Desarrollo de firewall centos

Solo disponible en BuenasTareas
  • Páginas : 6 (1339 palabras )
  • Descarga(s) : 0
  • Publicado : 8 de febrero de 2011
Leer documento completo
Vista previa del texto
DESARROLLO
CONFIGURACIÓN DEL FIREWALL
Primero configuraremos nuestras interfaces de red con la siguiente dirección IP’s estática. Damos sobre Sistema--->Administración--->Red y seleccionamos nuestra interfaz eth0 primero y damos clic en Modificar.

Ingresaremos la siguiente dirección estática 192.168.1.1 la puerta de enlace de esa subred además de su máscara de subred como se muestra en lafigura.

Al término de ingresar estas direcciones desactivaremos esta interfaz para después volverlo a activar con los nuevos cambios.

Después seleccionamos nuestra otra interfaz eth1 y pasamos a Modificar.

E ingresando la dirección 192.168.2.1 la puerta de enlace de esa subred así como se muestra a continuación para eth1.

Igualmente desactivamos y volvemos activarla para modificar loscambios.

Verificamos que nuestra dos interfaces esté funcionando y tengan sus direcciones asignadas con el comando “ifconfig”.

Estableceremos el canal de comunicación entre la interfaz eth0 y eth1 para la comunicación de diferentes subredes.
iptables -t nat -A PREROUTING -i eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth2 -j ACCEPT

Podemos ahora bloquear las conexiones entre losequipos por medio del firewall.
iptables –P INPUT DROP
iptables –P OUTPUT DROP
iptables –P FORWARD DROP

Y volvemos a restablecer la comunicación entre estos.
iptables –P FORWARD ACCEPT

Ahora estableceremos conexiones con los diferentes servicios de la DMZ entre nuestro cliente y servidor, algunos ejemplos que manejamos es esta práctica son los servicios FTP, SSH, TELNET y Servidor Web yteniendo conocimiento del puerto de estos.
FTP
iptables -A FORWARD -s 192.168.1.107 -d 192.168.2.107 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -s 192.168.2.107 -d 192.168.1.107 -p tcp --sport 21 -j ACCEPT
SSH
iptables -A FORWARD -s 192.168.1.107 -d 192.168.2.107 -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -s 192.168.2.107 -d 192.168.1.107 -p tcp --sport 22 -j ACCEPT
TELNET
iptables-A FORWARD -s 192.168.1.107 -d 192.168.2.107 -p tcp --dport 23 -j ACCEPT
iptables -A FORWARD -s 192.168.2.107 -d 192.168.1.107 -p tcp --sport 23 -j ACCEPT
Servidor Web
iptables -A FORWARD -s 192.168.1.107 -d 192.168.2.107 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.2.107 -d 192.168.1.107 -p tcp --sport 80 -j ACCEPT

Ahora pasaremos a bloquear estos servicios entre el clientey servidor denegando la conexión, escribiendo en consola lo siguiente.
FTP
iptables -A FORWARD -s 192.168.1.107 -d 192.168.2.107 -p tcp --dport 21 -j DROP
iptables -A FORWARD -s 192.168.2.107 -d 192.168.1.107 -p tcp --sport 21 -j DROP

SSH
iptables -A FORWARD -s 192.168.1.107 -d 192.168.2.107 -p tcp --dport 22 -j DROP
iptables -A FORWARD -s 192.168.2.107 -d 192.168.1.107 -p tcp --sport 22-j DROP

TELNET
iptables -A FORWARD -s 192.168.1.107 -d 192.168.2.107 -p tcp --dport 23 -j DROP
iptables -A FORWARD -s 192.168.2.107 -d 192.168.1.107 -p tcp --sport 23 -j DROP

Servidor Web
iptables -A FORWARD -s 192.168.1.107 -d 192.168.2.107 -p tcp --dport 80 -j DROP
iptables -A FORWARD -s 192.168.2.107 -d 192.168.1.107 -p tcp --sport 80 -j DROP

Podemos establecer de nuevamente lacomunicación entre los equipos por medio de estos servicios borrando las políticas anteriores ingresando en consola lo siguiente.
iptables -D FORWARD -s 192.168.1.107 -d 192.168.2.107 -p tcp --dport 21 -j DROP
iptables -D FORWARD -s 192.168.2.107 -d 192.168.1.107 -p tcp --sport 21 -j DROP

iptables -D FORWARD -s 192.168.1.107 -d 192.168.2.107 -p tcp --dport 22 -j DROP
iptables -D FORWARD -s192.168.2.107 -d 192.168.1.107 -p tcp --sport 22 -j DROP

iptables -D FORWARD -s 192.168.1.107 -d 192.168.2.107 -p tcp --dport 23 -j DROP
iptables -D FORWARD -s 192.168.2.107 -d 192.168.1.107 -p tcp --sport 23 -j DROP

iptables -D FORWARD -s 192.168.1.107 -d 192.168.2.107 -p tcp --dport 80 -j DROP
iptables -D FORWARD -s 192.168.2.107 -d 192.168.1.107 -p tcp --sport 80 -j DROP

CONFIGURACIÓN...
tracking img