Taller.

Uso de IPTABLES Código: FR-IN-031

Electiva Profesional II Versión: 01

Proceso: Fecha de la actividad Fecha de versión:

Parcial 2- Octubre-2018 13-Abr-2012

Nombres: Rodolfo Blanco 56907, Andres Vera 61779

Ingresa a una Terminal de Linux cualquier distribución y aplicaremos

desde esta las reglas de configuración al firewall con el uso del iptables,
generar una impresión de pantalla de los resultados que obtienes como
evidencia de las acciones:

1. a. Qué resultados muestra la orden ifconfig y ip a?

Ifconfig muestra lo siguiente

Ip a muestra lo siguiente

b. Hacer un ping localhost. Qué resultado muestra?

 Taller. Uso de IPTABLES Código: FR-IN-031
Electiva Profesional II Versión: 01

Proceso: Fecha de la actividad Fecha de versión:

Parcial 2- Octubre-2018 13-Abr-2012

c. Realice un ping www.gmail.com. Qué resultados muestra?

c. Para qué sirve la orden dmesg?

 Taller. Uso de IPTABLES Código: FR-IN-031
Electiva Profesional II Versión: 01

Proceso: Fecha de la actividad Fecha de versión:

Parcial 2- Octubre-2018 13-Abr-2012

2. Revisar la ayuda de iptables con man y con iptables /?. Para qué sirve?
Cuál es su sintaxis?. ¿Que version de iptables tiene el equipo?

3. Comprueba la lista de reglas activas:

4. A. Introducir el siguiente comando en el que se usa la opción –P:

B. Revisar con iptables –L el cambio a la regla:

 Taller. Uso de IPTABLES Código: FR-IN-031
Electiva Profesional II Versión: 01

Proceso: Fecha de la actividad Fecha de versión:

Parcial 2- Octubre-2018 13-Abr-2012

c. Hacer un #ping localhost. ¿Qué ocurre?

5. Devolver el equipo a su estado inicial con la orden:

b. Comprobar que de nuevo los servicios de red se han restaurado con

la orden #ping localhost y observar qué sucede.
 Taller. Uso de IPTABLES Código: FR-IN-031
Electiva Profesional II Versión: 01

Proceso: Fecha de la actividad Fecha de versión:

Parcial 2- Octubre-2018 13-Abr-2012

6. A. Bloquear el tráfico local, es decir, el que se produce en el dispositivo

lo. Teclear ahora:

b. Revisar con iptables –L el cambio a la regla:

c. Verificar si se tiene el equipo deseado, tecleando ping localhost. ¿Se

obtiene respuesta? Probar a hacer ping www.gmail.com. ¿Funciona?

d. Para poder restablecer el tráfico local, solo hay que eliminar la regla
anterior, tecleando:

e. Para qué sirven entonces los parámetros –i y –j?

Sirven para frenar o pausar y no dejar hacer ping

 Taller. Uso de IPTABLES Código: FR-IN-031
Electiva Profesional II Versión: 01

Proceso: Fecha de la actividad Fecha de versión:

Parcial 2- Octubre-2018 13-Abr-2012

7. Comprobar que se puede acceder mediante ssh a un equipo que tenga

el servicio levantado y establece una conexión usando usuario y contra
seña:

Donde host_remoto es la información del equipo que la docente

indicará. Aplique algunos comandos como who, ps y ls y muestre
el pantallazo.

b. Abrir otra terminal y en ella teclear:

d. Volver a la ventana de la conexión SSH y teclear cualquier sea.

¿Qué sucede? ¿Por qué?

e. Volver a la segunda terminal y teclear:

 Taller. Uso de IPTABLES Código: FR-IN-031
Electiva Profesional II Versión: 01

Proceso: Fecha de la actividad Fecha de versión:

Parcial 2- Octubre-2018 13-Abr-2012

También es posible crear reglas que atiendan a las direcciones

de los paquetes.

8. A.Abrir el navegador y cargar la página www.ecci.edu.co.

b. En la terminal, digite:
#iptables –A OUTPUT –p tcp –d www.ecci.edu.co --dport 80 –j
DROP
c. Intente recargar el navegador. Qué ocurre?

No pasa nada

d. Pruebe a visitar otra página. Funciona?

No funciona

REGISTRO DE SUCESOS
 Taller. Uso de IPTABLES Código: FR-IN-031
Electiva Profesional II Versión: 01

Proceso: Fecha de la actividad Fecha de versión:

Parcial 2- Octubre-2018 13-Abr-2012

La funcionalidad de IPtables no sólo permite especificar reglas

para descartar paquetes (como hemos visto en varios de los
ejemplos). Con una política por defecto de descartar paquetes
(DROP) las reglas deberían ser especificadas para aceptar
determinados tipos de tráfico. Pero además de estas funciones
las reglas pueden producir acciones de registro que se anotarán
en el registro de sucesos del sistema (en el archivo
/var/log/messages).

Para crear reglas que generen una entrada en el registro cuando

coincida con la regla de un paquete se usará la opción –j LOG.
Estas reglas no determinan si el paquete se acepta o se rechaza,
por que se aplicará la acción que corresponda como si esta regla
de registro no existiera.

Lo primero que necesitamos es determinar qué condición

consideramos como válida para establecer que ha llegado un
nuevo cliente. La más sencilla es considerar que cada nueva
conexión al puerto 21 de nuestro servidor es un nuevo cliente.

9. a. Crear la regla que realice el registro:

#iptables –A INPUT –p tcp –dport 22 –j LOG

b. Acceder al servidor FTP local, digitando #ftp localhost. Qué ocurre?

c. Es importante recordar que en la máquina virtual no hemos instalado

servidor FTP. No importa. Ahora teclear dmesg y analizar la última línea
que aparece. Qué aparece? Se puede interpretar?
 Taller. Uso de IPTABLES Código: FR-IN-031
Electiva Profesional II Versión: 01

Proceso: Fecha de la actividad Fecha de versión:

Parcial 2- Octubre-2018 13-Abr-2012

f. Anule la regla anterior. Con qué orden lo hará?

Con la siguiente regla iptables -F

10.a. Crear una regla de registro que realmente detecte las peticiones de
conexión al puerto 21, para ello digitar:

b. Si ahora volvemos a intentar conectarnos al servidor FTP (que no

tenemos, observaremos con dmesg, Qué resultado muestra?
Muestra que el servicio de salida esta habilitado

Ahora la regla de registro presta atención al campo de "flags" de la

cabecera TCP, se analizan todos los bits de la cabecera (por eso el valor
ALL) y se registran todos los segmentos recibidos que tengan el bit
SYN activado.
c. Elimine la regla anterior:
sudo iptables –D INPUT 3

MODIFICANDO DIRECCIONES Y/O PUERTOS DE DESTINO

(NAT)
 Taller. Uso de IPTABLES Código: FR-IN-031
Electiva Profesional II Versión: 01

Proceso: Fecha de la actividad Fecha de versión:

Parcial 2- Octubre-2018 13-Abr-2012

En el siguiente ejercicio, se creará una regla para que todos los

segmentos TCP afectados cambien su dirección de destino:

11. a. Abrir el navegador y visitar la página www.ecci.edu.co.

b. Teclear la siguiente regla:

#iptables –t nat –A OUTPUT –p tcp –d 200.69.101.19 -–dport 80 –j

DNAT -–to 190.25.222.215:80

#iptables –t nat –A OUTPUT –p tcp –d 192.168.0.5 -–dport 80 –j DNAT

-–to 192.168.0.3:80
b. Revisar la regla:

c. Volver a cargar la página web. Qué ocurre?

No pasa nada

d. Elimina la regla del paso 10.b.

sudo iptables –D INPUT 4

Se puede observar en esta regla que se especifica una nueva tabla (-t
nat) mientras que hasta ahora la tabla usada era la tabla por defecto
(-t filter), la cual no era necesario detallar en la línea de órdenes. Esta
nueva tabla permite realizar operaciones de traducción de puertos y
direcciones (NATP) como las que realiza uno de los routers que
proporcionan con las conexiones de cable o ADSL.

CAMBIOS DEL CAMPO MANGLE

Con diferentes propósitos es posible modificar los valores de otros

campos en nuestro tráfico. Uno de los candidatos es el campo de tipo
 Taller. Uso de IPTABLES Código: FR-IN-031
Electiva Profesional II Versión: 01

Proceso: Fecha de la actividad Fecha de versión:

Parcial 2- Octubre-2018 13-Abr-2012

de servicio (TOS) de la cabecera IP. Personalizado para una

determinada aplicación es posible adecuar el valor de este campo a las
necesidades de la misma. Incluso aunque su valor no sea respetado
más allá de nuestro sistema, puede ser interesante para que distintos
flujos de tráfico simultáneo se puedan tratar adecuadamente según
nuestra elección.

Para el último ejemplo vamos a escoger algo más sencillo: el campo

de tiempo de vida (TTL) de la cabecera IP, con el que se especifica el
número máximo de saltos (entre routers) permitidos para alcanzar un
destino.

Supongamos que deseamos modificar el valor del campo TTL para

cierto tipo de tráfico (no para todos nuestros paquetes). Es posible
crear una regla con IPtables que realice ese cambio selectivo.

12. a. Cómo saber el valor del campo TTL para llegar a cierto destino?

Como el firewall de la ECCI tiene bloqueados los paquetes para este

servicio y no podemos aplicarlo, los resultados son del estilo:

Existe una herramienta visual que arroja resultados:

http://www.monitis.com/traceroute/

b. Añadir la siguiente regla:

c. Revisar que la regla fue implementada:

 Taller. Uso de IPTABLES Código: FR-IN-031
Electiva Profesional II Versión: 01

Proceso: Fecha de la actividad Fecha de versión:

Parcial 2- Octubre-2018 13-Abr-2012

c. Comprobar si se puede acceder a www.google.com

www.presidencia.gov.co, soporte.ecci.edu.co, arca.ecci.edu.co.
Se queda cargando las paginas.

Con ese valor tan sólo se pueden realizar cuatro saltos antes de que el
datagrama sea descartado. Esto limita enormemente el número de
redes que se pueden visitar. Un valor TTL=1 impediría atravesar un
único router y solo permitiría la comunicación directa con otros
computadores en la misma subred.
d. Eliminar la regla anterior.
Sudo iptables –f