Scribd Logo
Importer

Bienvenue sur Scribd !

  • Firewall Linux

    Transféré par

    Fernando Londoño
    119 vues22 pages

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    119 vues22 pages

    Firewall Linux

    Transféré par

    Fernando Londoño

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 22

    C.E.A.I.

    Firewall en Linux
    Instructor: William Mantilla Arenas
    C.E.A.I.
    Qu es un Firewall?
    Un firewall (pared de fuego) es un dispositivo que filtra
    informacin entre redes de acuerdo a unas reglas
    establecidas por el administrador de la red.

    El firewall puede ser un dispositivo de hardware o bien,
    un software sobre un sistema operativo.
    C.E.A.I.
    Esquema tpico de un Firewall
    C.E.A.I.
    Ubicaciones tpicas
    de un firewall en una red
    C.E.A.I.
    Ubicaciones tpicas
    de un firewall en una red (cont.)
    C.E.A.I.
    Ubicaciones tpicas
    de un firewall en una red (cont.)
    C.E.A.I.
    Funciones del firewall
    Los firewalls se pueden usar en cualquier red. Es
    habitual tenerlos como proteccin de internet en las
    empresas, aunque ah tambin suelen tener una doble
    funcin: controlar los accesos externos hacia dentro y
    tambin los internos hacia el exterior; esto ltimo se
    hace con el firewall o frecuentemente con un proxy (que
    tambin utilizan reglas, aunque de ms alto nivel).


    C.E.A.I.
    Funciones del firewall
    (cont.)
    Independiente del tipo de firewall utilizado, ste utiliza un conjunto
    de reglas que evalan los paquetes entrantes y salientes. Las reglas
    pueden estar basadas en el tipo de protocolo o de puerto utilizado.

    Seudocdigo ejemplo de las reglas utilizadas en un firewall:

    Poltica por defecto ACEPTAR.
    Todo lo que venga de la red local al firewall ACEPTAR
    Todo lo que venga de la ip de mi porttil al puerto tcp 22 ACEPTAR
    Todo lo que venga de la ip de la casa del supervisor al puerto tcp
    1723 ACEPTAR
    Todo lo que venga de la red local y vaya al exterior ENMASCARAR
    Todo lo que venga del exterior al puerto tcp 1 al 1024 DENEGAR


    C.E.A.I.
    Que es iptables?
    Iptables es la implementacin de firewall vinculada al
    ncleo de Linux, la cual viene extendindose de manera
    acelerada desde la versin 1.4 del kernel de Linux.

    Un firewall de iptables no es mas que un simple script
    de shell en el que se van ejecutando las reglas de
    firewall. Dicho script puede colocarse en el script de
    arranque del sistema para que se ejecute en cada reinicio
    de la mquina.
    C.E.A.I.
    Funcionamiento de iptables
    Iptables se basa en conjunto de reglas las cuales
    pueden ser aplicadas a una determinada interfaz, a un
    paquete entrante o saliente, o a un protocolo / conjunto
    de protocolos que se quieran negar o permitir.

    Se definen tres conjuntos de reglas o tablas en
    iptables:

    NAT
    Filter
    Mangle
    C.E.A.I.
    Tablas de iptables
    Tabla NAT: La tabla NAT define un conjunto de reglas que
    permiten la traduccin de direcciones de red para un paquete
    entrante o para uno saliente. En NAT se definen tres tipos de
    cadenas: Prerouting, Postrouting y Output.

    Tabla Filter: esta tabla permite definir un conjunto de
    reglas para aceptar o denegar el paso de ciertos paquetes
    hacia las aplicaciones del mismo firewall, o bien, hacia las
    aplicaciones de los equipos de la otra red. En Filter se
    definen tres tipos de cadenas: Forward, Input y Output.
    C.E.A.I.
    Tablas de iptables (cont.)
    Tabla MANGLE: La tabla MANGLE (desmenuzadora) es
    ms especializada y permite alterar ciertos campos de la
    cabecera de un paquete IP o de un segmento TCP, con fines
    especficos. Requiere un mayor conocimiento de la pila de
    protocolos de Internet por parte del administrador de la red.
    MANGLE define los siguientes tipos de cadenas: Prerouting,
    Postrouting, Input, Output y Forward.
    C.E.A.I.
    Relacin entre las cadenas
    predefinidas en Netfilter
    C.E.A.I. Reglas tipo FILTER
    (cadena INPUT)
    Se desea permitir el acceso del host 172.16.0.2, a la aplicacin SSH del
    firewall; y negar el acceso a las otras aplicaciones de red del mismo. Ejemplo:

    iptables -A INPUT -s 172.16.0.2 -p tcp --dport 22 -j ACCEPT
    iptables -A INPUT -s 172.16.0.0/24 -p tcp --dport 1:21 -j DROP
    iptables -A INPUT -s 172.16.0.0/24 -p tcp --dport 23:1024 -j DROP



    C.E.A.I. Reglas tipo FILTER
    (cadena OUTPUT)
    Se desea permitir el acceso del firewall, al servicio Web del servidor
    192.168.2.105; y negar el acceso a las otras aplicaciones de red del mismo.
    Ejemplo:

    iptables -A OUTPUT -d 192.168.2.105 -p tcp --dport 80 -j ACCEPT
    iptables -A OUTPUT -d 192.168.2.105 -p tcp --dport 1:79 -j DROP
    iptables -A OUTPUT -d 192.168.2.105 -p tcp --dport 81:1024 -j DROP



    C.E.A.I. Reglas tipo NAT
    (cadena POSTROUTING)

    Se desea permitir el paso de paquetes de una red a otra cambiando la IP
    origen por la de la interfaz de salida de la red externa (RED B). Ejemplo:

    iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward


    C.E.A.I. Reglas tipo NAT
    (cadena PREROUTING)

    Se desea permitir el acceso de los clientes de la Extranet a la Red Interna, a
    los servidores SSH Linux y Bittorrent de Windows.



    C.E.A.I. Reglas tipo NAT
    (cadena PREROUTING) (cont.)

    Se desea permitir el acceso de los clientes de la Extranet a la Red Interna, a
    los servidores SSH Linux y Bittorrent de Windows. Ejemplo:



    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-destination 172.16.1.3

    iptables -I FORWARD -p tcp -d 172.16.1.3 --dport 22 -j ACCEPT

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 6881:6889 -j DNAT --to-destination 172.16.1.2

    iptables -I FORWARD -p tcp -d 172.16.1.2 --dport 6881:6889 -j ACCEPT


    C.E.A.I. Reglas tipo FILTER
    (cadena FORWARD)

    Acorde al siguiente script, y a la topologa mostrada en el grafico, determine cul
    es el requerimiento de seguridad esperado.

    iptables -A FORWARD -s 172.16.0.2 -i eth1 -d 192.168.2.105 -p tcp --dport 22 -j ACCEPT
    Iptables -A FORWARD -s 172.16.0.2 -i eth1 -d 192.168.2.101 -p tcp --dport 80 -j ACCEPT
    iptables -A FORWARD -s 172.16.0.2 -i eth1 -d 192.168.2.102 -p tcp --dport 21 -j ACCEPT
    iptables -A FORWARD -s 172.16.0.0/16 -i eth1 -j DROP

    iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -o eth0 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward




    C.E.A.I. Comandos asociados con iptables

    iptables -nL -> lista las tablas tipo FILTER

    iptables -t nat -nL -> lista las tablas tipo NAT

    service iptables save -> guarda la configuracin de iptables

    service iptables restart -> reinicia el servicio iptables

    service iptables stop -> detiene el servicio iptables

    C.E.A.I.
    C.E.A.I.
    SHAH Steve - SOYINKA Wale. Manual de Administracin de Linux.
    McGraw Hill. 2007.

    http://docs.redhat.com/docs/en-
    US/Red_Hat_Enterprise_Linux/5/html/Deployment_Guide/ch-iptables.html

    http://es.tldp.org/Manuales-LuCAS/doc-iptables-firewall/doc-iptables-
    firewall-html/
    BIBLIOGRAFIA

    Vous aimerez peut-être aussi