Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
SR
Prctica 17
1/17
SR
5. Identifica los hosts activos de otra aula que no sea la tuya. Captura de pantalla.
Prctica 17
2/17
SR
6. Vamos a identificar los servicios activos de un host del aula. Elige la mquina
virtual de un compaero y realiza el escaneo de puertos mediante el comando:
nmap sT v Ip_compaero
Observa la informacin.
Qu servicios tiene arrancados?
Captura de pantalla
3/17
SR
10. Como puedes observar por el momento las cadenas de la tabla FILTER:
a.
b. OUTPUT (salida)
c. FORWARD(paquetes que pasan por la mquina)
Tienen como poltica por defecto el aceptar todo. Para que se entienda
vamos a cambiar la poltica de entrada.
11. Si accedis con el navegador se os mostrar alguna pgina web de prcticas
anteriores. Comprueba que puedes acceder al servidor web.
12. Vamos a cambiar la poltica de salida indicando que por defecto ningn trfico
saldr:
sudo iptables P OUTPUT DROP
-P: Indica que cambiamos la politica
OUTPUT: La cadena que modificamos es la de entrada. Podra ser para la tabla
filter: INPUT, OUTPUT y FORWARD
DROP: Elimina los paquetes. Podra ser ACCEPT( aceptar el paquete)
13. Lista el contenido de iptables como anteriormente para ver la poltica actual y
marca la poltica de OUTPUT. Captura de pantalla
Prctica 17
4/17
SR
14. Vuelve a acceder al servidor WEB. No te tiene que dejar. Nuestro servidor se ha
convertido en un agujero negro del que nada sale. Realiza un ping localhost y
comprueba que tampoco responde.
15. Vuelve a cambiar la poltica para la cadena OUTPUT de la tabla filter a
ACCEPT. Qu comando has utilizado? Comprueba que todo vuelve a
funcionar. Lista la poltica actual.
sudo iptables -P OUTPUT ACCEPT
Prctica 17
5/17
SR
Prctica 17
6/17
SR
19. Vuelve a intentar hacer ping. Al impedir por defecto enrutar, las mquinas no se
han de ver, sin embargo, ubuntu sigue disponible con el resto de servicios.
Comprueba que puede acceder al servidor web.
20. Vamos a utilizar una poltica inicial de ACEPTAR. Crea un fichero llamado
/etc/cortafuegos y aade las siguientes lneas.
echo -n Aplicando Reglas de Firewall...
##Borrado de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat F
## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
echo " OK . Verifique que lo que se aplica con: iptables -L -n"
21. Ejecuta el script mediante sh.
Crear reglas en la tabla FILTER
22. Para los siguientes ejercicios voy a suponer que:
a. eth0: es la red NAT (ser nuestra supuesta red local).Ip 172.16.174.50
b. eth1: es la red del Aula (ser nuestra salida a Internet).IP 192.168.0.60
c. 172.16.174.0/24 (red local)
Tendris que adaptar los datos a las condiciones de vuestra mquina.
23. Vamos a crear reglas en las distintas cadenas de las tablas. Por ejemplo, vamos a
impedir el trafico desde la red del aula impidiendo que se acceda a ningn
servicio desde el aula. Aade al script la siguiente regla
iptables A INPUT -i eth1 j DROP
-A: Indica que aadimos regla
INPUT: es la cadena de entrada
-i: vamos a aplicar la regla sobre una interface de red. En nuestro caso eth1 que
corresponde a la del aula.
-j: Que vamos a hacer con el paquete. En nuestro caso lo eliminamos con DROP.
24. Ejecuta el script y comprueba que se ha aadido al igual que la imagen
Prctica 17
7/17
SR
Prctica 17
8/17
SR
30. Borra la regla del script tambin. Comprueba que ahora ya puedes acceder al
servidor web desde la red del aula.
Pero para que muchas reglas sean tiles no basta poder especificar el dispositivo sino
que es necesario poder afinar indicando qu protocolo y/o puertos definen una regla en
particular.
Como ya sabemos, el webmin es una herramienta que permite configurar Linux
completamente. No es conveniente que se pueda acceder desde cualquier lugar. En
estos momentos nuestra tarjeta externa permite que todos nuestros compaeros puedan
ver nuestro Linux y adems conocen el usuario y contrasea de acceso.
31. Vamos a suponer que el acceso al servidor webmin slo deseamos que se realice
desde la red local (172.16.174.0/24).
Ayudndonos de la siguiente pgina
http://doc.ubuntu-es.org/Iptables
Para ello ejecutaramos el siguiente:
sudo iptables -A INPUT -i eth1 -p tcp --dport 10000 -j DROP
-A: aade regla a la cadena indicada
-i : interface a la que se aplica
-p: protocolo a utilizar(tcp, udp,)
--dport: puerto destino
-j: accin
32. Adapta el comando a tu mquina, adelo al script y ejectalo. Indica el
comando. Lista el contenido de iptables. Captura de pantalla.
sudo iptables -A INPUT -i eth3 -p tcp --dport 10000 -j DROP
Prctica 17
9/17
SR
33. Comprueba que puedes acceder desde la red local a webmin del servidor y no
desde la red externa.
34. Crea una regla en el script para que tu servidor web pueda verse desde la red
exterior pero no desde la red local. Recuerda que http utiliza el puerto 80. Qu
comando has utilizado?
sudo iptables -A INPUT -i eth2 -p tcp --dport 80 -j REJECT
35. Borra la regla anterior.
36. Nuestro servidor ubuntu tiene actualmente instalados varios servicios (web,dns,
Proxy). Si ejecutis el comando :
sudo netstat -ln | grep ESCUCHAR
os aparece en que puertos se encuentra nuestra mquina escuchando
37. Comprueba que puertos/servicios tenemos en estado de ESCUCHAR. Captura
de pantalla.
38. Vamos a ir ms lejos, queremos que solamente pueda accederse a webmin desde
localhost y desde la mquina 172.16.174.1 (anfitrin en Nat). Elimina la regla
anterior que se permita slo el acceso a nuestra red en el script
Prctica 17
10/17
SR
Prctica 17
11/17
SR
Prctica 17
12/17
SR
44. Intenta acceder a webmin desde cualquier mquina. No debera dejarte acceder
ya que nunca llegara a la segunda regla.
45. Ayudndote del siguiente documento:
http://doc.ubuntu-es.org/Iptables
y de
http://www.pello.info/filez/firewall/iptables.html
Interpreta las siguientes reglas de IpTables:
a. iptables F
Borra la tabla filter
Prctica 17
13/17
SR
Tabla NAT
Como se ha indicado, esta tabla, principalmente es la encargada de los paquetes
que se enrutan y permiten configurar las reglas de reescritura de direcciones o de
puertos de los paquetes. Por otro lado, nos va a permitir convertir a nuestro router
en un router NAT. Esta tabla trabaja con tres cadenas:
1. PREROUTING: Chequea la direccin de red antes de
reenviarla.
2. POSTROUTING: Tratamiento de la direccin IP despus del
enrutado
3. OUTPUT: Interpretacin de las direcciones de Red de los
paquetes que salen del firewall
Prctica 17
14/17
SR
Nota: Hasta el momento, hemos trabajado con la tabla FILTER, pero sabemos que
hay otras tablas. Si en la regla no se indica la tabla (como en los ejercicios
anteriores), nos referimos a la tabla FILTER.
47. Para el listar el contenido de la tabla NAT tendremos que indicar la tabla como
sigue
sudo iptables -t nat -L -n
Ejecuta el comando. Captura de pantalla.
48. Vamos a comprobar el poder de la tabla NAT. Con ella podemos cambiar el
destino de los paquetes. Ejecuta la siguiente cadena:
sudo iptables -t nat -A OUTPUT -p tcp -d www.google.es --dport 80 -j DNAT --to
127.0.0.1:80
Intenta acceder a www.google.es desde el navegador. Como puedes ver, nos redirige
a nuestro servidor web local. Captura de pantalla del acceso a google.
Prctica 17
15/17
SR
50. Abre la mquina Linux-DSL-Nat. Recuerda que la mquina tiene como router
por defecto nuestro Ubuntu y ya comprobamos en la prctica anterior que no
podemos navegar debido a que al salir al router del AULA, este router no conoce
nuestra red nat de Vmware y no es capaz de devolver los paquetes. Captura de
pantalla de Linux-DSL-Nat con el comando router
51. Para conseguir que el enrutamiento sea de tipo NAT, ejecutamos el comando
iptables -t nat -A POSTROUTING -s 192.168.61.0/255.255.255.0 -o eth1 -j
MASQUERADE
donde eth1 es la tarjeta externa.
52. Ejecuta el comando en ubuntu y comprueba que ahora si puedes navegar desde
Linux-DSL-Nat.
Proxy transparente mediante iptables. Redireccin de puertos
Hemos visto que para que los navegadores de nuestra red salgan al mundo WEB
utilizando nuestro Proxy squid, es necesario configurar cada navegador uno por
uno. Mediante la manipulacin de los puertos que nos permite hacer la tabla NAT
de iptables, podemos redirigir el trfico de la red que tiene como destino el puerto
80 (puerto http) al puerto 3128 de nuestro servidor Squid, consiguiendo con ello
que el usuario no tenga que configurar el navegador con salida por el Proxy.
53. Primero vamos a configurar en squid que acte como Proxy transparente. Para
ello es necesario edita squid.conf e indicar en el apartado del puerto lo siguiente:
http_port 3128 transparent
Prctica 17
16/17
SR
54. Vamos a redirigir el trfico que va dirigido a servidores web, es decir, con
destino el puerto 80 a nuestro servidor squid con puerto 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port
3128
donde
eth0: tarjeta interna
3128: puerto de squid
55. Supuestamente de la prctica de squid, no podemos acceder a la pgina de
www.elmundo.es. Prueba desde Linux-DSL-NAT que podemos acceder a
www.google.es pero no a www.elmundo.es. Vemos que no hemos configurado el
Proxy en el navegador pero salimos a travs de l. Captura de pantalla.
Prctica 17
17/17