Publicado el 4 de Abril del 2019
844 visualizaciones desde el 4 de Abril del 2019
4,6 MB
58 paginas
Creado hace 10a (01/05/2013)
Software de Comunicaciones
Práctica 9 - Filtrado de Paquetes.
IPTables y Shorewall
Juan Díez-Yanguas Barber
Software de Comunicaciones
Ingeniería Informática - 5º Curso
______________________________________________________________________________________
© Jdyb - Mayo 2013
Juan Díez- Yanguas Barber!
Práctica 9
______________________________________________________________________________________
Índice
2.1. Estado inicial de IPTables!
2.2. Establecimiento de reglas de filtrado sin estado!
2.2.1. Establecimiento de la política por defecto!
2.2.2. Establecimiento de reglas!
2.2.3. Comprobación de la importancia del orden de las reglas!
2.3. Redirección de tráfico!
2.4. Usar IPTables para protegerse de una enumeración con NMap!
2.5. Filtros con estado para ICMP!
3. Router con función de cortafuegos y NAT!
1. Introducción!
2. Cortafuegos personal!
4
5
5
7
7
8
13
15
17
19
22
22
30
32
33
34
34
34
35
35
36
36
37
39
______________________________________________________________________________________
© Jdyb - Mayo 2013!
2
!
3.1. Construcción del escenario!
3.2. Configuración del escenario!
3.3. Instalación de Shorewall!
3.4. Configuración de Shorewall!
3.4.1. Configuración de zonas!
3.4.2. Configuración de políticas!
3.4.3. Configuración de reglas!
3.4.4. Configuración de las interfaces!
3.4.5. Configuración de enmascaramiento!
3.5.1. Configuración previa del escenario!
3.5.2. Configuración de las políticas en Shorewall!
3.5.3. Enmascaramiento de direcciones!
3.5. Configuración de políticas básicas!
Juan Díez- Yanguas Barber!
Práctica 9
______________________________________________________________________________________
3.5.4. Configuración de reglas para las conexiones salientes!
4. Apartados opcionales!
4.1. Securizar servidor SSH contra ataques de fuerza bruta!
4.2. Control y limitación del ancho de banda!
42
53
53
56
______________________________________________________________________________________
© Jdyb - Mayo 2013!
3
!
Juan Díez- Yanguas Barber!
Práctica 9
______________________________________________________________________________________
1. Introducción
En esta práctica se va a tratar el manejo de net filter, llamado ahora IPTables. Es
!
un módulo incluido dentro de núcleo del sistema operativo. Esto implica que no vamos a
tener que instalarlo ni activarlo.
!
No se tiene que activar porque ya viene activo por defecto pero hace el efecto de
no estar activo porque sus tablas de filtrado están todas ellas vacías por defecto y política
que llevan por defecto es ACCEPT.
!
El sistema de filtrado se compone de una serie de tablas en diferentes etapas, y en
cada una de ellas es posible aplicar reglas de diferente tipo, a saber entre reglas de
filtrado, reglas de NAT o reglas de manipulación de paquetes.
!
aplicables en cada una de las etapas.
A continuación indicamos mediante un esquema las diferentes reglas que son
PREROUTING
DNAT
Manipulación
(Mangle)
Manipulación
(Mangle)
Filtrado
Manipulación
(Mangle)
Filtrado
NO
FORDWARD
SNAT
Manipulación
(Mangle)
DNAT
Manipulación
(Mangle)
Filtrado
POSTROUTING
OUTPUT
Sistema de Filtrado
Entrega
local
SI
INPUT
Procesado local
!
Durante el desarrollo de la práctica se hará referencia a cada una de las etapas y
tablas que se han visto representadas en la figura. Se tratarán dos escenarios, el primero
de ellos será la configuración de un cortafuegos personal y el segundo de ellos tratará de
poner en marcha una máquina con la función de reenvío habilitada de manera que actué
como un router dentro de la red con función de NAT y cortafuegos.
______________________________________________________________________________________
© Jdyb - Mayo 2013!
4
!
Juan Díez- Yanguas Barber!
Práctica 9
______________________________________________________________________________________
2. Cortafuegos personal
En este apartado trataremos el primer escenario comentado anteriormente en el
!
cual usaremos IPTables como filtro de control para lo que entre o salga de nuestro equipo
local.
2.1. Estado inicial de IPTables
!
Lo primero que vamos a hacer es comprobar el estado de las interfaces de nuestro
equipo que veremos que cuenta con una interfaz virtual, la interfaz física y la interfaz de
loopback. Es la misma configuración que hemos usado en anteriores ocasiones.
!
Ahora comprobaremos el estado de IPTables, que veremos que tiene todas las
tablas de las cadenas de reglas vacías y con política por defecto ACCEPT que es como
se encuentra por defecto. Para visualizar el contenido de las tablas lo haremos con el
siguiente comando.
Si no se especifica tabla la que se muestra por defecto es la de filtrado y si no se
especifica la cadena mostrará todas aquellas en las que este presente la tabla. Por
ejemplo, si es la tabla de filtrado mostrará OUTPUT, INPUT y FORWARD.
vez
de
dominios
o
protocolos)
iptables
-‐L(opción
listar)
-‐n(mostrar
números
de
puerto
e
IPs
en
______________________________________________________________________________________
© Jdyb - Mayo 2013!
5
!
Juan Díez- Yanguas Barber!
Práctica 9
______________________________________________________________________________________
!
Mostraremos ahora las reglas de las tablas de NAT para todas las cadenas en las
que este presente y veremos que de nuevo no hay regla alguna. Fijándonos en el
diagrama de la introducción vemos que las tablas de NAT se encuentran en la cadena de
PREROUTING, POSTROUTING y OUTPUT.
Finalmente mostramos las reglas de las tablas de manipulación o mangle, esta vez
!
la tabla estará presente en todas las cadenas de reglas. De nuevo no habrá reglas por
defecto y la política por defecto será ACCEPT.
!
Tal como se indicó no ha sido necesaria instalación ni activación de nada al ser un
módulo del propio núcleo del sistema, solo que al no tener reglas y tener la política
ACCEPT por defecto no afecta al funcionamiento del sistema en lo que a conexiones se
refiere.
______________________________________________________________________________________
© Jdyb - Mayo 2013!
6
!
Juan Díez- Yanguas Barber!
Práctica 9
______________________________________________________________________________________
2.2. Establecimiento de reglas de filtrado sin estado
En el enunciado se nos indica que vamos a proceder al establecimiento de reglas
!
sin estado en las cadenas de INPUT y OUTPUT. Lo primero que se hará es fijar la política
y posteriormente se fijarán las reglas que se nos indican.
2.2.1. Establecimiento de la política por defecto
!
Estableceremos en este apartado las políticas por defecto de DROP para las
cadenas OUTPUT y INPUT. Esto lo debemos de hacer sobre las tablas de filtrado que son
sobre las que estamos trabajando, ya que son las tablas por defecto podremos indicar la
tabla en el comando o no hacerlo ya que como se indicó se toma por defecto la tabla de
filtrado.
iptables
-‐P
(política)
OUTPUT
(cadena)
DROP
!
Hay que tener cuidado en la aplicación de las reglas en un entorno de producción,
por ejemplo, al haber aplicado esta política sin tener ninguna regla de exclusión
estábamos conectados por ssh a la máquina y lógicamente la conexión se perdió en el
momento de aplicar la regla.
!
Mostramos ahora el resultado de las reglas con los comandos de listado que vimos
anteriormente. Sigue sin haber reglas pero ahora la política por defecto en la tabla de
filtrado para las cadenas de OUTPUT e INPUT son de DROP.
!
______________________________________________________________________________________
© Jdyb - Mayo 2013!
7
!
Juan Díez- Yanguas Barber!
Práctica 9
______________________________________________________________________________________
!
La situación actual se diría que es una situación de bloqueo total en lo que se
refiere a conexiones de la máquina. Por ejemplo levantamos el servidor http y el servidor
DNS e intentamos conectarnos desde la máquina anfitriona.
2.2.2. Establecimiento de reglas
!
En el enunciado se nos indica que habilitemos el intercambio de tráfico ICMP para
los equipos de la red local. Esto requerirá la habilitación en dirección entrante y saliente,
ya que se requerirá que nuestra máquina responda a las peticiones y que también le
puedan llegar o enviar ella misma. Y solo se debe habilitar para dentro de la propia
subred.
(destino)
172.16.183.0/24
-‐j
ACCEPT
!
hacer ping ni recibir ping de otra máquina.
Antes de aplicar las reglas veremos el efecto que se produce, la máquina no puede
iptables
-‐t
filter
-‐A
(añadir)
OUTPUT
-‐p
(protocolo)
icmp
-‐d
______________________________________________________________________________________
© Jdyb - Mayo 2013!
8
!
Juan Díez- Yanguas Barber!
Práctica 9
______________________________________________________________________________________
Aplicamos a continuación las reglas siguiendo la sintaxis indicada anteriormente.
!
La sintaxis debe ser estricta tal como se ha indicado en mayúsculas y minúsculas.
Si se intenta ahora el ping se quedará parado porque podrá enviar pero no recibir
!
las respuestas.
!
Aplicaremos ahora la regla pero en sentido entrante.
!
A continuación comprobamos que ahora si se puede enviar pings a otra máquina
de la misma subred y que responde a los ping enviados desde una máquina de la misma
subred.
______________________________________________________________________________________
© Jdyb - Mayo 2013!
9
!
Juan Díez- Yanguas Barber!
Práctica 9
______________________________________________________________________________________
Sin embargo comprobamos que no se pueden enviar pings a otra máquina que no
!
esté en la subred.
!
A continuación el enunciado también nos indica que habilit
Crear cuenta
Comentarios de: Práctica 9 - Filtrado de Paquetes - IPTables y Shorewal (0)
No hay comentarios