Firewall

1,192 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,192
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
57
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Firewall

  1. 1. FIREWALL FILTRADO IP
  2. 2. IPTABLES • Es la herramienta que nos permite configurar las reglas del sistema de filtrado de paquetes del kernel de Linux, desde su versión 2.4 (en 2.2 era ipchains). Con esta herramienta, podremos crearnos un firewall adaptado a nuestras necesidades.
  3. 3. IPTABLES PAQUETES ACCIONES BASICAS IPTABLES REGLAS ACEPTAR REGLA-1 REGLA-2 ACCIONES ELIMINAR REGLA-N RECHAZAR CONTINUA
  4. 4. REGLAS • Se aplican reglas, especificando cada una de ellas unas determinadas características que debe cumplir un paquete. • Para cada regla se especifica una acción o “target”. • Cuando se recibe o se envía un paquete, las reglas se recorren en orden, hasta que las condiciones que pide una de ellas se cumplen , se realiza acción que le haya sido especificada.
  5. 5. PAQUETES QUE SE IPTABLES REFIEREN A NUESTRO TABLAS EQUIPO NAT MANGLE FILTER INPUT Paquetes recibidos OUTPUT Paquetes enviados(generados) FORWARD Paquetes enrutados por nuestro equipo CHAINS
  6. 6. CHAINS CHAINS TARGETS INPUT ACCEPT DROP OUTPUT REJECT FORWARD POLITICA POR DEFECTO
  7. 7. CONSIDERACIONES • Permitir realizar conexiones TCP hacia afuera (realizar peticiones) • NO permitir conexiones TCP desde fuera • Permitir el tráfico de paquetes TCP en ambas direcciones. (que no establezcan conexiones) • Prohibir el tráfico UDP desde afuera de nuestra máquina(solo DNS UDP 53) • NO aplicar restricciones a la red local.(para usar SSH por ej.)
  8. 8. SINTAXIS BASICA # iptables -opcion CHAIN -j ACCION # iptables -A INPUT -j ACCEPT Con –A se agrega una regla que acepta todos los paquetes que llegan al host.Generalmente esta es la politica por defecto.-
  9. 9. SINTAXIS BASICA # iptables -opcion CHAIN -j ACCION AGREGA -A INPUT LISTA -L OUTPUT INSERTA -I FORWARD ELIMINA -D CREADAS FLUSH -F
  10. 10. SINTAXIS BASICA # iptables -opcion CHAIN -j ACCION EXISTEN ELIMINA DROP MAS ACCIONES,C RECHAZA REJECT OMO LOG,MIRRO ELIMINA ACCEPT R ETC.
  11. 11. AFINANDO.... • -p Protocolo al que pertenece el paquete. • -s dirección de origen del • -d dirección destino • -i Especificación del interfaz por el que se recibe el paquete. • -o Interfaz por el que se va a enviar el paquete.
  12. 12. REJECT • icmp-net-unreachable • icmp-host-unreachable • icmp-port-unreachable • icmp-proto-unreachable • icmp-net-prohibited • icmp-host-prohibited.
  13. 13. AHORA A LA PRACTICA ARMANDO UN FIREWALL CON IPTABLES
  14. 14. PASO UNO • Permitir culaquier trafico desde la direccion de loopback local(lo): iptables -A INPUT -i lo -j ACCEPT
  15. 15. PASO DOS • Permitiremos todo el tráfico que provenga de nuestro interfaz de red interna. •iptables -A INPUT -i eth0 -j ACCEPT
  16. 16. PASO TRES • No permitir paquetes TCP del exterior que intenten establecer una conexión • iptables -A INPUT -p tcp --syn -j REJECT --reject-with icmp-port- unreachable   • Los paquetes que intentan establecer una conexión se reconocen por las flags SYN y ACK y FIN
  17. 17. PASO CUATRO Permitir recibir las respuestas DNS . Las respuestas provienen del puerto 53,y son paquetes UDP. ¿Lo piensan? iptables -A INPUT -p udp --source-port 53 -j ACCEPT
  18. 18. PASO CINCO • No permitir el resto del trafico UDP.- iptables -A INPUT -p udp -j REJECT --reject-with icmp- port-unreachable
  19. 19. PASO SEIS • VERIFICAR: iptables -L -v Chain INPUT (policy ACCEPT 3444 packets, 1549K bytes)   pkts bytes target prot opt in out source destination  11312 3413K ACCEPT all -- lo any anywhere anywhere   0 0 ACCEPT all -- eth0 any anywhere anywhere   0 0 REJECT tcp -- any any anywhere anywhere tcp flags:SYN,RST,ACK/SYN reject-with icmp-port-unreachable   0 0 ACCEPT udp -- any any anywhere anywhere udp spt:domain   0 0 REJECT udp -- any any anywhere anywhere reject- with icmp-port-unreachable
  20. 20. CONFIGURACION PERSISTENTE • La politica por defecto de las “chain” INPUT es ACCEPT • iptables-save –c > “nombre archivo” • iptables-restore –c < “nombre archivo” • Se debe colocar en las scripts de inicalizacion del sistema
  21. 21. TAREA • Investigue acerca de FIREWALL+PROXY

×