Repblica Bolivariana de Venezuela Ministerio del Poder Popular para la Educacin Superior Instituto Universitario de Tecnologa de los Llanos

Valle de la Pascua Estado Gurico

Configuracin de Iptables y Proxy

Facilitador: Ing. Carlos Urbano

Equipo de Trabajo: Rodrguez, Gines Ortega, Ana Mara Hernndez Eduardo

Mayo, 2011.

Firewall. Iptables Este script posibilita el trafico entre una red local e internet Esquema de conexin Firewall eth1

LAN

eth0

Internet

#!/bin/sh --> Comienzo del Script Se cierra todo puerto innecesario de internet a nuestra ip , desde nuestra red hacia fuera tenemos todo acceso . echo -n Aplicando Reglas de Firewall... ==> Comentario que muestra Aplicando reglas de firewall iptables -F iptables -X iptables -Z ==> Borra las Reglas de Firewall iptables -t nat -F

iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT ==> Establecimiento de poltica por defecto (Aceptar) iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT

/sbin/iptables -A INPUT -i lo -j ACCEPT ==> Permite el Acceso a conexiones locales como mysql, apache, etc.

iptables -A INPUT -s 10.101.0.0/16 -i eth0 -j ACCEPT ==> Acceso al Firewall desde la LAN En este momento se realiza el enmascaramiento de la red local y se activa el bit de forwarding (necesario pues sera parte del enrutado) . iptables -t nat -A POSTROUTING -s 10.101.0.0/16 -d 0.0.0.0/0 -j MASQUERADE

Luego se direcciona para hacer nat en nuestra LAN al puerto 3128 (Puerto por defecto squid) , esto quiere decir, que todo lo que vanga por la interfaz eth0 por el puerto 80 se redirecciona al puerto 3128, esto es lo que permite hacer un proxy transparente. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Se permite el reenvo de paquetes en el firewall, es decir que otras mquinas puedan salir a travs del firewall. echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -p tcp --dport 80 -j ACCEPT ===> Este linea abre el puerto 80 para permitir el acceso a los sitios web que pueda tener el servidor. #aqui si deseas abrir mas puertos solo copia la linea anterior y #cambia el numero de puerto que quieres abrir y si es tcp o udp.

#############################################################################

Y ahora cerramos los accesos indeseados del exterior: 0.0.0.0/0 significa: cualquier red Cerramos el rango de puertos conocidos , se puede notar que en interfaz se elige la eth1 que es la que est conectada segn el esquema anterior a internet. iptables -A INPUT -i eth1 -s 0.0.0.0/0 -p tcp --dport 10000:65535 -j DROP iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP Cerramos el puerto de gestin webmin (permite adminitrar un servidor web a travs de internet) iptables -A INPUT -s 10.101.2.5 -p tcp --dport 10000 -j ACCEPT ==> Se le permite acceso al equipo con esta direccin ip Los dems equipos se les deniega el acceso. iptables -A INPUT -s 10.101.0.0/16 -p tcp --dport 10000 -j DROP iptables -A INPUT -s 0.0.0.0/0.0.0.0 -p tcp --dport 10000 -j DROP

echo "firewall activado" ===> mensaje que indica que el firewall esta activado update-rc.d nombredelscript defaults Este comando crea enlaces que inician samba en los runlevels 2345 y enlaces que lo terminan en los runlevels 016 con la prioridad 20.

Configuracin del Squid. Un Servidor Intermediario (Proxy) se define como una computadora o dispositivo que ofrece un servicio de red que consiste en permitir a los clientes realizar conexiones de red indirectas hacia otros servicios de red. Durante el proceso ocurre lo siguiente: Cliente se conecta hacia un Servidor Intermediario (Proxy). Cliente solicita una conexin, fichero u otro recurso disponible en un servidor distinto. Servidor Intermediario (Proxy) proporciona el recurso ya sea conectndose hacia el servidor especificado o sirviendo ste desde un cach. En algunos casos el Servidor Intermediario (Proxy) puede alterar la solicitud del cliente o bien la respuesta del servidor para diversos propsitos.

http_port 3128 ==> puerto por donde escuha el squid icp_port 3130 ==> acl QUERY urlpath_regex cgi-bin \? cache deny QUERY == Deniega consulta de cach acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 acl Safe_ports port 80 acl Safe_ports port 21 acl Safe_ports port 443 acl Safe_ports port 70 acl Safe_ports port 210 acl Safe_ports port 1025-65535 # http # ftp # https # gopher # wais # unregistered ports D e c la ra c i n d e p u e r to s s e g u ro s.

acl Safe_ports port 280 acl Safe_ports port 488 acl Safe_ports port 591 acl Safe_ports port 777

# http-mgmt # gss-http # filemaker # multiling http

acl CONNECT method CONNECT ==> Se permite conexin a puertos seguros. http_access allow manager localhost http_access deny manager # Deny requests to unknown ports http_access deny !Safe_ports http_access deny CONNECT !SSL_ports ==> Se deniega la conexin a otros puertos que no sean los seguros declarados.

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

acl negadas url_regex "/etc/squid3/Acls/paginas" ==> Lista de control de acceso, en este archivo se establecen las direcciones web que sern permitidas o denegadas acl mired src 10.101.4.0/255.255.255.0 ==> Se establece acl que corresponde a la red. http_access allow localhost => Se permite el acceso a la mquina local http_access allow mired !negadas ==> se permite el acceso a la red menos (!) a las pginas negadas http_access deny all ==> luego se deniega el acceso a todo lo dems, referente a equipos que no esten declarados previamente.