Tallafocs: protegeix la teva xarxa amb iptables

Tallafocs

Un tallafocs o firewall és una aplicació o dispositiu dissenyat per a bloquejar comunicacions no autoritzades, permetent al mateix temps les que si ho estan. La configuració per a permetre i limitar el tràfic entre diferents xarxes, es realitza en base a un conjunt de normes i regles. La utilització d'un tallafocs es necessari quan volem protegir determinades zones d'una xarxa o hosts, d'amenaces que provinguin de l'exterior o inclús de les que vinguin de la pròpia xarxa interna. Per ubicació poden ser basats en servidor o dedicats. Per ubicacio integrats o personals.

Screening router - internet - router i firewall -lan

dual homed host - internet -router - firewall -lan

internet - router,proxy,firewall -lan

Iptables

és una eina de línia de comandes d’ús comú en l’entorn GNU/Linux que permet la configuració de regles d’un sistema de filtrat de paquets de xarxa. FILTER: taula de filtrat de paquets NAT: taula de traducció d’adreces IP MANGLE: taula de destrosses, útil per a realitzar certes operacions especia

Tipus de proxy

• Proxy cache web: Aplicació específica d'accés a la web. Mantenen copies locals dels arxius més sol·licitats.
• Proxy NAT: Integració dels serveis de traducció de direccions de xarxa privada-pública.
• Proxy transparent: Combina un servidor proxy amb NAT les connexions al port 80, són redirigides cap el port del servei proxy.
• Proxy anònim: Augmentar la privacitat i l'anonimat dels clients proxy mitjançant una activa eliminació de característiques identificatives.
• Proxy invers: És un proxy instal·lat en una xaxa amb diferents servidors web, servint d'intermediari a les peticions externes.
• Proxy obert: Accepta peticions de qualsevol ordinador, estigui o no connectat a la seva xarxa.

Esborrar regles i inicialitzar comptador de regles

iptables -F

iptables -Z

iptables -X

Política per defecte: Denegar peticions

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

Webmin port 10000, permetem només accessos desde mateixa màquina

iptables -A INPUT -i lo -p tcp --dport 10000 -j DROP o iptables -A INPUT –dport 1000 -j DROP

iptables -A OUTPUT --sport 10000 -j ACCEPT

Ports 20 i 21 FTP, 22 SSH, 23 TELNET

No es pot accedir a la màquina via telnet(23), ftp(21) o ssh(22) excepte pel localhost (-i lo) o bé la IP 172.0.0.1 i la IP 192.168.2.3.

iptables -A INPUT -s 172.0.0.1 –dport 21:23 -j ACCEPT

iptables -A INPUT -s 192.168.2.3 -p tcp --dport 21:23 -j ACCEPT (es pot especificar tambié el protocol si es coneix)

iptables -A OUTPUT -d 172.0.0.1 –sport 21:23 -j ACCEPT

iptables -A OUTPUT -d 192.168.2.3 -p tcp --sport 21:23 -j ACCEPT

iptables -A INPUT –dport 21:23 -j DROP (no és necessari ja que la política és DROP per defecte)

Ports 80 HTTP, 443 HTTPS (HTTP+SSL/TLS) - Obrir els ports http i https per a tots els usuaris.

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 443 -j ACCEPT

ptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT

No deixar oberts els ports coneguts (1-1024).(es pot especificar tambié el protocol si es coneix)

iptables -A INPUT -p tcp --dport 1:1024 -j DROP

iptables -A INPUT -p udp --dport 1:1024 -j DROP

iptables -A OUTPUT -p tcp --sport 1:1024 -j DROP

iptables -A OUTPUT -p udp --sport 1:1024 -j DROP

Habilitar logs de tot el que entri per INPUT (afegint-li el prefixe “IPTABLESINPUT :”)

iptables -A INPUT -j LOG --log-prefix 'IPTABLESINPUT: '

Nota important: eth0 és la interfície connectada al router i eth1 a la LAN.

Els primers passos per a que funcioni són:

Canviar la IP d'origen dels paquets de la xarxa local (192.168.2.0/24) per la IP externa.

Activar el bit de forwarding.

iptables -t nat -A POSTROUTING –s 192.168.2.0/24 -o eth0 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward

Afegir regles per a que:

El localhost pugui accedir a tot.

Iptables -A INPUT -i lo -j ACCEPT o iptables -A INPUT -s 172.0.0.1 -j ACCEPT

Iptables -A OUTPUT -o lo -j ACCEPT o iptables -A OUTPUT -d 172.0.0.1 -j ACCEPT

Les IPs 192.168.2.x (que pertenecen a la LAN) puguin accedir a la màquina firewall-gateway.

Iptables -A INPUT -s 192.168.2.0/24 -j ACCEPT

Iptables -A OUTPUT -d 192.168.2.0/24 -j ACCEPT

No es pugui accedir des de l'exterior a la màquina firewall-gateway.

Iptables -A INPUT -s 0.0.0.0/0 -j DROP

No es pugui accedir via webmin a la màquina excepte el localhost.

iptables -A INPUT -i lo -p tcp --dport 10000 -j ACCEPT

iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 10000 -j DROP (qualsevol IP del protocol tcp que arribi pel port 1000 es denega)

Els usuaris de la xarxa interna només puguin connectar-se a internet (poden usar els ports http, https i dns).

iptables -A FORWARD -s 192.168.2.0/24 -p tcp --dport 80 -j ACCEPT

ptables -A FORWARD -d 192.168.2.0/24 -p tcp --sport 80 -j ACCEPT

iptables -A FORWARD -s 192.168.2.0/24 -p tcp --dport 443 -j ACCEPT

iptables -A FORWARD -d 192.168.2.0/24 -p tcp --sport 443 -j ACCEPT

iptables -A FORWARD -s 192.168.2.0/24 -p tcp --dport 53 -j ACCEPT

iptables -A FORWARD -d 192.168.2.0/24 -p tcp --sport 53 -j ACCEPT

Es pugui accedir des de IPs dinàmiques externes a un servidor de correu (ports smtp i pop3) situat a la màquina firewall-gateway.

iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --dport 110 -j ACCEPT

La IP 111.222.333.444 pugui accedir a 192.168.2.15 a través de terminal server.

iptables -t nat -A PREROUTING -i eth0 -s 111.222.333.444 -p tcp --dport 3389 -j DNAT --to 192.168.2.15:3389

Habilitar logs de tot el que entra per FORWARD amb el prefixe “IPTABLESFORWARD :”.

iptables -A FORWARD -j LOG --log-prefix 'IPTABLESFORWARD: '