Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Taller de netfilter/iptables

Anuncio 
Taller de netfilter/iptables
SSI 2012/13
6 de noviembre de 2012
Índice
1. Entorno de prácticas
1
1.1. Software de virtualización VirtualBOX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
1.2. Imágenes a utilizar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
1.3. Establecer el entorno virtualizado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2
2. Ejemplo: Configuración de una DMZ (DeMilitarized Zone) usando el firewall netfilter/iptables
4
2.1. Descripción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4
2.2. Restriciones de acceso a implementar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4
2.3. Esquema general del script a emplear . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
2.3.1. Script de partida (”firewall-iptables.sh”) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
2.3.2. Uso e instalación (opcional) del script Bash . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
2.4. Tareas a realizar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
1.
1.1.
Entorno de prácticas
Software de virtualización VirtualBOX
En estas prácticas se empleará el software de virtualización VirtualBOX para simular pequeñas redes formadas por
equipos GNU/Linux.
Página principal: http://virtualbox.org
Más información: http://es.wikipedia.org/wiki/Virtualbox
1.2.
Imágenes a utilizar
Imagen genérica (común a todas las MVs) baseSSI.dvi [es la misma de la práctica anterior]
Contiene un sistema Debian 6.0 (Squeeze) con herramientas gráficas y un entorno gráfico ligero LXDE (Lighweight X11 Desktop Environment) [LXDE].
Imagen comprimida: baseSSI.vdi.gz [462 MB comprimida]
Imagen del área de intercambio (SWAP): swapSSI.vdi [3 MB
1
Usuarios configurados:
login
root
usuario1
usuario2
1.3.
password
purple
usuario1
usuario2
Establecer el entorno virtualizado
Creación de las redes donde se realizarán los ejercicios:
Red interna (10.10.10.0 ... 10.10.10.255): máquina dentro (eth0) + interfaz eth0 de firewall3
Red DMZ (10.20.20.0 ... 10.20.20.255): máquina dmz (eth0) + interfaz eth1 de firewall3
Red externa (193.147.87.0 ... 193.147.87.255): máquina fuera (eth0) + interfaz eth2 de firewall3
1. Se partirá de las imágenes base VirtualBOX utilizadas en el ejercicio anterior
Si no se hizo para la práctica anterior, descomprimirlas y registrarlas
gunzip baseSSI.vdi.gz
2. Configurar y registrar las máquinas virtuales en VirtualBOX (sólo la primera vez)
Script de configuración y arranque:
ejercicio-iptables.sh
ejercicio-iptables.bat (pendiente)
2
Nota: ejecutar desde el directorio donde se hayan descomprimido las imágenes
$ bash ejercicio-iptables.sh
3. Arrancar las instancias VirtualBOX (desde el interfaz gráfico o desde la lı́nea de comandos)
VBoxManage
VBoxManage
VBoxManage
VBoxManage
startvm
startvm
startvm
startvm
FUERA
DENTRO
DMZ
FIREWALL3
Importante: Después de finalizar cada ejercicio terminar la ejecución de cada una de las máquinas virtuales
desde lı́nea de comandos con halt o desde el interfaz gráfico LXDE.
4. Comprobar las redes establecidas.
Acceder a firewall3 como ”root” (password ”purple”)
Comprobar la asignación de direcciones IP con ifconfig -a
firewall3:~# ifconfig -a
Comprobar las redes haciendo ping a las otras máquinas
firewall3:~# ping 193.147.87.33
firewall3:~# ping 10.10.10.11
firewall3:~# ping 10.20.20.22
En caso de error, asegurar que la asignación de direciones IP es la correcta.
Nota: En caso de confusión, para identificar el equipo concreto se puede usar ifconfig -a para comprobar las dirección
MAC asociadas a cada interfaz de red.
Red interna
Red externa
Red DMZ
DENTRO
08:00:27:11:11:11
. . .
. . .
DMZ
. . .
08:00:27:22:22:22
. . .
FUERA
. . .
. . .
08:00:27:33:33:33
FIREWALL3
08:00:27:44:44:44
08:00:27:55:55:55
08:00:27:66:66:66
en dentro
en fuera
en firewall
con MAC 08:00:27:11:11:11 (eth0)
con MAC 08:00:27:33:33:33 (eth0)
# ifconfig eth0 10.10.10.11
# hostname dentro
# route add default gw 10.10.10.1
# ifconfig eth0 193.147.87.33
# hostname fuera
# route add default gw 193.147.87.47
con MAC 08:00:27:44:44:44 (eth0)
con MAC 08:00:27:55:55:55 (eth1)
con MAC 08:00:27:66:66:66 (eth2)
en dmz
con MAC 08:00:27:22:22:22 (eth0)
# ifconfig eth0 10.20.20.22
# hostname dmz
# route add default gw 10.20.20.1
#
#
#
#
#
ifconfig
ifconfig
ifconfig
hostname
echo 1 >
eth0 10.10.10.1
eth0 10.20.20.1
eth1 193.147.87.47
firewall3
/proc/sys/net/ipv4/ip_forward
En el equipo dentro (10.10.10.11) se modifica la tabla de enrutado para establecer como gateway para
la ruta por defecto (direcciones fuera de la red 10.10.10.0) al firewall3 (10.10.10.1).
En el equipo (10.20.20.22) se modifica la tabla de enrutado para establecer como gateway para la ruta
por defecto (direcciones fuera de la red 10.20.20.0) al firewall3 (10.20.20.1).
En el equipo firewall3 (10.10.10.1, 10.20.20.1 y 193.147.87.47) se habilita el reenvio de paquetes, para
que pueda realizar funciones de encaminamiento (router).
Nota 1: El interfaz de red asignado (eth0, eth1, ...) puede variar de unas ejecuciones a otras. Se puede
comprobar cúal está activo con el comando ’’ifconfig -a’’
Nota 2: Estas configuraciones son temporales, para que se mantengan al volver a arrancar es necesario configurar
una conexión estática en el fichero /etc/network/interfaces.
3
5. Habilitar la redirección de tráfico en la máquina firewall3 [10.10.10.1, 10.20.20.1, 193.147.87.47]
firewall3:~#
echo 1 > /proc/sys/net/ipv4/ip_forward
6. Arrancar los servicios a utilizar (el servidor ssh está activado por defecto).
Nota: Habilitar acceso exterior a MySQL en la máquina dentro(10.10.10.11) antes de arrancar el servidor
dentro~# leafpad /etc/mysql/my.cnf
(comentar la linea donde aparece bind-address 127.0.0.1)
...
# bind-address 127.0.0.1
...
dentro:~# /etc/init.d/mysql start
dentro:~# /etc/init.d/openbsd-inetd start
dmz:~# /etc/init.d/apache2 start
dmz:~# /etc/init.d/postfix start
dmz:~# /etc/init.d/dovecot start
(servidor web [80])
(servidor smtp [25])
(servidor pop3 [110])
fuera:~# /etc/init.d/apache2 start
fuera:~# /etc/init.d/openbsd-inetd start
2.
2.1.
Ejemplo: Configuración de una DMZ (DeMilitarized Zone) usando
el firewall netfilter/iptables
Descripción
Se desarrollarán una serie de ejercicios para comprobar el funcionamiento y la configuración del firewall del kernel de
Linux netfilter/iptables.
El entorno de trabajo contará con un firewall con 3 interfaces que separa una red externa insegura de dos redes internas
que definen 2 zonas de seguridad: la red interna (confiable) y la zona desmilitarizada (DMZ) (no confiable).
Sobre este cortafuegos se experimentará con polı́ticas de filtrado y traducción de direcciones.
El ejemplo consistirá en la configuración de las reglas de filtrado y NAT de netfilter empleando la herramienta de
lı́nea de comandos iptables.
Resumen: Tutorial iptables
Página del proyecto netfilter: http://netfilter.org
Manual y opciones detalladas: http://iptables-tutorial.frozentux.net
(Versión PDF en español: http://ccia.ei.uvigo.es/docencia/SSI/practicas/iptables-tutorial.es.pdf)
Manual y ejemplos de uso de iptables (en español): http://www.pello.info/filez/firewall/iptables
La configuración se hará mediante scripts bash que contendrán los comandos iptables necesarios.
2.2.
Restriciones de acceso a implementar
1. Enmascaramiento (SNAT) de la red interna (10.10.10.0/24) y de la DMZ (10.20.20.0/24)
2. Redireccionamiento (DNAT) de los servicios públicos que ofrecerá la red hacia la máquina dentro (10.20.20.22)
de la DMZ
4
a) peticiones WEB (http y https)
b) tráfico de correo saliente (smtp) y entrante (pop3)
3. Control de tráfico con polı́tica ”denegar por defecto” (DROP)
a) desde la red externa sólo se permiten las conexiones hacia la DMZ contempladas en las redirecciones del
punto anterior (http, https, smtp, pop3)
b) desde la red interna hacia la red externa sólo se permite tráfico de tipo WEB y SSH
c) desde la red interna hacia la DMZ sólo se permite tráfico WEB (http, https), e-mail (smtp, pop3) y SSH
d ) desde la máquina dmz (10.20.20.22) se permiten conexiones MySQL hacia la máquina dentro (10.10.10.11)
de la red interna
e) se permite la salida a la red externa de las consultas DNS originadas en la red interna
f ) firewall sólo admite conexiones SSH desde la red interna
4. Registro (log) de intentos de acceso no contemplados desde red externa a firewall3 (193.147.87.47) y a equipos
internos con la etiqueta Acceso no autorizado
5. Limitar el tráfico de control ICMP recibido desde la red externa para mitigar posibles ataques DOS (denial of
service)
2.3.
Esquema general del script a emplear
Estructura del script BASH
-
Borrado de la reglas actuales y reinicio de contadores
Establecimiento de polı́ticas por defecto
Reglas de NAT
Reglas de filtrado (red interna, firewall, ...)
2.3.1.
Script de partida (”firewall-iptables.sh”)
Importante: En este ejemplo se emplearán polı́ticas de filtrado con comportamiento de denegar por defecto (drop).
Se complica ligeramente la definición de la reglas:
Hay que habilitar explı́citamente los servicios y redirecciones admitidos
Es necesario tener en cuenta el tráfico en ambos sentidos, tenemos 2 opciones:
• Opción 1: habilitar explı́citamente el tráfico en ambos sentidos
Para cada servicio autorizado definiremos un par de reglas: una para permitir el tráfico de peticiones y otra
para el tráfico de sus respectivas respuestas
• Opción 2: usar las capacidades de connection tracking (firewall con estado) de netfilter
El filtrado de servicios se realizará controlando los paquetes de inicio de tráfico/conexión.
El tráfico de respuesta o relacionado con tráfico/conexiones ya inicadas se aceptará todo.
En este ejemplo usaremos la aproximación 2.
#!/bin/bash
#VARIABLES
eth_INT=eth0
eth_DMZ=eth1
eth_EXT=eth2
5
RED_INTERNA=10.10.10.0/24
RED_DMZ=10.20.20.0/24
# IPTABLES=/sbin/iptables
# Comando iptables
case "$1" in
start)
# Borrar reglas anteriores
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
y reiniciar las tablas actuales
# Establecer politicas por defecto (DESCARTAR)
iptables -P INPUT DROP
# descartar entradas al firewall
iptables -P OUTPUT DROP
# descartar salidas del firewall
iptables -P FORWARD DROP
# descartar reenvios a traves del firewall
# Habilitar retransmisión de paquetes
echo 1 > /proc/sys/net/ipv4/ip_forward
# Permitir todo al interfaz local del firewall (loopback)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Permitir el trafico de conexiones ya establecidas (el control de tráfico se hace al inicar las conexiones)
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
# 2.1 Establecer NAT de red interna y DMZ (SNAT, enmascaramiento)
# <<< COMPLETAR AQUI
# 2.2 Establecer redireccionamientos hacia DMZ (DNAT)
# <<< COMPLETAR AQUI
# 3 Reglas de filtrado del tráfico
# <<< COMPLETAR AQUI
;;
stop)
# Borrar
iptables
iptables
iptables
iptables
reglas anteriores
-F
-X
-Z
-t nat -F
y reiniciar las tablas actuales
# Establecer politicas por defecto (ACEPTAR)
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
restart)
$0 stop
$0 start
;;
status)
iptables -L
iptables -t nat -L
;;
*)
echo "Uso:
;;
firewall-iptables.sh {start|stop|restart|status}"
esac
6
2.3.2.
Uso e instalación (opcional) del script Bash
Recibe un parámetro (stop y stop)
firewall3:~# ./firewall-iptables.sh stop
firewall3:~# ./firewall-iptables.sh start
firewall3:~# ./firewall-iptables.sh status
(recupera la configuración inicial de netfilter)
(lanza los comandos iptables que definen las reglas del firewall)
(muestra las reglas del firewall)
Podrı́a utilizarse directamente como un script de arranque (opcional)
Para Debian (como root)
firewall3:~# cp firewall-iptables.sh /etc/init.d
firewall3:~# update-rc.d firewall-iptables.sh defaults
firewall3:~# update-rc.d firewall-iptables.sh remove
2.4.
(copia el script en /etc/init.d)
(crea los links desde /etc/rcX.d)
(elimina los links desde /etc/rcX.d)
Tareas a realizar
1. Comprobar la configuración actual de firewall3
firewall3:~# iptables -L
firewall3:~# iptables -t nat -L
Asegurarse de que el ip_forwarding está activado en firewall3
2. Comprobar el tipo de tráfico admitido inicialmente
Probar conexión telnet hacia el exterior y conexión WEB hacia el interior
dentro~# telnet 193.147.87.33
fuera:~# lynx 193.147.87.47
fuera:~# lynx 10.20.20.22
Comprobar servicios abiertos
fuera:~# nmap -T4 10.10.10.11 10.20.20.22 193.147.87.47
dentro:~# nmap -T4 10.20.20.22 193.147.87.33
dmz:~#
nmap -T4 10.10.10.11 193.147.87.33
3. Añadir reglas para establecer NAT (SNAT source NAT )
eth0: interfaz conectado a la red interna (10.10.10.0/24)
eth1: interfaz conectado a la red DMZ (10.20.20.0/24)
eth2: interfaz conectado a la red externa (193.147.87.0/24)
# 2.1 Establecer NAT de red interna y DMZ (SNAT, enmascaramiento)
# SNAT (enmascaramiento de lo que sale de red interna 10.10.10.0/24) hacia exterior
iptables -t nat -A POSTROUTING -s $RED_INTERNA -o $eth_EXT -j MASQUERADE
# SNAT (enmascaramiento de lo que sale de red DMZ 10.20.20.0/24) hacia exterior
iptables -t nat -A POSTROUTING -s $RED_DMZ -o $eth_EXT -j MASQUERADE
4. Añadir reglas para redireccionamiento de puertos (DNAT destination NAT )
7
# 2.2 Establecer redireccionamientos hacia DMZ (DNAT)
# DNAT (redireccionamiento servicio HTTP [puerto 80, 443] a red DMZ)
iptables -t nat -A PREROUTING -i $eth_EXT -p tcp --dport 80 -j DNAT --to-destination 10.20.20.22
iptables -t nat -A PREROUTING -i $eth_EXT -p tcp --dport 443 -j DNAT --to-destination 10.20.20.22
# DNAT (redireccionamiento servicio SMTP [puerto 25] y POP3 [puerto 110] a red DMZ)
iptables -t nat -A PREROUTING -i $eth_EXT -p tcp --dport 25 -j DNAT --to-destination 10.20.20.22
iptables -t nat -A PREROUTING -i $eth_EXT -p tcp --dport 110 -j DNAT --to-destination 10.20.20.22
## NOTA: Con el módulo multiport podrı́a hacerse con una sola regla
## iptables -t nat -A PREROUTING -i $eth_EXT -p tcp -m multiport --dports 80,443,25,110 \
##
-j DNAT --to-destination 10.20.20.22
Nota: Temporalmente se añadirá una regla para pruebas y depuración que permita cualquier tipo de tráfico a
través de firewall3
# 3 Reglas de filtrado del tráfico
# REGLA TEMPORAL: permite todo el tráfico a través del firewall (sólo para pruebas con NAT)
iptables -A FORWARD -j ACCEPT
5. Comprobaciones:
a) Guardar el script (como firewall-iptables.sh), dar permiso de ejecución y lanzarlo
firewall3:~# chmod +x firewall-iptables.sh
firewall3:~# ./firewall-iptables.sh start
b) Comprobar la configuración actual de firewall
firewall3:~# iptables -L
firewall3:~# iptables -t nat -L
c) Realizar conexión telnet desde dentro (10.10.10.11) a fuera (193.147.87.33)
dentro:~# telnet 193.147.87.33
Trying 193.147.87.33 ...
Connected to fuera.
Escape character is ’^]’.
Linux 2.6.18-6-686 (193.147.87.33) (pts/18)
login: usuario1
Password: usuario1
d ) En fuera (193.147.87.33), verificar las conexiones establecidas actualmente y verificar de dónde provienen
fuera:~# netstat -t
ó
fuera:~# w
e) Realizar conexion web desde el equipo fuera (193.147.87.33) hacia firewall3 (193.147.87.47)
fuera:~# lynx 193.147.87.47
f ) Realizar escaneo de puertos desde el equipo fuera (193.147.87.33) hacia firewall3 (193.147.87.47)
fuera:~# nmap -T4 193.147.87.47
g) Comprobar con tcptraceroute los ”saltos” que se realizan desde la máquina fuera (193.147.87.33) en
los distintos protocolos
8
fuera:~# tcptraceroute 193.147.87.47 25
fuera:~# tcptraceroute 193.147.87.47 80
fuera:~# tcptraceroute 193.147.87.47 110
Nota: más información sobre tcptraceroute en http://michael.toren.net/code/tcptraceroute/
6. Script final (”firewall-iptables.sh”)
Sobre el script anterior:
Quitar la regla temporal (iptables -A FORWARD -j ACCEPT)
Añadir las siguientes reglas para filtrado de tráfico:
# 3. Reglas de filtrado del tráfico
# Limitar tráfico ICMP (permitir hasta un maximo de 5 peticiones/segundo)
iptables -A INPUT -p icmp -m limit --limit 5/second -j ACCEPT
iptables -A OUTPUT -p icmp -m limit --limit 5/second -j ACCEPT
iptables -A FORWARD -p icmp -m limit --limit 5/second -j ACCEPT
# FILTRADO ENTRADA RED DMZ
# - permitir paso de servicios redireccionados
iptables -A FORWARD -i $eth_EXT -d $RED_DMZ -p
iptables -A FORWARD -i $eth_EXT -d $RED_DMZ -p
iptables -A FORWARD -i $eth_EXT -d $RED_DMZ -p
iptables -A FORWARD -i $eth_EXT -d $RED_DMZ -p
(solo peticiones, las respuestas
tcp --dport 80 -m state --state
tcp --dport 443 -m state --state
tcp --dport 25 -m state --state
tcp --dport 110 -m state --state
siempre se autorizan)
NEW -j ACCEPT
NEW -j ACCEPT
NEW -j ACCEPT
NEW -j ACCEPT
## NOTA: Con el módulo multiport podrı́a hacerse con una sola regla
## iptables -A FORWARD -i $eth_EXT -d $RED_DMZ -p tcp \
##
-m multiport --dports 80,443,25,110 -m state --state NEW -j ACCEPT \
# - log de otros accesos a red dmz (se denegaran por defecto)
iptables -A FORWARD -i $eth_EXT -d $RED_DMZ -j LOG --log-prefix "Acceso red dmz:"
# - log de otros accesos a red interna (se denegaran por defecto)
iptables -A FORWARD -i $eth_EXT -d $RED_INTERNA -j LOG --log-prefix "Acceso red interna:"
# FILTRADO SALIDA RED INTERNA
# - permitir conexiones salientes HTTP (solo peticiones, las respuestas siempre se autorizan)
iptables -A FORWARD -o $eth_EXT -s $RED_INTERNA -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A FORWARD -o $eth_EXT -s $RED_INTERNA -p tcp --dport 443 -m state --state NEW -j ACCEPT
# - permitir conexiones salientes SSH (solo peticiones, las respuestas siempre se autorizan)
iptables -A FORWARD -o $eth_EXT -s $RED_INTERNA -p tcp --dport 22 -m state --state NEW -j ACCEPT
# - permitir consultas DNS salientes (sobre TCP y UDP)
iptables -A FORWARD -o $eth_EXT -s $RED_INTERNA -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A FORWARD -o $eth_EXT -s $RED_INTERNA -p udp --dport 53 -m state --state NEW -j ACCEPT
# - permitir conexiones HTTP hacia la DMZ (solo peticiones, las respuestas siempre se autorizan)
iptables -A FORWARD -d $RED_DMZ -s $RED_INTERNA -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A FORWARD -d $RED_DMZ -s $RED_INTERNA -p tcp --dport 443 -m state --state NEW -j ACCEPT
# - permitir conexiones SMTP y POP3 hacia la DMZ (solo peticiones, las respuestas siempre se autorizan)
iptables -A FORWARD -d $RED_DMZ -s $RED_INTERNA -p tcp --dport 25 -m state --state NEW -j ACCEPT
iptables -A FORWARD -d $RED_DMZ -s $RED_INTERNA -p tcp --dport 110 -m state --state NEW -j ACCEPT
# - rechazar los demás intentos de salida informando con ICMP (por defecto se harı́a simplemente DROP)
iptables -A FORWARD -s $RED_INTERNA -m state --state NEW -j REJECT --reject-with icmp-port-unreachable
# FILTRADO ACCESO RED INTERNA DESDE DMZ
# - permitir tráfico MySQL (puerto 3306) de 10.20.20.22 a 10.10.10.11
iptables -A FORWARD -d 10.10.10.11 -s 10.20.20.22 -p tcp --dport 3306 -m state --state NEW -j ACCEPT
# - todos los demás intentos de salida están bloqueados por la polı́tica por defecto DROP
# FILTRADO CONEXIONES HACIA EL FIREWALL
# - permitir conexione SSH desde red interna, resto bloqueado por politica por defecto
iptables -A INPUT -i $eth_INT -s $RED_INTERNA -p tcp --dport 22 -m state --state NEW -j ACCEPT
# - log de los intentos de acceso al firewall desde exterior (serán denegados)
iptables -A INPUT -i $eth_EXT -j LOG --log-prefix "Acceso firewall:"
9
7. Comprobaciones:
a) Lanzar el script del firewalll
firewall3:~# /root/iptables/firewall-iptables.sh start
b) Comprobar la configuración actual de firewall
firewall:~# iptables -L
firewall:~# iptables -t nat -L
c) Realizar conexiones ssh a firewall3 desde fuera (193.147.87.33), dentro (10.10.10.11) y dmz (10.20.20.22)
dentro:~# ssh [email protected]
dmz:~# ssh [email protected]
fuera:~# ssh [email protected]
Otra posibilidad (más rápida): realizar escaneo nmap al puerto 22.
dentro:~# nmap -T4 10.10.10.1 -p 22
dmz:~#
nmap -T4 10.20.20.1 -p 22
fuera:~# nmap -T4 193.147.87.47 -p 22
d ) Realizar conexión telnet desde dentro (10.10.10.11) hacia fuera (193.147.87.33).
dentro:~# telnet 193.147.87.33
...
e) Realizar conexión web desde dentro (10.10.10.11) hacia fuera (193.147.87.33).
interno:~# lynx 193.147.87.33
...
f ) Comprobar el fichero de log (/var/log/syslog) de firewall3
firewall2:~# tail /var/log/syslog
...
g) Comprobar servicios abiertos
fuera:~# nmap -T4 10.10.10.11 10.20.20.22 193.147.87.47
dentro:~# nmap -T4 10.20.20.22 193.147.87.33
dmz:~#
nmap -T4 10.10.10.11 193.147.87.33
Nota: Otra alternativa cómoda para comprobar las reglas de filtrado de un firewall es la herramienta
hping3.
hping3 emula el funcionamiento de la utilidad ping generalizándolo, al permitir realizar sondeos con la
posibilidad de especificar los puertos origen y/o destino, las flags TCP, etc.
h) Comprobar con tcptraceroute los ”saltos” que se realizan desde la máquina fuera (193.147.87.33) en
los distintos protocolos
fuera:~#
fuera:~#
fuera:~#
fuera:~#
tcptraceroute
tcptraceroute
tcptraceroute
tcptraceroute
193.147.87.47
193.147.87.47
193.147.87.47
193.147.87.47
10
80
22
25
110
Documentos relacionados
Configurar un firewall con iptables sin romperse la cabeza
Configurar un firewall con iptables sin romperse la cabeza
Firewall de una LAN con salida a internet Ahora vamos a ver una
Firewall de una LAN con salida a internet Ahora vamos a ver una
Soluciones IT
Soluciones IT
Reglas en el Firewall
Reglas en el Firewall
IPTABLES (Firewall)
IPTABLES (Firewall)
Creación de una red virtual en modo NAT
Creación de una red virtual en modo NAT
Document
Document
1. Limpiamos la configuración previa de IPTABLES a) # iptables –A
1. Limpiamos la configuración previa de IPTABLES a) # iptables –A
Descargar
Anuncio
Anuncio