Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
B. TEMAS:
Firewall o Cortafuegos, Zona Desmilitarizada (DMZ)
C. OBJETIVO(S):
Comprender el funcionamiento de un firewall por medio del establecimiento de reglas.
Aplicar reglas que permitan el control de servicios en una red a través de un firewall.
Aplicar el control de acceso remoto en una red de área local.
D. RECURSOS:
E. METODOLOGÍA:
El alumno realizará cada sección de la guía, el cual será colocado y evaluado en la plataforma Moodle. En caso
de que la guía tenga algunas preguntas o cuestionarios relacionados al tema, estas deberán ser resueltas y
colocadas en el mismo archivo de resultados.
3º) Añadir una regla a la cadena INPUT para aceptar todos los paquetes que se originan desde
la dirección 192.168.0.155.
6º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan
desde la dirección 192.168.0.155.
7º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan
desde la dirección de red 192.168.0.0.
8º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan
desde la dirección 192.168.0.155 y enviar un mensaje de error icmp.
12ª) Permitimos a la máquina con IP 192.168.0.155 conectarse a nuestro equipo a través de SSH.
#Iptables –A INPUT –s 192.168.0.155 –p tcp –dport 22 –j ACCEPT
Ahora vuelva a la ventana de su conexión SSH y teclee lo que sea. ¿Qué sucede? ¿Por qué?
_____________________________________________________________________________
Primero lo que se hizo fue instalar los servicios de FTP, MYSQL, SSH, APACHE.
Verificamos las configuraciones de nuestros equipos utilizados la máquina virtual con Ubuntu 18.04 y
nuestra maquina Windows 7 y observamos que se encuentran en la misma red.
Aquí Borramos las reglas de iptables, ya que el comando iptables –F lo que hace es Limpiar la cadena
seleccionada, borrando cada regla en la cadena en caso de que no especifiquemos una cadena, limpia
todas las reglas de cada cadena.
3º) Añadir una regla a la cadena INPUT para aceptar todos los paquetes que se originan desde la
dirección 192.168.0.155. #iptables –A INPUT -s 192.168.0.155 –j ACCEPT
En este paso creamos nuestra regla para la cadena y le indicamos que acepte los paquetes originados
de la dirección en este caso la dirección usada en mi maquina es 192.168.0.10. Así que mi regla seria:
iptables –A INPUT -s 192.168.0.10 –j ACCEPT. Luego hacemos ping a la dirección.
4). Eliminar todos los paquetes que entren. #iptables –A INPUT –j DROP
Ahora se denegó los paquetes entrante por la dirección 192.168.0.10 (de mi maquina). Estos son
eliminados, podemos ver que al hacer ping a 192.168.0.10 se eliminan los paquetes
6º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la
dirección 192.168.0.155. #Iptables –A INPUT -s 192.168.0.155 –j DROP
Aquí lo que se hizo fue añadir una regla a la cadena INPUT para rechazar los paquetes originados en la
dirección 192.168.0.10 dirección de mi maquina virtual (La regla tiene DROP así que le dice que
deniegue o rechazo).
7º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la
dirección de red 192.168.0.0. #Iptables –A INPUT -s 192.168.0.0/24 –j DROP
Se añadió una regla para rechazar los paquetes que se originan de la dirección en este caso mi
dirección es 192.168.0.7/24 y le colocamos a la regla DROP para denegar.
8º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la
dirección 192.168.0.155 y enviar un mensaje de error icmp.
Añadí la regla para rechazar todos los paquetes se origina en mi caso la dirección 192.168.0.10
9). Permitir conexiones locales (al localhost), por ejemplo a mysql. #Iptables –A INPUT –s 127.0.0.1 –p
TCP - -dport 3306 –j ACCEPT
Por Algún motivo desconocido la regla de ejemplo dada en el pdf no funciona en mi máquina. Errores
detectados: (TCP) es minúscula, la dirección 127.0.0.1 no concuerda o es leíble por la máquina.
Opte por usar el siguiente ejemplo en la cual se conecta las conexiones locales indicamos el puerto
3306 y ACCEPT para permitir la regla.
10). Permitir el acceso a nuestro servidor web (puerto TCP 80). #Iptables –A INPUT –p TCP - -dport 80 –j
ACCEPT
Al colocarle ACCEPT que permitirá el acceso al servidor por el Puerto 80 establecido en la regla.
11). Permitir el acceso a nuestro servidor ftp (puerto TCP 20 y 21). #Iptables –A INPUT –p TCP –dport
20:21 –j ACCEPT
12). Permitimos a la máquina con IP 192.168.0.155 conectarse a nuestro equipo a través de SSH.
#Iptables –A INPUT –s 192.168.0.155 –p tcp –dport 22 –j ACCEPT
Ahora vuelva a la ventana de su conexión SSH y teclee lo que sea. ¿Qué sucede? ¿Por qué?´
Se bloqueaba el tráfico SSH entrante (INPUT). Porque SSH los paquetes que vienen del servidor SSH
tienen como puerto origen el 22 que es el puerto predeterminado del servicio SSH, la regla aplica
tanto para el tráfico entrante como al saliente o para ambos a mismo tiempo.
13). Rechazamos a la máquina con IP 192.168.0.155 conectarse a nuestro equipo a través de Telnet.
#Iptables –A INPUT –s 192.168.0.155 –p tcp –dport 23 –j DROP
14). Rechazamos las conexiones que se originen de la máquina con la dirección física 00:db:f0:34:ab:78.
(Recuerde que debe colocar la dirección física de su máquina virtual) #Iptables –A INPUT –p all –m mac –
mac-source 00:db:f0:34:ab:78 -j DROP
UNIVERSIDAD TECNOLÓGICA DE PANAMÁ FACULTAD DE
INGENIERÍA DE SISTEMAS COMPUTACIONALES DEPARTAMENTO
DE ARQUITECTURA Y REDES DE COMPUTADORAS
GUÍA DE LABORATORIO N°. 2
1.- Configuramos la red del servidor, donde tendremos las dos tarjetas de red:
UNIVERSIDAD TECNOLÓGICA DE PANAMÁ FACULTAD DE
INGENIERÍA DE SISTEMAS COMPUTACIONALES DEPARTAMENTO
DE ARQUITECTURA Y REDES DE COMPUTADORAS
GUÍA DE LABORATORIO N°. 2
2.- Ahora vamos a activar el enrutamiento. Para ello primero aceptamos primero permitimos
las próximas iptables con el comando
Después enrutamos todos los paquetes desde la red 192.168.0.0/24 a la interfaz eth0 que tiene
salida a internet, con el comando
Por último vamos a permitir en el servidor las comunicaciones de la red 192.168.0.0/24 y eth0 con
el comando
15º) Rechazamos todo el tráfico que ingrese a nuestra red LAN 192.168.0.0 /24 desde una
red remota, como Internet, a través de la interfaz eth0.
16º) Aceptamos que vayan de nuestra red 192.168.0.0/24 a un servidor web (puerto 80):
#Iptables –A OUTPUT –s 192.168.0.0/24 –p tcp –dport 80 –j ACCEPT
COMPROBACION: DESDE UN EQUIPO DE LA RED 192.168.0.0 a un servidor web remoto.
Puede escoger una página de Internet para la prueba.
18º) Aceptamos que los equipos de nuestra red LAN 192.168.0.0/24 consulten los
DNS, y denegamos todo el resto a nuestra red: (puede escoger algún DNS de una
página de Internet)
19º) Permitimos enviar y recibir e-mail a todos (eso dependerá del servicio de correo
Configurado):
20º) Cerramos el acceso de una red definida 192.168.3.0/24 a nuestra red LAN 192.168.0.0/24:
#Iptables –A FORWARD –s 192.168.3.0/24 –i eth1 –d 192.168.0.0/24 –j
G. RESULTADOS:
Construcción de un script de filtrado con iptables, cuyo objetivo será que se arranque la configuración de
iptables cada vez que arranque el sistema, basándose, en donde deberá basarse en lo siguiente:
1. Permitir el trafico ICMP de entrada al sistema desde cualquier red.
2. Permitir que la interfaz eth0 pueda enviar paquetes ICMP a cualquier red.
3. Denegar la conexión al puerto 25, protocolo tcp, de la interfaz eth1
4. Rechazar la conexión al puerto 65000, protocolo udp, de la interfaz eth0, desde los ordenadores de la LAN
(red local). Para ello, puede instalar cualquier servicio de protocolo udp y que tenga ese número de puerto
asignado.
5. Evitar ataques syn-flood limitando el acceso de paquetes nuevos desde Internet a solo 4 por segundo y los
demás se descartan.
6. Si dispone de dos interfaces en el equipo, pruebe a denegar todo el tráfico desde la eth0 a la eth1. Si no, al
menos plantee cómo sería el comando.
7. Idem, pero denegando el tráfico desde la eth0 a la eth1 de mensajes de protocolo tcp
Desarrolle lo siguiente:
El método de evaluación utilizado serán los siguientes:
Aplicar la herramienta de acuerdo a los puntos solicitados en la sección anterior.
Escribir, probar (y comprobar) cada uno de lo solicitado. Para cada operación realizada deberá colocar los
resultados a través de la captura de la imagen y explicarla detalladamente.
Entrega del informe del laboratorio y colocarlo en la plataforma Moodle.
UNIVERSIDAD TECNOLÓGICA DE PANAMÁ FACULTAD DE
INGENIERÍA DE SISTEMAS COMPUTACIONALES DEPARTAMENTO
DE ARQUITECTURA Y REDES DE COMPUTADORAS
GUÍA DE LABORATORIO N°. 2
H. RÚBRICAS:
Desarrolle el punto G. Resultados, donde deberá responder a las preguntas señaladas.
I. CONSIDERACIONES FINALES:
Indicar comentarios sobre experiencia obtenida del laboratorio. (Opcional)
J. REFERENCIAS: