You are on page 1of 45

Universidad Catlica del Maule Facultad de Ciencias de la Ingeniera Tcnico Universitario en Computacin

TUC-315 Habilitacin Profesional


INFORME DE PRCTICA

CRISTIN ARMANDO MENA LARA.

Talca, Mayo de 2006

Agradecimientos-

Estas son algunas palabras de agradecimiento a las personas que me ayudaron, apoyaron y confiaron en mi, a lo largo de mi vida y de esta carrera.

En primer lugar quiero agradecer a Dios que me ha acompaado en los momentos buenos y malos de la vida, y me dio la fuerza para terminar la carrera.

Tambin agradezco a mi padre Domingo Mena y a mi madre Nilda Lara, por el sacrificio que hicieron para poder darme estudios, y la confianza y el apoyo que me dieron.

A mis hermanos, Mauricio y Cecilia, por toda la ayuda y apoyo brindado a lo largo de esta carrera.

A mis familiares que se preocuparon de cmo me iba en mis estudios.

A los profesores de la Universidad que dieron lo mejor de ellos para que pudiramos terminar los cursos con el mayor conocimiento y experiencia posible.

A mis compaeros que me apoyaron y ayudaron a lo largo de la carrera.

A mis amigos que siempre estuvieron ah cuando los necesite, y agradecerles el aliento que me brindaron.

Espero no haber dejado a nadie a fuera y darles a todos las gracias que se merecen.

ndice de contenidos.

1.- Introduccin................ 1 1.1.- Lugar de Trabajo.............. 2 1.2.- La Institucin.......... 3 1.3.- Infraestructura...................... 5

2.- Descripcin del problema...................... 8 2.1.- Creacin de un Firewall y Gateway bajo Linux.... 8 2.2.- Mantenimiento......... 11

3.- Descripcin de las competencias puestas en prctica........................... 12 3.1.- Creacin de un Firewall y Gateway bajo Linux.......... 12 3.2.- Mantenimiento......... 13

4.- Descripcin de la solucin propuesta.......................................................... 14 4.1.- Creacin de un Firewall y Gateway bajo Linux............................... 14 4.1.1.- Desarrollo de Firewall......... 15 4.1.2.- Creacin del Script.......... 19 4.2.- Mantenimiento......... 28

5.- Conclusin....................... 30

6.- Bibliografa................ 31

7.- Glosario........................................................................................................... 32

8.- Anexos............ 34 8.1.- Script del Firewall..................................................................... 34 8.2.- Documentos prctica.......................................................................... 40

ndice figuras. Figura 1. Organigrama Colegio Juan Piamarta................... 4 Figura 2. Diagrama inicial de la red local.......................................................... 10 Figura 3. Esquema de un Firewall y Gateway...................................................... 15 Figura 4. Modificacin de la topologa con implementacin del Firewall.............. 17 Figura 5. Configuracin final de la red local.......................................................... 18 Figura 6. Interfaz estndar de lnea de comando................................................. 19 Figura 7. Flush de reglas ipatables....................................................................... 20 Figura 8. Poltica por defecto................................................................................ 20 Figura 9. Aceptar conexiones locales................................................................... 21 Figura 10. Acceso ha la red local.......................................................................... 21 Figura 11. Enmascaramiento de la red local......................................................... 21 Figura 12. Activar forward de paquetes................................................................ 22 Figura 13. Re-direccionamiento de puerto............................................................ 22 Figura 14. Habilitar puertos de servicios............................................................... 22 Figura 15. Cerrar puerto de webmin..................................................................... 23 Figura 16. Cerrar puertos bien conocidos............................................................. 23 Figura 17. Bloqueo de pgina no deseadas......................................................... 24 Figura 18. Permiso de ejecucin........................................................................... 24 Figura 19. Ejecucin en el inicio del Script............................................................ 24 Figura 20. Respuesta de comando ping............................................................... 25 Figura 21. Respuesta de comando nmap............................................................. 26 Figura 22. Respuesta comando netstat................................................................ 26 Figura 23. La herramienta IPTraf en funcionamiento............................................ 27 Figura 24. La conexin de un punto al Hub o Swtch............................................ 29

1.- Introduccin.

En este informe se expone el problema de la organizacin y se describe las soluciones planteadas y desarrolladas en la prctica, que se llevo acabo en el periodo comprendido entre Agosto y Diciembre del 2004, con un total de 400 horas, para cumplir con los requerimientos de la carrera de Tcnico Universitario en Computacin de la Universidad Catlica del Maule, para acceder al ttulo, de acuerdo al reglamento de titulacin de la carrera. Esta prctica se realiz en el establecimiento educacional Juan Piamarta. Este colegio imparte una educacin Cientfico Humanista y Tcnico Profesional, posee una gran cantidad de computadores divididos principalmente en dos laboratorios. El desempeo en el establecimiento fue mantener en buen funcionamiento los equipos y la red de institucin, para ello utilice el conocimiento en el rea de Soporte Tcnico, y mis principales actividades fueron:

Reparacin y mantenimiento de equipos. Instalacin y configuracin de Hardware. Instalacin y configuracin de Software. Administracin de la red local de la institucin.

La supervisin del trabajo en todas las actividades realizadas estuvo a cargo del jefe del rea Tcnico Profesional Gustavo Uribe Nadeau.

1.1.- Lugar de trabajo.

Principalmente las actividades se desarrollaron en los laboratorios de computacin y en la oficina donde permanecen las conexiones y el servidor del sistema del establecimiento, tambin aqu se encuentra la conexin a Internet, donde se realiza el principal cambio. Para ello es proporcionado un computador con un procesador Pentium IV con 1.7Ghz, 128Mb en RAM, disco duro de 15Gb, tambin con conectividad a Internet y a la red local, este equipo fue utilizado para la creacin del Firewall y Gateway de la red local, para este fin se utiliz la distribucin Fedora Core 2 del sistema operativo GNU/Linux.

- Horario.

El horario no fue tan regular, ya que tuvo que congeniar con el horario de clases, porque la prctica estuvo comprendida entre el 2 de Agosto y el 17 de Diciembre del 2004.

La distribucin horaria semanal fue la siguiente: Lunes: Desde las 8:30 hasta las 12:30 horas.

De Martes a Jueves: Desde las 8:30 hasta las 13:15 horas.

Viernes: Desde las 8:30 hasta las 10:00 horas y en la tarde de las 14:30 hasta 18:30 horas.

El problema de horario fue conversado previamente con la persona responsable de la de la prctica, llegando a un buen acuerdo para cumplir con las 400 horas de prctica que estipula el reglamento del proceso de titulacin de la carrera.

- Cargos desempeados.

Principalmente fueron dos cargos desempeados: Administrador de Redes, y Soporte Tcnico. En el primer cargo las principales tareas fueron: la nueva configuracin de la red local para la introduccin del Firewall, y configuracin de este ltimo. En el segundo cargo las tareas fueron la reparacin y mantenimiento de equipos, y la instalacin y configuracin de Software y Hardware.

1.2.- La Institucin.

- Descripcin general.

Esta prctica fue realizada en el colegio particular subvencionado Juan Piamarta, el cual se encuentra ubicado en calle 1 Oriente con 12 Sur B #765 en Talca, VII Regin del Maule.

Este colegio depende de la Fundacin Juan Piamarta, quien profesa los valores cristianos y busca un crecimiento pleno, justo y fraterno de la sociedad.

El colegio tiene la visin de que los nios, jvenes y educadores promuevan la interrelacin educativa y cultural entre s, y se desenvuelvan de manera pacfica, humanizadora y profesen el bien y la verdad. Tambin tiene la misin de entregar una educacin integral y basada en los valores cristianos, que valoricen las individualidades, capacidades y las competencias personales que les permitan insertarse con xito en la sociedad.

- El Organigrama.

Figura 1. Organigrama Colegio Juan Piamarta.

El colegio Juan Piamarta se encuentra a cargo del Rector Benjamn Montenegro, y su representante educacional, la Directora Mara Alejandra Bustos.

Adems posee un personal de aproximadamente 64 personas, distribuidas entre docentes, inspectores y administrativos.

- Grupo de Trabajo.

Principalmente el grupo ms prximo con el cual se trabaj fue con otros alumnos en prctica, que pertenecan al mismo establecimiento y otro que era de un centro de formacin tcnica. Todos bajo la supervisin del jefe del rea Tcnico Profesional Gustavo Uribe Nadeau.

- Ambiente de Trabajo.

El ambiente de trabajo fue amigable y cooperativo entre los practicantes. Hubo un apoyo mutuo para resolver distintos problemas. Tambin con profesores existi un arreglo para distribuir de mejor forma el horario de laboratorio, lo cual dej conforme al personal.

1.3.- Infraestructura.

El establecimiento posee una construccin slida de tres niveles con ms de 29 salas de clases, biblioteca, sala de profesores, las respectivas oficinas administrativas, laboratorio de ciencias y de computacin.

Tiene una central telefnica que recorre todo el establecimiento y comunica las distintas oficinas, estas dependencias poseen conexin a la red local, al igual que los laboratorios de computacin, los cuales se dividen en dos: uno para la enseanza de los alumnos de Pre-Bsica y Bsica, y el otro para los alumnos de educacin Media y Tcnico Profesional.

- Equipos.

El Primer laboratorio tiene un total de 23 computadores, que tienen las siguientes caractersticas:

9 AMD Duron de 950Mhz, 128Mb en RAM, disco duro de 10Gb, SO Windows 98 SE. 9 Intel Celeron de 1.0Ghz, 128Mb en RAM, disco duro de 10Gb, SO Windows 98 SE. 3 Intel Celeron de 1.1Ghz, 128Mb en RAM, disco duro de 20Gb, SO Windows 98 SE. 2 Intel Celeron de 700Mhz, 128Mb en RAM, disco duro de 10Gb, SO Windows 98 SE.

El segundo laboratorio tiene un total de 23 computadores, que tienen las siguientes caractersticas:

10 Intel Celeron de 1.7Ghz, 128Mb en RAM, disco duro de 40Gb, SO Windows XP Pro. 1 Intel Pentium de 233Mhz, 32Mb de RAM, disco duro de 2Gb, SO Windows 98 SE. 2 Intel Celeron de 700Mhz, 128Mb en RAM, disco duro de 10Gb, SO Windows 98 SE. 10 Intel Celeron de 400Mhz, 64Mb en RAM, disco duro de 4Gb, SO Windows 98 SE.

Encontramos distintos equipos informticos, distribuidos en las distintas oficinas de administracin, los cuales detallamos en la siguiente lista:

6 Intel Celeron de 1.1Ghz, 128Mb en RAM, disco duro de 20Gb, SO Windows 98 SE. 6

1 Intel Celeron de 700Mhz, 128Mb en RAM, disco duro de 10Gb SO Windows 98 SE. 1 Intel Celeron de 1.1Ghz, 128Mb en RAM, disco duro de 40Gb, SO Windows 98 SE. 3 486 DX100, 8Mb en RAM, disco duro de 840Mb, SO Windows 95. 5 Impresoras inyeccin de tinta marca Canon. 1 Impresora inyeccin de tinta marca Epson 2 Impresora matriz de punto marca Okidata modelo 320. 2 Impresora matriz de punto marca Okidata modelo 321. 1 Impresora matriz de punto marca Panasonic modelo 150 1 Tarjeta capturadota de Video, TV y Radio. 3 Switch TRENDnet 10/100 Mb/s 24 puertas. 1 Switch D-Link 10/100 Mb/s 16 puertas. 1 Hub D-Link 10 BaseT 16 puertas. 2 Hubs D-Link 10 BaseT 24 puertas.

2. - Descripcin del problema. 2.1.- Creacin de un Firewall1 y Gateway2 bajo Linux.

El principal problema de la organizacin fue el gran aumento en la cantidad de computadores que poseen en sus laboratorios, y por ello se ven reducidos en gran magnitud el acceso y velocidad en la navegacin de Internet. Decidieron aumentar considerablemente su velocidad de acceso a Internet, ya que ellos posean un plan ADSL3 multiusuario de 256 Kbps, y deseaban aumentarlo a un ADSL monousuario de 2048 Kbps, ya que tiene un valor comercial similar, pero con diferencias en la velocidad y el modo de conexin de los usuarios (multiusuariomonousuario).

Este plan slo sirve para un equipo, en consecuencia este computador tiene que poseer la propiedad de compartir Internet en forma segura hacia la red local, es por eso que, se opt por un equipo con un sistema operativo Linux, ya que nos proporciona varias propiedades incluyendo las ya mencionadas. Este sistema operativo nos permite gran flexibilidad en lo que se refiere a seguridad y especficamente el Firewall, que requiere esta organizacin, para ello utilizaremos el servicio de iptables4 con las distintas polticas y reglas que posee.

FIREWALL: Un cortafuegos, es un elemento de hardware o software utilizado en una red de computadoras para prevenir algunos tipos de comunicaciones prohibidas por las polticas de red, las cuales se fundamentan en las necesidades del usuario. La configuracin correcta de cortafuegos se basa en conocimientos considerables de los protocolos de red y de la seguridad de la computadora. Errores pequeos pueden dejar a un cortafuego sin valor como herramienta de seguridad. 2 GATEWAY: Una puerta de enlace, un nodo en una red informtica que sirve de punto de acceso a otra red o tambin llamada pasarela, un dispositivito dedicado a intercomunicar sistemas de protocolos incompatibles. 3 ADSL: son las siglas de Asymmetric Digital Subscriber Line (Lnea de Abonado Digital Asimtrica). Consiste en una lnea digital de alta velocidad, apoyada en el par trenzado de cobre que lleva la lnea telefnica convencional. 4 Iptables: es un conjunto de reglas que nos permiten aceptar o rechazar paquetes y que conforman lo que se conoce como firewall, este se encuentra alojado en kernel. Se tienen rdenes bsicas como: -A para aadir reglas, -i interfaz de la red, -p tipo de protocolo, estas y otras reglas nos permiten la configuracin de iptables. Ver: http://www.pello.info/filez/IPTABLES_en_21_segundos.html

Las principales caractersticas y servicios que debe tener este equipo son:

Debe tener el hardware necesario para albergar un sistema operativo GNU/Linux. Tambin nos debe permitir una puerta de acceso a otras redes, como los es la Internet. Debe ser capas de controlar el trfico y los posibles ataques de fuera o dentro de la red local. Debe tener la capacidad de controlar el acceso a pginas y contenido no apto para el desarrollo escolar. Tambin debe permitir acceso a los servicios proporcionado y denegar el acceso a los que no se utilizan.

- Objetivo.

Uno de los principales objetivos de esta tarea fue crear un punto de entrada a Internet y adems que fuese seguro para la red local y que tenga la posibilidad de restringir el contenido de algunos sitios de Internet. El Firewall nos brinda distintas ventajas como:

Optimizar el acceso y la velocidad de conexin. Proteger de intrusos nuestra red local. Proteger la informacin de la organizacin. Proteger la red local de virus. Proteger el acceso a la informacin restringida.

La figura 2, muestra el diagrama de la red local que inicialmente posea el colegio. Posteriormente se realiza una modificacin, donde se agrega el Firewall, que le brindar mayor seguridad a la red local.

Figura 2. Diagrama inicial de la red local.

La red local tiene como punto de acceso a Internet el modem ADSL en configuracin multiusuario, pero tambin podemos ver la carencia de un Firewall que mantenga segura la red local.

- Logros de la actividad.

La actividad se realiz satisfactoriamente, ya que la creacin e implementacin de la puerta de enlace (Gateway) cumpli con el objetivo de permitir el acceso a Internet de toda la red local.

Al igual que la puerta de enlace el cortafuego (Firewall) tambin se realiz satisfactoriamente y cumpli con los objetivos para el cual fue configurado.

10

2.2.- Mantenimiento.

Principalmente en esta actividad se realiz una reparacin, instalacin, configuracin y chequeo de los distintos equipos informticos del colegio, como los siguientes:

Impresoras de inyeccin tinta. Impresoras de matriz de punto. Computadores de distintas configuraciones. Distintos tipos de Hardware y Software. Puntos de red. Artculos perifricos de los computadores.

Tambin se prest una asesora tcnica y terica a los distintos funcionarios, docentes o alumnos que lo requiriesen en las distintas reas de la computacin e informtica.

- Objetivo.

Principalmente el objetivo de esta actividad fue reparar y mantener en buen funcionamiento todos los recursos informticos disponibles del establecimiento.

Logros de la actividad.

Esta actividad se desarroll con xito. Se repararon los equipos en mal estado y se desecharon los que no tenan reparacin, con ello quedaron operativos todos los computadores para el siguiente ao.

11

3.- Descripcin de las competencias propuestas en prctica.

3.1.- Creacin de una Gateway y Firewall.

Para la realizacin de esta actividad principalmente se coloc en prctica el aprendizaje adquirido en las clases de sistema operativo, soporte tcnico, entre otras. Tambin se consult a personas entendidas en el tema, adems se realiz una bsqueda de informacin y manuales5 que se encuentran en Internet.

Las principales competencias puestas en prctica fueron las siguientes:

Administracin de redes. Utilizacin de plataforma x86 para el desarrollo del Firewall y Gateway. Utilizacin de plataformas GNU/Linux y Windows. Utilizacin de Software libre para las soluciones propuestas. Configuracin de distintos equipos para adaptarse a la red local. Uso de diferentes metodologas para la solucin de problemas.

En esta actividad el principal dominio de realizacin utilizado fue el rea de Soporte Tcnico. En ella se vieron todos los aspectos de la instalacin, configuracin y mantenimiento de redes y equipos computacionales que posee el establecimiento.

Entre las dificultades encontradas se puede mencionar la escasa experiencia en el manejo del Sistema Operativo Linux y la implementacin de un Firewalls. Otra dificultad fue la tarea de realizar una modificacin en toda la red del establecimiento para poder incorporar el Firewall a ella. Para resolver las dificultades se consult a personas entendidas en el tema de seguridad en redes, posteriormente se revisaron manuales y documentos de
5

En este manual se muestran las habituales arquitecturas de redes con firewall y la forma de montar iptables para cada caso, con distintas opciones para cada ejemplo (ejemplos: red local e Internet, red local e internet con zona DMZ). Ver: http://www.pello.info/filez/firewall/iptables.html

12

Internet, todo esto fue de mucha ayuda para realizar satisfactoriamente la actividad.

3.2.- Mantenimiento.

Las competencias utilizadas en esta fueron:

Manipulacin y configuracin de distintos equipos computacionales (Hardware, Software, PC, Impresora, etc.). La instalacin y configuracin de distintas plataformas (Windows 95, 98, ME, XP). Configuracin y manipulacin de cableado y equipos de red.

El dominio de realizacin utilizado en esta actividad fue la del rea de Soporte Tcnico. En este segmento se encontraron las herramientas necesarias para lograr todas las actividades que se desarrollaron lo largo de esta prctica.

La principal dificultad encontrada, fue la poca experiencia en el manejo de algunos equipos (Hardware, Software, etc.) que posee el establecimiento.

Para resolver la dificultad se recurri a manuales e informacin de Internet, la cual fue de gran utilidad para la correcta manipulacin de los equipos.

13

4.- Descripcin de las soluciones propuestas.

4.1.- Creacin de un Firewall y Gateway.

- Situacin inicial encontrada.

La situacin encontrada en el establecimiento fue de una red desprovista de proteccin y control, adems con gran cantidad de equipos y un enlace a Internet reducido (57 equipos y ADSL multiusuario de 256 Kbps), lo cual hacia un acceso lento a Internet.

La figura 2 (ver figura 2 pagina 10), muestra el esquema encontrado, en el cual se ve que el Modem ADSL hace de Gateway para la red local ya que se encuentra en configuracin multiusuario, pero esta red carece de una proteccin como un Firewall.

- Bsqueda de la solucin.

En conversaciones sostenidas con el supervisor se plante el problema del aumento de la velocidad de acceso a Internet, con un costo razonable y mejor seguridad para su red, con un Sistema Operativo GNU/Linux.

- La solucin.

La solucin propuesta respecto a la seguridad, fue implementar un Firewall en un Sistema Operativo GNU/Linux, el que adems funciona como Gateway, que permite el enrutamiento de la red local hacia Internet, [Mancill, 03a].

14

La figura 3, muestra el esquema bsico de una red con un Firewall.

Figura 3. Esquema de un Firewall y Gateway.

4.1.1.- Desarrollo del Firewall.

- Implementacin.

La implementacin del Firewall se realiz en un equipo que posee las siguientes caractersticas:

Pentium IV 1.7Ghz. 128Mb en RAM. Disco duro de 15Gb. 2 tarjetas de red D-Link 530 10/100 Mb/s. Sistema Operativo GNU/Linux distribucin Fedora Core 2.

Fue elegida la distribucin Fedora Core 2, ya que en algunos cursos anteriores (taller de hardware y taller de redes) se habra utilizado versiones anteriores de esta distribucin, adems es muy usada por administradores de red.

15

Para su implementacin ocupamos una herramienta que viene integrada en el kernel6 del Sistema Operativo, la cual se llama iptables. Esta herramienta se utiliza para crear un Script, el cual lleva distintas reglas y polticas, de las cuales utilizaremos las de tipo NAT7 (PREROUTING, y POSTROUTING) [Petersen, 01]. Estas se usan para hacer redirecciones de puertos o cambios de las IP8s de origen o destino.

Tambin tenemos las de tipo FILTER (INPUT, OUTPUT, y FORWARD), las cuales utilizan filtrado de paquetes que van a la propia mquina, o que van a otras redes o mquinas. Tambin hay que considerar que existen dos maneras de implementar un Firewall:

1. Polticas por defecto ACEPTAR (todo lo que entra y sale se acepta, excepto lo denegado explcitamente). 2. Polticas por defecto DENEGAR (todo queda denegado, excepto lo que se permite explcitamente).

- Modificacin de la topologa de red.

Todas las figuras o esquemas de la topologa de red son representaciones y no equivalen el 100% de la realidad de la red local del establecimiento. Esta red posee 57 computadores distribuidos entre 2 laboratorios de computacin y las distintas oficinas que se encuentran en el establecimiento.

Kernel: El kernel (tambin conocido como ncleo) es la parte fundamental de un sistema operativo. Es el software responsable de facilitar a los distintos programas acceso seguro al hardware de la computadora o en forma ms bsica, es el encargado de gestionar recursos, a travs de servicios de llamada al sistema. 7 NAT: Network Address Translation (Traduccin de Direccin de Red), el cual utiliza una o ms direcciones IP para conectar varios computadores a otra red (normalmente a Internet), los cuales tiene una direccin IP completamente distinta (normalmente una IP no vlida de Internet). Por lo tanto, se puede utilizar para dar salida a redes pblicas a computadores que se encuentran con direccionamiento privado o para proteger mquinas pblicas. 8 IP: son las siglas de Internet Protocol (protocolo de Internet), es un nmero que identifica a una interfaz de un dispositivo (habitualmente un ordenador) dentro de una red.

16

A continuacin nombraremos los distintos equipos que conforman la red local del establecimiento:

57 computadores. 104 puntos de red a lo largo del establecimiento. 3 Switch 10/100 Mb/s de 24 puertas. 1 Switch 10/100 Mb/s de 16 puertas. 1 Hub 10 Base T de 16 puerta. 1 Modem ADSL. Entre otras cosas.

La topologa se tuvo que modificar para poder incorporar el Firewall a la red local [Press, 01]. La principal modificacin realizada fue la de cambio de IP en todas las mquinas de la red, ya que cuando fue implementado el Firewall, el acceso a Internet todava se encontraba en configuracin multiusuario, como se ve en el ejemplo de la figura 4.

Figura 4. Modificacin de la topologa con implementacin del Firewall.

17

La figura 4 muestra la red con el Firewall ya incluido, adems se puede ver que el Firewall posee dos interfaces que apuntan a distintas redes. La eth1 se dirige a la red local y la eth0 hacia el Modem ADSL, que todava se encuentra a una velocidad de 256 Kbps y en configuracin multiusuario, esta velocidad y configuracin ser modificada posteriormente.

Mientras que la figura 5 (que se muestra a continuacin), representa la configuracin final de la topologa de la red local del establecimiento.

Figura 5. Configuracin final de la red local.

En la figura 5 se aprecia se que no necesariamente ocurre un cambio fsico en la topologa de red, si no mas bien un cambio en la configuracin del Firewall (principalmente en su interfaz de conexin a Internet), y el otro cambio ocurre en la configuracin y velocidad de la conexin a Internet a travs del modem ADSL (hay un cambio en la velocidad, que ahora es de 2 Mbps y su configuracin que cambio a monousuario).

Para realizar la modificacin de la conexin a Internet, hubo que ponerse en contacto con el proveedor de Internet (ENTEL Internet), y pedirles un cambio en la 18

velocidad y el tipo de configuracin de modem ADSL. Posteriormente realizado este cambio se modific el Firewall para que pudiera conectarse a Internet, se configur la conexin a Internet en la distribucin de Linux Fedora Core 2. Esto se hizo con el comando adsl-setup, para ello se ingresaron los datos de la cuenta de Internet y se indic la interfaz a la que se encuentra conectada al modem ADSL, una vez realizado esto se hace una pequea modificacin en el script del Firewall, cambiando la interfaz por la cual se conecta la red local a Internet (se cambia la interfaz eth0 por la interfaz ppp90).

4.1.2.- Creacin del Script10.

A continuacin se explicarn los puntos ms relevantes del Script del Firewall creado para el establecimiento, segn los requerimientos de la red loca. El Script completo se muestra en el anexo 8.1 de este informe. Adems debemos mencionar que las lneas que comienza con # indican que es un comentario (el uso del # como comentario se puede ver claramente en el script completo) y no sern tomados en cuenta por el sistema.

En la figura 6, se indica que el archivo es un Script del Terminal Linux y ser ledo (esta lnea comienza #!, no es un comentario) lnea a lnea por el sistema.

#!/bin/bash
Figura 6. Interfaz estndar de lnea de comando.

La figura 7, muestra las lneas que se utilizan para limpiar todas las reglas actuales (llamadas Flush) que se encuentran en las tablas si es que existiesen, ya que de ser as el Script no tendra efecto.

PPP: Point-to-point Protocol, es decir, Protocolo punto a punto, es un protocolo de nivel de enlace estandarizado. Por tanto, se trata de un protocolo asociado a la pila TCP/IP de uso en Internet. 10 Ver el script completo del firewall en anexo 8.1

19

iptables F iptables X iptables -Z iptables t nat F


Figura 7. Flush de reglas ipatables.

Definimos las polticas por defecto ACEPTAR, es decir todo lo que entra o sale es aceptado excepto lo denegado especficamente.

En la figura 8, tenemos las polticas INPUT, OUTPUT, y FORWARD por defecto aceptada, esto fue escogido as, porque se quera tener un trfico casi normal, pero se protegieron los puertos y direcciones que nos interesan y esto debe declararse en el Script del Firewall.

iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT
Figura 8. Poltica por defecto.

La tabla NAT se utiliza antes o despus de enrutar los paquetes.

Se utiliz PREROUTING y POSTROUTING, por defecto aceptado, se usa para manipular los paquetes, modificando los datos de destino y origen, de esta manera podemos hacer una redireccin a otra mquina o a otro puerto, tambin se puede hacer modificacin del origen de los paquetes.

En la figura 9, tenemos la lnea que se us para aceptar las conexiones al localhost, esto se refiere a que podemos hacer conexiones a los puertos locales

20

de cada servicio, como por ejemplo a un servidor MySQL, PostgreSQL, Web, etc. que este corriendo en la mquina.

iptables A INPUT -i lo -j ACCEPT


Figura 9. Aceptar conexiones locales.

La figura 10 muestra la lnea que se us para poder tener acceso desde la red local (IP red: 192.168.2.0/24) hacia el Firewall .Aquello se hace a travs de la interfaz eth1 que se encuentra conectada al Switch principal de la red local [Mancill, 03b], esto no quiere decir que ya poseemos conexin a Internet, para ello se debe utilizar otra lnea de comando, y adems utiliza otra interfaz del Firewall.

iptables -A INPUT -s 192.168.2.0/24 -i eth1 -j ACCEPT


Figura 10. Acceso ha la red local.

En la figura 11, la red local est representada por su IP (IP red: 192.168.2.0/24), la cual sale a Internet haciendo uso de las reglas de NAT y su filtrado POSTROUTING. Esta regla permite que los equipos de la red local salgan enmascaradamente, haciendo uso de la poltica MASQUERADE (en GNU/Linux esta es la poltica que hace compartir Internet a la red local), es decir ocupando la IP pblica11 que posee la conexin a Internet, haciendo que parezca solo un equipo conectado a Internet, todo esto se realiza a travs de la interfaz PPP0 que es la que est conectada al modem ADSL.

iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o ppp0 -j MASQUERADE


Figura 11. Enmascaramiento de la red local.

Norma RFC 1918. Se describe la asignacin de la direcciones IP de las redes privadas que permite la conectividad entre los hosts de una red, as como entre los hosts pblicos de diversas redes. http://www.ietf.org/rfc/rfc1918.txt

11

21

Se activa el Bit de Forward para el reenvo de paquetes. Esto permite que la mquina acte como Gateway y as reenviar paquetes con origen y destino remoto, como lo vemos en la figura 12.

echo 1 > /proc/sys/net/ipv4/ip_forward


Figura 12. Activar forward de paquetes.

La figura 13, muestra la lnea que se usa para redireccionar todo lo que venga a travs de la interfaz ppp0 y vaya con direccin al puerto 2350, lo redireccionamos a una mquina interna al puerto 3389, que es una mquina que est habilitada con un Terminal Server.

Iptables t nat A PREROUTING -i ppp0 -p tcp --dport 2350 -j DNAT --to 192.168.2.68:3389
Figura 13. Re-direccionamiento de puerto.

En la figura 14, se observa ver las lneas en las cuales se aceptan las conexiones a los puertos de los servicios deseados. Las conexiones entrantes de estos servicios, con origen de cualquier red (IP red: 0.0.0.0/0), que tengan como destino los puertos expresados en el Script (ejemplo: TCP12 22, 21, etc.), ya que posteriormente sern denegado los dems.

iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 20 -j ACCEPT iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 21 -j ACCEPT iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 3306 -j ACCEPT iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT
Figura 14. Habilitar puertos de servicios.
12

TCP: El Protocolo de Control de Transmisin (TCP en sus siglas en ingls, Transmission Control Protocol) es uno de los protocolos fundamentales en Internet. Muchos programas dentro de una red de datos compuesta por ordenadores pueden usar TCP para crear conexiones entre ellos a travs de las cuales enviarse datos. El protocolo garantiza que los datos sern entregados en su destino sin errores y en el mismo orden en que se transmitieron.

22

Dependiendo de los casos que se ven en las figuras 15, 16 y 17, se hizo uso de las polticas REJECT o DROP para bloquear los paquetes. La principal diferencia que se puede encontrar entre estas dos polticas, es que el REJECT enva una respuesta al cliente, diciendo que el puerto se encuentra cerrado, y en cambio el DROP, simplemente no enva nada y el cliente recibe la respuesta de puerto cerrado por el timeout.

En la figura 15, se cerraron todas la conexiones entrantes que provienen de cualquier red (IP red: 0.0.0.0/0) que vayan con destino al puerto del servicio Webmin (gestionador de servicios va Web, que se accede a l a travs del puerto 10000), ya que a este puerto se puede acceder remotamente (una vez bloqueado se podr acceder solo localmente).

Iptables A INPUT -s 0.0.0.0/0 -p tcp --dport 10000 -j REJECT


Figura 15. Cerrar puerto de webmin.

En la figura 16, se cerraron todas las conexiones entrantes, provenientes de cualquier red (IP red: 0.0.0.0/0), y que vayan a los puertos de servicios bien conocidos tanto como TCP y UDP13.

iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP
Figura 16. Cerrar puertos bien conocidos.

Una de las principales caractersticas que deba tener el Firewall, era que se pudiese bloquear el acceso a pginas no deseadas, como lo podemos ver en la figura 17.

13

UDP: User Datagram Protocol, es un protocolo del nivel de transporte basado en el intercambio de datagramas. Permite el envo de datagramas a travs de la red sin que se haya establecido previamente una conexin, ya que el propio datagrama incorpora suficiente informacin de direccionamiento en su cabecera.

23

El bloqueo de pginas no deseadas se puede realizar ocupando la poltica REJECT la cual niega la conexin de una IP que se ha especificado. En el ejemplo de la figura 17 se aprecia que esta pgina posee ms de una IP. Para el bloqueo de ella es necesario utilizar el comando netstat na cuando se hace el ingreso a la pgina que se desea bloquear, al realizarse esta accin se arroja como resultado distintas IPs y sus respectivos puertos de acceso, con ello y la poltica REJECT se logra el bloqueo de la pgina.

# Bloqueo de acceso a latinchat iptables -A FORWARD -d 200.68.58.70 -j REJECT iptables -A FORWARD -d 200.68.58.101 -j REJECT iptables -A FORWARD -d 213.149.241.129 -j REJECT iptables -A FORWARD -d 200.68.58.98 -j REJECT
Figura 17. Bloqueo de pgina no deseadas.

Para terminar con el comentario del Script del Firewall, es necesario mencionar que para guardar el Script y ejecutarlo posteriormente, es necesario darle permisos de ejecucin, aquello se logra con el comando chmod (se debe estar como usuario root), como se observa en la figura 18.

$ chmod +x firewall.sh
Figura 18. Permiso de ejecucin.

Adems si quiere que el Script se ejecute cada vez que se reinicie o se encienda el equipo, se coloca una lnea que indique la ruta al link (el link simblico se debe encontrar en /etc/rc.d/init.d) en el archivo rc.local, como en el caso de la figura 19.

/etc/rc.d/init.d/firewall.sh
Figura 19. Ejecucin en el inicio del Script.

24

- Se pone a prueba la red.

Para poner a prueba el Firewall y la red se hizo uso de distintas herramientas (comandos y software).

Primero se prob la red a travs de los distintos comandos que nos proporcionan los Sistemas Operativos (Linux y Windows). Uno de los ms conocido y usado es el comando ping, el permite hacer consultas si un host est activo. La figura 20 muestra un ejemplo donde se hace ping a una pgina en Internet, y se ve si responde, y lograr conectarse a Internet.

C:\Documents and Settings\Windows>ping www.google.cl

Haciendo ping a www.l.google.com [64.233.179.99] con 32 bytes de datos:

Respuesta desde 64.233.179.99: bytes=32 tiempo=313ms TTL=240 Respuesta desde 64.233.179.99: bytes=32 tiempo=376ms TTL=240 Respuesta desde 64.233.179.99: bytes=32 tiempo=295ms TTL=240 Respuesta desde 64.233.179.99: bytes=32 tiempo=366ms TTL=240
Figura 20. Respuesta de comando ping.

Se puede ver que se obtuvo una respuesta, es decir se tiene acceso a Internet desde la red local.

Otro comando que se usa es el nmap. Esta instruccin slo funciona en la plataforma Linux, y se utiliza para conocer los puertos de los servicios que est proporcionado el Firewall, como se ve en la figura 21.

[root@serverlinux root]# nmap piamarta.sytes.net

Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2006-03-07 23:40 EST 25

Interesting ports on 164.77.127.104: (The 1653 ports scanned but not shown below are in state: closed) PORT STATE SERVICE

21/tcp open ftp 22/tcp open ssh 139/tcp open netbios-ssn 445/tcp open microsoft-ds
Figura 21. Respuesta de comando nmap.

Tambin se usa el comando netstat na (el comando se puede utilizar en ambas plataformas). Este se utilizara para ver los puertos que estn abiertos, sus IPs (origen y destino) y el estado en que se encuentran, como en la figura 22.

[root@serverlinux root]# netstat -na Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address tcp tcp tcp tcp udp udp 0 0 0 0 0 0 0 0.0.0.0:139 0 0.0.0.0:21 0 0.0.0.0:445 0 :::22 0 0.0.0.0:137 0 0.0.0.0:138 Foreign Address 0.0.0.0:* 0.0.0.0:* 0.0.0.0:* :::* 0.0.0.0:* 0.0.0.0:* State LISTEN LISTEN LISTEN LISTEN

Figura 22. Respuesta comando netstat.

Ahora se utiliza la herramienta llamada IPTraf. La herramienta se us para monitorear las conexiones de las distintas interfaces del Firewall, la herramienta se puede encontrar disponible solamente en la plataforma Linux.

Esta herramienta nos permiti hacer un filtrado de las conexiones, para ver el comportamiento de la red, adems nos fij de mejor forma en el trfico de un puerto en especfico como puede ser el TCP o UDP, segn fueron las necesidades. 26

Tambin se puede ver que pgina estn visitando los usuarios de la red local, y ver de qu mquina lo hicieron, adems saber a que puertos se conectaron para hacer transferencias de paquetes.

Para este caso, se us IPTraf, que es una herramienta para consola basada en texto, la cual puede interceptar paquetes sobre la red y entrega informacin actual sobre el trfico IP. Esta herramienta es de uso libre y no se requieren licencias.

IPTraf es muy recomendada por los administradores de red y los textos de Internet, como una herramienta de monitoreo en la cual podemos ver la cantidad de paquetes que entran o salen por alguna interfaz (eth0, eth1, ppp0 y la local), adems podemos tener una vista general de todo el trfico, tambin podemos ver las direcciones IP a las que se conectan los clientes, entre otras cosas.

En la siguiente figura veremos el monitoreo de la red a travs de la herramienta IPTraf.

Figura 23. La herramienta IPTraf en funcionamiento.

27

4.2.- Mantenimiento.

En esta actividad se realizaron diferentes tareas de instalacin, configuracin y mantenimientos de los diferentes equipos y recursos informticos que posee el establecimiento.

Se mencionan algunas de las tareas que se realizaron en esta actividad:

Instalacin y configuracin de Windows 95, 98SE y XP. Instalacin y configuracin de hardware y software. Instalacin, configuracin y mantenimiento de equipos informticos (impresoras, unidades de respaldo, etc.). Instalacin y configuracin de equipos de red (hub, switch, cableado, etc.).

Se hizo un detalle de algunas de las actividades mencionadas anteriormente.

En la actividad instalacin y configuracin de hardware y software, se puede mencionar la instalacin y configuracin de una tarjeta capturadora de video, tv y radio (Fly video 2000 FM). La instalacin del hardware se hizo en una ranura de expansin PCI, despus se instala el controlador que viene en un CD junto a un Software de control de la capturadora y otro de edicin de video, estos software se utilizan para el traspaso de videos al computador.

En otra actividad como la instalacin y configuracin de equipos de red, se puede mencionar las reparaciones de los puntos de red que se encontraban en mal funcionamiento. Para ello utilizamos una herramienta para probar los puntos de red, una ves encontrada la falla se procedi a re-instalar el punto, la conexin de un punto se puede ver en la siguiente figura.

28

Figura 24. La conexin de un punto al Hub o Switch.

El cable que se utiliz en la instalacin es un par trenzado UTP, ya que es un medio econmico y fiable de implementar la red, tambin en esta instalacin se ocuparon distintas herramientas especializadas como:

Testing (probador de red). Crimping (para apretar los conectores de red). Patching (para apretar los patch).

29

5.- Conclusin.

La realizacin de las actividades que fueron desarrolladas en el establecimiento educacional Juan Pia marta sirvi de gran experiencia y conocimiento, los cuales se expresan en las siguientes conclusiones.

A lo largo de este informe se demostr que para una organizacin (grande o pequea) es necesario que por lo menos tenga implementado un Firewall en su red, para as proteger su informacin y su red de ataques externos, aunque el Firewall no sea 100% seguro, pero que lo hace vital para proteger una gran parte de los servicios y recursos de la organizacin.

Es necesario mencionar la gran capacidad de herramientas y servicios que posee el Sistema Operativo GNU/Linux en sus distintas distribuciones. Este Sistema Operativo sirvi para implementar el Firewall a la medida de la organizacin, adems se pueden agregar varios servicios como Web, FTP, etc. Es inminentemente necesario dominar este sistema operativo, ya que es una herramienta potentsima para el desarrollo de distintos proyectos en nuestra profesin.

GNU/Linux es un sistema abierto, tambin sus herramientas y aplicaciones, esto facilita una implementacin de varios servicios a un muy bajo costo para una organizacin.

Es menester mencionar la experiencia adquirida en la actividad de mantenimiento, en la cual se aprendi a instalar, operar y reparar distintos equipos informticos de uso cotidiano en una organizacin.

30

6.- Bibliografa.

[Petersen, 01] [R. Petersen. Linux Manual de Referencia. Captulo 39. Seguridad de Red: Firewall y Cifrado. Netfilter: IPTables y NAT (Kernel 2.4 y 2.6), pp. 1072- 1074. Segunda Edicin, Osborne McGraw Hill, 2001. [Mancill, 03a] T. Mancill. Routers en Linux. Captulo 1, Bloques Fundamentales del Enrutamiento, Hardware de un Router, pp. 3-16. Segunda Edicin. Prentice Hall, 2003. [Mancill, 03b] T. Mancill. Routers en Linux. Captulo 3, Silicom: Un Router de LAN, pp. 77-129. Segunda Edicin. Prentice Hall, 2003. [Press, 01] B. Press, M. Press, Redes con Ejemplos, Software de Red Protocolos y Aplicaciones, Protocolo de Configuracin de Host Dinmico, pp 181-185, edicin 2001, ISBN 987-9460-16-2. Editorial Pearson, 2001.

31

7.- Glosario.

IP: Son las siglas de Internet Protocol (protocolo de Internet), es un nmero que identifica a una interfaz de un dispositivo (habitualmente un ordenador) dentro de una red.

TCP: El Protocolo de Control de Transmisin (TCP en sus siglas en ingls, Transmission Control Protocol) es uno de los protocolos fundamentales en Internet. Muchos programas dentro de una red de datos compuesta por ordenadores pueden usar TCP para crear conexiones entre ellos a travs de las cuales enviarse datos. El protocolo garantiza que los datos sern entregados en su destino sin errores y en el mismo orden en que se transmitieron.

UDP: User Datagram Protocol, es un protocolo del nivel de transporte basado en el intercambio de datagramas. Permite el envo de datagramas a travs de la red sin que se haya establecido previamente una conexin, ya que el propio datagrama incorpora suficiente informacin de direccionamiento en su cabecera.

ADSL: Son las siglas de Asymmetric Digital Subscriber Line (Lnea de Abonado Digital Asimtrica). Consiste en una lnea digital de alta velocidad, apoyada en el par trenzado de cobre que lleva la lnea telefnica convencional.

FIREWALL: Un cortafuegos, es un elemento de hardware o software utilizado en una red de computadoras para prevenir algunos tipos de comunicaciones prohibidas por las polticas de red, las cuales se fundamentan en las necesidades del usuario. La configuracin correcta de cortafuegos se basa en conocimientos considerables de los protocolos de red y de la seguridad de la computadora. Errores pequeos pueden dejar a un cortafuego sin valor como herramienta de seguridad.

32

GATEWAY: Una puerta de enlace, un nodo en una red informtica que sirve de punto de acceso a otra red o tambin llamada pasarela, un dispositivito dedicado a intercomunicar sistemas de protocolos incompatibles.

PPP: Point-to-point Protocol, es decir, Protocolo punto a punto, es un protocolo de nivel de enlace estandarizado. Por tanto, se trata de un protocolo asociado a la pila TCP/IP de uso en Internet.

Kernel: El kernel (tambin conocido como ncleo) es la parte fundamental de un sistema operativo. Es el software responsable de facilitar a los distintos programas acceso seguro al hardware de la computadora o en forma ms bsica, es el encargado de gestionar recursos, a travs de servicios de llamada al sistema.

NAT: Network Address Translation (Traduccin de Direccin de Red), el cual utiliza una o ms direcciones IP para conectar varios computadores a otra red (normalmente a Internet), los cuales tiene una direccin IP completamente distinta (normalmente una IP no vlida de Internet). Por lo tanto, se puede utilizar para dar salida a redes pblicas a computadores que se encuentran con direccionamiento privado o para proteger mquinas pblicas.

33

8.- Anexos.

8.1.- Script del Firewall.

#!/bin/sh echo -n Aplicando Reglas de Firewall... ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT

#### ppp0 es el interfaz conectado al ADSL y eth1 a la red local #### # Se aceptan las conexiones al localhost iptables -A INPUT -i lo -j ACCEPT # Al firewall tenemos acceso desde la red local iptables -A INPUT -s 192.168.2.0/24 -i eth1 -j ACCEPT # Ahora hacemos enmascaramiento de la red local iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o ppp0 -j MASQUERADE # Con esto permitimos hacer forward de paquetes en el firewall, o sea # que otras mquinas puedan salir a travs del firewall. echo 1 > /proc/sys/net/ipv4/ip_forward # Todo lo que venga por la interfaz ppp0 y vaya al puerto 3389 lo redirigimos # a una maquina interna iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 2350 -j DNAT --to 192.168.2.68:3389

34

# habilitar puertos de los servicios iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 20 -j ACCEPT iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 21 -j ACCEPT iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 3306 -j ACCEPT iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT # Cerramos un puerto de gestin: webmin iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 10000 -j REJECT # cerrar puertos no utilizados iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP #### bloqueo de pagina no deseadas #### # Bloqueo de acseso a latinchat iptables -A FORWARD -d 200.68.58.70 -j REJECT iptables -A FORWARD -d 200.68.58.101 -j REJECT iptables -A FORWARD -d 213.149.241.129 -j REJECT iptables -A FORWARD -d 200.68.58.98 -j REJECT # Bloqueo de acseso a jugarjuegos.com iptables -A FORWARD -d 207.44.228.41 -j REJECT # Bloqueo de acseso a juegos666.com iptables -A FORWARD -d 207.44.134.136 -j REJECT # Bloqueo de acseso a minijuegos.com iptables -A FORWARD -d 80.69.64.154 -j REJECT iptables -A FORWARD -d 67.19.243.131 -j REJECT iptables -A FORWARD -d 80.69.64.200 -j REJECT # Bloqueo de acseso a juegosjuegos.com iptables -A FORWARD -d 66.98.172.17 -j REJECT # Bloqueo de acseso a elchat.com iptables -A FORWARD -d 200.76.190.254 -j REJECT # Bloqueo de acseso a latinchat.com iptables -A FORWARD -d 62.37.236.14 -j REJECT iptables -A FORWARD -d 200.68.58.83 -j REJECT iptables -A FORWARD -d 200.68.58.76 -j REJECT

35

# Bloqueo de acseso a latinchat.cl iptables -A FORWARD -d 200.74.171.188 -j REJECT # Bloqueo de acseso a michat.com iptables -A FORWARD -d 213.41.125.162 -j REJECT # Bloqueo de acseso a juegos10.com iptables -A FORWARD -d 66.98.192.66 -j REJECT iptables -A FORWARD -d 67.19.251.114 -j REJECT # Bloqueo de acseso a juegos.com iptables -A FORWARD -d 161.58.17.20 -j REJECT # Bloqueo de acseso a geojuegos.com iptables -A FORWARD -d 62.151.20.51 -j REJECT # Bloqueo de acseso a estasmuerto.com iptables -A FORWARD -d 205.209.172.112 -j REJECT # Bloqueo de acseso a tonterias.com iptables -A FORWARD -d 69.72.131.131 -j REJECT # Bloqueo de acseso a quefuerte.com iptables -A FORWARD -d 194.143.194.246 -j REJECT # Bloqueo de acseso a estasvivo.com iptables -A FORWARD -d 65.75.182.200 -j REJECT # Bloqueo de acseso a podrido.com iptables -A FORWARD -d 207.44.238.114 -j REJECT # Bloqueo de acseso a jocjuegos.com iptables -A FORWARD -d 212.0.105.123 -j REJECT iptables -A FORWARD -d 213.86.246.154 -j REJECT # Bloqueo de acseso a rotten.com iptables -A FORWARD -d 216.218.248.174 -j REJECT # Bloqueo de acseso a 1001juegos.com iptables -A FORWARD -d 64.49.219.154 -j REJECT # Bloqueo de acseso a 101juegos.com iptables -A FORWARD -d 212.227.34.3 -j REJECT

36

# Bloqueo de acseso a barbie.com iptables -A FORWARD -d 200.68.58.71 -j REJECT # Bloqueo de acseso a cartoonnetwork.com iptables -A FORWARD -d 207.25.71.118 -j REJECT iptables -A FORWARD -d 64.236.16.231 -j REJECT # Bloqueo de acseso a l1.lopeor.com iptables -A FORWARD -d 207.21.211.86 -j REJECT # Bloqueo de acseso a cartoonnetwork.cl iptables -A FORWARD -d 207.25.71.228 -j REJECT # Bloqueo de acseso a jetrixtv.com iptables -A FORWARD -d 199.181.132.33 -j REJECT # Bloqueo de acseso a miniclick.com iptables -A FORWARD -d 64.40.102.42 -j REJECT # Bloqueo de acseso a irc.cl iptables -A FORWARD -d 200.14.80.69 -j REJECT # Bloqueo de acseso a etc.cl iptables -A FORWARD -d 200.29.0.11 -j REJECT # Bloqueo de acseso a juegosjuegos.com iptables -A FORWARD -d 67.19.251.90 -j REJECT iptables -A FORWARD -d 217.11.100.83 -j REJECT iptables -A FORWARD -d 207.21.211.56 -j REJECT # Bloqueo de acseso a escalofrio.com iptables -A FORWARD -d 80.69.64.112 -j REJECT

# Bloqueo de acseso a private.com iptables -A FORWARD -d 217.116.240.20 -j REJECT # Bloqueo de acceso a miniclip.com iptables -A FORWARD -d 66.165.172.181 -j REJECT iptables -A FORWARD -d 212.113.31.48 -j REJECT # Bloqueo de acceso a irc iptables -A FORWARD -d 200.83.0.166 -j REJECT

37

# Bloqueo de acceso a neopets.com iptables -A FORWARD -d 206.132.214.8 -j REJECT iptables -A FORWARD -d 206.132.214.10 -j REJECT iptables -A FORWARD -d 206.132.214.9 -j REJECT # Bloqueo de acceso a juegorama.com iptables -A FORWARD -d 207.21.211.56 -j REJECT iptables -A FORWARD -d 64.246.50.109 -j REJECT iptables -A FORWARD -d 66.98.148.62 -j REJECT iptables -A FORWARD -d 69.57.150.17 -j REJECT iptables -A FORWARD -d 67.19.243.123 -j REJECT iptables -A FORWARD -d 67.19.243.131 -j REJECT # Bloqueo de accesoa mejorbusqueda.com iptables -A FORWARD -d 213.173.190.47 -j REJECT iptables -A FORWARD -d 213.173.188.160 -j REJECT # Bloqueo de acceso a juegoramas.com iptables -A FORWARD -d 64.233.246.142 -j REJECT iptables -A FORWARD -d 64.235.246.150 -j REJECT iptables -A FORWARD -d 64.235.246.158 -j REJECT iptables -A FORWARD -d 64.235.246.141 -j REJECT # Bloqueo de accesoa chile.com/chat iptables -A FORWARD -d 200.29.90.58 -j REJECT # Bloqueo de acceso a terra.cl/chat iptables -A FORWARD -d 200.28.222.214 -j REJECT # Bloqueo de acceso a canal13.cl/chat iptables -A FORWARD -d 200.27.99.32 -j REJECT # Bloqueo de acceso a quemadres.com iptables -A FORWARD -d 207.44.182.102 -j REJECT # Bloqueo de acceso a quevideos.com iptables -A FORWARD -d 65.125.231.226 -j REJECT # Bloqueo de acceso a juegos666.com iptables -A FORWARD -d 66.98.169.230 -j REJECT # Bloqueo de acceso a jugarjuegos.net iptables -A FORWARD -d 66.115.176.45 -j REJECT

38

# Bloqueo de acceso a publispain.com iptables -A FORWARD -d 64.157.165.177 -j REJECT iptables -A FORWARD -d 70.84.44.84 -j REJECT # Bloqueo de acceso a murox.sytes.net iptables -A FORWARD -s 192.168.2.35 -d 200.27.56.114 -j ACCEPT iptables -A FORWARD -s 192.168.2.36 -d 200.27.56.114 -j ACCEPT iptables -A FORWARD -s 192.168.2.55 -d 200.27.56.114 -j ACCEPT iptables -A FORWARD -d 200.27.56.114 -j REJECT #iptables -A FORWARD -d 200.27.56.114 -p tcp --dport 80 -j REJECT echo OK . Verifique que lo que se aplica con: iptables L -n # Fin del script

39

40

41