iptables, una aproximació a un cas real

L'objectiu d'aquest tutorial és controlar la nostra xarxa, Evitant molèsties per part algun que altre "hoste indesitjable" que des de dins ens vulgui xerrac el pis (expressió cubana que significa molestar, collons, etc.), virus "paqueteador", atacs externs o simplement pel plaer de saber que podem dormir tranquils .

Nota: Recordar les polítiques d'iptables, ACCEPTAR tot o DENEGAR tot, poden ser-nos útils, en alguns casos i en altres no, això depèn de nosaltres, que tot el que succeeixi a la xarxa, és qüestió nostra, i només nostra, sí, teva , meva, d'aquell que va llegir el tutorial, però que no sap executar-lo, o de què el va llegir i el va aplicar massa bé.

Per casa que et quedes !!!

El primer és saber, quin port ocupa cada servei en un ordinador amb GNU / Linux instal·lat, per això, no cal preguntar-li a ningú, ni embolicar-se buscant a Google o consultant algun erudit en la matèria, només llegir un archivito. Un archivito? Doncs sí, una archivito.

/ Etc / services

Però, què conté / Etc / services?

Molt fàcil, la descripció de tots els serveis i ports existents per a aquests serveis ja sigui per TCP o UDP, de forma organitzada i ascendent. Aquests serveis i ports han estat declarats per la IANA (Internet Assigned Numbers Authority).

Jugant amb iptables

Com a primers passos, tindrem un PC, que serà la màquina de proves, llámenla com desitgin, Lucy, Karla o Naomi, jo l'anomenaré Bessie.

Situació:

Bé, bé, Bessie és una màquina de projectes que va a tenir un vsftpd muntat, OpenSSH corrent, i un Apache2 que es va instal·lar un cop per fer benchmarking (prova de rendiment), Però que ara només s'usa al costat de phpMyAdmin per administrar les bases de dades de MySQL que s'usen internament en algun que altre moment.

Notes a prendre:

Ftp, ssh, apache2 i mysql, són els serveis que estan rebent peticions en aquesta PC, de manera que hem de tenir en compte els ports que ells fan servir.

Si no m'equivoco i / Etc / services no diu mentides xD, ftp fa servir el port 20 i 21, ssh per defecte el 22 o algun altre, si se li ha definit en la configuració (en algun altre post parlaré de com configurar SSH una mica més del que normalment se li coneix), Apache el 80 o el 443 si és amb SSL, i MySQL el 3306.

Ara necessitem un altre detall, les adreces IP de les PCs que van a interactuar amb Bessie, perquè els nostres bombers, entre ells, no es trepitgin les mànegues (vol dir que no hi hagi conflicte jaja).

Pep, el de desenvolupament en PHP + MySQL, només tindrà accés als ports 20-21, 80, 443 i 3306, Frank que el seu és actualitzar la pàgina web de el projecte a lliurar aquí a un mes, només tindrà accés a l'port 80 / 443 i 3306 per si necessita fer alguna esmena a la DB, i jo tindré accés a tots els recursos al server (i desitjo protegir el logueo amb ssh per IP i MAC). El ping hem activar-per si volem enquestar la màquina en algun moment. La nostra xarxa és classe C de l'tipus 10.8.0.0/16.

Iniciarem un arxiu de text pla anomenat firewall.sh en el qual contindrà el següent:

Pasta No.4446 (Script iptables)

I així, amb aquestes línies, permets l'accés als membres de l'DevTeam, et protegeixes, i protegeixes la PC, crec que millor explicat, ni en somnis. Només queda donar-li permisos d'execució, i tot estarà a punt per funcionar.

Ha, eines que mitjançant una bonica interfície gràfica, els permeten als usuaris novells, configurar el tallafocs de les seves PCs, com per exemple "BadTuxWall", requereix Java. També el fwbuilder, QT, de el qual ja es va parlar aquí o el "Firewall-Jay", amb interfície en ncurses. Jo, en la meva opinió personal, m'agrada fer-ho en text pla, així m'obligo a aprendre.

Això és tot, ens veiem properament per continuar explicant, la pelussa de la contrapelusa, d'alguna que una altra configuració, procés o servei.