SlideShare una empresa de Scribd logo

cortafuegos_doble_pila_linux

C
cercer

El documento describe fw-admin, una herramienta de línea de comandos para administrar cortafuegos duales IPv4 e IPv6 en Linux de forma unificada. Fw-admin usa variables para declarar direcciones y aplicar reglas a iptables e ip6tables simultáneamente, evitando tener que mantener dos conjuntos de reglas separados.

Tecnología
1 de 22
Descargar para leer sin conexión
Cortafuegos doble pila en Linux IPv4 & IPv6 Arturo Borrero Gonzalez <aborrero@cica.es> Centro Informático Científico de Andalucía – CICA Consejería de Economía, Innovación, Ciencia y Empleo Junta de Andalucía La licencia de este documento es CC-BY-SA. Noviembre 2013
Recordatorio IPv4 & IPv6 Tamaño: IPv4 → 232 direcciones IPv6 → 2128 direcciones Del tipo: IPv4 → 192.168.1.1 - 150.214.5.83 IPv6 → fc00::1:1 - 2a00:9ac0:c1ca:6::83 En DNS: IPv4 → Registro tipo A IPv6 → Registro tipo AAAA CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
Recordatorio cortafuegos Linux · Proyecto Netfilter <netfilter.org> · Desde Linux ~ 2.4 · Evolución del framework: ipchains → iptables → nftables · Actualmente: iptables -A FORWARD -m conntrack –ctstate ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp –dport 22 -m conntrack –ctstate NEW -j ACCEPT ip6tables -A FORWARD -p udp –dport 53 -m conntrack –ctstate NEW -j ACCEPT CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
Dual stack IPv4 & IPv6 · Descrito en RFC-4213 · Método recomendado para despliegue IPv6 (vs tunel y otros) · Basado en DNS: → Un FQDN (www.cica.es) tiene doble resolución www.cica.es IN IN A AAAA 150.214.5.137 2a00:9ac0:c1ca:6::137 → El cliente obtiene ambos registros y decide qué protocolo usar CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
Dual stack IPv4 & IPv6 Idealmente, todo el direccionamiento es doble CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
Dual stack, consideraciones ¡Gestión por duplicado de la red! • 2x direccionamientos para gestionar • 2x tablas de enrutamiento • 2x registros en DNS • 2x cortafuegos ← !! CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
Dual stack, consideraciones ¿2 cortafuegos? • Netfilter no trabajar en dual stack :-( • Dos familias distintas: iptables vs ip6tables • Hay que escribir el cortafuegos 2 veces: root@debian:~# iptables -A FORWARD -p tcp -j ACCEPT root@debian:~# ip6tables -A FORWARD -p tcp -j ACCEPT CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
El problema del cortafuegos Elige sólo una opción: • No usar cortafuegos para IPv6 (no hay tráfico) • No usar cortafuegos para IPv6 (se acepta todo) • Gestionar 2 cortafuegos, 2 rulesets ¡El cortafuegos puede ser un gran problema en IPv6! CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
La propuesta de CICA Condiciones previas: • Red dual stack IPv4 & IPv6 basada en DNS al 99.99% • Queremos usar Linux y Netfilter • No queremos demasiada abstracción a Netfilter • No queremos escribir 2 rulesets • Queremos software libre, a prueba de NSA ;-) CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
La propuesta de CICA fw-admin • Herramienta CLI, escrita en shell • Pequeña capa de abstracción sobre iptables/ip6tables • Ruleset válido para ambas familias • Algunos extras • Software libre! CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
fw-admin ¿Que situaciones soporta? • Reglas de iptables con y sin dual stack • Resoluciones múltiples en DNS, tipo www.google.es • No todo es filtrado: NAT, ipset, etc... • Cortafuegos en alta disponibilidad (otra historia...) CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
fw-admin workflow básico 1. Declarar variables root@debian:~# fw-admin -a www.cica.es 2. Usarlas $IPT -A FORWARD -d $WWW_CICA_ES -p tcp --dport 80 -j ACCEPT 3. Aplicar el ruleset root@debian:~# fw-admin --start rules CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
fw-admin Comprobaciones y recarga de reglas CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
fw-admin Declaración de reglas usando variables Toda la funcionalidad de Netfilter es accesible directamente CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
fw-admin Formato ip[6]tables-save CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
fw-admin Ficheros de datos en texto plano CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
fw-admin Varias opciones, flexibilidad CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
fw-admin CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
fw-admin ¿puntos fuertes? • ¡Documentado! • Muy flexible • Desarrollo muy abierto a mejoras y nuevas funciones ¿puntos débiles? • Poco extendido (quizás nada) • Demasiado enfocado al entorno CICA (evidente) CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
¡Justo lo que estaba buscando! Contáctame a <aborrero@cica.es> y te ayudo a implementarlo CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
!Lo quiero ya! Código: https://github.com/aborrero/fw-admin Paquete DEB o RPM: <aborrero@cica.es> CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
GRACIAS ¿Preguntas? CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>

Recomendados

Thunderbolt QNAP
Thunderbolt QNAPThunderbolt QNAP
Thunderbolt QNAP
Fernando Barrientos
 
Ivaric_proyecto
Ivaric_proyectoIvaric_proyecto
Ivaric_proyecto
Iván López
 
Seguridad en i pv6 (2)
Seguridad en i pv6 (2)Seguridad en i pv6 (2)
Seguridad en i pv6 (2)
Fundación Proydesa
 
Ataque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil FocaAtaque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil Foca
Eventos Creativos
 
TS-531P Brochure
TS-531P BrochureTS-531P Brochure
TS-531P Brochure
Fernando Barrientos
 
Capitulo1 Nat Dhcp
Capitulo1 Nat DhcpCapitulo1 Nat Dhcp
Capitulo1 Nat DhcpMarcia Lorena Contento Tenezaca
 
Comoconstruimos bogota mesh.org
Comoconstruimos bogota mesh.orgComoconstruimos bogota mesh.org
Comoconstruimos bogota mesh.org
BartOc3
 
Nat (network address translation) qué es y cómo funciona
Nat (network address translation) qué es y cómo funcionaNat (network address translation) qué es y cómo funciona
Nat (network address translation) qué es y cómo funciona
queches
 

Recomendados

Thunderbolt QNAP
Thunderbolt QNAPThunderbolt QNAP
Thunderbolt QNAP
Fernando Barrientos
 
Ivaric_proyecto
Ivaric_proyectoIvaric_proyecto
Ivaric_proyecto
Iván López
 
Seguridad en i pv6 (2)
Seguridad en i pv6 (2)Seguridad en i pv6 (2)
Seguridad en i pv6 (2)
Fundación Proydesa
 
Ataque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil FocaAtaque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil Foca
Eventos Creativos
 
TS-531P Brochure
TS-531P BrochureTS-531P Brochure
TS-531P Brochure
Fernando Barrientos
 
Capitulo1 Nat Dhcp
Capitulo1 Nat DhcpCapitulo1 Nat Dhcp
Capitulo1 Nat DhcpMarcia Lorena Contento Tenezaca
 
Comoconstruimos bogota mesh.org
Comoconstruimos bogota mesh.orgComoconstruimos bogota mesh.org
Comoconstruimos bogota mesh.org
BartOc3
 
Nat (network address translation) qué es y cómo funciona
Nat (network address translation) qué es y cómo funcionaNat (network address translation) qué es y cómo funciona
Nat (network address translation) qué es y cómo funciona
queches
 
Implementación de NAT/PAT en routers Cisco
Implementación de NAT/PAT en routers CiscoImplementación de NAT/PAT en routers Cisco
Implementación de NAT/PAT en routers Cisco
Paulo Colomés
 
IPv6 en la certificación CCNA R&S
IPv6 en la certificación CCNA R&SIPv6 en la certificación CCNA R&S
IPv6 en la certificación CCNA R&S
Educática
 
a little more about CaptureFilter
a little more about CaptureFiltera little more about CaptureFilter
a little more about CaptureFilter
@ otsuka752
 
Fundamentos de RPKI y BGP
Fundamentos de RPKI y BGPFundamentos de RPKI y BGP
Fundamentos de RPKI y BGP
Paulo Colomés
 
Uso del escaner de puertos nmap
Uso del escaner de puertos nmapUso del escaner de puertos nmap
Uso del escaner de puertos nmap
Carlos Antonio Leal Saballos
 
Asignación de bloques de direcciones IPv6
Asignación de bloques de direcciones IPv6Asignación de bloques de direcciones IPv6
Asignación de bloques de direcciones IPv6
Educática
 
Apuntes servidores
Apuntes servidoresApuntes servidores
Apuntes servidoresRene Zenteno
 
Taller hacking
Taller hackingTaller hacking
Taller hackingЛеонардо Ильяньеса
 
TV y video multicast en redes LAN. Trucos y recomendaciones
TV y video multicast en redes LAN. Trucos y recomendacionesTV y video multicast en redes LAN. Trucos y recomendaciones
TV y video multicast en redes LAN. Trucos y recomendaciones
NETGEAR Iberia
 
DoS En La Ciberguerra
DoS En La CiberguerraDoS En La Ciberguerra
DoS En La Ciberguerra
Alejandro Ramos
 
IPv6
IPv6IPv6
IPv6
Luxandra
 
IPv6 llegó para quedarse
IPv6 llegó para quedarseIPv6 llegó para quedarse
IPv6 llegó para quedarse
Educática
 
Mantén el ReadyNAS siempre en forma
Mantén el ReadyNAS siempre en formaMantén el ReadyNAS siempre en forma
Mantén el ReadyNAS siempre en forma
NETGEAR Iberia
 
Curso: Redes y telecomunicaciones: 10 Protocolos de ruteo
Curso: Redes y telecomunicaciones: 10 Protocolos de ruteoCurso: Redes y telecomunicaciones: 10 Protocolos de ruteo
Curso: Redes y telecomunicaciones: 10 Protocolos de ruteo
Jack Daniel Cáceres Meza
 
6sos instalacion ipv6_windows_v4_0
6sos instalacion ipv6_windows_v4_06sos instalacion ipv6_windows_v4_0
6sos instalacion ipv6_windows_v4_0Victor Garcia Vara
 
8.2.5.4 lab identifying i pv6 addresses.
8.2.5.4 lab identifying i pv6 addresses.8.2.5.4 lab identifying i pv6 addresses.
8.2.5.4 lab identifying i pv6 addresses.
timmaujim
 
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]RootedCON
 
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]RootedCON
 
¿Estás preparado para IPv6?
¿Estás preparado para IPv6?¿Estás preparado para IPv6?
¿Estás preparado para IPv6?
Educática
 
Práctica despliegue i pv6 0
Práctica despliegue i pv6 0Práctica despliegue i pv6 0
Práctica despliegue i pv6 0
Jhoni Guerrero
 
Citrix Secure Gateway
Citrix Secure GatewayCitrix Secure Gateway
Citrix Secure Gateway
Joaquin Herrero
 
Criterio45cortafuegos
Criterio45cortafuegosCriterio45cortafuegos
Criterio45cortafuegosRaquel Carretero
 

Más contenido relacionado

La actualidad más candente

Implementación de NAT/PAT en routers Cisco
Implementación de NAT/PAT en routers CiscoImplementación de NAT/PAT en routers Cisco
Implementación de NAT/PAT en routers Cisco
Paulo Colomés
 
IPv6 en la certificación CCNA R&S
IPv6 en la certificación CCNA R&SIPv6 en la certificación CCNA R&S
IPv6 en la certificación CCNA R&S
Educática
 
a little more about CaptureFilter
a little more about CaptureFiltera little more about CaptureFilter
a little more about CaptureFilter
@ otsuka752
 
Fundamentos de RPKI y BGP
Fundamentos de RPKI y BGPFundamentos de RPKI y BGP
Fundamentos de RPKI y BGP
Paulo Colomés
 
Uso del escaner de puertos nmap
Uso del escaner de puertos nmapUso del escaner de puertos nmap
Uso del escaner de puertos nmap
Carlos Antonio Leal Saballos
 
Asignación de bloques de direcciones IPv6
Asignación de bloques de direcciones IPv6Asignación de bloques de direcciones IPv6
Asignación de bloques de direcciones IPv6
Educática
 
Apuntes servidores
Apuntes servidoresApuntes servidores
Apuntes servidoresRene Zenteno
 
TV y video multicast en redes LAN. Trucos y recomendaciones
TV y video multicast en redes LAN. Trucos y recomendacionesTV y video multicast en redes LAN. Trucos y recomendaciones
TV y video multicast en redes LAN. Trucos y recomendaciones
NETGEAR Iberia
 
DoS En La Ciberguerra
DoS En La CiberguerraDoS En La Ciberguerra
DoS En La Ciberguerra
Alejandro Ramos
 
IPv6
IPv6IPv6
IPv6
Luxandra
 
IPv6 llegó para quedarse
IPv6 llegó para quedarseIPv6 llegó para quedarse
IPv6 llegó para quedarse
Educática
 
Mantén el ReadyNAS siempre en forma
Mantén el ReadyNAS siempre en formaMantén el ReadyNAS siempre en forma
Mantén el ReadyNAS siempre en forma
NETGEAR Iberia
 
Curso: Redes y telecomunicaciones: 10 Protocolos de ruteo
Curso: Redes y telecomunicaciones: 10 Protocolos de ruteoCurso: Redes y telecomunicaciones: 10 Protocolos de ruteo
Curso: Redes y telecomunicaciones: 10 Protocolos de ruteo
Jack Daniel Cáceres Meza
 
6sos instalacion ipv6_windows_v4_0
6sos instalacion ipv6_windows_v4_06sos instalacion ipv6_windows_v4_0
6sos instalacion ipv6_windows_v4_0Victor Garcia Vara
 
8.2.5.4 lab identifying i pv6 addresses.
8.2.5.4 lab identifying i pv6 addresses.8.2.5.4 lab identifying i pv6 addresses.
8.2.5.4 lab identifying i pv6 addresses.
timmaujim
 
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]RootedCON
 
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]RootedCON
 
¿Estás preparado para IPv6?
¿Estás preparado para IPv6?¿Estás preparado para IPv6?
¿Estás preparado para IPv6?
Educática
 
Práctica despliegue i pv6 0
Práctica despliegue i pv6 0Práctica despliegue i pv6 0
Práctica despliegue i pv6 0
Jhoni Guerrero
 

La actualidad más candente (20)

Implementación de NAT/PAT en routers Cisco
Implementación de NAT/PAT en routers CiscoImplementación de NAT/PAT en routers Cisco
Implementación de NAT/PAT en routers Cisco
 
IPv6 en la certificación CCNA R&S
IPv6 en la certificación CCNA R&SIPv6 en la certificación CCNA R&S
IPv6 en la certificación CCNA R&S
 
a little more about CaptureFilter
a little more about CaptureFiltera little more about CaptureFilter
a little more about CaptureFilter
 
Fundamentos de RPKI y BGP
Fundamentos de RPKI y BGPFundamentos de RPKI y BGP
Fundamentos de RPKI y BGP
 
Uso del escaner de puertos nmap
Uso del escaner de puertos nmapUso del escaner de puertos nmap
Uso del escaner de puertos nmap
 
Asignación de bloques de direcciones IPv6
Asignación de bloques de direcciones IPv6Asignación de bloques de direcciones IPv6
Asignación de bloques de direcciones IPv6
 
Apuntes servidores
Apuntes servidoresApuntes servidores
Apuntes servidores
 
Taller hacking
Taller hackingTaller hacking
Taller hacking
 
TV y video multicast en redes LAN. Trucos y recomendaciones
TV y video multicast en redes LAN. Trucos y recomendacionesTV y video multicast en redes LAN. Trucos y recomendaciones
TV y video multicast en redes LAN. Trucos y recomendaciones
 
DoS En La Ciberguerra
DoS En La CiberguerraDoS En La Ciberguerra
DoS En La Ciberguerra
 
IPv6
IPv6IPv6
IPv6
 
IPv6 llegó para quedarse
IPv6 llegó para quedarseIPv6 llegó para quedarse
IPv6 llegó para quedarse
 
Mantén el ReadyNAS siempre en forma
Mantén el ReadyNAS siempre en formaMantén el ReadyNAS siempre en forma
Mantén el ReadyNAS siempre en forma
 
Curso: Redes y telecomunicaciones: 10 Protocolos de ruteo
Curso: Redes y telecomunicaciones: 10 Protocolos de ruteoCurso: Redes y telecomunicaciones: 10 Protocolos de ruteo
Curso: Redes y telecomunicaciones: 10 Protocolos de ruteo
 
6sos instalacion ipv6_windows_v4_0
6sos instalacion ipv6_windows_v4_06sos instalacion ipv6_windows_v4_0
6sos instalacion ipv6_windows_v4_0
 
8.2.5.4 lab identifying i pv6 addresses.
8.2.5.4 lab identifying i pv6 addresses.8.2.5.4 lab identifying i pv6 addresses.
8.2.5.4 lab identifying i pv6 addresses.
 
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
 
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
 
¿Estás preparado para IPv6?
¿Estás preparado para IPv6?¿Estás preparado para IPv6?
¿Estás preparado para IPv6?
 
Práctica despliegue i pv6 0
Práctica despliegue i pv6 0Práctica despliegue i pv6 0
Práctica despliegue i pv6 0
 

Destacado

Citrix Secure Gateway
Citrix Secure GatewayCitrix Secure Gateway
Citrix Secure Gateway
Joaquin Herrero
 
Cortafuegos (fiewall) equipo 2
Cortafuegos (fiewall) equipo 2Cortafuegos (fiewall) equipo 2
Cortafuegos (fiewall) equipo 2UVM
 
Firewall hw
Firewall hwFirewall hw
Firewall hw
José Luis Andújar
 
Antivirus y cortafuegos
Antivirus y cortafuegosAntivirus y cortafuegos
Antivirus y cortafuegos
ticdevirginia
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
Instituto Tecnologico de Ciudad Madero
 
Qué es unos cortafuegos y cómo funciona
Qué es unos cortafuegos y cómo funcionaQué es unos cortafuegos y cómo funciona
Qué es unos cortafuegos y cómo funciona
andy1244
 
Seguridad en redes tcp
Seguridad en redes tcpSeguridad en redes tcp
Seguridad en redes tcp
Elim Aqp
 
Resumen IPTABLES
Resumen IPTABLESResumen IPTABLES
Resumen IPTABLES
alexmerono
 
Seguridad2007
Seguridad2007Seguridad2007
Seguridad2007
josemanuel2
 
Java OO: Introducción
Java OO: IntroducciónJava OO: Introducción
Java OO: Introducción
Eric Gustavo Coronel Castillo
 
JAVA OO - TEMA 01 - CLASES Y OBJETOS
JAVA OO - TEMA 01 - CLASES Y OBJETOSJAVA OO - TEMA 01 - CLASES Y OBJETOS
JAVA OO - TEMA 01 - CLASES Y OBJETOS
Eric Gustavo Coronel Castillo
 
Java Lambda
Java LambdaJava Lambda
Java Lambda
Eric Gustavo Coronel Castillo
 
SEMINARIO: ACCESO A BASE DE DATOS CON JDBC
SEMINARIO: ACCESO A BASE DE DATOS CON JDBCSEMINARIO: ACCESO A BASE DE DATOS CON JDBC
SEMINARIO: ACCESO A BASE DE DATOS CON JDBC
Eric Gustavo Coronel Castillo
 

Destacado (17)

Citrix Secure Gateway
Citrix Secure GatewayCitrix Secure Gateway
Citrix Secure Gateway
 
Criterio45cortafuegos
Criterio45cortafuegosCriterio45cortafuegos
Criterio45cortafuegos
 
Cortafuegos (fiewall) equipo 2
Cortafuegos (fiewall) equipo 2Cortafuegos (fiewall) equipo 2
Cortafuegos (fiewall) equipo 2
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 
Firewall hw
Firewall hwFirewall hw
Firewall hw
 
Antivirus y cortafuegos
Antivirus y cortafuegosAntivirus y cortafuegos
Antivirus y cortafuegos
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Qué es unos cortafuegos y cómo funciona
Qué es unos cortafuegos y cómo funcionaQué es unos cortafuegos y cómo funciona
Qué es unos cortafuegos y cómo funciona
 
Seguridad en redes tcp
Seguridad en redes tcpSeguridad en redes tcp
Seguridad en redes tcp
 
Resumen IPTABLES
Resumen IPTABLESResumen IPTABLES
Resumen IPTABLES
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 
Seguridad2007
Seguridad2007Seguridad2007
Seguridad2007
 
Java OO: Introducción
Java OO: IntroducciónJava OO: Introducción
Java OO: Introducción
 
JAVA OO - TEMA 01 - CLASES Y OBJETOS
JAVA OO - TEMA 01 - CLASES Y OBJETOSJAVA OO - TEMA 01 - CLASES Y OBJETOS
JAVA OO - TEMA 01 - CLASES Y OBJETOS
 
Java Lambda
Java LambdaJava Lambda
Java Lambda
 
SEMINARIO: ACCESO A BASE DE DATOS CON JDBC
SEMINARIO: ACCESO A BASE DE DATOS CON JDBCSEMINARIO: ACCESO A BASE DE DATOS CON JDBC
SEMINARIO: ACCESO A BASE DE DATOS CON JDBC
 

Similar a cortafuegos_doble_pila_linux

Evolución del stack de protocolos de Internet - IPv6 y QUIC
Evolución del stack de protocolos de Internet - IPv6 y QUICEvolución del stack de protocolos de Internet - IPv6 y QUIC
Evolución del stack de protocolos de Internet - IPv6 y QUIC
Carlos Martinez Cagnazzo
 
voip2day 2012 - Voipv6 alberto sagredo
voip2day 2012 - Voipv6 alberto sagredovoip2day 2012 - Voipv6 alberto sagredo
voip2day 2012 - Voipv6 alberto sagredoVOIP2DAY
 
208830161 migracion-i pv4-a-ipv6-ppt
208830161 migracion-i pv4-a-ipv6-ppt208830161 migracion-i pv4-a-ipv6-ppt
208830161 migracion-i pv4-a-ipv6-ppt
Luis Granados
 
Evolución de Protocolos de Internet 2017
Evolución de Protocolos de Internet 2017Evolución de Protocolos de Internet 2017
Evolución de Protocolos de Internet 2017
Carlos Martinez Cagnazzo
 
Los motivos de i pv6 2016
Los motivos de i pv6 2016Los motivos de i pv6 2016
Los motivos de i pv6 2016
Carlos Antonio Leal Saballos
 
Firewall Casero con gnu/linux (Ubuntu Server 14.04)
Firewall Casero con gnu/linux (Ubuntu Server 14.04)Firewall Casero con gnu/linux (Ubuntu Server 14.04)
Firewall Casero con gnu/linux (Ubuntu Server 14.04)
Remigio Salvador Sánchez
 
VozIPV6
VozIPV6VozIPV6
VozIPV6
OpenDireito
 
Firewall y nat
Firewall y natFirewall y nat
Firewall y nat
Biron Piña
 
Practica_1_STD.pptx
Practica_1_STD.pptxPractica_1_STD.pptx
Practica_1_STD.pptx
JorgeGonzales972788
 
CASE 2013 - 6lowpan
CASE 2013 - 6lowpanCASE 2013 - 6lowpan
CASE 2013 - 6lowpan
anadiedrichs
 
La Certificación CCNA R&S 200-125
La Certificación CCNA R&S 200-125La Certificación CCNA R&S 200-125
La Certificación CCNA R&S 200-125
Educática
 
Firewall iptables
Firewall iptablesFirewall iptables
Firewall iptables
cercer
 
TVS-871T Brochure
TVS-871T BrochureTVS-871T Brochure
TVS-871T Brochure
Fernando Barrientos
 
QNAP Presentación 2016
QNAP Presentación 2016QNAP Presentación 2016
QNAP Presentación 2016
Fernando Barrientos
 
La Nueva Serie X73 AMD de QNAP
La Nueva Serie X73 AMD de QNAPLa Nueva Serie X73 AMD de QNAP
La Nueva Serie X73 AMD de QNAP
Fernando Barrientos
 
Naveguemos por Internet con IPv6
Naveguemos por Internet con IPv6Naveguemos por Internet con IPv6
Naveguemos por Internet con IPv6
Wilfredo Torres Moya
 
Cacti desde-paquetes
Cacti desde-paquetesCacti desde-paquetes
Cacti desde-paquetes
Renè Grillet
 
Cacti desde-paquetes
Cacti desde-paquetesCacti desde-paquetes
Cacti desde-paquetes
tioe
 
La Certificación CCNA - CCNA R&S 200-125
La Certificación CCNA - CCNA R&S 200-125La Certificación CCNA - CCNA R&S 200-125
La Certificación CCNA - CCNA R&S 200-125
Educática
 

Similar a cortafuegos_doble_pila_linux (20)

Evolución del stack de protocolos de Internet - IPv6 y QUIC
Evolución del stack de protocolos de Internet - IPv6 y QUICEvolución del stack de protocolos de Internet - IPv6 y QUIC
Evolución del stack de protocolos de Internet - IPv6 y QUIC
 
voip2day 2012 - Voipv6 alberto sagredo
voip2day 2012 - Voipv6 alberto sagredovoip2day 2012 - Voipv6 alberto sagredo
voip2day 2012 - Voipv6 alberto sagredo
 
208830161 migracion-i pv4-a-ipv6-ppt
208830161 migracion-i pv4-a-ipv6-ppt208830161 migracion-i pv4-a-ipv6-ppt
208830161 migracion-i pv4-a-ipv6-ppt
 
Evolución de Protocolos de Internet 2017
Evolución de Protocolos de Internet 2017Evolución de Protocolos de Internet 2017
Evolución de Protocolos de Internet 2017
 
Los motivos de i pv6 2016
Los motivos de i pv6 2016Los motivos de i pv6 2016
Los motivos de i pv6 2016
 
Firewall Casero con gnu/linux (Ubuntu Server 14.04)
Firewall Casero con gnu/linux (Ubuntu Server 14.04)Firewall Casero con gnu/linux (Ubuntu Server 14.04)
Firewall Casero con gnu/linux (Ubuntu Server 14.04)
 
VozIPV6
VozIPV6VozIPV6
VozIPV6
 
Firewall y nat
Firewall y natFirewall y nat
Firewall y nat
 
Practica_1_STD.pptx
Practica_1_STD.pptxPractica_1_STD.pptx
Practica_1_STD.pptx
 
CASE 2013 - 6lowpan
CASE 2013 - 6lowpanCASE 2013 - 6lowpan
CASE 2013 - 6lowpan
 
La Certificación CCNA R&S 200-125
La Certificación CCNA R&S 200-125La Certificación CCNA R&S 200-125
La Certificación CCNA R&S 200-125
 
Firewall iptables
Firewall iptablesFirewall iptables
Firewall iptables
 
TVS-871T Brochure
TVS-871T BrochureTVS-871T Brochure
TVS-871T Brochure
 
QNAP Presentación 2016
QNAP Presentación 2016QNAP Presentación 2016
QNAP Presentación 2016
 
La Nueva Serie X73 AMD de QNAP
La Nueva Serie X73 AMD de QNAPLa Nueva Serie X73 AMD de QNAP
La Nueva Serie X73 AMD de QNAP
 
Naveguemos por Internet con IPv6
Naveguemos por Internet con IPv6Naveguemos por Internet con IPv6
Naveguemos por Internet con IPv6
 
Cacti desde-paquetes
Cacti desde-paquetesCacti desde-paquetes
Cacti desde-paquetes
 
Cacti desde-paquetes
Cacti desde-paquetesCacti desde-paquetes
Cacti desde-paquetes
 
La Certificación CCNA - CCNA R&S 200-125
La Certificación CCNA - CCNA R&S 200-125La Certificación CCNA - CCNA R&S 200-125
La Certificación CCNA - CCNA R&S 200-125
 
Topera: Evadiendo Snort con IPv6
Topera: Evadiendo Snort con IPv6Topera: Evadiendo Snort con IPv6
Topera: Evadiendo Snort con IPv6
 

Más de cercer

Alta Disponibilidad - CICA
Alta Disponibilidad - CICAAlta Disponibilidad - CICA
Alta Disponibilidad - CICA
cercer
 
Firewall en cluster de alta disponibilidad
Firewall en cluster de alta disponibilidadFirewall en cluster de alta disponibilidad
Firewall en cluster de alta disponibilidadcercer
 
Iptables
IptablesIptables
Iptablescercer
 
Tutorial Rsyslog Debian Squeeze
Tutorial Rsyslog Debian SqueezeTutorial Rsyslog Debian Squeeze
Tutorial Rsyslog Debian Squeeze
cercer
 
Memoria sobre Squid3
Memoria sobre Squid3Memoria sobre Squid3
Memoria sobre Squid3
cercer
 
How to install Open Atrium over LAMP stack
How to install Open Atrium over LAMP stackHow to install Open Atrium over LAMP stack
How to install Open Atrium over LAMP stack
cercer
 
Documentacion cap2 windows 7
Documentacion cap2 windows 7Documentacion cap2 windows 7
Documentacion cap2 windows 7cercer
 
Documentacion cap2 windows 7 arturo pdf
Documentacion cap2 windows 7 arturo pdfDocumentacion cap2 windows 7 arturo pdf
Documentacion cap2 windows 7 arturo pdfcercer
 
Documentacion cap2 windows 7 arturo pdf
Documentacion cap2 windows 7 arturo pdfDocumentacion cap2 windows 7 arturo pdf
Documentacion cap2 windows 7 arturo pdfcercer
 

Más de cercer (9)

Alta Disponibilidad - CICA
Alta Disponibilidad - CICAAlta Disponibilidad - CICA
Alta Disponibilidad - CICA
 
Firewall en cluster de alta disponibilidad
Firewall en cluster de alta disponibilidadFirewall en cluster de alta disponibilidad
Firewall en cluster de alta disponibilidad
 
Iptables
IptablesIptables
Iptables
 
Tutorial Rsyslog Debian Squeeze
Tutorial Rsyslog Debian SqueezeTutorial Rsyslog Debian Squeeze
Tutorial Rsyslog Debian Squeeze
 
Memoria sobre Squid3
Memoria sobre Squid3Memoria sobre Squid3
Memoria sobre Squid3
 
How to install Open Atrium over LAMP stack
How to install Open Atrium over LAMP stackHow to install Open Atrium over LAMP stack
How to install Open Atrium over LAMP stack
 
Documentacion cap2 windows 7
Documentacion cap2 windows 7Documentacion cap2 windows 7
Documentacion cap2 windows 7
 
Documentacion cap2 windows 7 arturo pdf
Documentacion cap2 windows 7 arturo pdfDocumentacion cap2 windows 7 arturo pdf
Documentacion cap2 windows 7 arturo pdf
 
Documentacion cap2 windows 7 arturo pdf
Documentacion cap2 windows 7 arturo pdfDocumentacion cap2 windows 7 arturo pdf
Documentacion cap2 windows 7 arturo pdf
 

Último

Diagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdfDiagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdf
ManuelCampos464987
 
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptxleidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
Leidyfuentes19
 
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Telefónica
 
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
DanielErazoMedina
 
HIGADO Y TRAUMA HEPATICO UDABOL 2024 (3).pdf
HIGADO Y TRAUMA HEPATICO UDABOL 2024 (3).pdfHIGADO Y TRAUMA HEPATICO UDABOL 2024 (3).pdf
HIGADO Y TRAUMA HEPATICO UDABOL 2024 (3).pdf
IsabelHuairaGarma
 
EduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clasesEduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clases
PABLOCESARGARZONBENI
 
lenguaje algebraico.pptx álgebra, trigonometria
lenguaje algebraico.pptx álgebra, trigonometrialenguaje algebraico.pptx álgebra, trigonometria
lenguaje algebraico.pptx álgebra, trigonometria
sofiasonder
 
3°ð_¦_â_¾ï¸_S34 PLAN DARUKEL DIDÃ_CTICA 23-24.docx
3°ð_¦_â_¾ï¸_S34 PLAN DARUKEL DIDÃ_CTICA 23-24.docx3°ð_¦_â_¾ï¸_S34 PLAN DARUKEL DIDÃ_CTICA 23-24.docx
3°ð_¦_â_¾ï¸_S34 PLAN DARUKEL DIDÃ_CTICA 23-24.docx
werito139410
 
Diagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestreDiagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestre
rafaelsalazar0615
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
cj3806354
 
Posnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativaPosnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativa
Fernando Villares
 
3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto
cdraco
 
Inteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdfInteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdf
Emilio Casbas
 
PRÁCTICAS DEL MÓDULO I Y II DE EDUCACIÓN Y SOCIEDAD.docx
PRÁCTICAS DEL MÓDULO I Y II DE EDUCACIÓN Y SOCIEDAD.docxPRÁCTICAS DEL MÓDULO I Y II DE EDUCACIÓN Y SOCIEDAD.docx
PRÁCTICAS DEL MÓDULO I Y II DE EDUCACIÓN Y SOCIEDAD.docx
encinasm992
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
jjfch3110
 
proyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusproyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmus
raquelariza02
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
vazquezgarciajesusma
 
Licencias para el Uso y el Desarrollo de Software
Licencias para el Uso y el Desarrollo de SoftwareLicencias para el Uso y el Desarrollo de Software
Licencias para el Uso y el Desarrollo de Software
Andres Avila
 
Sistemas distribuidos de redes de computadores en un entorno virtual de apren...
Sistemas distribuidos de redes de computadores en un entorno virtual de apren...Sistemas distribuidos de redes de computadores en un entorno virtual de apren...
Sistemas distribuidos de redes de computadores en un entorno virtual de apren...
Luis Fernando Uribe Villamil
 
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdfDesarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
AlejandraCasallas7
 

Último (20)

Diagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdfDiagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdf
 
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptxleidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
 
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
 
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
 
HIGADO Y TRAUMA HEPATICO UDABOL 2024 (3).pdf
HIGADO Y TRAUMA HEPATICO UDABOL 2024 (3).pdfHIGADO Y TRAUMA HEPATICO UDABOL 2024 (3).pdf
HIGADO Y TRAUMA HEPATICO UDABOL 2024 (3).pdf
 
EduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clasesEduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clases
 
lenguaje algebraico.pptx álgebra, trigonometria
lenguaje algebraico.pptx álgebra, trigonometrialenguaje algebraico.pptx álgebra, trigonometria
lenguaje algebraico.pptx álgebra, trigonometria
 
3°ð_¦_â_¾ï¸_S34 PLAN DARUKEL DIDÃ_CTICA 23-24.docx
3°ð_¦_â_¾ï¸_S34 PLAN DARUKEL DIDÃ_CTICA 23-24.docx3°ð_¦_â_¾ï¸_S34 PLAN DARUKEL DIDÃ_CTICA 23-24.docx
3°ð_¦_â_¾ï¸_S34 PLAN DARUKEL DIDÃ_CTICA 23-24.docx
 
Diagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestreDiagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestre
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
 
Posnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativaPosnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativa
 
3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto
 
Inteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdfInteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdf
 
PRÁCTICAS DEL MÓDULO I Y II DE EDUCACIÓN Y SOCIEDAD.docx
PRÁCTICAS DEL MÓDULO I Y II DE EDUCACIÓN Y SOCIEDAD.docxPRÁCTICAS DEL MÓDULO I Y II DE EDUCACIÓN Y SOCIEDAD.docx
PRÁCTICAS DEL MÓDULO I Y II DE EDUCACIÓN Y SOCIEDAD.docx
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
 
proyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusproyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmus
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
 
Licencias para el Uso y el Desarrollo de Software
Licencias para el Uso y el Desarrollo de SoftwareLicencias para el Uso y el Desarrollo de Software
Licencias para el Uso y el Desarrollo de Software
 
Sistemas distribuidos de redes de computadores en un entorno virtual de apren...
Sistemas distribuidos de redes de computadores en un entorno virtual de apren...Sistemas distribuidos de redes de computadores en un entorno virtual de apren...
Sistemas distribuidos de redes de computadores en un entorno virtual de apren...
 
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdfDesarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
 

cortafuegos_doble_pila_linux

  • 1. Cortafuegos doble pila en Linux IPv4 & IPv6 Arturo Borrero Gonzalez <aborrero@cica.es> Centro Informático Científico de Andalucía – CICA Consejería de Economía, Innovación, Ciencia y Empleo Junta de Andalucía La licencia de este documento es CC-BY-SA. Noviembre 2013
  • 2. Recordatorio IPv4 & IPv6 Tamaño: IPv4 → 232 direcciones IPv6 → 2128 direcciones Del tipo: IPv4 → 192.168.1.1 - 150.214.5.83 IPv6 → fc00::1:1 - 2a00:9ac0:c1ca:6::83 En DNS: IPv4 → Registro tipo A IPv6 → Registro tipo AAAA CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 3. Recordatorio cortafuegos Linux · Proyecto Netfilter <netfilter.org> · Desde Linux ~ 2.4 · Evolución del framework: ipchains → iptables → nftables · Actualmente: iptables -A FORWARD -m conntrack –ctstate ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp –dport 22 -m conntrack –ctstate NEW -j ACCEPT ip6tables -A FORWARD -p udp –dport 53 -m conntrack –ctstate NEW -j ACCEPT CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 4. Dual stack IPv4 & IPv6 · Descrito en RFC-4213 · Método recomendado para despliegue IPv6 (vs tunel y otros) · Basado en DNS: → Un FQDN (www.cica.es) tiene doble resolución www.cica.es IN IN A AAAA 150.214.5.137 2a00:9ac0:c1ca:6::137 → El cliente obtiene ambos registros y decide qué protocolo usar CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 5. Dual stack IPv4 & IPv6 Idealmente, todo el direccionamiento es doble CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 6. Dual stack, consideraciones ¡Gestión por duplicado de la red! • 2x direccionamientos para gestionar • 2x tablas de enrutamiento • 2x registros en DNS • 2x cortafuegos ← !! CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 7. Dual stack, consideraciones ¿2 cortafuegos? • Netfilter no trabajar en dual stack :-( • Dos familias distintas: iptables vs ip6tables • Hay que escribir el cortafuegos 2 veces: root@debian:~# iptables -A FORWARD -p tcp -j ACCEPT root@debian:~# ip6tables -A FORWARD -p tcp -j ACCEPT CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 8. El problema del cortafuegos Elige sólo una opción: • No usar cortafuegos para IPv6 (no hay tráfico) • No usar cortafuegos para IPv6 (se acepta todo) • Gestionar 2 cortafuegos, 2 rulesets ¡El cortafuegos puede ser un gran problema en IPv6! CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 9. La propuesta de CICA Condiciones previas: • Red dual stack IPv4 & IPv6 basada en DNS al 99.99% • Queremos usar Linux y Netfilter • No queremos demasiada abstracción a Netfilter • No queremos escribir 2 rulesets • Queremos software libre, a prueba de NSA ;-) CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 10. La propuesta de CICA fw-admin • Herramienta CLI, escrita en shell • Pequeña capa de abstracción sobre iptables/ip6tables • Ruleset válido para ambas familias • Algunos extras • Software libre! CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 11. fw-admin ¿Que situaciones soporta? • Reglas de iptables con y sin dual stack • Resoluciones múltiples en DNS, tipo www.google.es • No todo es filtrado: NAT, ipset, etc... • Cortafuegos en alta disponibilidad (otra historia...) CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 12. fw-admin workflow básico 1. Declarar variables root@debian:~# fw-admin -a www.cica.es 2. Usarlas $IPT -A FORWARD -d $WWW_CICA_ES -p tcp --dport 80 -j ACCEPT 3. Aplicar el ruleset root@debian:~# fw-admin --start rules CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 13. fw-admin Comprobaciones y recarga de reglas CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 14. fw-admin Declaración de reglas usando variables Toda la funcionalidad de Netfilter es accesible directamente CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 15. fw-admin Formato ip[6]tables-save CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 16. fw-admin Ficheros de datos en texto plano CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 17. fw-admin Varias opciones, flexibilidad CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 18. fw-admin CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 19. fw-admin ¿puntos fuertes? • ¡Documentado! • Muy flexible • Desarrollo muy abierto a mejoras y nuevas funciones ¿puntos débiles? • Poco extendido (quizás nada) • Demasiado enfocado al entorno CICA (evidente) CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 20. ¡Justo lo que estaba buscando! Contáctame a <aborrero@cica.es> y te ayudo a implementarlo CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 21. !Lo quiero ya! Código: https://github.com/aborrero/fw-admin Paquete DEB o RPM: <aborrero@cica.es> CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 22. GRACIAS ¿Preguntas? CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>