FIREWALL
Tecsup
FIREWALL
OBJETIVOS
Desarrollar polticas de seguridad.
Implementar un FIREWALL.
REQUISITOS
PC con 2 Tarjetas de RED.
PROCEDIMIENTOS
1. CONECTIVIDAD
Anote en el grfico los valores de conectividad.
(PCI,SAP) Active la Maquina virtual WIN98 y configure los parmetros de RED.
Nota: La mquina virtual WIN98, tiene instalado el Servicio de WEB
PERSONAL. Lo usaremos tambin como cliente PCI, debido al consumo de
recursos.
FIREWALL
Nombre y Puerta de Enlace: # vi /etc/sysconfig/network
NETWORKING=yes
HOSTNAME=fire.empresa[#].com.pe
GATEWAY=[IP_ROUTER]
2. POLITICAS
OBJETIVO
Bloqueo al servidor Firewall contra toda accin de la RED
PRIVADA y RED PUBLICA.
Permitir a los usuarios de la red Privada visitar pginas WEB.
(http://www.yahoo.com)
Permitir el acceso al Servidor WEB desde la RED PUBLICA.
Tecsup
SERVICIOS
(SAP) Habilite el servicio de TELNET:
# vi /etc/xinetd.d/telnet
disable=no
# service xinetd restart
(SAP) Personalic una PAGINA WEB:
# vi /var/www/html/index.html
ARCHIVO POLITICAS
(FIRE) Crear un archivo # touch /root/politicas.sh
(FIRE) Aplicar permisos # chmod +x /root/politicas.sh
LIMPIANDO y PREDETERMINANDO
(FIRE) Editar # vi /root/politicas.sh
############## LIMPIEZA
# LOCAL
iptables F INPUT
iptables F OUTPUT
iptables F FORWARD
#NAT
iptables t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -t nat -F OUTPUT
############## PREDETERMINADO
# LOCAL
iptables P INPUT ACCEPT
iptables P OUTPUT ACCEPT
iptables P FORWARD ACCEPT
# NAT
iptables
iptables
iptables
-t
-t
-t
nat
nat
nat
-P
-P
-P
PREROUTING ACCEPT
POSTROUTING ACCEPT
OUTPUT ACCEPT
===================================================
NOTA: A continuacin se muestra cuadros de polticas que deber
personalizarlos con sus valores personales y agregarlo al final del
archivo politicas.sh. Para que se aplique deber de ejecutar el
SCRIPT # sh /root/politicas.sh
===================================================
ENMASCARAMIENTO
# ENMASCARANDO A LA RED LOCAL. ES UNA LINEA CONTINUA
iptables -t
nat -A POSTROUTING -s
[RED_PRIVADA]/[MASCARA]
MASQUERADE
-j
Tecsup
BLOQUEO A FIREWALL
(FIRE) Al final del archivo # vi /root/politicas.sh
iptables
-P
INPUT
DROP
destination
anywhere
Responde
iptables
-A
INPUT
-i
lo
-j
ACCEPT
nat
-P
PREROUTING
DROP
PRUEBAS
# ping
[ip_ETH1_FIRE]
[ip_ETH0_FIRE]
[PCE]
[IP_ROUTER]
www.yahoo.com
Responde
-s
53
[red_privada]/[mascara]
-j ACCEPT
Tecsup
-s
80
[red_privada]/[mascara]
-j ACCEPT
REDIRECCIONAMIENTO (NAT)
(FIRE) Agregue una segunda direccin IP a la T.RED PUBLICA ETH0, esta IP
representa la IP PBLICA del SERVER SAP. El FIRE direcciona las peticiones de
esta IP a la IP PRIVADA del SERVER SAP.
/sbin/ifconfig eth0:0 [IP_PUB_SAP] netmask [MASCARA]
iptables
-j DNAT
-t nat -A PREROUTING
--to [IP_SAP]:80
-p
tcp
-d
[IP_PUB_SAP] --dport 80
-d
[IP_PUB_SAP] --dport 23
iptables
-j DNAT
-t nat -A PREROUTING
--to [IP_SAP]:23
-p
tcp