Avance de Proyecto

Problema 1 UOAC
Alfredo Fiebig C. aebig@ic.uach.cl
Esc. Ingenier a en Computaci on. Universidad Austral de Chile. Sede Puerto Montt.

Agenda

Mapa de la Red Listado de Tareas Desarollo de las Tareas Firewall

Que es iptables? Tablas Politicas por Defecto Como crear Reglas Seguimiento de Conexiones

Mis Reglas

2/21

Agenda

Desarollo de las Tareas Firewall Mapa de la Red Listado de Tareas

Que es iptables? Tablas Politicas por Defecto Como crear Reglas Seguimiento de Conexiones

3/21

Mapa de Red

4/21

Agenda

Desarollo de las Tareas Firewall Mapa de la Red Listado de Tareas

Que es iptables? Tablas Politicas por Defecto Como crear Reglas Seguimiento de Conexiones

5/21

Tareas

Respaldos Rsync.

6/21

Tareas

Respaldos Rsync. Active Directory.

6/21

Tareas

Respaldos Rsync. Active Directory. Implementacion Firewall.

6/21

Agenda

Desarollo de las Tareas Firewall Mapa de la Red Listado de Tareas

Que es iptables? Tablas Politicas por Defecto Como crear Reglas Seguimiento de Conexiones

7/21

Que es iptables?
IPTABLES
Es una herramientas de cortafuegos que permite no solamente ltrar paquetes, sino tambi en realizar traducci on de direcciones de red (NAT) o mantener registros de log.

NETFILTER
Esta construido sobre Netlter, el cual es un framework disponible en el n ucleo Linux que permite interceptar y manipular paquetes de red. Dicho framework permite realizar el manejo de paquetes en diferentes estados del procesamiento.

8/21

Reglas,Cadenas,Tablas

Iptables permite denir reglas acerca de qu e hacer con los paquetes de red. Las reglas se agrupan en cadenas. Cada cadena es una lista ordenada de reglas. Las cadenas se agrupan en tablas. Cada tabla est a asociada con un tipo diferente de procesamiento de paquetes.

9/21

Tablas

10/21

Tablas

FILTER
Filtrado de paquetes, contiene las siguientes cadenas predenidas: INPUT - Todos los paquetes destinados a este sistema. OUTPUT - Todos los paquetes creados por este sistema. FORWARD - Todos los paquetes que pasan por este sistema.

11/21

Tablas
NAT
Reenvio de paquetes, contiene las siguientes cadenas predenidas: PREROUTING - Los paquetes entrantes pasan a travs de esta cadena antes de que se consulte la tabla de ruteo local. (DNAT, destination-NAT) POSTROUTING - Los paquetes salientes pasan por esta cadena despus de haberse tomado la decisin del ruteo. (SNAT, source-NAT) OUTPUT - Permite hacer un DNAT limitado en paquetes generados localmente.
12/21

Tablas
MANGLE
Diseada para efectos avanzados, Permite la alteracion de paquetes y tramas, Contiene las siguientes adenas predenidas: PREROUTING - Todos los paquetes que logran entrar a este sistema, antes de que el ruteo decida si el paquete debe ser reenviado o si tiene destino local INPUT - Todos los paquetes destinados para este sistema. FORWARD - Todos los paquetes que pasan por este sistema. OUTPUT - Todos los paquetes creados en este sistema. POSTROUTING - Todos los paquetes que abandonan este sistema.
13/21

Politicas por Defecto

iptables -P INPUT DROP iptables -P FORWARD DROP iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT

14/21

Reglas
Cada regla especica qu e paquetes la cumplen y un destino que indica qu e hacer con el paquete si este cumple la regla. iptables -t [tabla] -o [operacion] [cadena][coincidencia] -j [ACCION] Operaciones:
A (add) Agrega la regla al nal I (insert) Agrega la regla al principio R (replace) Reemplaza una regla D (delete) Borra una regla F (ush) Borra todas las reglas de una cadena L (list) Muestra las reglas de una cadena

15/21

Reglas
iptables -t [tabla] -o [operacion] [cadena][coincidencia] -j [ACCION] Coincidencias:
-p [protocolo]: puede ser tcp, udp, icmp, all. o alguno de los indicados en /etc/protocols. -s [ip/mascara]: direccion de origen o grupo de hosts. -d [ip/mascara]: direccion de destino o grupo de hosts. -i [interfaz]: interfaz desde donde se recive el paquete. ( solo INPUT,FORWARD, PREROUTING) -o [interfaz]: interfaz de salida. (solo OUTPUT,FORWARD, POSTROUTING) - -sport: puerto de origen de la transaccion. (solo para protocolo tcp o udp) - -dport: puerto de destino de la transaccion. (solo para protocolo tcp o udp)
16/21

Reglas
iptables -t [tabla] -o [operacion] [cadena][coincidencia] -j [ACCION] Acciones:
ACCEPT : Acepta la transaccion. DROP : Rechaza la transaccion. REJECT : Rechaza la transaccion, y notica al emisor. QUEUE : Encola el paquete, para ser alterado con la biblioteca libipq. RETURN : El paquete deja de circular por la cadena. LOG : Crea una bitacora de los paquetes. ( ejemplo: vericar que paquetes estan siendo rechazados) DNAT : Permite modcar la direccion y el puerto de destino. SNAT: Permite modicar la direccion y el puerto de origen. MASQUERADE: Forma especial y restringida de SNAT.
17/21

Seguimiento de Conexiones
El seguimento de conexiones le permite al n ucleo llevar cuenta de todas las conexiones y relacionar todos los paquetes que forman parte de una conexion. Clasicacion: NEW -Intentando crear una conexi on nueva. ESTABLISHED - Parte de una conexi on ya existente. RELATED - Relacionada, aunque no realmente parte de una conexi on existente. INVALID - No es parte de una conexi on existente e incapaz de crear una conexi on nueva.
18/21

Paquet Fordwarding

Forma Fea
Escribir un 1 en el archivo /proc/sys/net/ipv4/ip forward

Forma Pro
Editar la linea net.ipv4.ip forward=0 del archivo /etc/sysctl.conf por net.ipv4.ip forward=1

19/21

Agenda

Desarollo de las Tareas Firewall Mapa de la Red Listado de Tareas

Que es iptables? Tablas Politicas por Defecto Como crear Reglas Seguimiento de Conexiones

20/21

MI FIREWALL

MIS REGLAS

21/21