Ctedra de Redes

Actividad de Taller 2

Implementacion Firewall Linux

Armado y configuracin de la red
1. Armar una red con un router/firewall, con dos servidores, uno Web y otro SSH, en una zona DMZ,
conectados a una red LAN, y una computadora que simula estar en Internet, como se indica en el
siguiente diagrama:













DMZ: 192.168.0.0/24
LAN: 192.168.1.0/24
Ruta por defecto del firewall: 172.22.73.226
Ruta por defecto de la LAN: 192.168.1.1
Ruta por defecto de la DMZ: 192.168.0.1

Servidor 1
Apache
Servidor 2
SSH
Red Interna


Red Laboratorio
eth3
192.168.0.1/24


eth2
192.168.1.1/

eth 5
172.22.73.226/
eth0
192.168.1.2/24

eth 1
192.168.0.2/24
2
2. Configurar las interfaces de red de todas las computadoras de la LAN, del router, de la DMZ y de
la computadora que simula estar en Internet. Tenga en cuenta que deben haber tres subredes, una
para la red LAN, otra para la DMZ y otra para la computadora de Internet. Defina los rangos de
direcciones para cada una de las subredes.

3. Verificar que el servidor Apache funcione en el servidor No 1 y el servidor SSH en el servidor
No2. En caso de no estar instalados, el profesor le indicar como hacerlo.



4. Verificar que el router est funcionando como tal y que desde las computadoras de la LAN se
pueda acceder a los servidores y desde los servidores a las computadoras de la LAN. Verificar que
entre el router y la PC que est en Internet haya conectividad.









5. Verificar que el router tenga el archivo ipforward en 1 (cat /proc/sys/net/ipv4/ip_forward). En caso
de no estar en 1 colocar echo 1 > /proc/sys/net/ipv4/ip_forward.



6. Colocar la puerta de enlace en los equipos de la DMZ y de la LAN, segn corresponda.





Configuracin de IPTables
1. En primer lugar debe negar todas las conexiones, para ello en el firewall/router escribir las
siguientes reglas de IPTables, desde una consola:
# iptables -F
# iptables -t nat -F
# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# iptables -P FORWARD DROP





2. Verifique conectividad entre LAN y DMZ (no debera haber conectividad)



3. Para proveer de acceso a Internet a las computadoras de la LAN, en el firewall/router escribir las
siguientes reglas de IPTables, desde una consola:
# iptables -A POSTROUTING t nat s <ip_red_lan> o eth0 j MASQUERADE
# iptables -A FORWARD -p tcp s <ip_red_lan> -o eth0 -m state state
NEW,ESTABLISHED,RELATED dport 80 j ACCEPT
# iptables -A FORWARD -p tcp -i eth0 -d <ip_red_lan> -m state state ESTABLISHED,RELATED
sport 80 j ACCEPT



4. Configuracin de la conectividad de la DMZ hacia Internet:
# iptables -A POSTROUTING -t nat s <ip_red_DMZ> -o eth0 j MASQUERADE
# iptables A FORWARD s <ip_red_DMZ> -o eth0 j ACCEPT
# iptables A FORWARD d <ip_red_DMZ> -i eth0 j ACCEPT



5. Redireccin del puerto 80 y el puerto 22 desde el router hacia la DMZ:
# iptables -A PREROUTING -t nat -i eth0 -p tcp dport 80 -j DNAT to-destination
<ip_server_DMZ>
# iptables -A PREROUTING -t nat -i eth0 -p tcp dport 22 -j DNAT to-destination
<ip_server_DMZ>
# iptables -A FORWARD d <ip_server_DMZ> p tcp dport 80 j ACCEPT
# iptables -A FORWARD d <ip_server_DMZ> p tcp dport 22 j ACCEPT



7. Permitir el acceso a la DMZ desde la LAN
# iptables -A FORWARD s <ip_server_LAN> d <ip_server_DMZ> p tcp dport 80 j ACCEPT
# iptables -A FORWARD s <ip_server_LAN> d <ip_server_DMZ> p tcp dport 22 j ACCEPT
# iptables -A FORWARD -m state state ESTABLISHED,RELATED s <ip_server_DMZ> d
<ip_server_LAN> -j ACCEPT



8. Grabar la configuracion completa del firewall
# iptables-save > /etc/iptables-save



Documentacin
1. Expresar de manera coloquial cada una de las reglas y detallar la funcionalidad de cada uno de
los filtros que se utilizan.

Negar todas las conexiones:

Iptables -F
Para borrar (flush) todas las reglas de las cadenas de la tabla principal
iptables -t nat -F
Elimina las reglas de filtrado en la tabla

Establecemos polticas (-P) por defecto:

iptables -P INPUT DROP
Con esto defino la poltica de negar todas las entradas
iptables -P OUTPUT DROP
Con esto defino la poltica de negar todas las salidas
iptables -P FORWARD DROP
Defino la poltica de negar todos los paquetes enrutados

Proveer de acceso a Internet a las computadoras de la LAN, en el firewall/router:
iptables -A POSTROUTING t nat s <ip_red_lan> o eth0 j MASQUERADE
Todo lo que sale desde la LAN a Internet enmascararlo

- Con el primer set de parmetros (-A POSTROUTING -t nat) definimos que vamos a crear una
regla para la tabla NAT en la cadena POSTROUTING (todo lo que sale).
- Con el comando -s estamos definiendo source (fuente)
- Con el comando -o podemos interceptar paquetes mediante la interfaz fsica o lgica por la
que egresan del sistema.
- Con el parmetro -j definimos una accin.
- Con MASQUERADE: este target es una forma restricta del target SNAT para las direcciones
IP dinmicas como las que la mayora de los ISP otorga para dialup o DSL. En vez de cambiar
la regla SNAT cada vez que nuestra direccin IP pblica cambia, este target calcula la
direccin IP del remitente a usar mediante la obtencin de la direccin IP de la interfaz
adecuada cuando un paquete coincide con la regla en la que este target utiliza. Asimismo,
iptables recuerda qu conexiones utilizaron este target y si la direccin de la interfaz vuelve a
cambiar (cuando nos reconectamos a nuestro ISP), todas las conexiones nateadas con la
direccin IP anterior se olvidan.

iptables -A FORWARD -p tcp s <ip_red_lan> -o eth0 -m state state
NEW,ESTABLISHED,RELATED dport 80 j ACCEPT
todos los paquetes enrutados del puerto 80 protocolo TCP que van desde la LAN a Internet, tener
acceso a los estados (NEW, ESTABLISHED, RELATED) y aceptarlos

iptables -A FORWARD -p tcp -i eth0 -d <ip_red_lan> -m state state
ESTABLISHED,RELATED sport 80 j ACCEPT
todos los paquetes enrutados del puerto 80 protocolo TCP que llegan desde Internet a la LAN,
tener acceso a los estados ESTABLISHED, RELATED y aceptarlos

Configuracin de la conectividad de la DMZ hacia Internet:

Hacemos enmascaramiento de la DMZ
iptables -A POSTROUTING -t nat s <ip_red_DMZ> -o eth0 j MASQUERADE
Todo lo que sale desde la DMZ a Internet enmascararlo

iptables A FORWARD s <ip_red_DMZ> -o eth0 j ACCEPT
todos los paquetes enrutados que vienen de la DMZ a Internet aceptarlos

iptables A FORWARD d <ip_red_DMZ> -i eth0 j ACCEPT
todos los paquetes enrutados que llegan a la DMZ desde Internet aceptarlos

Redireccin del puerto 80 y el puerto 22 desde el router hacia la DMZ:

iptables -A PREROUTING -t nat -i eth0 -p tcp dport 80 -j DNAT to-destination
<ip_server_DMZ>
Todas las peticiones que vengan de Internet hacia el puerto 80 redirigirlo a la mquina de la DMZ

iptables -A PREROUTING -t nat -i eth0 -p tcp dport 22 -j DNAT to-destination
<ip_server_DMZ>
Todas las peticiones que vengan de Internet hacia el puerto 22 redirigirlo a la mquina de la DMZ

iptables -A FORWARD d <ip_server_DMZ> p tcp dport 80 j ACCEPT
Todo paquete enrutado que llegue a la DMZ con puerto 80 aceptarlo

iptables -A FORWARD d <ip_server_DMZ> p tcp dport 22 j ACCEPT
Todo paquete enrutado que llegue a la DMZ con puerto 22 aceptarlo

Permitir el acceso a la DMZ desde la LAN:

iptables -A FORWARD s <ip_server_LAN> d <ip_server_DMZ> p tcp dport 80 j ACCEPT
Todo paquete enrutado que llegue desde la LAN hacia la DMZ con puerto 80 aceptarlo

iptables -A FORWARD s <ip_server_LAN> d <ip_server_DMZ> p tcp dport 22 j ACCEPT
Todo paquete enrutado que llegue desde la LAN hacia la DMZ con puerto 22 aceptarlo

iptables -A FORWARD -m state state ESTABLISHED,RELATED s <ip_server_DMZ> d
<ip_server_LAN> -j ACCEPT
Todo paquete enrutado desde la DMZ hacia la red LAN mostrar el estado ESTABLECIDO,
RELACIONADO y aceptarlo