Date post: | 20-Aug-2015 |
Category: |
Education |
Upload: | francisco-medina |
View: | 380 times |
Download: | 0 times |
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Tema 3. Firewalls y Proxies con OpenBSD YGNU/Linux
Seguridad en Informatica 2
Francisco Medina Lopez —[email protected]
Facultad de Contadurıa y AdministracionUniversidad Nacional Autonoma de Mexico
2014-2
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Agenda
1 Introduccion
2 Firewalls en GNU/Linux con iptables
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
1 IntroduccionConceptos PreviosDiseno y ArquitecturaTipos de FirewallFabricantes
2 Firewalls en GNU/Linux con iptables
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Conceptos Previos
1 IntroduccionConceptos PreviosDiseno y ArquitecturaTipos de FirewallFabricantes
2 Firewalls en GNU/Linux con iptables
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Conceptos Previos
¿Que es un Firewall?
Definicion
Sistema o una combinacion de sistemas que impone una barreraentre dos o mas redes que por lo regular forman una division entreun ambiente seguro y una abierto, como Internet.
Figura : El Firewall y los ambientes de seguridad
Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 6.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Conceptos Previos
Antecedentes
Es imposible determinar quien acuno por primera vez el conceptode firewall.
W. Cheswick y S. Bellovin desarrollaron la tecnologıa defiltrado de paquetes.
M. Ranun sintetizo el firewall como producto.
Nir Zuk trabajo en el concepto de firewall tal como loconocemos hoy.
Pacheco, Federico. Hackers al decubierto, USERS P 167.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Conceptos Previos
Vision global de los sistemas de seguridad
Dua, Sumeet & Du, Xian. Data Mining and Machine Learning in Cybersecurity, Taylor & Francis, P 3.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Conceptos Previos
Vision global de los sistemas de seguridad (2)
Un Firewall es considerado la primera lınea de defensa paraproteger la informacion privada
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Diseno y Arquitectura
1 IntroduccionConceptos PreviosDiseno y ArquitecturaTipos de FirewallFabricantes
2 Firewalls en GNU/Linux con iptables
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Diseno y Arquitectura
Diseno
Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 7.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Diseno y Arquitectura
Network Address Translation
Harris, Shon. CISSP All-In-One Exam Guide, McGraw-Hill Professional, P 560.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Diseno y Arquitectura
Redes privadas
El RFC 1918 define tres rangos de redes privadas:
192.168.0.0/192.168.255.255
172.16.0.0/172.31.255.255
10.0.0.0/10.255.255.255
La tecnologıa NAT permite a un firewall o router actuar comoun intermediario entre la Internet y la red local.
El firewall permite a una red privada, a traves de una soladireccion ip publca, tener acceso a Internet.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Diseno y Arquitectura
Arquitecturas comunes
1 Bastion Host
2 Dual-Homed Firewall
3 Screened Host
4 Screened Subnet
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Diseno y Arquitectura
Bastion Host
Definicion
Es un equipo correctamente asegurado (hardened), en el cual losservicios innecesarios se encuentran desactivados, el sistemaoperativo cuenta con las ultimas actualizaciones y parches y soloestan activas las cuentas de sistema necesarias para el correctofuncionamiento del equipo.
Usualmente esta expuesto en la red ya que es la primera lıneade defensa.
No esta ligado a las actividades de un firewall de software.
Cualquier sistema en la DMZ deberıa ser instalado en unBastion Host
Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 9.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Diseno y Arquitectura
Dual-Homed Firewall
Definicion
Es un equipo o dispositivo que cuenta con dos interfaces de red:una configurada en la red externa y otra a la red interna.
Multihomed Significa que un equipo o dispositivo tienemultiples interfaces de red (NIC).
Estos dispositivos son usados comunmente en pequenasoficinas u hogares (SOHO).
Harris, Shon. CISSP All-In-One Exam Guide, McGraw-Hill Professional, P 565.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Diseno y Arquitectura
Screened Host
Definicion
Configuracion en la que el firewall se comunica directamente con elrouter y la red interna.
Harris, Shon. CISSP All-In-One Exam Guide, McGraw-Hill Professional, P 560.
Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 21.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Diseno y Arquitectura
Screened Subnet
Definicion
Anade un nivel de seguridad situando una subred (DMZ) entre lasredes externa e interna, de forma que se consiguen reducir losefectos de un ataque exitoso al host bastion
Tambien conocida como red perimetrica o De-MilitarizedZone (DMZ) o twotiered
Harris, Shon. CISSP All-In-One Exam Guide, McGraw-Hill Professional, P 567.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Tipos de Firewall
Taxonomıa
Noonan, Wesley J. & Dubrawsky, Ido. Firewall Fundamentals, Cisco Press.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Tipos de Firewall
Tipos de Firewall de Red
1 Filtros a nivel paquete (Packet Filters)
2 Firewall a nivel circuito (Circuit Level Firewalls)
3 Firewall a nivel aplicacion (Application Layer Firewalls)
4 Stateful Inspection
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Tipos de Firewall
Filtros a nivel paquete (Packet Filters)
Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 11.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Tipos de Firewall
Filtros a nivel paquete (Packet Filters)
Funciona a nivel de red (nivel 3) de la pila de protocolos(TCP/IP) como filtro de paquetes IP.
En este nivel se pueden realizar filtros segun los distintoscampos de los paquetes IP: direccion IP origen, direccion IPdestino.
A menudo en este tipo de Firewall se permiten filtrados seguncampos de nivel de transporte (nivel 4) como el puerto origeny destino, o a nivel de enlace de datos (nivel 2), como ladireccion MAC.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Tipos de Firewall
Firewall a nivel circuito (Circuit Level Firewalls)
Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 12.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Tipos de Firewall
Firewall a nivel circuito (Circuit Level Firewalls)
Una vez que la conexion se establece, los paquetes pueden ir yvenir entre las computadoras sin tener que ser revisados cadavez.
El Firewall mantiene una tabla de conexiones validas ypermite que los paquetes de la red pasen a traves de ella sicorresponden a algun registro de la tabla.
Una vez terminada la conexion, la tabla se borra y latransmision de informacion entre las dos computadoras secierra.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Tipos de Firewall
Firewall a nivel aplicacion (Application Layer Firewalls)
Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 13.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Tipos de Firewall
Firewall a nivel aplicacion (Application Layer Firewalls)
Trabaja en el nivel de aplicacion (nivel 7) de manera que losfiltrados se pueden adaptar a caracterısticas propias de losprotocolos de este nivel. Por ejemplo, si se trata de traficoHTTP se pueden realizar filtrados segun la URL a la que seesta intentando acceder.
Un Firewall a nivel 7 de trafico HTTP es normalmentedenominado Proxy y permite que los computadores de unaorganizacion entren a internet de una forma controlada.
Pertenece a la tercera generacion de Firewalls.
Examina la informacion de todos los paquetes de la red ymantiene el estado de la conexion y la secuencia de lainformacion.
En este tipo de tecnologıa tambien se pueden validar claves deacceso y algunos tipos de solicitudes de servicios.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Tipos de Firewall
Stateful Inspection
Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 14.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Tipos de Firewall
Stateful Inspection
Guarda registros de conexion usando una tabla de estado quealmacena todos los niveles de comunicacion.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Tipos de Firewall
Ejemplos de Implementacion
Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 21.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Tipos de Firewall
UTM
Definicion
UTM (en ingles: Unified Threat Management) o Gestion Unificadade Amenazas, son firewalls de red que engloban multiplesfuncionalidades en una misma caja.1
El termino fue utilizado por primera vez por Charles Kolodgy,de International Data Corporation (IDC), en 2004.
Algunas funcionalidades:
VPN, Antispam, Antiphishing, Antispyware Filtro decontenidos, Antivirus, Deteccion/Prevencion de Intrusos(IDS/IPS)
1http://es.wikipedia.org/wiki/Unified Threat Management
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Tipos de Firewall
UTM (2)
Ventajas:
Se pueden sustituir varios sistemas independientes por uno solofacilitando su gestion
Desventajas:
Se crea un punto unico de fallo y un cuello de botella, es decirsi falla este sistema la organizacion queda desprotegidatotalmente.Tiene un costo fijo periodico.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Fabricantes
1 IntroduccionConceptos PreviosDiseno y ArquitecturaTipos de FirewallFabricantes
2 Firewalls en GNU/Linux con iptables
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Fabricantes
Algunos fabricantes de Firewalls
Juniper Networks
3Com/H3C
Astaro
Check Point Software Technologies
Cisco
Fortinet
McAfee
NETASQ
phion
Palo Alto Networks
SonicWALL
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Fabricantes
Magic Quadrant for Enterprise Network Firewalls
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Introduccion
Fabricantes
Magic Quadrant for Unified Threat Management
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
1 Introduccion
2 Firewalls en GNU/Linux con iptablesDefinicion y conceptos previosComponentes de iptablesEjemplos de reglas de iptables
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Definicion y conceptos previos
1 Introduccion
2 Firewalls en GNU/Linux con iptablesDefinicion y conceptos previosComponentes de iptablesEjemplos de reglas de iptables
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Definicion y conceptos previos
Netfilter
Definicion
Componente del nucleo Linux (desde la version 2.4) encargado dela manipulacion de paquetes de red.
Permite:
filtrado de paquetes.
traduccion de direcciones (NAT).
modificacion de paquetes.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Definicion y conceptos previos
iptables
Herramienta que permite construir y configurar firewalls
Desarrollado por el proyecto Netfilter(http://www.netfilter.org)
Liberado para el kernel 2.4 en Enero del 2001.
Usos:
Control de Trafico (o Flujo de Red)Seguridad (de Servicios de Red)Observacion (del Trafico actual)
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Componentes de iptables
1 Introduccion
2 Firewalls en GNU/Linux con iptablesDefinicion y conceptos previosComponentes de iptablesEjemplos de reglas de iptables
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Componentes de iptables
Tablas y Cadenas
1 TABLAS
2 CADENAS
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Componentes de iptables
Tablas
Definicion
Distintos tipos de procesamiento que se puede aplicar sobre lospaquetes.
1 filter: Controla decisiones de filtrado de paquetes(aceptar/denegar)
Cadenas: INPUT, OUTPUT, FORWARD
2 nat: Controla la traduccion de direcciones.Cadenas: PREROUTING, POSTROUTING
3 mangle: Controla los procesos de modificacion del contenidoy las opciones de los paquetes.
Cadenas: INPUT, OUTPUT, FORWARD,PREROUTING,
POSTROUTING
Las reglas de cada tabla se organizan en cadenas que seconsultaran en momentos concretos del flujo de los paquetes.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Componentes de iptables
Cadenas
Definicion
Contienen las listas de reglas a aplicar sobre los paquetes.
INPUT: reglas a aplicar sobre los paquetes destinados a lapropia maquina.
OUTPUT: reglas a aplicar sobre los paquetes originados en lapropia maquina. Usada para controlar las salidas del propioequipo.
FORWARD: reglas a aplicar sobre los paquetes queatraviesan la maquina con destino a otras (paquetes entransito reenviados).
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Componentes de iptables
Cadenas (2)
PREROUTING: reglas a aplicar sobre paquetes justo antesde enviarlos a la red. Usada para DNAT (destination NAT)[redireccion de puertos].
POSTROUTING: reglas a aplicar sobre paquetes (propios oajenos) recibidos de la red (antes de decidir a donde tutearlos[local o reenvio]). Usada para SNAT (source NAT).
Se pueden crear cadenas definidas por el usuario (iptables -N
cadena).
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Componentes de iptables
Funcionamiento
Para cada paquete, en funcion del procesamiento que vaya asufrir, se consulta la cadena que corresponda.
Dentro de cada cadena las reglas se inspeccionansecuencialmente. El orden de las reglas es importante.
Si el paquete encaja con las condiciones de una regla, seejecuta la accion correspondiente y se abandona la cadena.
Si el paquete no encaja con ninguna regla, se le aplica lapolıtica por defecto que se haya asignado a esa cadena.
por defecto las cadenas predeterminadas estan inicializadas conuna polıtica ACCEPT.al agotar las cadenas definidas por el usuario, se retorna a lacadena predeterminada que la activo.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Componentes de iptables
Flujo de paquetes a traves de la tabla FILTER
Gregor N. Purdy. Linux Iptables Pocket Reference, O’Reilly, P 3.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Componentes de iptables
Flujo de paquetes a traves de la tabla NAT
Gregor N. Purdy. Linux Iptables Pocket Reference, O’Reilly, P 3.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Componentes de iptables
Flujo de paquetes a traves de la tabla MANGLE
Gregor N. Purdy. Linux Iptables Pocket Reference, O’Reilly, P 3.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Ejemplos de reglas de iptables
1 Introduccion
2 Firewalls en GNU/Linux con iptablesDefinicion y conceptos previosComponentes de iptablesEjemplos de reglas de iptables
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Ejemplos de reglas de iptables
Reset iptables firewall rules
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
iptables -t nat -F
http://www.seavtec.com/en/content/soporte/documentacion/
iptables-howto-ejemplos-de-iptables-para-sysadmins
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Ejemplos de reglas de iptables
Ver el estado del firewall y listar reglas
iptables -L -n -v
iptables -n -L -v --line-numbers
iptables -L INPUT -n -v
iptables -L OUTPUT -n -v --line-numbers
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Ejemplos de reglas de iptables
Eliminar reglas de Firewall
iptables -L INPUT -n --line-numbers
iptables -L OUTPUT -n --line-numbers
iptables -L OUTPUT -n --line-numbers | less
iptables -L OUTPUT -n --line-numbers | grep
202.54.1.1
Se puede eliminar por numero de regla:
iptables -D INPUT 4
O especificar una regla que coincida
iptables -D INPUT -s 202.54.1.1 -j DROP
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Ejemplos de reglas de iptables
Reglas para eliminar todo el trafico
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -L -v -n
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Ejemplos de reglas de iptables
Solo bloquear el trafico entrante
Para eliminar todos los paquetes entrantes / enviado, pero permitirel trafico saliente, escriba:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state
NEW,ESTABLISHED -j ACCEPT
iptables -L -v -n
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Ejemplos de reglas de iptables
Bloquear direcciones IP especıficas
Eliminar direcciones de red privada en la interfaz publica(Suponiendo eth0 como interfaz publica)
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j
DROP
iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
Bloquear direcciones IP:
iptables -A INPUT -s 192.168.1.5 -j DROP
iptables -A INPUT -s 192.114.71.13 -j DROP
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Ejemplos de reglas de iptables
Guardar y restaurar reglas
Guardar reglas:
iptables-save > /root/iptables.fw
Grabar las reglas en CentOS / RHEL / Fedora Linux:
service iptables save
Restaurar reglas:
iptables-restore < /root/iptables.fw
Restaurar reglas en CentOS / RHEL / Fedora Linux:
service iptables restart
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Ejemplos de reglas de iptables
Permitir todo el trafico de loopback, y eliminar todo el traficoa 127/8 que no usa lo0:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
Eliminar cualquier paquete TCP que no se ha iniciado con elFlag SYN activo:
iptables -A INPUT -p tcp ! --syn -m state --state
NEW -j DROP
Aceptar todas las conexiones entrantes establecidas:
iptables -A INPUT -m state --state
ESTABLISHED,RELATED -j ACCEPT
Eliminar cualquier paquete invalido que no pueda seridentificado:
iptables -A INPUT -m state --state INVALID -j DROP
Bloquear todo el trafico TELNET entrante:
iptables -I INPUT -p tcp --dport 23 -j DROP
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Ejemplos de reglas de iptables
Bloquear todo el trafico WEB entrante:
iptables -I OUTPUT -p tcp --dport 80 -j DROP
Bloquear todo el trafico dirigido a 192.168.0.1:
iptables -I OUTPUT -p tcp --dest 192.168.0.1 -j
DROP
Permitir trafico Web:
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
Permitir trafico al puerto 2003 para localhost:
iptables -I INPUT -s 12.0.0.1 -p tcp --dport 2003
-j ACCEPT
Permitir trafico HTTPS desde la direccion ip 10.2.2.4:
iptables -I INPUT -s 10.2.2.4 -p tcp -m tcp
--dport 443 -j DROP
Negar trafico de salida a 192.2.4.0-192.2.4.255:
iptables -I OUTPUT -d 192.2.4.6.0/24 -j DROP
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Ejemplos de reglas de iptables
Permitir conexiones FTP (puerto 21) desde la direccion IP11.22.33.44:
iptables -A INPUT -p tcp -m state --state NEW
--dport 21 --source 11.22.33.44
Permitir todo el trafico entrante SSH
iptables -A INPUT -i eth0 -p tcp --dport 22 -m
state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m
state --state ESTABLISHED -j ACCEPT
Permitir SSH saliente:
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m
state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 22 -m
state --state ESTABLISHED -j ACCEPT
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Ejemplos de reglas de iptables
Permitir trafico HTTP:
iptables -A INPUT -i eth0 -p tcp --dport 80 -m
state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m
state --state ESTABLISHED -j ACCEPT
Permitir trafico HTTPS:
iptables -A INPUT -i eth0 -p tcp --dport 443 -m
state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m
state --state ESTABLISHED -j ACCEPT
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Ejemplos de reglas de iptables
Combinar reglas con multipuerto
iptables -A INPUT -i eth0 -p tcp -m multiport
--dports 22,80,443 -m state --state
NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -m multiport
--sports 22,80,443 -m state --state ESTABLISHED
-j ACCEPT
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Ejemplos de reglas de iptables
Reglas para bloquear trafico
Bloquear todas las conexiones al puerto 21:
iptables -A INPUT -p tcp -m state --state NEW
--dport 21 -j DROP
Eliminar la primera regla de entrada:
iptables -D INPUT 1
Bloquear solicitudes ICMP (ping):
iptables -A INPUT -p icmp --icmp-type echo-request
-j DROP
iptables -A INPUT -i eth1 -p icmp --icmp-type
echo-request -j DROP
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Ejemplos de reglas de iptables
Solo aceptar cierto tipo limitado de peticiones ICMP
iptables -A INPUT -p icmp --icmp-type echo-reply
-j ACCEPT
iptables -A INPUT -p icmp --icmp-type
destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type
time-exceeded -j ACCEPT
iptables -A INPUT -p icmp --icmp-type
echo-request -j ACCEPT
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Ejemplos de reglas de iptables
Permitir trafico DNS saliente
iptables -A OUTPUT -p udp -o eth0 --dport 53 -j
ACCEPT
iptables -A INPUT -p udp -i eth0 --sport 53 -j
ACCEPT
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Ejemplos de reglas de iptables
Abrir un rango de puertos de entrada
iptables -A INPUT -m state --state NEW -m tcp -p
tcp --dport 7000:7010 -j ACCEPT
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Ejemplos de reglas de iptables
Abrir un rango de IPs
iptables -A INPUT -p tcp --destination-port 80 -m
iprange --src-range 192.168.1.100-192.168.1.200
-j ACCEPT
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Ejemplos de reglas de iptables
Limitar el numero de conexiones
Se puede utilizar el modulo connlimit para crear estas restricciones.
Permitir 3 conexiones SSH por cliente:
iptables -A INPUT -p tcp --syn --dport 22 -m
connlimit --connlimit-above 3 -j REJECT
Limitar el numero de conexiones HTTP a 20
iptables -p tcp --syn --dport 80 -m connlimit
--connlimit-above 20 --connlimit-mask 24 -j DROP
Donde:
--connlimit-above 3 : Match if the number of existingconnections is above 3.
--connlimit-mask 24 : Group hosts using the prefix length.For IPv4, this must be a number between (including) 0 and32.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Ejemplos de reglas de iptables
Eliminar o aceptar paquetes desde una MAC Address
iptables -A INPUT -m mac --mac-source
00:0F:EA:91:04:08 -j DROP
iptables -A INPUT -p tcp --destination-port 22 -m
mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Ejemplos de reglas de iptables
Prevenir ataques DoS
iptables -A INPUT -p tcp --dport 80 -m limit
--limit 25/minute --limit-burst 100 -j ACCEPT
Donde:
-Limit 25/minute : Limita a solo 25 conexiones por minuto.
-Limit-burst 100: Indica que el valor de limit/minutesera forzado solo despues del numero de conexiones en estenivel.
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Ejemplos de reglas de iptables
Permitir redireccion de puertos
Ejemplo puerto 422 redirigimos al 22, con lo que podemos tenerconexiones al puerto 22 y al puerto 422 por ssh.
iptables -t nat -A PREROUTING -p tcp -d
192.168.102.37 --dport 422 -j DNAT --to
192.168.102.37:22
iptables -A INPUT -i eth0 -p tcp --dport 422 -m
state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 422 -m
state --state ESTABLISHED -j ACCEPT
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Ejemplos de reglas de iptables
Guardar eventos en bitacora
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG
--log-prefix ’’IP SPOOF A:’’
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Firewalls en GNU/Linux con iptables
Ejemplos de reglas de iptables
Referencias Bibliograficas I