Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 34 vistas

    Práctica 3

    Cargado por

    Luis Herrador Cruz
    Este documento presenta una práctica sobre configuración de cortafuegos con iptables en Linux. Incluye ejercicios para configurar cortafuegos personales y de red, permitiendo y restringiendo el acceso a servicios y redes.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Práctica 3

    Cargado por

    Luis Herrador Cruz
    34 vistas7 páginas
    Este documento presenta una práctica sobre configuración de cortafuegos con iptables en Linux. Incluye ejercicios para configurar cortafuegos personales y de red, permitiendo y restringiendo el acceso a servicios y redes.

    Título original

    PRÁCTICA 3

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento presenta una práctica sobre configuración de cortafuegos con iptables en Linux. Incluye ejercicios para configurar cortafuegos personales y de red, permitiendo y restringiendo el acceso a servicios y redes.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    34 vistas7 páginas

    Práctica 3

    Cargado por

    Luis Herrador Cruz
    Este documento presenta una práctica sobre configuración de cortafuegos con iptables en Linux. Incluye ejercicios para configurar cortafuegos personales y de red, permitiendo y restringiendo el acceso a servicios y redes.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    de 7

    CFGM Sistemas Microinfomáticos y Redes IES Inca Garcilaso

    2º Curso “Servicios en Red” Montilla (Córdoba)

    PRÁCTICA 3
    Cortafuegos con iptables.
    1. Dada una máquina linux con una tarjeta de red, comenta el significado de las
    líneas del siguiente script.

    iptables –F
    iptables -X
    iptables -Z
    iptables –t nat -F

    iptables –P INPUT ACCEPT


    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -t nat -P PREROUTING ACCEPT
    iptables -t nat -P POSTROUTING ACCEPT

    iptables -A INPUT -i lo -j ACCEPT


    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp --dport 20:21 -j DROP

    iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT


    iptables -A INPUT -i eth0 -s 172.26.0.0/24 -j DROP
    iptables -A INPUT -i eth0 -s 10.0.0.0/24 -j REJECT

    2. Dado el siguiente script indica el resultado de su ejecución.

    iptables –F
    iptables -X
    iptables -Z iptables –t nat -F

    iptables –P INPUT ACCEPT


    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -t nat -P PREROUTING ACCEPT
    iptables -t nat -P POSTROUTING ACCEPT

    iptables -A INPUT -i lo -j ACCEPT


    iptables -A INPUT –s 145.78.0.4 -p tcp --dport 25 -j ACCEPT
    iptables -A INPUT -s 145.78.0.4 -p tcp --dport 110 j ACCEPT
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -p tcp --dport 1:1024 -j DROP
    iptables -A INPUT -p udp --dport 1:1024 -j DROP

    3. Los script anteriores, ¿configuran un cortafuegos personal o un cortafuegos de


    red?. Justifica tu respuesta.

    Profesor: Ángel Delgado Herrador 1


    CFGM Sistemas Microinfomáticos y Redes IES Inca Garcilaso
    2º Curso “Servicios en Red” Montilla (Córdoba)
    4. Crea un script con iptables que permita configurar un cortafuegos personal con las
    siguientes características
    - Se permite el acceso al servicio Web del cortafuegos desde cualquier
    dirección ip.
    - La administración vía SSH se permite únicamente desde la red 172.30.0.0/24
    y desde la ip 150.214.7.21.
    - El acceso al servicio de FTP del cortafuegos está permitido desde cualquier
    red.
    - El acceso al servicio de correo electrónico del cortafuegos estará permitido
    únicamente desde la red 172.30.0.0/24.
    - Se deben proteger los puertos bien conocidos de ataques desde Internet.
    5. Se dispone de un servidor linux que actúa como cortafuegos con dos tarjetas de red
    (eth0 y eth1) que une dos segmentos de red (192.168.10.0/24) y (172.20.0.0/24)
    respectivamente. Las direcciones ip del equipo son 192.168.10.1 y 172.20.0.1 para
    cada una de las interfaces. El router se encuentra en la ip 172.20.0.2 en el segmento
    respectivo y se desea proteger la red privada 192.168.10.0/24. Explica la función de
    este script. El script sería el siguiente:

    iptables -F
    iptables -X
    iptables -Z
    iptables -t nat -F
    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -t nat -P PREROUTING ACCEPT

    iptables -A INPUT -i lo -j ACCEPT


    iptables -A INPUT -s 192.168.10.0/24 -i eth0 -j ACCEPT

    iptables -A FORWARD -s 192.168.10.0/24 -i eth0 -p tcp --dport 80 - j ACCEPT


    iptables -A FORWARD -s 192.168.10.0/24 -i eth0 -p tcp --dport 443 –j ACCEPT
    iptables -A FORWARD -s 192.168.10.0/24 -i eth0 -p tcp --dport 53 -j ACCEPT
    iptables -A FORWARD -s 192.168.10.0/24 -i eth0 -p udp --dport 53 -j ACCEPT
    iptables -A FORWARD -s 192.168.10.0/24 -i eth0 -j DROP

    iptables - t nat -A POSTROUTING -s 192.168.10.0/24 -o eth1 -j MASQUERADE

    echo 1 > /proc/sys/net/ipv4/ip_forward

    iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP

    iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP

    iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 10000 -j DROP

    6. Después de la ejecución del script anterior indica qué haría con los paquetes ip que
    salen desde la red 192.168.10.0/24, indicando la regla que se aplicaría al mismo

    Profesor: Ángel Delgado Herrador 2


    CFGM Sistemas Microinfomáticos y Redes IES Inca Garcilaso
    2º Curso “Servicios en Red” Montilla (Córdoba)
    (puedes numerar las reglas para facilitarte el ejercicio). Se proporciona
    (iporigen:puertoorigen, ipdestino:puertodestino) tipo:

    a) (192.168.10.3:2014, 213.4.7.1:80) tcp


    b) (192.168.10.45:1589, 192.168.10.1:80) tcp
    c) (192,168,10.63:5678, 80.4.98.5:21) tcp
    d) (192.168.10.7:80, 165.9.7.5:5698) tcp
    e) (192.168.10.32:7865, 194.224.52.36:53) udp
    f)(192.168.10.50:1256, 156.7.5.2:443) tcp
    g) (192.168.10.46:1578, 138.98.71.3:4925)
    h) (192.168.10.41:1218, 138.98.71.3:10000)
    i) (192.168.10.27:3378, 138.98.71.3:23)

    7. ¿Qué implica cerrar los puertos bien conocidos(1:1024) a los paquetes que van a
    nuestro servidor?

    8. ¿Por qué no se cierran el resto de puertos por encima de 1024?.

    9. Disponemos del siguiente script de configuración de un cortafuegos personal.


    Comenta con tus palabras qué hace este cortafuegos. ¿Qué tipo de cortafuegos es
    por defecto?.

    echo -n Aplicando Reglas de Firewall...

    iptables -F
    iptables -X
    iptables -Z
    iptables -t nat -F

    iptables -P INPUT DROP


    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP

    iptables -A INPUT -i lo -j ACCEPT


    iptables -A OUTPUT -o lo -j ACCEPT

    iptables -A INPUT -s 195.65.34.234 -j ACCEPT


    iptables -A OUTPUT -d 195.65.34.234 -j ACCEPT

    iptables -A INPUT -s 231.45.134.23 -p tcp --dport 3306 -j ACCEPT


    iptables -A OUTPUT -d 231.45.134.23 -p tcp --sport 3306 -j ACCEPT

    iptables -A INPUT -s 80.37.45.194 -p tcp --dport 20:21 -j ACCEPT


    iptables -A OUTPUT -d 80.37.45.194 -p tcp --sport 20:21 -j ACCEPT

    iptables -A INPUT -p tcp --dport 80 -j ACCEPT


    iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

    iptables -A INPUT -p tcp --dport 1:1024 -j DROP


    iptables -A INPUT -p udp --dport 1:1024 -j DROP

    Profesor: Ángel Delgado Herrador 3


    CFGM Sistemas Microinfomáticos y Redes IES Inca Garcilaso
    2º Curso “Servicios en Red” Montilla (Córdoba)
    iptables -A INPUT -p tcp --dport 3306 -j DROP
    iptables -A INPUT -p tcp --dport 10000 -j DROP
    iptables -A INPUT -p udp --dport 10000 -j DROP

    10. Creación de un cortafuegos de red en linux haciendo de proxy transparente


    - Agrega un adaptador de red en tu máquina virtual con el fin de que tengas dos
    tarjetas de red. La nueva tarjeta virtual pertenece a una red interna de nombre intnet.
    - Arranca tu servidor linux y comprueba que ha reconocido la nueva tarjeta de red.
    - Asigna la dirección ip 10.0.0.1/24 a tu nueva tarjeta.
    - Crea un script con iptables para implementar un cortafuegos de red.
    - El cortafuegos debe realizar NAT a través de la interfaz con conecta con
    Internet (perteneciente a la red 172.30.0.0/24)
    - Las conexiones al puerto 22 y 80 al cortafuegos desde la red 10.0.0.0/24
    estarán permitidas. El resto no.
    - Las conexiones al puerto 22 desde la ip de un administrador que se
    encuentra en 195.57.18.23 estarán permitidas.
    - Desde la red 10.0.0.0/24 podrán navegar por internet y acceder a servicios
    de correo electrónico de Internet.
    - Se desea configurar el cortafuegos como proxy transparente redirigiendo las
    conexiones del puerto 80 al puerto de squid 3128.
    - Protege tu cortafuegos contra ataques externos a puertos bien conocidos.
    - Finalmente, si lo deseas y tienes recursos suficientes configura una máquina
    virtual con windows conectada a la red intnet con ip 10.0.0.2/24 y gateway
    10.0.0.1 y los DNS que creas oportunos. Conecta a Internet tu equipo
    windows a través del cortafuegos linux. Desde la máquina linux haz una
    captura de pantalla de la herramienta iptraf-ng donde muestre la conexiones
    TCP del cortafuegos cuando estés navegando con el equipo windows.

    11. Dada la siguiente configuración de red con un cortafuegos que conecta con Internet
    una LAN privada y un servidor que se encuentra en una zona DMZ, comenta la
    función de los bloques de líneas del script que aparece a continuación.

    Profesor: Ángel Delgado Herrador 4


    CFGM Sistemas Microinfomáticos y Redes IES Inca Garcilaso
    2º Curso “Servicios en Red” Montilla (Córdoba)

    iptables −F
    iptables −X
    iptables −Z
    iptables −t nat −F

    iptables −P INPUT ACCEPT


    iptables −P OUTPUT ACCEPT
    iptables −P FORWARD ACCEPT
    iptables −t nat −P PREROUTING ACCEPT
    iptables −t nat −P POSTROUTING ACCEPT

    iptables −t nat −A PREROUTING −i eth0 −p tcp −−dport 80 −j DNAT −−to 192.168.3.2:80


    iptables −t nat −A PREROUTING −i eth0 −p tcp −−dport 443 −j DNAT −−to 192.168.3.2:443

    iptables −A INPUT −i lo −j ACCEPT

    iptables −A INPUT −s 192.168.10.0/24 −i eth1 −j ACCEPT

    iptables −t nat −A POSTROUTING −s 192.168.10.0/24 −o eth0 −j MASQUERADE


    iptables −t nat −A POSTROUTING −s 192.168.3.0/24 −o eth0 −j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    iptables −A FORWARD −s 192.168.3.2 −d 192.168.10.5 −p tcp −−dport 5432 −j ACCEPT


    iptables −A FORWARD −s 192.168.10.5 −d 192.168.3.2 −p tcp −−sport 5432 −j ACCEPT

    iptables −A FORWARD −s 192.168.10.0/24 −d 192.168.3.2 −p tcp −−sport 1024:65535 −−dport


    3389 −j ACCEPT
    iptables −A FORWARD −s 192.168.3.2 −d 192.168.10.0/24 −p tcp −−sport 3389 −−dport
    1024:65535 −j ACCEPT

    iptables −A FORWARD −s 192.168.3.0/24 −d 192.168.10.0/24 −j DROP


    iptables −A INPUT −s 192.168.3.0/24 −i eth2 −j DROP

    iptables −A INPUT −s 0.0.0.0/0 −p tcp −dport 1:1024 −j DROP


    iptables −A INPUT −s 0.0.0.0/0 −p udp −dport 1:1024 −j DROP
    iptables −A INPUT −s 0.0.0.0/0 −p tcp −dport 10000 −j DROP

    Profesor: Ángel Delgado Herrador 5


    CFGM Sistemas Microinfomáticos y Redes IES Inca Garcilaso
    2º Curso “Servicios en Red” Montilla (Córdoba)

    SQUID
    1. Restaura la configuración por defecto de squid.
    - Arranca el demonio.
    - Comprueba el puerto que abre el servidor.
    - Conéctate vía Telnet al servicio Proxy.
    - Configura tu navegador para que utilice el servidor Proxy para la conexión a Internet.
    - Comprueba que efectivamente puedes navegar por Internet por páginas http con
    toda facilidad.
    - Configura el servidor para que escuche en el puerto 8081.
    - Configura el navegador y comprueba que funciona correctamente.
    - Vuelve a dejar el puerto por defecto de squid y configura el navegador nuevamente
    para navegar por Internet.
    - Accede a los ficheros logs de squid e identifica los accesos realizados.
    - Cambia la configuración para denegar el acceso a todos. Comprueba su
    funcionamiento.
    - Configura el servidor para permitir el acceso exclusivamente a los equipos de la red
    del aula en la que te encuentras. (por ejemplo 172.30.0.0./ 24).
    - Deniega el acceso a alguna de las direcciones ip de los siguientes host de
    Internet:
    www.ciatesa.com
    www.alipensa.es
    www.elpais.es
    www.telecinco.es

    - Reinicia el servidor y verifica lo anterior.

    - Deniega el acceso a los siguientes dominios.


    xerox.com
    canon.com
    iesincagarcilaso.com

    - Comprueba que los cambios realizados tienen efecto.

    - Configura el servidor proxy para denegar el acceso de lunes a viernes de 9:00 de la


    mañana a 15:00 de la tarde.

    - Verifica que efectivamente tiene efecto esta última modificación.

    - Visualiza los ficheros logs de acceso a la caché y de errores del servidor proxy,
    razonando su contenido.

    - Configura el demonio squid para que arranque en el nivel gráfico de ejecución


    (runlevel 5).

    - Reinicia tu máquina y comprueba que efectivamente arranca el servicio de


    forma automática.

    Profesor: Ángel Delgado Herrador 6


    CFGM Sistemas Microinfomáticos y Redes IES Inca Garcilaso
    2º Curso “Servicios en Red” Montilla (Córdoba)

    Profesor: Ángel Delgado Herrador 7

    También podría gustarte