Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 63 vistas

    IP Filter

    Cargado por

    Dralion Ontiveros
    El documento describe cómo configurar un firewall en Solaris usando el servicio ipfilter. Explica los pasos para activar ipfilter, validar y editar el archivo de configuración /etc/ipf/ipf.conf para definir las reglas de filtrado, y reiniciar el servicio. También proporciona dos ejemplos de archivos de configuración, uno para un host general y otro para un servidor web, con reglas que permiten y bloquean tráfico entrante y saliente para diferentes puertos y protocolos.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    IP Filter

    Cargado por

    Dralion Ontiveros
    63 vistas5 páginas
    El documento describe cómo configurar un firewall en Solaris usando el servicio ipfilter. Explica los pasos para activar ipfilter, validar y editar el archivo de configuración /etc/ipf/ipf.conf para definir las reglas de filtrado, y reiniciar el servicio. También proporciona dos ejemplos de archivos de configuración, uno para un host general y otro para un servidor web, con reglas que permiten y bloquean tráfico entrante y saliente para diferentes puertos y protocolos.

    Descripción original:

    Conceptos básicos de IP filter en Oracle Solaris

    Título original

    IP filter

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    El documento describe cómo configurar un firewall en Solaris usando el servicio ipfilter. Explica los pasos para activar ipfilter, validar y editar el archivo de configuración /etc/ipf/ipf.conf para definir las reglas de filtrado, y reiniciar el servicio. También proporciona dos ejemplos de archivos de configuración, uno para un host general y otro para un servidor web, con reglas que permiten y bloquean tráfico entrante y saliente para diferentes puertos y protocolos.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    63 vistas5 páginas

    IP Filter

    Cargado por

    Dralion Ontiveros
    El documento describe cómo configurar un firewall en Solaris usando el servicio ipfilter. Explica los pasos para activar ipfilter, validar y editar el archivo de configuración /etc/ipf/ipf.conf para definir las reglas de filtrado, y reiniciar el servicio. También proporciona dos ejemplos de archivos de configuración, uno para un host general y otro para un servidor web, con reglas que permiten y bloquean tráfico entrante y saliente para diferentes puertos y protocolos.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    Está en la página 1de 5

    Firewall en Solaris con ipfilter

    Capitulo 1
    La implementación de firewall en Solaris se lleva a cabo con el servicio ipfilter, el cual mediante un archivo de
    configuración que contendrá las reglas, permitirá llevar a cabo las tareas de concesión/denegado de acceso
    asi como la bitácora de eventos de paquetes en un host, para hacer la configuración básica seguiremos con
    los siguientes pasos:

    1. Ingresar a la terminal como root o superusuario

    2. Activar el filtro IP de Solaris, con el comando:

    # svcadm enable network/ipfilter

    3. Validación del archivo de configuración de ipfilter

    El conjunto de reglas de filtrado de paquetes contiene reglas de filtrado de paquetes que son utilizados
    por el filtro IP de Solaris. Para definir las reglas de filtrado a ser cargados en el arranque, se debe editar
    el /etc/ipf/ipf.conf archivo para implementar el filtrado de paquetes IPv4, ingresar a este
    archivo y analizarlo.

    Si el archivo ipf.conf esta vacio, no existe filtrado, un archivo vacio es lo mismo que tener estos
    comandos que permiten que cualquier trafico de entrada y salida sea valido

    pass in all
    pass out all

    El siguiente archivo de configuración, tiene una configuración que concede y envía a bitácora todo por default,
    en un host con una interfaz elxl

    # pass and log everything by default


    pass in log on elxl0 all
    pass out log on elxl0 all

    # block, but don't log, incoming packets from other reserved addresses
    block in quick on elxl0 from 10.0.0.0/8 to any
    block in quick on elxl0 from 172.16.0.0/12 to any
    # block and log untrusted internal IPs. 0/32 is notation that replaces
    # address of the machine running Solaris IP Filter.
    block in log quick from 192.168.1.15 to <thishost>
    block in log quick from 192.168.1.43 to <thishost>

    # block and log X11 (port 6000) and remote procedure call
    # and portmapper (port 111) attempts
    block in log quick on elxl0 proto tcp from any to elxl0/32 port = 6000
    keep state
    block in log quick on elxl0 proto tcp/udp from any to elxl0/32 port =
    111 keep state

    Este conunto comienza con dos reglas no restringidas que permiten que todo trafico de entrada y salida pase
    por la elxl, las siguientes reglas bloquean cualquier paquete que provenga de la red privada 10.0.0.0 y
    172.16.0.0 , el siguiente conunto de reglas bloquea específicamente redes internas como 192.168.1 y
    finalmente una configuración que bloquea el puerto (6000) y la llamada a procedimiento remoto.

    Probar el archivo de configuración, guardar el existente con un nombre alterno, en cada cambio de archivo
    reiniciar el servicio ipfilter

    o Reiniciar la máquina.

    # reboot

    o Activar el filtro de solaris. Monitorear si el servicio se levanto y si no levantarlo con el svcadm

    # ipf –E

    # ipf -f archivo de configuración

    # svcadm enable network/ipfilter

    Una vez probado el anterior, guardarlo con otro nombre alterno y probar el que sigue, que es la configuración
    para un host que fungirá como servidor de web, que tiene una interfaz de red llamada eri

    # web server with an eri interface


    # block and log everything by default; then allow specific services
    # group 100 - inbound rules
    # group 200 - outbound rules
    # (0/32) resolves to our IP address)
    *** FTP proxy ***

    # block short packets which are packets fragmented too short to be


    real.
    block in log quick all with short

    # block and log inbound and outbound by default, group by destination


    block in log on eri0 from any to any head 100
    block out log on eri0 from any to any head 200

    # web rules that get hit most often


    pass in quick on eri0 proto tcp from any \
    to eri0/32 port = http flags S keep state group 100
    pass in quick on eri0 proto tcp from any \
    to eri0/32 port = https flags S keep state group 100

    # inbound traffic - ssh, auth


    pass in quick on eri0 proto tcp from any \
    to eri0/32 port = 22 flags S keep state group 100
    pass in log quick on eri0 proto tcp from any \
    to eri0/32 port = 113 flags S keep state group 100
    pass in log quick on eri0 proto tcp from any port = 113 \
    to eri0/32 flags S keep state group 100

    # outbound traffic - DNS, auth, NTP, ssh, WWW, smtp


    pass out quick on eri0 proto tcp/udp from eri0/32 \
    to any port = domain flags S keep state group 200
    pass in quick on eri0 proto udp from any port = domain to eri0/32 group
    100

    pass out quick on eri0 proto tcp from eri0/32 \


    to any port = 113 flags S keep state group 200
    pass out quick on eri0 proto tcp from eri0/32 port = 113 \
    to any flags S keep state group 200

    pass out quick on eri0 proto udp from eri0/32 to any port = ntp group
    200
    pass in quick on eri0 proto udp from any port = ntp to eri0/32 port =
    ntp group 100

    pass out quick on eri0 proto tcp from eri0/32 \


    to any port = ssh flags S keep state group 200

    pass out quick on eri0 proto tcp from eri0/32 \


    to any port = http flags S keep state group 200
    pass out quick on eri0 proto tcp from eri0/32 \
    to any port = https flags S keep state group 200

    pass out quick on eri0 proto tcp from eri0/32 \


    to any port = smtp flags S keep state group 200

    # pass icmp packets in and out


    pass in quick on eri0 proto icmp from any to eri0/32 keep state group
    100
    pass out quick on eri0 proto icmp from eri0/32 to any keep state group
    200

    # block and ignore NETBIOS packets


    block in quick on eri0 proto tcp from any \
    to any port = 135 flags S keep state group 100

    block in quick on eri0 proto tcp from any port = 137 \


    to any flags S keep state group 100
    block in quick on eri0 proto udp from any to any port = 137 group 100
    block in quick on eri0 proto udp from any port = 137 to any group 100

    block in quick on eri0 proto tcp from any port = 138 \


    to any flags S keep state group 100
    block in quick on eri0 proto udp from any port = 138 to any group 100

    block in quick on eri0 proto tcp from any port = 139 to any flags S
    keep state
    group 100
    block in quick on eri0 proto udp from any port = 139 to any group 100

    4.- Para monitorear el status de las configuraciones y reglas aplicadas se utiliza el comando:
    # ipfstat -io

    6.- Por ultimo en caso de ser necesario desactivar las reglas de filtrado (por omisión, mantenimiento o prueba

    # ipf -Fa

    o Este comando desactiva todas las reglas de filtrado de paquetes.


    o Elimina reglas de filtrado de paquetes entrantes.

    # ipf -Fi

    o Este comando desactiva las reglas de filtrado de paquetes para los paquetes entrantes.
    o Elimina reglas de filtrado de paquetes salientes.

    # ipf -Fo

    o Este comando desactiva las reglas de filtrado de paquetes para los paquetes salientes. Ver el
    conjunto de reglas de filtrado de paquetes activo que se carga en el núcleo.

    También podría gustarte