.0/24 -d 172.16.3.0/24 -m state --state ESTABLISHED,RELATED -p tcp --sport 1023:65000 -j ACCEPT #ICMP (DE LAN & DMZ A INTERNET) iptables -A FORWARD -i eth2 -s 172.16.3.0/24 -d 172.16.2.0/21 -p icmp --icmp- type 8 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -o eth2 -s 172.16.2.0/24 -d 172.16.3.0/24 -p icmp --icmp- type 0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -s 172.16.2.0/24 -p icmp --icmp-type 8 -j ACCEPT iptables -A FORWARD -i eth2 -s 172.16.3.0/24 -p icmp --icmp-type 8 -j ACCEPT iptables -A FORWARD -i eth1 -d 172.16.3.0/24 -p icmp --icmp-type 0 -j ACCEPT iptables -A FORWARD -i eth1 -d 172.16.2.0/24 -p icmp --icmp-type 0 -j ACCEPT #****************LAN A INTERNET *************#
  • 7. #DNS iptables -A FORWARD -o eth1 -s 172.16.3.0/24 -p udp --dport 53 -j ACCEPT iptables -A FORWARD -i eth1 -d 172.16.3.0/24 -p udp --sport 53 -j ACCEPT iptables -A FORWARD -o eth1 -s 172.16.2.0/24 -p udp --dport 53 -j ACCEPT iptables -A FORWARD -i eth1 -d 172.16.2.0/24 -p udp --sport 53 -j ACCEPT #HTTP & HTTPS & FTP iptables -A FORWARD -i eth2 -s 172.16.3.0/24 -p tcp -m multiport --dports 21,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -o eth2 -d 172.16.3.0/24 -p tcp -m multiport --sports 21,80,443 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -o eth1 -s 172.16.2.0/24 -p tcp -m multiport --dports 80,443,21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth1 -d 172.16.2.0/24 -p tcp -m multiport --sports 80,443,21 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth2 -s 172.16.3.0/24 -m state --state ESTABLISHED,RELATED -p tcp --sport 1023:65000 -j ACCEPT iptables -A FORWARD -i eth1 -d 172.16.3.0/24 -m state --state ESTABLISHED,RELATED -p tcp --dport 1023:65000 -j ACCEPT ####################### DE INTERNET A DMZ ################### #HTTP & HTTPS & FTP iptables -A FORWARD -i eth1 -d 172.16.2.0/24 -p tcp -m multiport --dports 21,80,443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -o eth1 -s 172.16.2.0/24 -p tcp -m multiport --sports 21,80,443 -m state --state ESTABLISHED,RELATED -j ACCEPT #DNS iptables -A FORWARD -i eth1 -d 172.16.2.0/24 -p udp --dport 53 -j ACCEPT iptables -A FORWARD -o eth1 -s 172.16.2.0/24 -p udp --sport 53 -j ACCEPT service iptables save
  • 8. NOTA: Para trabajar el FTP tanto activo como pasivo, él se conecta a un puerto aleatorio, por eso en la regla del FTP agregamos un rango de puertos destinados para la conexión. *El comando service iptables save, lo que hace es guardar las reglas realizadas cada que ejecutamos el script.