UNIVERSIDAD TECNOLÓGICA DE PANAMÁ FACULTAD DE INGENIERÍA DE SISTEMAS

COMPUTACIONALES DEPARTAMENTO DE ARQUITECTURA Y REDES DE COMPUTADORAS

GUÍA DE LABORATORIO N°. 2

Facilitador(a): __________________________________ Asignatura: _____________________________

Estudiante: _________________________________ Fecha: __________________ Grupo: ___________

A. TÍTULO DE LA EXPERIENCIA: Instalación y Configuración de un Firewall con Iptables

B. TEMAS:
Firewall o Cortafuegos, Zona Desmilitarizada (DMZ)

C. OBJETIVO(S):
 Comprender el funcionamiento de un firewall por medio del establecimiento de reglas.
 Aplicar reglas que permitan el control de servicios en una red a través de un firewall.
 Aplicar el control de acceso remoto en una red de área local.

D. RECURSOS:

 Máquina virtual: VirtualBox o WMware.

 Sistema operativo Linux.

E. METODOLOGÍA:
El alumno realizará cada sección de la guía, el cual será colocado y evaluado en la plataforma Moodle. En caso
de que la guía tenga algunas preguntas o cuestionarios relacionados al tema, estas deberán ser resueltas y
colocadas en el mismo archivo de resultados.

F. ENUNCIADO DE LA EXPERIENCIA O PROCEDIMIENTO:

Parte A: Configurar Firewall para controlar un usuario de la Red Local

 UNIVERSIDAD TECNOLÓGICA DE PANAMÁ FACULTAD DE
INGENIERÍA DE SISTEMAS COMPUTACIONALES DEPARTAMENTO
DE ARQUITECTURA Y REDES DE COMPUTADORAS
GUÍA DE LABORATORIO N°. 2

Para el laboratorio, deberá instalar los siguientes servicios en el servidor:

 FTP
 Mysql
 SSH
 Apache

En el servidor Ubuntu es donde aplicamos nuestras reglas IPTABLES:

1º) Ver la versión de Iptables:

#iptables -V

2º) Borrado de todas las reglas

#iptables –F

3º) Añadir una regla a la cadena INPUT para aceptar todos los paquetes que se originan desde
la dirección 192.168.0.155.

#iptables –A INPUT -s 192.168.0.155 –j ACCEPT

4º) Eliminar todos los paquetes que entren.

#iptables –A INPUT –j DROP

5º) Denegar la salida de paquetes.

#Iptables –A OUTPUT –j DROP

6º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan
desde la dirección 192.168.0.155.

#Iptables –A INPUT -s 192.168.0.155 –j DROP

7º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan
desde la dirección de red 192.168.0.0.

#Iptables –A INPUT -s 192.168.0.0/24 –j DROP

8º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan
desde la dirección 192.168.0.155 y enviar un mensaje de error icmp.

#Iptables –A INPUT –s 192.168.0.155 –j REJECT

¿Pueden hacerse pings entre los hosts? Explique____________________________________________

9º) Permitir conexiones locales (al localhost), por ejemplo a mysql.

#Iptables –A INPUT –s 127.0.0.1 –p TCP - -dport 3306 –j ACCEPT
 UNIVERSIDAD TECNOLÓGICA DE PANAMÁ FACULTAD DE
INGENIERÍA DE SISTEMAS COMPUTACIONALES DEPARTAMENTO
DE ARQUITECTURA Y REDES DE COMPUTADORAS
GUÍA DE LABORATORIO N°. 2
10º) Permitir el acceso a nuestro servidor web (puerto TCP 80).

#Iptables –A INPUT –p TCP - -dport 80 –j ACCEPT

11º) Permitir el acceso a nuestro servidor ftp (puerto TCP 20 y 21).

#Iptables –A INPUT –p TCP –dport 20:21 –j ACCEPT

12ª) Permitimos a la máquina con IP 192.168.0.155 conectarse a nuestro equipo a través de SSH.
#Iptables –A INPUT –s 192.168.0.155 –p tcp –dport 22 –j ACCEPT

Ahora deniegue el acceso al servicio, de la siguiente manera:

#iptables –A INPUT –p tcp --sport 22 –j DROP

Ahora vuelva a la ventana de su conexión SSH y teclee lo que sea. ¿Qué sucede? ¿Por qué?
_____________________________________________________________________________

13º) Rechazamos a la máquina con IP 192.168.0.155 conectarse a nuestro equipo a través

de Telnet.

#Iptables –A INPUT –s 192.168.0.155 –p tcp –dport 23 –j DROP

14º) Rechazamos las conexiones que se originen de la máquina con la dirección

física 00:db:f0:34:ab:78. (Recuerde que debe colocar la dirección física de su
máquina virtual)

#Iptables –A INPUT –p all –m mac –mac-source 00:db:f0:34:ab:78 -j DROP

DESARROLLO EN LA SIGUIENTE PÁGINA

 Laboratorio No. 2
IPtables

Primero lo que se hizo fue instalar los servicios de FTP, MYSQL, SSH, APACHE.
Verificamos las configuraciones de nuestros equipos utilizados la máquina virtual con Ubuntu 18.04 y
nuestra maquina Windows 7 y observamos que se encuentran en la misma red.

1). Vemos la versión de Iptables: iptables -V

En este punto se puede observar que mi máquina virtual tiene la versión 1.6.1 de iptables instalada.
2). Borrado de todas las reglas: iptables –F

Aquí Borramos las reglas de iptables, ya que el comando iptables –F lo que hace es Limpiar la cadena
seleccionada, borrando cada regla en la cadena en caso de que no especifiquemos una cadena, limpia
todas las reglas de cada cadena.

3º) Añadir una regla a la cadena INPUT para aceptar todos los paquetes que se originan desde la
dirección 192.168.0.155. #iptables –A INPUT -s 192.168.0.155 –j ACCEPT
En este paso creamos nuestra regla para la cadena y le indicamos que acepte los paquetes originados
de la dirección en este caso la dirección usada en mi maquina es 192.168.0.10. Así que mi regla seria:
iptables –A INPUT -s 192.168.0.10 –j ACCEPT. Luego hacemos ping a la dirección.
4). Eliminar todos los paquetes que entren. #iptables –A INPUT –j DROP
Ahora se denegó los paquetes entrante por la dirección 192.168.0.10 (de mi maquina). Estos son
eliminados, podemos ver que al hacer ping a 192.168.0.10 se eliminan los paquetes

5). Denegar la salida de paquetes. #Iptables –A OUTPUT –j DROP

Ahora lo que se hizo fue denegar la salida de los paquetes.

6º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la
dirección 192.168.0.155. #Iptables –A INPUT -s 192.168.0.155 –j DROP
Aquí lo que se hizo fue añadir una regla a la cadena INPUT para rechazar los paquetes originados en la
dirección 192.168.0.10 dirección de mi maquina virtual (La regla tiene DROP así que le dice que
deniegue o rechazo).
7º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la
dirección de red 192.168.0.0. #Iptables –A INPUT -s 192.168.0.0/24 –j DROP
Se añadió una regla para rechazar los paquetes que se originan de la dirección en este caso mi
dirección es 192.168.0.7/24 y le colocamos a la regla DROP para denegar.

8º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la
dirección 192.168.0.155 y enviar un mensaje de error icmp.
Añadí la regla para rechazar todos los paquetes se origina en mi caso la dirección 192.168.0.10

¿Pueden hacerse pings entre los hosts? Explique:

El ping se rechaza ya que la regla REJECT, pues esto requiere que los hosts devuelvan los errores ICMP
siempre que sea posible, en vez de dejar caer los paquetes de red.

9). Permitir conexiones locales (al localhost), por ejemplo a mysql. #Iptables –A INPUT –s 127.0.0.1 –p
TCP - -dport 3306 –j ACCEPT
Por Algún motivo desconocido la regla de ejemplo dada en el pdf no funciona en mi máquina. Errores
detectados: (TCP) es minúscula, la dirección 127.0.0.1 no concuerda o es leíble por la máquina.
Opte por usar el siguiente ejemplo en la cual se conecta las conexiones locales indicamos el puerto
3306 y ACCEPT para permitir la regla.

10). Permitir el acceso a nuestro servidor web (puerto TCP 80). #Iptables –A INPUT –p TCP - -dport 80 –j
ACCEPT
Al colocarle ACCEPT que permitirá el acceso al servidor por el Puerto 80 establecido en la regla.

11). Permitir el acceso a nuestro servidor ftp (puerto TCP 20 y 21). #Iptables –A INPUT –p TCP –dport
20:21 –j ACCEPT
12). Permitimos a la máquina con IP 192.168.0.155 conectarse a nuestro equipo a través de SSH.
#Iptables –A INPUT –s 192.168.0.155 –p tcp –dport 22 –j ACCEPT

Ahora deniegue el acceso al servicio, de la siguiente manera:#iptables –A INPUT –p tcp --sport 22 –j

DROP

Ahora vuelva a la ventana de su conexión SSH y teclee lo que sea. ¿Qué sucede? ¿Por qué?´
Se bloqueaba el tráfico SSH entrante (INPUT). Porque SSH los paquetes que vienen del servidor SSH
tienen como puerto origen el 22 que es el puerto predeterminado del servicio SSH, la regla aplica
tanto para el tráfico entrante como al saliente o para ambos a mismo tiempo.

13). Rechazamos a la máquina con IP 192.168.0.155 conectarse a nuestro equipo a través de Telnet.
#Iptables –A INPUT –s 192.168.0.155 –p tcp –dport 23 –j DROP

14). Rechazamos las conexiones que se originen de la máquina con la dirección física 00:db:f0:34:ab:78.
(Recuerde que debe colocar la dirección física de su máquina virtual) #Iptables –A INPUT –p all –m mac –
mac-source 00:db:f0:34:ab:78 -j DROP
 UNIVERSIDAD TECNOLÓGICA DE PANAMÁ FACULTAD DE
INGENIERÍA DE SISTEMAS COMPUTACIONALES DEPARTAMENTO
DE ARQUITECTURA Y REDES DE COMPUTADORAS
GUÍA DE LABORATORIO N°. 2

Parte B: Configuración de un Firewall para una LAN

Tenemos el siguiente escenario donde implementamos IPTABLEs en el servidor UBUNTU –

ENRUTADOR:

Para realizar esta práctica lo primero es crear el enrutamiento con IPTABLES:

1.- Configuramos la red del servidor, donde tendremos las dos tarjetas de red:
 UNIVERSIDAD TECNOLÓGICA DE PANAMÁ FACULTAD DE
INGENIERÍA DE SISTEMAS COMPUTACIONALES DEPARTAMENTO
DE ARQUITECTURA Y REDES DE COMPUTADORAS
GUÍA DE LABORATORIO N°. 2
2.- Ahora vamos a activar el enrutamiento. Para ello primero aceptamos primero permitimos
las próximas iptables con el comando

#iptables –P FORWARD ACCEPT.

Después enrutamos todos los paquetes desde la red 192.168.0.0/24 a la interfaz eth0 que tiene
salida a internet, con el comando

#iptables –t nat –A POSTROUTING –S 192.168.0.0/24 -o eth0 –j MASQUERADE.

Por último vamos a permitir en el servidor las comunicaciones de la red 192.168.0.0/24 y eth0 con
el comando

#iptables –A FORWARD –s 192.168.0.0/24 –i eth0 –j ACCEPT

y el comando #iptables –A –INPUT –s 192.168.0.0/24 –j ACCEPT.

3.- En el servidor ponemos las IPtables siguientes:

15º) Rechazamos todo el tráfico que ingrese a nuestra red LAN 192.168.0.0 /24 desde una
red remota, como Internet, a través de la interfaz eth0.

#Iptables –A INPUT –s 192.168.0.0/24 –i eth0 –j DROP

Compruébelo….__________________________________________

16º) Aceptamos que vayan de nuestra red 192.168.0.0/24 a un servidor web (puerto 80):
#Iptables –A OUTPUT –s 192.168.0.0/24 –p tcp –dport 80 –j ACCEPT
COMPROBACION: DESDE UN EQUIPO DE LA RED 192.168.0.0 a un servidor web remoto.
Puede escoger una página de Internet para la prueba.

Agregue la siguiente regla:

#iptables –A OUTPUT –p tcp –d www.facebook.com --dport 80 –j DROP

Intente recargar la página en el navegador. ¿Qué ocurre?

__________________________________________________________________

Pruebe a visitar otra página. ¿Funciona? Explique.

_________________________________________________________________
 UNIVERSIDAD TECNOLÓGICA DE PANAMÁ FACULTAD DE INGENIERÍA DE SISTEMAS
COMPUTACIONALES DEPARTAMENTO DE ARQUITECTURA Y REDES DE COMPUTADORAS
GUÍA DE LABORATORIO N°. 2
17º) Aceptamos que nuestra LAN 192.168.0.0/24 vayan a puertos https:
#Iptables –A OUTPUT –s 192.168.0.0/24 –p tcp –dport 443 –j ACCEPT

18º) Aceptamos que los equipos de nuestra red LAN 192.168.0.0/24 consulten los
DNS, y denegamos todo el resto a nuestra red: (puede escoger algún DNS de una
página de Internet)

#Iptables –A OUTPUT –s 192.168.0.0/24 –d 0.0.0.0/24 –p tcp –dport 25:110:161 –j ACCEPT

#Iptables –A OUTPUT –s 192.168.0.0/24 –d 0.0.0.0/24 –p udp –dport 53 –j DROP

19º) Permitimos enviar y recibir e-mail a todos (eso dependerá del servicio de correo
Configurado):

#Iptables –A INPUT –s 0.0.0.0/0 –i eth0 -d 0.0.0.0/24 –p tcp –dport 25 –j ACCEPT

#Iptables –A INPUT –s 0.0.0.0/0 –i eth0 -d 0.0.0.0/24 –p tcp –dport 110 –j ACCEPT

20º) Cerramos el acceso de una red definida 192.168.3.0/24 a nuestra red LAN 192.168.0.0/24:
#Iptables –A FORWARD –s 192.168.3.0/24 –i eth1 –d 192.168.0.0/24 –j

NOTA: En cada una de las prácticas deberá realizar la comprobación de funcionamiento de

la regla.

G. RESULTADOS:

Construcción de un script de filtrado con iptables, cuyo objetivo será que se arranque la configuración de
iptables cada vez que arranque el sistema, basándose, en donde deberá basarse en lo siguiente:
1. Permitir el trafico ICMP de entrada al sistema desde cualquier red.
2. Permitir que la interfaz eth0 pueda enviar paquetes ICMP a cualquier red.
3. Denegar la conexión al puerto 25, protocolo tcp, de la interfaz eth1
4. Rechazar la conexión al puerto 65000, protocolo udp, de la interfaz eth0, desde los ordenadores de la LAN
(red local). Para ello, puede instalar cualquier servicio de protocolo udp y que tenga ese número de puerto
asignado.
5. Evitar ataques syn-flood limitando el acceso de paquetes nuevos desde Internet a solo 4 por segundo y los
demás se descartan.
6. Si dispone de dos interfaces en el equipo, pruebe a denegar todo el tráfico desde la eth0 a la eth1. Si no, al
menos plantee cómo sería el comando.
7. Idem, pero denegando el tráfico desde la eth0 a la eth1 de mensajes de protocolo tcp

Desarrolle lo siguiente:
El método de evaluación utilizado serán los siguientes:
 Aplicar la herramienta de acuerdo a los puntos solicitados en la sección anterior.
 Escribir, probar (y comprobar) cada uno de lo solicitado. Para cada operación realizada deberá colocar los
resultados a través de la captura de la imagen y explicarla detalladamente.
 Entrega del informe del laboratorio y colocarlo en la plataforma Moodle.
 UNIVERSIDAD TECNOLÓGICA DE PANAMÁ FACULTAD DE
INGENIERÍA DE SISTEMAS COMPUTACIONALES DEPARTAMENTO
DE ARQUITECTURA Y REDES DE COMPUTADORAS
GUÍA DE LABORATORIO N°. 2
H. RÚBRICAS:
Desarrolle el punto G. Resultados, donde deberá responder a las preguntas señaladas.

I. CONSIDERACIONES FINALES:
Indicar comentarios sobre experiencia obtenida del laboratorio. (Opcional)

J. REFERENCIAS:

 Netfilter. Página oficial: http://www.netfilter.org

 Cortafuegos en Linux con Iptables. http://index-of.co.uk/SISTEMAS-OPERATIVOS/iptables(2).pdf
 Manual práctico Iptable. http://es.tldp.org/Manuales-LuCAS/doc-iptables-firewall/doc-iptables-
firewall.pdf
 Tutorial básico de Iptables. https://www.linuxito.com/seguridad/793-tutorial-basico-de-iptables-en-linux
 Sistema de cortafuegos. http://openaccess.uoc.edu/webapps/o2/bitstream/10609/62865/6/Seguridad
%20en%20redes_M%C3% B3dulo%201_Sistemas%20de%20cortafuegos.pdf