Este documento describe cómo configurar iptables en un servidor para que actúe como router y cortafuegos. Se explica cómo configurar las tarjetas de red del servidor y cliente, y cómo crear scripts para el enrutamiento, cerrar puertos excepto SSH, y comprobar que solo el puerto SSH permanece abierto.

1. Jose Antonio Albalat Almenara
Práctica Iptables 1.
Configuración
router y cortafuegos
host

2. Índice de contenido
Configuración de tarjetas......................................................................................................................3
Configuración del servidor..........................................................................................................3
Configuración del cliente:...........................................................................................................3
Creación de script.................................................................................................................................4
Script para enrutamiento.............................................................................................................4
Prueba enrutamiento..........................................................................................................4
Scrip para cerrar todos los puertos privilegiados excepto el SSH..............................................5
Comprobación ssh.......................................................................................................................5
Comprobación de puertos abiertos..............................................................................................6

3. Configuración de tarjetas
Configuración del servidor
Primero vemos la configuración del servidor, para configurarlo nos vamos a /etc/network/interfaces
:
Configuración del cliente:
El cliente lo debemos poner en red interna y tambien debemos poner una puerta de enlace para que
salga por el servidor a internet (el servidor actue como router) como mostramos en la siguiente
imagen:

4. Creación de script
Script para enrutamiento
Para ello creamos en el servidor un script llamado enrutamiento.sh en el que introducimos las líneas
que aparecen en la siguiente imagen:
Con estas líneas estamos estableciendo unas reglas para que los equipos que pertenezcan a la subred
192.168.100.0 se conecten a internet mediente el interfaz nat del equipo servidor, ademas incluye el
enmascaramiento de las peticiones.
Ahora lanzamos el script anterior con la orden sh enrutamiento.sh:
Prueba enrutamiento
Ahora para comprobar que funciona correctamente hacemos desde el cliente un ping a google y
vemos que funciona correctamente:

5. Scrip para cerrar todos los puertos privilegiados excepto el SSH
Para ello en el servidor creamos un scrip llamado reglas.sh e introducimos las líneas de código que
aparecen en la siguiente imagen:
Ahora ejecutamos el script:
Comprobación ssh
Ahora vamos a intentar entrar desde el cliente mediante ssh al servidor:
Ahora vamos a comentar la línea de permisión de ssh para ver que si no se encontrase esa línea no
podríamos acceder al servidor mediante ssh:

6. Ahora comprobamos que no pondemos acceder desde el cliente:
Como vemos no nos podemos conecctar mediante ssh al servidor.
Comprobación de puertos abiertos
Para ello debemos unir los dos documentos (enrutamiento.sh y reglas.sh) en uno solo para que uno
no quite al otro y comprobamos con nmap como vemos en la siguiente imagen:
Ahora debmos instalar en el cliente nmap:
apt-get install nmap
Seguidamente debemos utilizar nmap para ver que puertos se encuentran abiertos en el servidor
desde el cliente:
sudo nmap -p1-1024 -sV -sS -O 192.168.100.1
Ponemos -p1-1024 porque tenemos cerrados los puertos privilegiados menos el 22
que es el correspondiente a ssh y como vemos ahora es correcta la configuración
ya que solo nos sale que tenemos abierto el 22 como muestra la siguiente imágen: