A continuación se proponen una serie de ejercicios a realizar mediante iptables. Las soluciones en próximas entregas...
Para realizar la práctica será muy útil asistir a clase :-), explorar el sitio oficial de iptables, www.netfilter.org, y disponer de una buena introducción, como la disponible en:
http://iptables-tutorial.frozentux.net/iptables-tutorial.html
http://tecnoloxiaxa.blogspot.com/2010/03/manual-de-iptables.html
http://tecnoloxiaxa.blogspot.com/2008/11/configurar-y-activar-un-equipo-como.html
http://tecnoloxiaxa.blogspot.com/2008/04/cortafuegos-basado-en-linux-smoothwall.html
http://iptables-tutorial.frozentux.net/iptables-tutorial.html
http://tecnoloxiaxa.blogspot.com/2010/03/manual-de-iptables.html
http://tecnoloxiaxa.blogspot.com/2008/11/configurar-y-activar-un-equipo-como.html
http://tecnoloxiaxa.blogspot.com/2008/04/cortafuegos-basado-en-linux-smoothwall.html
1- Escribir, probar (y comprobar) los siguientes ejemplos:
- a Permitir el trafico ICMP de entrada al sistema desde cualquier red.
- b Permitir que la interfaz eth0 pueda enviar paquetes ICMP a cualquier red.
- c Denegar la conexión al puerto 25, protocolo tcp, de la interfaz eth1
- d Rechazar la conexión al puerto 65000, protocolo udp, de la interfaz eth0, desde los ordenadores de la LAN (red local).
- e Si dispone de dos interfases en el equipo, pruebe a denegar todo el tráfico desde la eth0 a la eth1. Si no, al menos plantee cómo sería el comando.
- f Idem, pero denegando el tráfico desde la eth0 a la eth1 de mensajes de protocolo tcp
2- Explorar las posibilidades del tipo nat de IPTables. En concreto, probar a hacer NAT con comandos del tipo:
# iptables -t nat -A POSTROUTING…
y comprobar que se ha realizado el NAT con éxito, analizando los mensajes salientes.
3- Probar los comandos de almacenamiento de reglas iptables-save y de restauración de reglas iptables-restore (el procedimiento será algo diferente dependiendo de la distribución de LINUX que se esté usando.
4- Otras pruebas con más detalle:
- a Rechazar el tráfico hacia el puerto 25, en la interfaz eth1, siempre que los paquetes vengan marcados con las opciones SYN y ACK del protocolo tcp, a la vez.
- b Utilizar la opción de log con cualquiera de las reglas probadas y comprobar que los mensajes son realmente registrados a través del syslog del sistema.Analizar la entrada que aparece en el log del sistema e identificar cada parte del mensaje.
- c Estudiar las opciones del tipo “mangle” y, en concreto las relacionadas con el tipo de servicio, TOS. La orientación de esta extensión es la alteración de paquetes de acuerdo con el servicio a prestar, priorizando el trafico proveniente de distintas partes. Por ejemplo, para minimizar los tiempos de espera: Minimize Delay. Es usada con las cadenas PREROUTING y POSTROUTING. Tratar, por ejemplo, de probar el correspondiente comando de iptables para minimizar la demora en el servicio telnet
- d Explorar las extensiones de “marcado” como –mark.
- e. Probar qué opción de iptables permitiría que el equipo fuera invisible frente a mensajes de la utilidad traceroute.
5- Construcción de un script de filtrado con iptables: intentar construir un script, cuyo objetivo será que se arranque la configuración de iptables cada vez que arranque el sistema, basándose, por ejemplo, en el citado en el tutorial al que nos referimos al principio de la práctica.
6- Instalar y probar alguna interfaz gráfica de gestión de iptables. Entre las más interesantes se pueden citar fwbuilder (http://www.fwbuilder.org/) y ‘turtle firewall’ (http://www.turtlefirewall.com). Como guía para empezar, tratar de realizar los mismos ejercicios ya realizados sin interfase gráfica.
1 comentario:
Me esta siendo de gran ayuda para familiarizarme con iptables, pero al llegar al apartado 4a ya no encuentro mas. No publicaste toda la resolucion de los ejercicios? Ahora no tengo mas que dudas....
Publicar un comentario