IPTABLES Manual Practico, Tutorial de Iptables Con Ejemplos

5/11/2015
IPTABLESmanualpractico,tutorialdeiptablesconejemplos
IPTABLES
Manualprctico
(1.2)
Enestemanualsemuestranlashabitualesarquitecturasderedesconfirewallylaformademontar
iptablesparacadacaso,condistintasopcionesparacadaejemplo.
1.2Revision:aadidoslosmismoscasosperoconDROPpordefecto.
PorPelloXabierAltadillIzura
PelloAltadillIngenieroInformticoporlaUPVEHU
http://www.pello.info/forum/iptables
(Actualizacionesyejemplosenhttp://www.pello.infoVERSINPDF)
1.Quesunfirewall
2.Quesiptables
3.Algrano:creandounfirewallconiptables
3.1Protegerlapropiamquina
3.2FirewalldeunaLANconsalidaainternet
3.3FirewalldeunaLANconsalidaainternetconDMZ
3.4FirewalldeunaLANconsalidaainternetyVPNS
3.5Firewallpuroyduroentreredes
3.6FirewallconpolticapordefectoDROP
4.Cmodepurarelfuncionamientodelfirewall
Enlaces,notas,autor
1.Quesunfirewall
Unfirewallesundispositivoquefiltraeltrficoentreredes,comomnimodos.Elfirewallpuedeserun
dispositivofsicoounsoftwaresobreunsistemaoperativo.Engeneraldebemosverlocomounacajacon
DOSomasinterfacesderedenlaqueseestablecenunareglasdefiltradoconlasquesedecidesiuna
conexindeterminadapuedeestablecerseono.Inclusopuedeirmsallyrealizarmodificacionessobre
lascomunicaciones,comoelNAT.
Esaseraladefinicingenrica,hoyendiaunfirewallesunhardwareespecificoconunsistemaoperativo
ounaIOSquefiltraeltrficoTCP/UDP/ICMP/../IPydecidesiunpaquetepasa,semodifica,seconvierte
osedescarta.Paraqueunfirewallentreredesfuncionecomotaldebeteneralmenosdostarjetasdered.
Estaseralatipologaclsicadeunfirewall:
Figura1:esquemadefirewalltpicoentreredlocaleinternet
Esquematpicodefirewallparaprotegerunaredlocalconectadaainternetatravsdeunrouter.El
firewalldebecolocarseentreelrouter(conunnicocable)ylaredlocal(conectadoalswitchoalhubde
laLAN)
Dependiendodelasnecesidadesdecadared,puedeponerseunoomsfirewallsparaestablecer
http://www.pello.info/filez/firewall/iptables.html
1/22
5/11/2015
distintospermetrosdeseguridadentornoaunsistema.Esfrecuentetambinquesenecesiteexponer
algnservidorainternet(comoeselcasodeunservidorweb,unservidordecorreo,etc..),yenesos
casosobviamenteenprincipiosedebeaceptarcualquierconexinaellos.Loqueserecomiendaenesa
situacinessituareseservidorenlugarapartedelared,elquedenominamosDMZozona
desmilitarizada.Elfirewalltieneentoncestresentradas:
Figura2:esquemadefirewallentreredlocaleinternetconzonaDMZparaservidoresexpuestos
Enlazonadesmilitarizadasepuedenponertantosservidorescomosenecesiten.Conestaarquitectura,
permitimosqueelservidorseaaccesibledesdeinternetdetalformaquesiesatacadoyseganaacceso
al,laredlocalsigueprotegidaporelfirewall.EstaestructuradeDMZpuedehacersetambinconun
doblefirewall(aunquecomosevesepuedeusarunnicodispositivoconalmenostresinterfacesde
red).Seraunesquemacomoeste:
Figura3:esquemadefirewallentreredlocaleinternetconzonaDMZparaservidoresexpuestoscreadocondoblefirewall(permetro)
Losfirewallssepuedenusarencualquierred.Eshabitualtenerloscomoproteccindeinternetenlas
empresas,aunqueahtambinsuelentenerunadoblefuncin:controlarlosaccesosexternoshacia
dentroytambinlosinternoshaciaelexteriorestoltimosehaceconelfirewallofrecuentementeconun
proxy(quetambinutilizanreglas,aunquedemsaltonivel).
Tambin,enempresasdehostingconmuchosservidoresalojadoslonormalesencontrarnosunooms
firewallsyaseafiltrandotodalainstalacinopartedeella:
2/22
5/11/2015
Figura4:esquemadefirewallentreredes,enlaquesolosefiltraynosehaceNAT
Seaeltipodefirewallquesea,generalmentenotendrmasqueunconjuntodereglasenlasquese
examinaelorigenydestinodelospaquetesdelprotocolotcp/ip.Encuantoaprotocolosesprobableque
seancapacesdefiltrarmuchostiposdeellos,nosololostcp,tambinlosudp,losicmp,losgreyotros
protocolosvinculadosavpns.Estepodraser(enpseudolenguaje)unelconjuntodereglasdeunfirewall
delprimergrfico:
PoliticapordefectoACEPTAR.
TodoloquevengadelaredlocalalfirewallACEPTAR
Todoloquevengadelaipdemicasaalpuertotcp22ACEPTAR
Todoloquevengadelaipdecasadeljefealpuertotcp1723ACEPTAR
Todoloquevengadehora.rediris.esalpuertoudo123ACEPTAR
TodoloquevengadelaredlocalyvayaalexteriorENMASCARAR
Todoloquevengadelexterioralpuertotcp1al1024DENEGAR
Todoloquevengadelexterioralpuertotcp3389DENEGAR
Todoloquevengadelexterioralpuertoudp1al1024DENEGAR
Endefinitivaloquesehacees:
HabilitaelaccesoapuertosdeadministracinadeterminadasIPsprivilegiadas
Enmascaraeltraficodelaredlocalhaciaelexterior(NAT,unapeticindeunpcdelaLANsaleal
exteriorconlaippblica),parapodersalirainternet
Deniegaelaccesodesdeelexteriorapuertosdeadministracinyatodoloqueesteentre1y1024.
Haydosmanerasdeimplementarunfirewall:
1)PolticapordefectoACEPTAR:enprincipiotodoloqueentraysaleporelfirewallseaceptaysolose
denegarloquesedigaexplcitamente.
2)PolticapordefectoDENEGAR:todoestadenegado,ysolosepermitirpasarporelfirewallaquellos
quesepermitaexplcitamente.
Comoesobvioimaginar,laprimerapolticafacilitamucholagestindelfirewall,yaquesimplementenos
tenemosquepreocupardeprotegeraquellospuertosodireccionesquesabemosquenosinteresael
restonoimportatantoysedejapasar.Porejemplo,siqueremosprotegerunamquinalinux,podemos
hacerunnetstatln(onetstatan,onetstatputa|grepLISTEN),saberquepuertosestnabiertos,poner
reglasparaprotegeresospuertosyyaest.Paraquvamosaprotegerunpuertoquerealmentenunca
sevaaabrir?
Elnicoproblemaquepodemosteneresquenocontrolemosqueesloqueestaabierto,oqueenun
3/22
5/11/2015
momentodadoseinstaleunsoftwarenuevoqueabraunpuertodeterminado,oquenosepamosque
determinadospaquetesICMPsonpeligrosos.SilapolticapordefectoesACEPTARynoseprotege
explcitamente,noslaestamosjugandounpoco.
Encambio,silapolticapordefectoesDENEGAR,anoserquelopermitamosexplcitamente,elfirewall
seconvierteenunautnticoMUROinfranqueable.Elproblemaesqueesmuchomsdifcilprepararun
firewallas,yhayquetenermuyclarocomofuncionaelsistema(seaiptablesoelquesea)yqueeslo
quesetienequeabrirsincaerenlatentacindeempezarameterreglassuperpermisivas.
Estaconfiguracindefirewalleslarecomendada,aunquenoesaconsejableusarlasinosedomina
mnimamenteelsistema.Unodelosobjetosprincipalesdeestedocumentoesmostrarlaformadecrear
estetipodefirewalls.
IMPORTANTE
Elordenenelqueseponenlasreglasdefirewallesdeterminante.Normalmentecuandohayquedecidir
quesehaceconunpaquetesevacomparandoconcadaregladelfirewallhastaqueseencuentrauna
queleafecta(match),ysehaceloquedicteestaregla(aceptarodenegar)despusdeesoNOSE
MIRARNMSREGLASparaesepaquete.Culeselpeligro?Siponemosreglasmuypermisivas
entrelasprimerasdelfirewall,puedequelassiguientesnoseapliquenynosirvandenada.
2.Quesiptables
IPtablesesunsistemadefirewallvinculadoalkerneldelinuxquesehaextendidoenormementeapartir
delkernel2.4deestesistemaoperativo.Aligualqueelanteriorsistemaipchains,unfirewalldeiptables
noescomounservidorqueloiniciamosodetenemosoquesepuedacaerporunerrorde
programacin(estoesunapequeamentira,hatenidoalgunavulnerabilidadquepermiteDoS,peronunca
tendrtantopeligrocomolasaplicacionesqueescuchanendeterminadopuertoTCP):iptablesesta
integradoconelkernel,espartedelsistemaoperativo.Cmoseponeenmarcha?Realmenteloquese
haceesaplicarreglas.Paraellosseejecutaelcomandoiptables,conelqueaadimos,borramos,o
creamosreglas.Porellounfirewalldeiptablesnoessinounsimplescriptdeshellenelquesevan
ejecutandolasreglasdefirewall.
Notas:bueno,paralosmsgeeksytocapelotas.Vale,sepuedeimplementarunscriptdeinicioen
/etc/rc.d/INIT.d(o/etc/INIT.d)conelquehagamosqueiptablesse"inicieopare"comounservidorms.
Lopodemoshacernosotrosoesprobablequevengaenladistribucin(comoenredhatporejemplo).
Tambinsepuedensalvarlasreglasaplicadasconelcomandoiptablessaveenunficheroygestionar
eseficheroconunaaplicacinofrontenddesdelaXodesdewebmin.
Vale,tenemosunamquinalinuxconsoporteparaiptables,tienereglasaplicadasyempiezana
llegar/salir/pasarpaquetes.Nonosliemos:olvidemoscuantastarjetasderedhay,quedireccionesiptiene
lamquinayolvidemossielpaqueteentraosale.Lasreglasdefirewallestnaniveldekernel,yal
kernelloquelellegaesunpaquete(digamos,unmarrn))ytienequedecidirquehacerconl.El
kernelloquehacees,dependiendosielpaqueteesparalapropiamaquinaoparaotramaquina,
consultarlasreglasdefirewallydecidirquehacerconelpaquetesegnmandeelfirewall.Esteesel
caminoqueseguiraunpaqueteenelkernel:
Figura5:cuandounpaqueteuotracomunicacinllegaalkernelconiptablessesigueestecamino
4/22
5/11/2015
Comoseveenelgrfico,bsicamentesemirasielpaqueteestadestinadoalapropiamaquinaosivaa
otra.Paralospaquetes(odatagramas,segnelprotocolo)quevanalapropiamaquinaseaplicanlas
reglasINPUTyOUTPUT,yparafiltrarpaquetesquevanaotrasredesomaquinasseaplican
simplementereglasFORWARD.
INPUT,OUTPUTyFORWARDsonlostrestiposdereglasdefiltrado.Peroantesdeaplicaresasreglases
posibleaplicarreglasdeNAT:estasseusanparahacerredireccionesdepuertosocambiosenlasIPsde
origenydestino.Veremosejemplos.
EinclusoantesdelasreglasdeNATsepuedenmeterreglasdetipoMANGLE,destinadasamodificarlos
paquetessonreglaspococonocidasyesprobablequenolasusen.
Portantotenemostrestiposdereglaseniptables:
MANGLE
NAT:reglasPREROUTING,POSTROUTING
FILTER:reglasINPUT,OUTPUT,FORWARD.
3.Algrano:creandounfirewallconiptables
Enestetutorialsehaintentadodarunabreveintroduccinsobreloqueesunfirewall,sustipologas
bsicasyenconcretosepresentaelsistemaiptables.Perovamosalgranoyempezamosaver
configuracionesdefirewallconiptables,empezandodesdelamsbsicaalasmscomplejas,enlasque
seestableceladenegacincomopolticapordefecto.
Nota:serecomiendaencarecidamenteirpracticandoestasreglasenalgunamaquinalinuxdisponible,y
especialmentehacerusodelaherramientaiptrafparadepurarycomprobarelfuncionamientodeiptables.
ConiptrafpodemoscomprobarsilasconexionesTCP/IPselleganaestablecerono.Unaconexintcp/ip
empiezaconelthreewayhandshake:
LamaquinaquedeseaconectarseaotraenviaunpaqueteconflanSYN
Silaotramaquinaacepta,enviaunSYN/ACK
Entonceslamquinaestablecelaconexin.
Sielfirewallestadenegandolaconexin,coniptrafveremosquelamaquinaorigensolomandapaquetes
conelflanS(deSYN),yquedelotroladonosalenada.Saberusariptrafnosayudarmucho.
3.1Protegerlapropiamquina
Muybien,tenemosunamquinalinuxpinchadaeninternetyqueremosprotegerlaconsupropiofirewall.
Lonicoquetenemosquehacerescrearunscriptdeshellenelquesevanaplicandolasreglas.
Losscriptsdeiptablespuedenteneresteaspecto:
Saludoalaaficin(echo)
Borradodelasreglasaplicadasactualmente(flush)
AplicacindepolticaspordefectoparaINPUT,OUPUT,FORWARD
Listadodereglasiptables.
Ojoconelordendelasreglas!
#!/bin/sh
##SCRIPTdeIPTABLESejemplodelmanualdeiptables
##Ejemplodescriptparaprotegerlapropiamquina
##PelloXabierAltadillIzura
##www.pello.infopello@pello.info
echonAplicandoReglasdeFirewall...
##FLUSHdereglas
iptablesF
iptablesX
iptablesZ
iptablestnatF
##Establecemospoliticapordefecto
iptablesPINPUTACCEPT
iptablesPOUTPUTACCEPT
iptablesPFORWARDACCEPT
iptablestnatPPREROUTINGACCEPT
iptablestnatPPOSTROUTINGACCEPT
##Empezamosafiltrar
5/22
5/11/2015
#Ellocalhostsedeja(porejemploconexioneslocalesamysql)
/sbin/iptablesAINPUTilojACCEPT
#AnuestraIPledejamostodo
iptablesAINPUTs195.65.34.234jACCEPT
#AuncolegaledejamosentraralmysqlparaquemantengalaBBDD
iptablesAINPUTs231.45.134.23ptcpdport3306jACCEPT
#AundiseadorledejamosusarelFTP
iptablesAINPUTs80.37.45.194ptcpdport20:21jACCEPT
#Elpuerto80dewwwdebeestarabierto,esunservidorweb.
iptablesAINPUTptcpdport80jACCEPT
#Yelresto,locerramos
iptablesAINPUTptcpdport20:21jDROP
iptablesAINPUTptcpdport3306jDROP
echo"OK.Verifiquequeloqueseaplicacon:iptablesLn"
#Findelscript
Notaparafreaksygeeks:siiii,queyalose,sepuedemejorarestescriptusandovariables,sepuede
ponerelcomandoconelpathcompleto,perolimtenseahacercopypaste.Paraelrestodemortales,no
olvidarsedeponerleflagsdeejecucin:chmod+xfirewall1.shochmod750firewall1.sh
Enfin,yaseve,unscriptdelosmssimple,conunaspocasreglasconlasquecerramospuertosal
pblicoalosquenotienenporqueteneracceso,salvoel80.Perocualquieraconalgodeojosehabr
dadocuentadequenisefiltraelUDPnielICMP.Apostaracualquiercosaaqueelsistematienealgn
puertoudpabierto,yademspeligrosocomoelSNMP.Comohedichoanteriormente,enestetipode
firewallesrecordablehacerunnetstatparaverquepuertosestnenestadodeescucha(abiertos),y
salvequeunrootkitnoshayamodificadolosbinarios,netstatnosdarlainformacinprecisaque
necesitamos.Haygentequesedecantaporhacerseunnmapasmismos.Cuidado:dependiendode
cmoloejecutemosquiznonosmuestretodoslospuertos,yaquesuelemirarlosbienconocidos.
Imaginemosquehemosdadounrepasoanuestrosistema,yahorasiquetenemosmejoridentificados
lospuertostcpyudpabiertos.Peroporsiacasonoscuramosensaludyalfinaldelscriptcerraremosel
rangodepuertosdel1al1024,losreservadostantoparatcpcomoudp.
#!/bin/sh
##FLUSHdereglas
iptablesF
iptablesX
iptablesZ
iptablestnatF
##Empezamosafiltrar
#Cerramosrangodelospuertosprivilegiados.Cuidadoconestetipode
#barreras,anteshayqueabriralosquesitienenacceso.
iptablesAINPUTptcpdport1:1024jDROP
iptablesAINPUTpudpdport1:1024jDROP
#Cerramosotrospuertosqueestanabiertos
6/22
5/11/2015
iptablesAINPUTpudpdport10000jDROP
#Findelscript
Sencillo,no?Ahorabastaconhacercopypastedeestasreglasyaplicarlasyajustarlasensusistema
(quizsusesPostgreSQL).Sitienemiedodeperderelcontroldeunamquinaremota,pruebeelscripten
unamquinalocalyasegresedequeaplicaloqueustedquiere.Funcionarvaafuncionarseguro.
VersinconDROPpordefecto
Vale,queremosquenuestramaquinaseainexcrutableyquesolotengaabiertounpuertoimprescindible
paradardeterminadoservicio.ConDROPpordefectoseprotegelamaquinaperfectamente,aunquehay
queaadiralgunasreglasparaquelapropiamquinaseacapazdesalirainternet.Paraqu?hombre,
porquelamaquinanecesitaactualizaciones,consultarDNSporudp,sacarcorreoetc.
Veamosunposiblescript:
#!/bin/sh
##EjemplodescriptparaprotegerlapropiamquinaconDROPpordefecto
##FLUSHdereglas
iptablesF
iptablesX
iptablesZ
iptablestnatF
##Establecemospoliticapordefecto:DROP
iptablesPINPUTDROP
iptablesPOUTPUTDROP
iptablesPFORWARDDROP
##Empezamosafiltrar?no!empezamosaabrir!porqueahoraestaTODOdenegado.
##Debemosdecirdemaneraexplicitaquesloquequeremosabrir
#Operarenlocalhostsinlimitaciones
/sbin/iptablesAOUTPUTolojACCEPT
iptablesAOUTPUTd195.65.34.234jACCEPT
#EsteeselservicioqueDAlamaquinaainternet,portantotodopaqueteentranteseaceptapara
#esepuertoylossalientesvinculadosseaceptan.
/sbin/iptablesAINPUTptcpmtcpdport80jACCEPT
/sbin/iptablesAOUTPUTptcpmtcpsport80mstatestateRELATED,ESTABLISHEDjACCEPT
#Permitimosquelamaquinapuedasaliralaweb
/sbin/iptablesAINPUTptcpmtcpsport80mstatestateRELATED,ESTABLISHEDjACCEPT
/sbin/iptablesAOUTPUTptcpmtcpdport80jACCEPT
#Yatambienawebsseguras
/sbin/iptablesAINPUTptcpmtcpsport443mstatestateRELATED,ESTABLISHEDjACCEPT
/sbin/iptablesAOUTPUTptcpmtcpdport443jACCEPT
#ReglasnecesariasparaFTPpasivoyactivo.SepermitenconexionesentrantesYAestablecidas
/sbin/iptablesAINPUTptcpmtcpsport20:21mstatestateRELATED,ESTABLISHEDjACCEPT
/sbin/iptablesAOUTPUTptcpmtcpdport20:21jACCEPT
/sbin/iptablesAINPUTptcpmtcpsport1024:65535dport1024:65535mstatestateESTABLISHEDjACCEPT
/sbin/iptablesAOUTPUTptcpmtcpdport1024:65535mstatestateNEW,RELATED,ESTABLISHEDjACCEPT
#PermitimoslaconsultaaunprimerDNS
/sbin/iptablesAINPUTs211.95.64.39pudpmudpsport53jACCEPT
/sbin/iptablesAOUTPUTd211.95.64.39pudpmudpdport53jACCEPT
#PermitimoslaconsultaaunsegundoDNS
/sbin/iptablesAINPUTs211.95.79.109pudpmudpsport53jACCEPT
/sbin/iptablesAOUTPUTd211.95.79.109pudpmudpdport53jACCEPT
#Permitimosconsultarelrelojdehora.rediris.es(unpentium166)parasincronizarse
/sbin/iptablesAINPUTs130.206.3.166pudpmudpdport123jACCEPT
/sbin/iptablesAOUTPUTd130.206.3.166pudpmudpsport123jACCEPT
#BarreradebackupporsicambiamosamodoACCEPTtemporalmente
#Conestoprotegemoslospuertosreservadosyotroswellknown
/sbin/iptablesAINPUTptcpmtcpdport1:1024jDROP
/sbin/iptablesAINPUTpudpmudpdport1:1024jDROP
7/22
5/11/2015
/sbin/iptablesAINPUTptcpmtcpdport1723jDROP
#Findelscript
3.2FirewalldeunaLANconsalidaainternet
Ahoravamosaverunaconfiguracindefirewalliptablesparaeltpicocasoderedlocalquenecesita
salidaainternet.
Figura6:esquemadefirewalltpicoentreredlocaleinternet
Quesloquehacefalta?Obviamente,unareglaquehagaNAThaciafuera(enmascaramientoen
iptables),conloqueseharadosvecesNATenelfirewallyenelrouter.Entreelrouteryelfirewalllo
normalesquehayaunaredprivada(192.168.1.1y192.168.1.2porejemplo),aunquedependiendodelas
necesidadespuedequelosdostenganIPpblica.ElroutersesuponequehaceunNATcompletohacia
dentro(quizsalvopuerto23),oseaquedesdeelexteriornosellegaalroutersinoquedeforma
transparentese"choca"contraelfirewall.Lonormalenestetipodefirewallsesponerlapolticapor
defectodeFORWARDendenegar(DROP),peroesolovemosmsadelante.
Veamoscomoseraestefirewallgateway:
#!/bin/sh
##Ejemplodescriptparafirewallentreredlocaleinternet
##
##FLUSHdereglas
iptablesF
iptablesX
iptablesZ
iptablestnatF
##Empezamosafiltrar
##Nota:eth0eselinterfazconectadoalrouteryeth1alaLAN
#Alfirewalltenemosaccesodesdelaredlocal
iptablesAINPUTs192.168.10.0/24ieth1jACCEPT
#Ahorahacemosenmascaramientodelaredlocal
#yactivamoselBITDEFORWARDING(imprescindible!!!!!)
iptablestnatAPOSTROUTINGs192.168.10.0/24oeth0jMASQUERADE
#Conestopermitimoshacerforwarddepaquetesenelfirewall,osea
#queotrasmquinaspuedansaliratravesdelfirewall.
echo1>/proc/sys/net/ipv4/ip_forward
##Yahoracerramoslosaccesosindeseadosdelexterior:
#Nota:0.0.0.0/0significa:cualquierred
#Cerramoselrangodepuertobienconocido
iptablesAINPUTs0.0.0.0/0ptcpdport1:1024jDROP
iptablesAINPUTs0.0.0.0/0pudpdport1:1024jDROP
#Cerramosunpuertodegestin:webmin
iptablesAINPUTs0.0.0.0/0ptcpdport10000jDROP
#Findelscript
8/22
5/11/2015
Perocomosomosmuymalvadosqueremosquelosempleadossolamentepuedannavegarporinternet,
denegandoelaccesoaKazaaoedonkey.Estaseraunaconfiguracinsimpleperoefectiva.
#!/bin/sh
##confiltroparaquesolosepuedanavegar.
##FLUSHdereglas
iptablesF
iptablesX
iptablesZ
iptablestnatF
##Empezamosafiltrar
##AhoraconreglaFORWARDfiltramoselaccesodelaredlocal
##alexterior.Comoseexplicaantes,alospaquetesquenovandirigidosal
##propiofirewallselesaplicanreglasdeFORWARD
#Aceptamosquevayanapuertos80
iptablesAFORWARDs192.168.10.0/24ieth1ptcpdport80jACCEPT
#Aceptamosquevayanapuertoshttps
#AceptamosqueconsultenlosDNS
iptablesAFORWARDs192.168.10.0/24ieth1pudpdport53jACCEPT
#Ydenegamoselresto.Sisenecesitaalguno,yaavisaran
iptablesAFORWARDs192.168.10.0/24ieth1jDROP
#Findelscript
Supongamosqueestefirewalltienealgunafuncinadicional:esunservidorproxyyademsesun
servidordecorreo.Darlefuncionalidadesdeestetipoaunfirewallnoesrecomendable,porquesinose
protegenbienesospuertososinoestactualizadoelsoftwarepuedenentrarenelfirewallabasede
xploitscomprometiendoTODAlaredlocal.Detodasformasmuchasempresasnosepuedenpermitiro
noquierentenerunamquinaparacadacosa,bastantelescuestaamuchasponerunfirewall.Portanto:
siseaadenserviciosquedebenestarabiertosalpblicoenelpropiofirewall,noslaestamosjugando,y
serecomiendapasarelservicioaotramquinayponerlaenlaDMZ.
Supongamostambinquelaempresatienecomercialesenrutayqueseconectanainternetdesdesu
porttilyconunaipdinmica.Supongamostambinqueeljefedelaempresaquiereaccederalared
localdesdecasaconunaconexinADSL.Ahoraenelfirewalldebieramostenerinstaladounservidor
SMTP,pop3,yunPPTPD.
#!/bin/sh
9/22
5/11/2015
##conserviciosabiertosdepuerto25,110,y1723
##FLUSHdereglas
iptablesF
iptablesX
iptablesZ
iptablestnatF
##Empezamosafiltrar
iptablesAINPUTilojACCEPT
##Abrimoselaccesoapuertosdecorreo
#Abrimoselpuerto25,hayqueconfigurarbienelrelaydelservidorSMTP
iptablesAINPUTs0.0.0.0/0ptcpdport25jACCEPT
#Abrimoselpop3
#Yabrimoselpuertopptpdparalaipdeladsldecasadeljefe
iptablesAINPUTs0.0.0.0/0ieth0ptcpdport1:1024jDROP
iptablesAINPUTs0.0.0.0/0ieth0pudpdport1:1024jDROP
iptablesAINPUTs0.0.0.0/0ieth0ptcpdport10000jDROP
#YcerramoselpuertodelservicioPPTPD,soloabiertoparaeljefe.
#Findelscript
Msdifciltodava!
Ahoraqueremoscompartiralgnservicioperodeunservidorquetenemosdentrodelaredlocal,por
ejemploelIISdeunservidorwindows2000,yademspermitirlagestinremotaporterminalserverpara
estamquinaparaunaempresaexterna.Enestecasoloquehayquehaceresunredireccindepuerto.
Antesdeiptablesestosepodahacerfcilmenteconunservidorcomorinet.Rinetloquehacees
simplementeabrirunpuertoenelfirewallyalconectarsealtellevahastaelpuertodeotramquina,
comounatubera.ConIptablespodemoshacerredireccionesconunaventaja:noperdemosla
informacindeIPorigen,cosaqueconrinetsocurra.Enfin,veamoslaconfiguracin,conlasnuevas
reglasdeDNAT:
#!/bin/sh
10/22
5/11/2015
##conserviciosabiertosdepuerto25,110,y1723
##FLUSHdereglas
iptablesF
iptablesX
iptablesZ
iptablestnatF
##Empezamosafiltrar
##REDIRECCIONES
#Todoloquevengaporelexterioryvayaalpuerto80loredirigimos
#aunamaquinainterna
iptablestnatAPREROUTINGieth0ptcpdport80jDNATto192.168.10.12:80
#LosaccesosdeunipdeterminadaaTerminalserverseredirigeneesa
#maquina
iptablestnatAPREROUTINGs221.23.124.181ieth0ptcpdport3389jDNATto192.168.10.12:3389
##Abrimoselaccesoapuertosdecorreo
#Abrimoselpuerto25,hayqueconfigurarbienelrelaydelservidorSMTP
#Abrimoselpop3
#Yabrimoselpuertopptpdparalaipdeladsldecasadeljefe
iptablesAINPUTs0.0.0.0/0ieth0ptcpdport1:1024jDROP
iptablesAINPUTs0.0.0.0/0ieth0pudpdport1:1024jDROP
#YcerramoselpuertodelservicioPPTPD,soloabiertoparaeljefe.
#Findelscript
Buenoyatenemosmontadalared,peroconvieneinsistirenqueestaltimaconfiguracin,conlas
redireccionesylosserviciosdecorreofuncionandoenelfirewallesbastanteinsegura.Quocurresi
11/22
5/11/2015
hackeanelservidorIISdelaredlocal?Puesqueelfirewallnosirvedegrancosa,lopocoquepodra
hacerunavezsehaentradoenlaredlocalesevitarescaneoshaciaelexteriordesdelamquina
atacada,aunqueparaelloelfirewalldebieratenerunabuenaconfiguracincondenegacinpordefecto.
SinecesitamoseseservidorIIS,bastaconcomprarunatarjetaderedpor6odolaresycrearunaDMZ.
3.3FirewalldeunaLANconsalidaainternetconDMZ
Bueno,estosevacomplicando.Imaginemosquetenemosunaredparecidaalaanteriorperoahora
hacemoslascosasbienycolocamoseseservidorIISenunaDMZ:
Figura7:esquemadefirewallentreredlocaleinternetconzonaDMZparaservidoresexpuestos
Enestetipodefirewallhayquepermitir:
Accesodelaredlocalainternet.
Accesopblicoalpuertotcp/80ytcp/443delservidordelaDMZ
AccesodelservidordelaDMZaunaBBDDdelaLAN
ObviamentebloquearelrestodeaccesodelaDMZhacialaLAN.
QutipodereglassonlasquehayqueusarparafiltrareltrficoentrelaDMZylaLAN?Solopueden
serlasFORWARD,yaqueestamosfiltrandoentredistintasredes,nosonpaquetesdestinadosalpropio
firewall.
#!/bin/sh
##EjemplodescriptparafirewallentreredlocaleinternetconDMZ
##
##FLUSHdereglas
iptablesF
iptablesX
iptablesZ
iptablestnatF
##Empezamosafiltrar
#aunamaquinainterna
#LosaccesosdeunipdeterminadaHTTPSseredirigeneesa
#maquina
#AhorahacemosenmascaramientodelaredlocalydelaDMZ
#paraquepuedansalirhacafuera
12/22
5/11/2015
##PermitimoselpasodelaDMZaunaBBDDdelaLAN:
iptablesAFORWARDs192.168.3.2d192.168.10.5ptcpdport5432jACCEPT
iptablesAFORWARDs192.168.10.5d192.168.3.2ptcpsport5432jACCEPT
##permitimosabrirelTerminalserverdelaDMZdesdelaLAN
iptablesAFORWARDs192.168.10.0/24d192.168.3.2ptcpsport1024:65535dport3389jACCEPT
#hayquehacerloenunoyotrosentido
iptablesAFORWARDs192.168.3.2d192.168.10.0/24ptcpsport3389dport1024:65535jACCEPT
#porqueluego:
#CerramoselaccesodelaDMZalaLAN
iptablesAFORWARDs192.168.3.0/24d192.168.10.0/24jDROP
##CerramoselaccesodelaDMZalpropiofirewall
iptablesAINPUTs192.168.3.0/24ieth2jDROP
#Findelscript
Vamosaver:silasmquinasdelaDMZtienenunaippblicahayquetenermuchsimocuidadodeno
permitirelFORWARDpordefecto.SienlaDMZhayippblicaNOESNECESARIOHACER
REDIRECCIONESdepuerto,sinoquebastaconrutarlospaquetesparallegarhastalaDMZ.Estetipode
necesidadessurgencuandoporejemplotenemosdosmquinasconservidorweb(unapacheyunIIS)
Aculdelasdosleredirigimoselpuerto80?Nohaymaneradesaberlo(No,conservidoresvirtuales
tampoco,pinsalo),poresosedebenasignarIPspblicasoensudefectousarpuertosdistintos.
PortantohayqueprotegerconvenientementetodalaDMZ.Tampocoharafaltaenmascararlasalida
haciaelexteriordelaDMZ,sitieneunaippblicayatieneunapatapuestaeninternetobviamentehay
quedecirlealroutercomollegarhastaesaippblica.Aspodraserestared:
Figura8:esquemadefirewallentreredlocaleinternetconzonaDMZparaservidoresexpuestosusandoIPspblicas
Yestepodraserunfirewalladecuado:
#!/bin/sh
##peroconIPspblicas.
13/22
5/11/2015
##FLUSHdereglas
iptablesF
iptablesX
iptablesZ
iptablestnatF
##Empezamosafiltrar
##Permitimoselaccesodesdeelexterioralospuertos80y443deDMZ
iptablesAFORWARDd212.194.89.152ptcpdport80jACCEPT
iptablesAFORWARDd212.194.89.150/30jDROP
##PermitimoselpasodelaDMZaunaBBDDdelaLAN:
#enelotrosentidolomismo
#porqueluego:
iptablesAFORWARDs212.194.89.152d192.168.10.0/24jDROP
iptablesAINPUTs212.194.89.152ieth2jDROP
#Findelscript
ATENCIN
Merecelapenapararseaexplicarestapartedelfirewall:
#porqueluego:
iptablesAFORWARDs212.194.89.152d192.168.10.0/24jDROP
Loquenosllevaadoscuestiones:
Porquhayqueexplicitarlaaberturaenunoyotrosentido?Porquelatercerareglacierratodoloque
vadelaDMZalaredlocal.Paraabrirelpuerto3389detcpesimprescindiblequeunpaquetedeidasea
capazdellegarhastalaDMZyqueasuvezpuedavolveralaLAN.Estodetenerqueespecificarla
aberturaenunoyotrosentidoserelpandecadadaenuniptablesconpolticaDROPpordefecto:
mejorproteccinperomstrabajo.
14/22
5/11/2015
Porquseexplicitaelpuertodeorigen/destino1024:65535enlaprimeraysegundaregla?Imaginemos
queunhackerlograaccesoalamquinadelaDMZ.Sinoespecificamoselpuertodedestinoenesas
dosreglas,elhackerpuedeabrirCUALQUIERpuertodelaLANsiemprequepuedaestablecercomo
puertoorigensuyoeltcp/3389,cosafcilparaunhackerquesepaalgodeCoquetengaelprograma
pertinenteamano.Detodasformaselhackertendraquesaberqueexisteesetipodereglas,sieslisto
probaraconpuertosdegestinoconpuertosnetbios.ElproblemaesquesedejaunvnculoconlaLAN
bienparaadministrarloremotamenteoparaestablecerrelacionesdeconfianzayahesdonderesideel
peligro.
Enlasconexiones"legales"noseusacomopuertoorigennadapordebajodel1024cuandoalguiense
conectaaotropuertoensuextremoabreunpuertoporencimadel1024.Especificndoloenlareglade
firewallprotegeremosunpocomejorlaLAN,aunquelospuertosporencimade1024estarnenpeligro.
3.4FirewalldeunaLANconsalidaainternetyVPNS
Enprincipioestecasononostendraquedarmayorproblema,aunquelaprimeravezquelomontemos,
elenmascaramientonosjugarunamalapasada.Poresoconvieneecharunvistazoenestecaso.
Figura9:esquemadefirewallentreredlocaleinternetconzonaDMZydelegacionesqueaccedenaDMZ
Supongamosqueentrelosroutersyasehaestablecidountunel(conCiscossehariacreandouninterfaz
Tunnel),yquesielfirewallnosdejapodramosllegardelacentralalasdelegacionesyviceversausando
lasIPsprivadas.Vayaquesepuedehacerunpingdesdelacentrala192.168.30.xynosresponde.Para
elloesimprescindiblequeelrouterdelacentraltengaunarutametidaparallegara192.168.10.0/24ypor
supuestocadaunarutaparacadadelegacin.Antesdemeterseenelfirewallhayqueasegurarla
visibilidadentrelosroutersypoderllegarasusIPsprivadashaciendoping.
Supongamostambinqueenlacentralestaelservidordecorreoquelgicamentedebetenerelpuerto
25accesibledesdeinternet,ydebeseraccesibledesdelasdelegacionesparapuerto25,110(pop3)o
143(imap).Lasalidaainternet(web,ftp,etc..)cadaunolahaceporsulado.
Veamosunaposibleconfiguracinparaestecaso.
#!/bin/sh
##ydelegaciones.LasdelegacionesdebenteneraccesoalcorreodelaDMZ
##
15/22
5/11/2015
##FLUSHdereglas
iptablesF
iptablesX
iptablesZ
iptablestnatF
##Empezamosafiltrar
#alamaquinadelaDMZ
iptablestnatAPREROUTINGieth0\
ptcpdport25jDNATto192.168.3.2:25
#Todoloquevengaporelinterfazdelrouter(eth0)yvayaal110
#siemprequeseaunadelegacionseaceptayredirije
iptablestnatAPREROUTINGs192.168.20.0/24ieth0\
#Todoloquevengaporelinterfazdelrouter(eth0)yvayaal110
#siemprequeseaunadelegacionseaceptayredirije
#Cuidadoconesteenmascaramiento.
#ParaquedesdelaredlocalsesalgahaciafuerahayqueENMASCARAR
#peroquepasaconlasdelegacionestambienestanfueraYNOHAYQUE
#ENMASCARAR,debemosmeterunareglaFORWARDexplicitaparaquenoenmascare
#porquesinounapeticindelaLANaotradelegacionnosemeteria
#eneltunel.
iptablesAFORWARDs192.168.10.0/24d192.168.20.0/24jACCEPT
#AbrimoselaccesoparaquesepuedaacederalaDMZdesdelaLAN
#apuertosdecorreo
#EnprincipioloquevadeLAN>DMZseacepta
#LuedodesdelaDMZalaLANsoloseacepta25,110,143
iptablesAFORWARDs192.168.3.0/24ptcpsport25\
d192.168.10.0/24jACCEPT
d192.168.10.0/24jACCEPT
d192.168.10.0/24jACCEPT
iptablesAFORWARDs192.168.3.0/24d192.168.10.0/24jDROP
iptablesAINPUTs192.168.3.0/24ieth2jDROP
16/22
5/11/2015
#Findelscript
SehanremarcadoennegritalasreglasFORWARDentreIPsprivadasdedelegaciones,yaquesinesas
reglasyconelenmascaramientodepormedionosepodraaccederalasdelegaciones.Caberesaltar
queentredelegacionesnohayvisibilidadtotal,solamentelacentralveraatodaslasdems,ylas
delegacionessolamentelacentral.
Ladelegacionesaccederanalservidordecorreoconunaredireccin,oseaqueellosseconfiguraranel
servidordecorreocomo192.168.10.1,mientrasquedesdelaLANseaccederadirectamente.Sepuede
hacerdedistintasmaneras.
LointeresanteseraponeresefirewallconDROPpordefecto,setratardemostraresaconfiguracinal
final.
3.5Firewallpuroyduroentreredes
EnestecasoolvidmonosderedeslocalesydeNAT.AqusolotendremosreglasdefiltradoINPUTy
FORWARD.Pongamosquetenemoselsiguienteescenario:
Figura10:esquemadefirewallentreredes,enlaquesolosefiltraynosehaceNAT
Enelfirewalldebemosindicarunaseriedereglasparaprotegerlosequiposqueestnalotroladodeeste
dispositivo,todosellosdelared211.34.149.0/24
Cadaunodeellosdaunserviciodeterminado,ypuedeestargestionadodesdedistintasIPs,loque
significaquehabrquedaraccesoadeterminadospuertosdegestin(22,3389,etc..).
Estepodraserelaspectodelscriptdelfirewall:
#!/bin/sh
##Ejemplodescriptparafirewallentreredes.
17/22
5/11/2015
##FLUSHdereglas
iptablesF
iptablesX
iptablesZ
iptablestnatF
##Empezamosafiltrar
#AnuestrofirewalltenemosaccesototaldesdelanuestraIP
#Paraelrestonohayaccesoalfirewall
iptablesAINPUTs0.0.0.0/0jDROP
##Ahorapodemosirmetiendolasreglasparacadaservidor
##ComosernpaquetescondestinoaotrasmquinasseaplicaFORWARD
##ServidorWEB211.34.149.2
#Accesoapuerto80
#Accesoanuestraipparagestionarlo
#Elresto,cerrar
iptablesAFORWARDd211.34.149.2jDROP
##ServidorMAIL211.34.149.3
#Accesoapuerto25,110y143
#AccesoagestionSNMP
iptablesAFORWARDs210.195.55.15d211.34.149.3pudpdport169jACCEPT
#Elresto,cerrar
##ServidorIRC211.34.149.4
#AccesoapuertosIRC
iptablesAFORWARDd211.34.149.4ptcpdport6666:6668jACCEPT
#Elresto,cerrar
##ServidorNEWS211.34.149.5
#Accesoapuertonews
iptablesAFORWARDd211.34.149.5ptcpdportnewsjACCEPT
#Elresto,cerrar
##ServidorB2B211.34.149.6
#Accesoapuerto443
#Accesoaunaipparagestionarlo
#Elresto,cerrar
##ServidorCITRIX211.34.149.7
#Accesoapuerto1494
#accesoaotropuertoquizadeBBDD
18/22
5/11/2015
#Elresto,cerrar
#Findelscript
ConestafirewallysobretodograciasalasreglasdeDROPquemetemostrasespecificarloquedejamos
abiertos,protegeremosdemaneraeficaztodoslopuertosabiertosdelasmquinas.
3.6FirewallconpolticapordefectoDROP
Aqullegalaseccinparalosautnticosadministradoresdepeloenpecho.
Qusuponeelhechodeestablecercomopolticapordefectoladenegacin?
"Sedebeexplicitarcadaconexinpermitidaenlosdossentidos.
"Sedebeconocerperfectamentequdebeestarabiertoyquno.
"Esmuchosmsdifcildemantenerysisehaceconvienehacerlodesdeelprincipio.
"Notodoesmstrabajo:tambinsuponeunfirewallmuchomsseguro.
EnelejemplodelaDMZyasepresentabaestasituacinenlasreglasforwarddeunaaotrared.Para
ilustrarelDROPpordefecto,vamosamostrarlaconfiguracindelejemploanteriordefirewallentreredes
peroconpolticapordefectoDROP.
#!/bin/sh
##EjemplodescriptparafirewallentreredesconDROPpordefecto
##FLUSHdereglas
iptablesF
iptablesX
iptablesZ
iptablestnatF
##Establecemospoliticapordefecto:DROP!!!
iptablesPINPUTDROP
iptablesPOUTPUTDROP
##Empezamosafiltrar
#AnuestrofirewalltenemosaccesototaldesdelanuestraIP
#Paraelrestonohayaccesoalfirewall
#Enprincipioestadems,perosirebajamoslospermisostemporalmente
#noscubrelasespaldas
iptablesAINPUTs0.0.0.0/0jDROP
##Ahorapodemosirmetiendolasreglasparacadaservidor
##ComosernpaquetescondestinoaotrasmquinasseaplicaFORWARD
##ServidorWEB211.34.149.2
#Accesoapuerto80
iptablesAFORWARDs211.34.149.2ptcpsport80jACCEPT
##ServidorMAIL211.34.149.3
#Accesoapuerto25,110y143
#AccesoagestionSNMP
19/22
5/11/2015
iptablesAFORWARDs211.34.149.3d210.195.55.15pudpsport169jACCEPT
##ServidorIRC211.34.149.4
#AccesoapuertosIRC
iptablesAFORWARDd211.34.149.4ptcpdport6666:6668jACCEPT
iptablesAFORWARDs211.34.149.4ptcpsport6666:6668jACCEPT
##ServidorNEWS211.34.149.5
#Accesoapuertonews
iptablesAFORWARDd211.34.149.5ptcpdportnewsjACCEPT
iptablesAFORWARDs211.34.149.5ptcpsportnewsjACCEPT
#Elresto,cerrar
##ServidorB2B211.34.149.6
#Accesoapuerto443
##ServidorCITRIX211.34.149.7
#Accesoapuerto1494
iptablesAFORWARDs211.34.149.7d195.55.234.2pudpsport1433jACCEPT
#Findelscript
Yaesta,hemoslevantadounverdaderomuroentreinternetyelconjuntodeservidoresqueesta
Traselfirewall.Nosepuedenihacerunpingalasmquinas,salvoquesehayadadoaccesototalauna
ip.Siquisieramosdaraccesoalping,pondramosalgoas:
EsmsllevaderoaplicarelDROPpordefectocuandoelfirewallesparalapropiamquina.Elprimer
escenariodeestamanualtratabasobreestecaso,ahoralorevisamosconlapolticapordefectodrop.
#!/bin/sh
##conpolticapordefectoDROP
##FLUSHdereglas
iptablesF
iptablesX
iptablesZ
iptablestnatF
iptablesPINPUTDROP
iptablesPOUTPUTDROP
20/22
5/11/2015
##Empezamosafiltrar
iptablesAOUTPUTolojACCEPT
iptablesAOUTPUTd231.45.134.23ptcpsport3306jACCEPT
iptablesAOUTPUTd80.37.45.194ptcpsport20:21jACCEPT
iptablesAOUTPUTptcpsport80jACCEPT
#Aquestnlasreglasdecerrar.Comohemoscomentadoenlaconfiguracin
#anteriorconvienetenerestoescritoporsienalgnmomentoserelajael
#firewallyscambiaadeDROPaACCEPTpordefecto
#Cerramosrangodelospuertosprivilegiados.Cuidadoconestetipode
#barreras,anteshayqueabriralosquesitienenacceso.
iptablesAINPUTptcpdport1:1024
iptablesAINPUTpudpdport1:1024
#Cerramosotrospuertosqueestanabiertos
iptablesAINPUTpudpdport10000jDROP
#Findelscript
4.Cmodepurarelfuncionamientodelfirewall
Programastiles
IPTRAF.Sindudaalgunaunodelosprogramasmsprcticosparadepurarelfirewallesiptables,yaque
conelpodemosobservarsilaconexionesseestablecenonoesunprogramadeconsolaquees
aconsejablecontrolaryaquemuestraentiemporealeltrficoqueatraviesanuestramquinacontodo
lujodedetalles:origen/destinodeipsypuertos,trficototalotrficototalsegnelinterfazdered,etcSi
vemosmuchasconexionessimultaneasynosperdemos,existelaposibilidaddeaplicarfiltrosparacaptar
soloaquelloquenosinteresa.
NMAP.Laherramientaparaescanearpuertosporexcelencia,rechaceimitaciones.Esunaherramienta
deconsolarpida,efectivayconmultituddeopciones.Podemosusarladesdemquinasajenasanuestra
redparacomprobarsirealmenteelfirewallestafiltrandocorrectamenteyenciertamaneraparahacernos
unaideadeque"visin"puedentenerloshackersdenuestrosistema.
SHELL.Enelpropioscriptdelfirewallpodemosaadiralgunasopcionesparadescubrirfallosdesintaxis
enlasreglas.Claro,imaginemosquetenemosunfirewallde40lineasyunadeellasfallacuando
ejecutamoselscript.Cules?Esprobablequeelmensajedeerrornoaclarelosuficiente,poresose
puedeaadiralgoasalfinaldecadaregla:
...
iptablesAINPUTs195.55.234.2jACCEPT&&echo"regla21ok"
iptablesAINPUTs213.62.89.145jACCEPT&&echo"regla22ok"
...
Silareglaseejecutabienmostrarelmensajitodeok.
Otraopcinalgomascutreseraireliminandoocomentandoreglashastadarconlareglaquetienela
sintaxisincorrecta.Caberesearquepuedefallarunaregla,peroapartirdeellaelrestoseejecutancon
normalidad.
Enlaces:
21/22
5/11/2015
Pginaoficial:http://www.netfilter.org
Bibliografa
Buildinginternetfirewalls:todounclsico
Otrostutoriales:
Enlapropiawebdenetfilteriptablestenemoselenlaceaotrostutoriales,aunquetodosellosestnen
perfectoingls.
Ejem,iptablesen21segundos,delmismoautorqueeste.
Notas:
Estemanualsehadesarrolladoparamostrarelusodeiptablesdesdeconfiguracionessimplesams
complejas.Sehaelaboradoconelconocimientoadquiridoabasedetortasportantosebasaenla
experienciapropia.Necesitacontinuarevisin.
Autor:
PelloXabierAltadillIzura
IngenieroenInformticaporlaUPVEHU(http://www.ehu.es)
EnsudatuvoentresusmanoselmarrndelaseguridadenIBERCOM(http://www.ibercom.com),un
ispquenosolosobrevivealtemporal,sinoquesepermiteellujodenoparardecrecer.
Sitienesalgunaduda,asaporelforodeiptables:URL:http://www.pello.info/forum/iptables
Volverarriba
PelloXabierAltadillIzura.www.pello.info
22/22

IPTABLES Manual Practico, Tutorial de Iptables Con Ejemplos

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

IPTABLES Manual Practico, Tutorial de Iptables Con Ejemplos

Caricato da

Copyright:

Formati disponibili

5/11/2015

Potrebbero piacerti anche