SEMINARIO

Tema :

FIREWALL
Expositor:
Ing. Mario Borja B.

CONFIGURACION DE SERVIDOR FIREWALL

CONFIGURACION DE SERVIDOR FIREWALL

CONFIGURACION DE SERVIDOR FIREWALL

CONFIGURACION DE SERVIDOR FIREWALL

CONFIGURACION DE SERVIDOR FIREWALL

CONFIGURACION DE SERVIDOR FIREWALL

Esquema del flujo de paquetes en el kernel de linux.

CONFIGURACION DE SERVIDOR FIREWALL

Convenciones: eth0 - name of your external interface (connected to the world) eth1 - name of your internal interface (connected to the LAN) eth3 - name of your servers interface (connected to the LAN) ip_address_of_eth0 - numeric dotted quad IP address of your eth0 in the form of x.x.x.x ip_address_of_eth1 - numeric dotted quad IP address of your eth1 in the form of x.x.x.x ip_address_of_eth1 - numeric dotted quad IP address of your eth1 in the form of x.x.x.x

CONFIGURACION DE SERVIDOR FIREWALL

Crear nuevo canal:

iptables -N name_of_chain
Borrar un canal vaco Solo para canales del usuario

iptables -X name_of_chain*
*if name_of_chain is omitted, it deletes all custom chains.

Change the default policy for a built-in chain

iptables -P name_of_chain name_of_policy*

*DROP or ACCEPT

CONFIGURACION DE SERVIDOR FIREWALL

List the rules in a chain
iptables -L name_of_chain

Flush the rules out of a chain iptables -F name_of_chain* *if name_of_chain is omitted, it flushes all chains.

Zero the packet and byte counters on all rules in a chain iptables -Z name_of_chain

CONFIGURACION DE SERVIDOR FIREWALL

Para configurar las reglas del firewall en linux utilizaremos iptables, mediante un archivo de comandos:
#!/bin/sh echo "1" > /proc/sys/net/ipv4/ip_forward

modprobe ip_tables modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe iptable_nat modprobe ip_nat_ftp

CONFIGURACION DE SERVIDOR FIREWALL(cont)

# Limpiar todas las reglas iptables -t nat -F iptables -F # Acceso total al cliente con ip 192.168.100.9 iptables -t nat -A POSTROUTING -s 192.168.100.9 -o eth0 -j SNAT --to 200.60.198.204

# Acceso total a toda la red

iptables -t nat -A POSTROUTING -s 192.168.100.9/255.255.255.0 -o eth0 -j SNAT --to 200.60.198.204

CONFIGURACION DE SERVIDOR FIREWALL(cont)

#Acceso del cliente con ip 192.168.100.9 al servicio web iptables -t nat -A POSTROUTING -s 192.168.100.9 -o eth0 p TCP dport 80 -j SNAT --to 200.60.198.204

#Acceso del cliente con ip 192.168.100.9 al SSH

iptables -t nat -A POSTROUTING -s 192.168.100.9 -o eth0 p TCP dport 22 -j SNAT --to 200.60.198.204 #Acceso del cliente con ip 192.168.100.9 al FTP iptables -t nat -A POSTROUTING -s 192.168.100.9 -o eth0 p TCP dport 21 -j SNAT --to 200.60.198.204

CONFIGURACION DE SERVIDOR FIREWALL(cont)

#Estableciendo politicas de los canales por defecto iptables P INPUT ACCEPT iptables P OUTPUT ACCEPT iptables P FORWARD ACCEPT iptables t nat P PREROUTING ACCEPT iptables t nat P POSTROUTING ACCEPT

CONFIGURACION DE SERVIDOR FIREWALL(cont)

#Configuracion de acceso a servidores internos #Servidor FTP
iptables -t nat -A PREROUTING -p TCP -d 200.60.198.197 --dport 20 -j DNAT --to 10.1.0.65 iptables -t nat -A PREROUTING -p TCP -d 200.60.198.197 --dport 21 -j DNAT --to 10.1.0.65

#Servidor WEB
iptables -t nat -A PREROUTING -p TCP -d 200.60.198.197 --dport 80 -j DNAT --to 10.1.0.65

#Salida para todos los servidores

iptables -t nat -A POSTROUTING -s 10.1.0.65 -o eth0 -j SNAT --to 200.60.198.204

CONFIGURACION DE SERVIDOR FIREWALL(cont)

Obtencion de logs de acceso:
Es

necesario redirecionar la salida de los logs del kernel hacia un archivo en /etc/syslog.conf y luego reiniciar el servicio syslog mcedit /etc/syslog.conf
Editar la linea 3 kern.* /var/log/kernel.log
Agregar

las siguientes reglas con iptables:

iptables -A INPUT -j LOG --log-prefix =INPUT= iptables -A OUTPUT -j LOG --log-prefix =OUTPU=

CONFIGURACION DE SERVIDOR FIREWALL(cont)

Configuracin de proxy transparente:
Agregar

las siguiente reglas con iptables:

iptables -t nat -A PREROUTING -p TCP -s 192.168.100.5 --dport 80 -j REDIRECT to-port 3580 iptables -t nat -A POSTROUTING -s 192.168.100.5 -o eth0 p UDP dport 53 -j SNAT --to 200.60.198.204
Realizar

la siguiente configuracin de squid (squid.conf).

httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on

CONFIGURACION DE SERVIDOR DE CORREO

CONFIGURACION DE SERVIDOR CORREO (SMTP)

Para

instalar el servidor de correo utilizamos como servidor SMTP el sendmail, como servidor POP el qpopper.
Configuracin

de dominios para los cuales gestionar el correo electrnico el servidor: Editar el archivo /etc/mail/sendmail.cf, comentar la lnea con la clase
#cwlocalhost

CONFIGURACION DE SERVIDOR CORREO (SMTP) (cont)

Editar

el archivo /etc/mail/local-hosts-name, agregar los dominios de la siguiente forma:

mail.arip.com.pe arip.com.pe
Para

configurar las redes y dominios que pueden utilizar el servidor para enviar correo electrnico, es necesario editar el archivo /etc/mail/access. Este archivo se puede permitir: Basados en el IP:
192.168.100

RELAY

CONFIGURACION DE SERVIDOR CORREO (SMTP) (cont)

Permite

enviar correo electrnico a todas aquellas computadoras que su numero IP coincide con el 192.168.100
Basados

en dominios: RELAY

arip.net

Permite utilizar el correo electrnico a las maquinas que pertenezcan al dominio arip.net. Si desea denegar el acceso puede en lugar de la palabra RELAY puede utilizar DENY o REJECT

CONFIGURACION DE SERVIDOR CORREO (SMTP) (cont)

Configure en el servidor los nmeros IP correspondientes a su dominio de correo electrnico, registrados en los DNS de su proveedor de lnea de acceso a Internet.
Re

- iniciar el sendmail en /etc/rc.d/init.d con la orden:

#./sendmail restart

CONFIGURACION DE SERVIDOR PROXY

Configuracin del servidor proxy SQUID. El squid tiene los siguientes archivos:
/etc/squid/squid.conf

(Archivo de configuracin). /etc/rc.d/init.d/squid (Script para start, stop, restart). /var/log/squid (Directorio de cache y logs).

Para configurar se edita el archivo /etc/squid/squid.conf:

CONFIGURACION DE SERVIDOR PROXY (cont)

Asignacin

el numero ip y puerto a travs del cual sirve se utiliza la directiva http_port en la linea # 49.

Si deseamos asignar un puerto escribimos:

http_port 35580 Si desemos asignar ip + puerto:

http_port 192.168.100.5:34567 visible_hostname fw.btsys.net

CONFIGURACION DE SERVIDOR PROXY (cont)

Para controlar el acceso existen las lneas acl (access control lines), en la lnea # 1168 del archivo squid.conf. Las acl son reglas de acceso que pueden permitir o denegar el acceso, para activar se utiliza la directiva:
http_access allow nombre de acl (Permite el acceso).

http_access deny nombre de acl (Deniega el acceso).

CONFIGURACION DE SERVIDOR PROXY(cont)

La reglas acl tiene el siguiente formato: acl nombre_regla tipo cadena_de_decisin Ejemplo: acl mi_red src 192.168.100.0/255.255.255.0 Existen los siguientes tipo de acl:
Direccin

Fuente/Destino. Dominio Fuente/Destino. Regular expresin para el dominio. Regular expresin para el URL. Tiempo, etc.