sábado, 1 de octubre de 2011

Ejercicios de Iptables 1.e


e.- Si dispone de dos interfases en el equipo, pruebe a denegar todo el trafico desde la eth0 a la eth1. Si no, al menos plantee cómo sería el comando.

Para comprobar el funcionamiento, en primer lugar debemos habilitar el enrutamiento en iptables, ya que en caso contrario no lo haría:
echo 1 > /proc/sys/net/ipv4/ip_forward
a continuación, lo único que tendríamos que hacer es:
iptables -A FORWARD -i eth0 -o eth1 -j DROP

Para comprobar su funcionamiento emplearé este equipo como enrutador para otra máquina virtual. 

A continuación abriré simplemente el navegador e intentaré conectarme a internet, veremos como las 
peticiones salen hacia fuera pero las respuestas procedentes de los servidores se rechazan.


Antes de insertar la regla en iptables para que enrute el tráfico debemos enrutar las peticiones de dns al servidor de DNS de mi red local:
iptables -t nat -A PREROUTING -i eth1 -p udp --dport 53 -j DNAT –to 192.168.0.1
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 53 -j DNAT –to 192.168.0.1
finalmente debemos hacer SNAT en la interfaz eth0 para que todo el tráfico saliente tome la ip correcta:
iptables -t nat -A POSTROUTING -o eth0 -j SNAT –to 10.0.2.15
y lo mismo para las consultas de DNS que se harán a través de la interfaz eth2 hacia la ip 192.168.0.195:
iptables -t nat -A POSTROUTING -o eth2 -j SNAT --to 192.168.0.195
 

A partir de este instante podemos ver cómo nuestro equipo enruta perfectamente todo el tráfico entrante por eth1 (red local) hacia eth0 sin problemas siempre que sea necesario, por ejemplo pruebo a realizar una búsqueda en google desde la máquina xp para que la enrute ubuntu mediante iptables:

y  vemos el resultado en wireshark



Ahora lo único que resta es insertar la regla y ver cómo se deniega el tráfico que antes era permitido:

 

Como se puede ver en las estadísticas de la cadena FORWARD, tras insertar la regla y poner los contadores a cero, deja pasar los datos desde eth1 a eth0 para salir a Internet, pero descarta la entrada desde eth0 a eth1 de los datos de contestación al inicio de conexión.


 << Anterior                                                                                                                Siguiente >>

Para ver el resto de manuales de seguridad y enlaces a las siguientes entregas, puede acudir al índice de temas de seguridad en el enlace