Your SlideShare is downloading. ×
How to medidas de desempeño
How to medidas de desempeño
How to medidas de desempeño
How to medidas de desempeño
How to medidas de desempeño
How to medidas de desempeño
How to medidas de desempeño
How to medidas de desempeño
How to medidas de desempeño
How to medidas de desempeño
How to medidas de desempeño
How to medidas de desempeño
How to medidas de desempeño
How to medidas de desempeño
How to medidas de desempeño
How to medidas de desempeño
How to medidas de desempeño
How to medidas de desempeño
How to medidas de desempeño
How to medidas de desempeño
How to medidas de desempeño
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

How to medidas de desempeño

343

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
343
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
18
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Medidas de DesempeñoComunicaciones I Ing. Juan Carlos Peña IntegrantesCampos Sandoval, Marcela NoemíPalacios Pacheco, José DamiánZuniga Ramírez, Carlos Ernesto
  • 2. INDICEINTRODUCCION……………………………………………………………………………………………………………. iHERRAMIENTAS PARA MONITOREAR UNA REDNMAP…………………………………………………………………………………………………………………………… 3IPTRAF…………….………………………………………………………………………………………………………….. 4INSTALACIÓN DE MRGT………………………….………………………………………………………………….. .7METODOS PARA MEJORAR EL RENDIMIENTO DE LA REDIMPLEMENTACION DE QoS………………………………….……………………………………………………. 12IMPLEMENTACION DE FIREWALL…………………………………………………………………………….. 17DIAGRAMA DE RED IMPLEMENTADO…………………………………………………………..………….. 20 1
  • 3. IntroduccionNormalmente en una red nos encontramos con diferentes tipos de problemas, tales comode conectividad y de rendimiento. Para probar que una red funcione de manera adecuada,existen herramientas muy prácticas como una prestación estándar en la mayoría de lossistemas operativos. A continuación se pretende brindar la información para poderdiagnosticar los problemas de red utilizando las herramientas y software incluidos en losordenadores.Los problemas que podemos encontrar en las redes, los podemos dividir en: Problemas de Software: Problemas de Aplicación, protocolos incompatibles direcciones IP en conflicto, tablas de enrutamiento mal configuradas, otros Problemas de Hardware: Tarjetas de red, routers, switch, otros Problemas físicos: Conectores en mal estado, cables rotos, oxidación de contactos, otrosPara poder detectar los problemas, los propios sistemas operativos nos proporcionanherramientas de software, para ayudarnos a detectar estos fallos: ifconfig: Sirve para poder determinar si la configuración es adecuada, y nos dará información útil para realizar pruebas posteriores. Ping: verifica si determinado host (equipo), puede ser alcanzado. Permitiendo de esta manera diagnosticar la conectividad a la red. Traceroute es una herramienta de diagnóstico de red para la visualización de la ruta y la medición de retrasos en el tránsito de los paquetes.Todas las herramientas software indicadas son de línea de comando, además de estosprogramas, tanto Windows, en sus últimas versiones, como Linux, nos permiten hacer usode otras herramientas destinadas al diagnóstico de redes. Entre algunas de estas opcionesencontramos IPtraf, Nmap.Para el diagnóstico de una red es muy importante considerar diferentes tecnologías quepueden influir en la información obtenida mediante algunas pruebas, tal es el caso de laimplementación del servicio de QoS y Firewalls. 2
  • 4. NMAPLa herramienta de monitoreo NMAP se instala con el siguiente comando:# apt-get install nmapEscaneando Rango de puertos.Para escanear un rango determinado de puertos para una ip lo haremos de la siguientemanera. Opción -p# nmap 192.168.0.1Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/)Interesting ports on localhost (192.168.0.1):(The 1545 ports scanned but not shown below are in state: closed)Port State Service22/tcp open ssh25/tcp open smtp111/tcp open sunrpc6000/tcp open X11Nmap run completed -- 1 IP address (1 host up) scanned in 0 secondsLa opción -p nos permite acotar un rango de puertos incluyendo el primero y el ultimo,muy útil para tardar menos escaneando si sabemos que solo nos interesa unosdeterminados puertos.También con -p 22,53,110,143 así escanearemos solo los puertos especificados.Escaneando un rango de ips para un puerto determinado.Para saber que ordenadores tienen abierto algún puerto en específico. En este casoprobamos con el puerto 139# nmap -p 139 172.26.0.1-10Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2004-10-20 02:35 CESTInteresting ports on 172.26.0.2:PORT STATE SERVICE139/tcp filtered netbios-ssnInteresting ports on 172.26.0.9):PORT STATE SERVICE139/tcp open netbios-ssnNmap run completed -- 10 IP addresses (2 hosts up) scanned in 4.002 second 3
  • 5. La información que obtenemos sería la de dos ordenadores encendidos en ese rango deips como bien podemos leer abajo del todo y que uno de ellos tiene abierto el servicio denetbios perteneciente al puerto 139.Escanear un host sin hacerle pingLa opción -p0 Puede servirnos si no queremos que intente hacer ping a un servidor antesde escanearlo, es muy útil para maquinas que tienen firewall o no responden a ping.Escaneando Host por pingUsando la opción -sP le diremos al Nmap que nos haga un escaneo de los hosts haciendoping. IPTrafEs una utilidad de consola para Linux que proporciona estadísticas sobre el tráfico IP delas redes que se encuentren activas en el sistema. Es capaz de brindar mucha informacióncomo el número de paquetes y bytes en una conexión TCP, estadísticas de una interfaz eindicadores de actividad, caídas en el tráfico TCP/UDP y número de bytes y paquetes enuna estación LAN.InstalaciónDescargar desde los repositoris de Debian e installar#apt-get installEjecutar desde una consola en modo root#iptrafAbrirá la aplicación en modo consola, mostrándonos una pantalla informativa la cualsaltamos presionando cualquier tecla para que nos despliegue el menú general. 4
  • 6. ConfiguraciónEntramos a la opción configure en el menú principal, para nuestro caso las configuracionesfueron: 1. Activamos la búsqueda inversa IPTraf para averiguar el nombre de los hosts con las direcciones de los paquetes IP. Reverse DNS lookups - on 2. Para que IPTraf pueda mostrar los nombres TCP / UDP de servicios (smtp,www,pop3) en lugar de sus puertos numéricos (25, 80, 110) TCP/UDP service names – on 3. para que nos muestre el tráfico en Kbytes Activity mode - Kbytes/sPara entender las demás configuraciones le recomendamos leer la documentacióncompleta de iptraf http://iptraf.seul.org/2.7/manual.htmlMonitoreando con iptraf1. "IPtraffic monitor”. Nos muestra en tiempo real el tráfico que pasa por las interfaces.Podemos seleccionar sólo una interface o todas. Podemos ver qué IP está haciendo usodel tráfico de red. 5
  • 7. 2. "General interfaces statistics”. Muestra estadísticas de las interfaces.3. "Detailed interfaces statistics”. Información más detallada de una interfaz en concreto.4. "Statistical breakdowns...".Tráfico de paquetes por tamaño o por TCP/UDP en unainterfaz. 6
  • 8. 5. "LAN station monitor”. Muestra las estadísticas de nuestra red detectadas en una otodas las interfaces. MRTGMulti Router Traffic Grapher, es una herramienta web de monitoreo que nos permitevisualizar de forma gráfica el tráfico de la red en escalas de tiempo diferente, haciendoénfasis en los paquetes entrantes y salientes de uno o más routers. 7
  • 9. InstalaciónSu instalación no es muy compleja, se basa en 3 pasos principales: Edición del archivo deconfiguración mrtg.cfg, marcado de paquetes y vinculación con archivos de orígenes deestadísticas. Como servidor web tendremos Apache en el directorio /var/www.Necesitaremos instalar los paquetes: mrtg, mrtg-contrib y mrtgutils. Para ello utilizaremosel sistema de instalación de paquetes que traiga nuestra distribución de GNU/Linux.# apt-get install mrtg mrtg-contrib mrtgutilsConfiguración 1. Mrtg es un servicio web que monitoriza la red, las paginas se crean a partir del archivo de configuración /etc/mrtg.cfg, por lo tanto se modificara dejándolo de la siguiente maneraWorkDir: /var/www/mrtg #Especificar en donde se guardaran las paginas webWriteExpires: YesLanguage: spanishTitle[^]: Control de TráficoOptions[_]: growrightTarget[eth0]: `/usr/bin/mrtg-ip-acct eth0` #De donde recogerá la info.MaxBytes1[eth0]: 32000 #Bytes de entradaMaxBytes2[eth0]: 16000 #Bytes de salidaTitle[eth0]: Análisis del tráfico total en eth0YLegend[eth0]: TráficoPageTop[eth0]: <H1>Estadisticas de interfaces<BR>Utilizacion interfaceinterna (eth0)</H1>Target[red1]:`/etc/red1.data` #Archivo que se creará para obtener la infoTitle[red1]: comunicaciones - red1PageTop[red1]: <H1>RED1</H1>MaxBytes1[red1]: 35000MaxBytes2[red1]: 40000YLegend[red1]: Bytes/sShortLegend[red1]: B/sTarget[red2]: `/etc/red2.data`Title[red2]: comunicaciones - red2PageTop[red2]: <H1>RED2</H1>MaxBytes1[red2]: 35000MaxBytes2[red2]: 40000YLegend[red2]: Bytes/sShortLegend[red2]: B/s  Tome en cuenta que el carácter ` no es un apostrofe o comilla simple ‘ 8
  • 10.  En WorkDir colocamos la dirección de la ubicación donde se van a generar los archivos y documentos con las estadísticas de trafico  WriteExpires indica si se generaran un documento con extensión .meta para cada archivo que se cree.  Options[_]: growright, esta opción especifica que los graficos aparezcan de derecha a izquierdaCrearemos los archivos que nos servirán de entrada de datos para generar estadísticas. Sunombre, extensión y ubicación son indiferentes.# nano /etc/red1.dataY lo dejaremos con la siguiente configuración#!/bin/shIPT=/sbin/iptablesstatname="Tráfico de Red1"uptime=`uptime`statin=`$IPT -L -n -x -v | /bin/grep -A 6 FORWARD | /bin/grep RED1_IN |/usr/bin/awk {print $2}`statout=`$IPT -L -n -x -v | /bin/grep -A 10 FORWARD | /bin/grep RED1_OUT| /usr/bin/awk {print $2}`echo $statinecho $statoutecho $uptimeecho $statnameDe la misma forma crearemos el archivo red2.data, con la misma configuración,recordando cambiar las etiquetas RED1_IN y RED2_IN por RED2_IN y RED2_OUT. Estasson etiquetas o “targets” de iptables, en donde se almacenarán los datos de los paquetesmarcados con las mismas.En las variables statin y statout del archivo red1.data, se guardaran la cantidad de datossalientes y entrantes marcados en la etiqueta RED1_IN y RED1_OUT respectivamente. 2. Filtraremos el tráfico de la tarjeta de red y lo marcaremos con etiquetas, tanto para paquetes entrantes como salientes mediante iptables. Para ello crearemos las etiquetas digitando en la terminal: 9
  • 11. # iptables -N RED1_OUT# iptables -N RED1_IN# iptables -N RED2_OUT# iptables -N RED2_INCon esto, ya tenemos las etiquetas creadas, solo nos queda marcar los paquetes entrantesy salientes de cada red con la etiqueta correspondiente:# iptables -A FORWARD -s 172.16.1.0/24 -j RED1_OUT# iptables -A FORWARD -d 172.16.1.0/24 -j RED1_IN# iptables -A FORWARD -s 172.16.2.0/24 -j RED2_OUT# iptables -A FORWARD -d 172.16.2.0/24 -j RED1_IN 3. Para comprobar el marcado de paquetes, se puede ejecutar el comando siguiente:# iptables -L -n -x -v 4. Terminados los archivos de configuración, crearemos el directorio en donde se almacenaran las páginas web con los gráficos; con la configuración predeterminada de un servidor apache, crearemos una carpeta llamada mrtg dentro de /var/www que alojará todas las paginas para visualizar los gráficos del tráfico de la red. # mkdir /var/www/mrtg  Esto según el archivo /etc/mrtg.cfg 5. Daremos permisos de lectura a los archivos red1.data y red2.data# chmod 744 /etc/red1.data# chmod 744 /etc/red3.dataIniciando MRTG 1. Ejecutamos mrtg para iniciarlo, las primeras veces nos pueden aparecer advertencias.#env LANG=C /usr/local/mrtg-2/bin/mrtg /etc/mrtg.cfg 10
  • 12. Se nos crearan diversos archivos dentro del directorio /var/www/mrtg con los datos necesarios para mostrarnos de forma gráfica el uso de la red. 2. Creamos una página índice para unir todas las gráficas:#env LANG=C /usr/local/mrtg-2/bin/indexmaker /etc/mrtg.cfg>/var/www/mrtg/index.html 3. Luego de haber configurado esto ya podemos visualizar la página web que se ha generado en el sitio que indicamos. Para ello basta con digitar en un navegador Http://localhost/mrtg 4. Con el paso 7 actualizamos los datos de las gráficas, para que sus cambios sean automáticos, editaremos el archivo /etc/crontab, agregando al final:*/5 * * * * root env LANG=C /usr/local/mrtg-2/bin/mrtg /var/www/mrtg/mrtg.cfg 2 > /dev/null 5. Luego reiniciamos el demonio cron: /etc/init.d/cron restart, Por defecto, los gráficos se actualizarán cada 5 minutos. MRTG nos servirá para ver qué niveles de tráfico soporta el servidor, tanto el cómputo general de ancho de banda (de subida y de bajada) como el desglose en los diferentes servicios (http, smtp, nntp, etc...). 11
  • 13. Metodos para mejorar el Rendimiento de la RedEntre los métodos que disponemos para mejorar el rendimiento de la red se encuentran: la implementación de QoS la implementación de Firewalls Implementacion de QoSQoS (Quality of Service o Calidad de Servicio) es un conjunto de protocolos y tecnologíasque garantizan la entrega de datos a través de la red en un momento dado. De este modonos aseguramos que las aplicaciones que requieran un tiempo de latencia bajo o mayorconsumo de ancho de banda, realmente disponga de los recursos suficientes cuando lossoliciten. Por ello, uno de las principales metas de QoS es la priorización. Esto es darrelevancia a unas conexiones frente a otras.Algunos beneficios de implementar QoS en nuestra red son: Control sobre los recursos: limitar ancho de banda, priorizar. Uso más eficiente de los recursos de red: establecer prioridades según servicios, tasas de trasferencia... Menor latencia: en aplicaciones que requieren un menor tiempo de respuesta.Para implementar QoS en nuestra red, realizamos el siguiente procedimiento:Creamos en arbol de encolado, asignando la clase padre a nuestra interfaz eth0 y a partirde esta creamos las clases hijas para determinar la prioridad de los paquetes que sereciban 12
  • 14. Árbol de encolado o de clases 1 Qdisc raíz htb 1:1 Clase htb (hija) Clases hijas de 1:1 1:10 1:11 1:12 1:13Paso 1 Definición de la clase raíz 1 a la interfaz eth0#tc qdisc add dev eth0 root handle 1: htb default 13Paso 2 Creamos una clase dentro de la qdisc, donde la cola 1 es su padre# tc class add dev eth0 parent 1: classid 1:1 htb rate 5kbit ceil 10kbitPaso 3 Creamos las clases hijas con su respectiva prioridad y capacidad de transferencia# tc class add dev eth0 parent 1:1 classid 1:10 htb rate 3kbit ceil 5kbitprio 1# tc class add dev eth0 parent 1:1 classid 1:11 htb rate 1kbit ceil 2kbitprio 2# tc class add dev eth0 parent 1:1 classid 1:12 htb rate 1kbit ceil 2kbitprio 3# tc class add dev eth0 parent 1:1 classid 1:13 htb rate 1kbit ceil 1kbitprio 4 13
  • 15. Paso 4 Asignamos una cola (qdisc) a cada clase, usando la disciplina sfq, para clasificarlos paquetes por conexión #tc qdisc add dev eth0 parent 1:10 handle 100: sfq perturb 10 quantum1500 #tc qdisc add dev eth0 parent 1:11 handle 110: sfq perturb 10 quantum1500 #tc qdisc add dev eth0 parent 1:12 handle 120: sfq perturb 10 quantum1500 #tc qdisc add dev eth0 parent 1:13 handle 130: sfq perturb 10 quantum1500Paso 5 Añadimos a la interfaz de red eth0 un filtro (filter) para tráfico de tipo IP, el cualse asocia a la rama 1 #tc filter add dev eth0 parent 1:0 protocol ip prio 1 handle 1 fwclassid 1:10 #tc filter add dev eth0 parent 1:0 protocol ip prio 2 handle 2 fwclassid 1:11 #tc filter add dev eth0 parent 1:0 protocol ip prio 3 handle 3 fwclassid 1:12 #tc filter add dev eth0 parent 1:0 protocol ip prio 4 handle 4 fwclassid 1:13MARCADO DE PAQUETESUna vez hechas las clases y definiendo sus prioridades se procede al marcado de cada unode los paquetesICMPLe indicamos a la tabla mangle que todo paquete icmp que reciba la máquina deberá sermarcado con prioridad 1 para su posterior clasificación y envio. Se usa RETURN paraevitar la coincidencia múltiple de paquetes#iptables -t mangle -A PREROUTING -p icmp -j MARK --set-mark 1#iptables -t mangle -A PREROUTING -p icmp -j RETURN 14
  • 16. Modificamos los paquetes generados localmente antes de encaminarlos#iptables -t mangle -A OUTPUT -p icmp -j MARK --set-mark 1#iptables -t mangle -A OUTPUT -p icmp -j RETURNSSHLe indicamos a la tabla mangle que todo paquete tcp de puerto destino 22 que reciba lamáquina deberá ser marcado con prioridad 1 para su posterior clasificación y envio.#iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 1#iptables -t mangle -A PREROUTING -p tcp --dport 22 -j RETURN#iptables -t mangle -A OUTPUT -p tcp --dport 22 -j MARK --set-mark 1#iptables -t mangle -A OUTPUT -p tcp --dport 22 -j RETURNHTTP & HTTPSLe indicamos a la tabla mangle que todo paquete tcp de puerto destino 80 que reciba lamáquina deberá ser marcado con prioridad 3 para su posterior clasificación y envio.#iptables -t mangle -A PREROUTING -p tcp --dport 80 -j MARK --set-mark 3#iptables -t mangle -A PREROUTING -p tcp --dport 80 -j RETURN#iptables -t mangle -A PREROUTING -p tcp --dport 443 -j MARK --set-mark 3#iptables -t mangle -A PREROUTING -p tcp --dport 443 -j RETURN#NEWS (NNTP)#iptables -t mangle -A PREROUTING -p tcp --dport 119 -j MARK --set-mark 2#iptables -t mangle -A PREROUTING -p tcp --dport 119 -j RETURN#FTP#iptables -t mangle -A PREROUTING -p tcp --dport 20:21 -j MARK --set-mark 3#iptables -t mangle -A PREROUTING -p tcp --dport 20:21 -j RETURN#iptables -t mangle -A OUTPUT -p tcp --dport 20:21 -j MARK --set-mark 3#iptables -t mangle -A OUTPUT -p tcp --dport 20:21 -j RETURNPOP3#iptables -t mangle -A PREROUTING -p tcp --dport 110 -j MARK --set-mark 2#iptables -t mangle -A PREROUTING -p tcp --dport 110 -j RETURN 15
  • 17. IMAP#iptables -t mangle -A PREROUTING -p tcp --dport 143 -j MARK --set-mark 2#iptables -t mangle -A PREROUTING -p tcp --dport 143 -j RETURNSMTP#iptables -t mangle -A PREROUTING -p tcp --dport 25 -j MARK --set-mark 2#iptables -t mangle -A PREROUTING -p tcp --dport 25 -j RETURNDNS#iptables -t mangle -A PREROUTING -p udp --dport 53 -j MARK --set-mark 1#iptables -t mangle -A PREROUTING -p udp --dport 53 -j RETURN#iptables -t mangle -A OUTPUT -p udp --dport 53 -j MARK --set-mark 1#iptables -t mangle -A OUTPUT -p udp --dport 53 -j RETURNTCP con el bit SYN activado (principio de conexión)#iptables -t mangle -I PREROUTING -p tcp --syn -j MARK --set-mark 1#iptables -t mangle -I PREROUTING -p tcp --syn -j RETURNTráfico en general (emule....)#iptables -t mangle -A PREROUTING -j MARK --set-mark 4Tráfico IPv6#iptables -t mangle -A PREROUTING -j MARK --set-mark 1#iptables -t mangle -A OUTPUT -j MARK --set-mark 1 16
  • 18. Implementacion de firewall#!/bin/bashIPTABLES=/sbin/iptablesLOCAL_HOST=192.168.1.3echo "IMPLEMENTANDO FIREWAL IPTABLES"echo "Limpiando ..."### Limpiamos la configuracion existente# Limpiamos (flush) las reglas$IPTABLES -F# Borramos chains de usuario$IPTABLES -X# Ponemos a cero paquetes y contadores$IPTABLES -Z# Limpiamos las reglas de NAT$IPTABLES -t nat -Fecho "Estableciendo politicas..."# Establecemos las politicas de los chains$IPTABLES -P INPUT DROP$IPTABLES -P OUTPUT ACCEPTecho "Dando permiso local..."############################################# Permitimos acceso local# Permitimos todo a interfaz localhost$IPTABLES -A INPUT -i lo -j ACCEPT$IPTABLES -A OUTPUT -o lo -j ACCEPT# Permitimos todo a nuestra IP$IPTABLES -A INPUT -s $LOCAL_HOST -j ACCEPT$IPTABLES -A OUTPUT -d $LOCAL_HOST -j ACCEPT# Reiteracion de permisos locales$IPTABLES -A INPUT -i eth1 -s $LOCAL_HOST -p tcp --dport 3306 -j ACCEPT #MySQL$IPTABLES -A INPUT -i eth1 -s $LOCAL_HOST -p tcp --dport 631 -j ACCEPT #CUPS web$IPTABLES -A INPUT -i eth1 -s $LOCAL_HOST -p tcp --dport 4000 -j ACCEPT #MLDonkey telnet$IPTABLES -A INPUT -i eth1 -s $LOCAL_HOST -p tcp --dport 4080 -j ACCEPT #MLDonkey web 17
  • 19. echo "Reglas de proteccion..."############################################# Reglas de proteccion# Anti-flooding o inundación de tramas SYN.iptables -N syn-floodiptables -A INPUT -i eth1 -p tcp --syn -j syn-floodiptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURNiptables -A syn-flood -j DROP# Guardar los accesos con paquetes fragmentados, recurso utilizado paratirar# servidores y otras maldades (bug en Apache por ejemplo)iptables -A INPUT -i eth1 -f -j LOG --log-prefix "Fragmento! "iptables -A INPUT -i eth1 -f -j DROPecho "Reglas de accesos permitidos..."############################################# Accesos permitidosecho "-> DNS..."$IPTABLES -A INPUT -s 0.0.0.0/0 -p udp -m udp --sport 53 -j ACCEPT$IPTABLES -A OUTPUT -d 0.0.0.0/0 -p udp -m udp --dport 53 -j ACCEPTecho "-> web..."# Aceptamos acceso www$IPTABLES -A INPUT -i eth1 -s 0.0.0.0/0 -p tcp -m tcp --dport 80 -jACCEPT# ...y conexiones salientes relacionadas$IPTABLES -A OUTPUT -p tcp -m tcp --sport 80 -m state --stateRELATED,ESTABLISHED -j ACCEPT#Permitimos el procotolo icmp$IPTABLES -A INPUT -p icmp -j ACCEPT$IPTABLES -A OUTPUT -p icmp -j ACCEPT# Permitimos que local pueda salir a la web$IPTABLES -A INPUT -i eth1 -p tcp --sport 80 -m state --stateRELATED,ESTABLISHED -j ACCEPT$IPTABLES -A OUTPUT -o eth1 -p tcp --dport 80 -m state --stateNEW,ESTABLISHED -j ACCEPT$IPTABLES -A INPUT -i eth1 -p tcp --sport 443 -m state --stateRELATED,ESTABLISHED -j ACCEPT$IPTABLES -A OUTPUT -o eth1 -p tcp --dport 443 -m state --stateNEW,ESTABLISHED -j ACCEPTecho "-> ftp..." 18
  • 20. # Permitimos que local pueda salir a FTP$IPTABLES -A INPUT -i eth1 -p tcp --sport 21 -m state --state ESTABLISHED-j ACCEPT$IPTABLES -A OUTPUT -o eth1 -p tcp --dport 21 -m state --stateNEW,ESTABLISHED -j ACCEPT# ftp activo$IPTABLES -A INPUT -i eth1 -p tcp --sport 20 -m state --stateESTABLISHED,RELATED -j ACCEPT$IPTABLES -A OUTPUT -o eth1 -p tcp --dport 20 -m state --stateESTABLISHED -j ACCEPT# ftp pasivo$IPTABLES -A INPUT -i eth1 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT$IPTABLES -A OUTPUT -o eth1 -p tcp --sport 1024:65535 --dport 1024:65535-m state --state ESTABLISHED,RELATED -j ACCEPTecho "-> ssh..."# Aceptamos ssh y guardamos LOG$IPTABLES -A INPUT -i eth1 -s 0.0.0.0/0 -p tcp -m tcp --dport ssh -j LOG--log-prefix "IPTablesFW> "$IPTABLES -A INPUT -i eth1 -s 0.0.0.0/0 -p tcp -m tcp --dport ssh -jACCEPT# ...y conexiones salientes relacionadas$IPTABLES -A OUTPUT -p tcp -m tcp --sport ssh -m state --stateRELATED,ESTABLISHED -j ACCEPTecho "-> ntpd..."# Aceptamos conexiones ntpd$IPTABLES -A INPUT -i eth1 -s 0.0.0.0/0 -p udp -m udp --dport 123 -jACCEPT$IPTABLES -A OUTPUT -p udp -m udp --sport 123 -j ACCEPTecho "Cerrando puertos restringidos..."########################################### Puertos restringidos (telnet, ftp, imap, pop3, etc.)$IPTABLES -A INPUT -p tcp --dport 1:1024 -j DROP$IPTABLES -A INPUT -p udp --dport 1:1024 -j DROPecho "Configuracion FW terminada. Verifique con: iptables -L -n" 19
  • 21. DIAGRAMA DE RED IMPLEMENTADO 20

×