Scribd
Upload
77 views26 pages

Firewall

Uploaded by

Antonio Flores

The document discusses the configuration of a firewall server and proxy server in Linux. It provides step-by-step instructions on setting up iptables firewall rules to allow or block traffic, configure network address translation (NAT), and log access. It also covers configuring the Squid proxy server by editing the squid.conf file to set the IP and port, enable access control using ACL rules, and control access. The seminar aims to teach how to configure a firewall and proxy server on Linux to filter network traffic and cache web content.

Copyright:

Attribution Non-Commercial (BY-NC)
Download as PPT, PDF, TXT or read online from Scribd
Download as ppt, pdf, or txt

Firewall

Uploaded by

Antonio Flores
77 views26 pages
The document discusses the configuration of a firewall server and proxy server in Linux. It provides step-by-step instructions on setting up iptables firewall rules to allow or block traffic, configure network address translation (NAT), and log access. It also covers configuring the Squid proxy server by editing the squid.conf file to set the IP and port, enable access control using ACL rules, and control access. The seminar aims to teach how to configure a firewall and proxy server on Linux to filter network traffic and cache web content.

Copyright

© Attribution Non-Commercial (BY-NC)

Available Formats

PPT, PDF, TXT or read online from Scribd

Did you find this document useful?

Is this content inappropriate?

The document discusses the configuration of a firewall server and proxy server in Linux. It provides step-by-step instructions on setting up iptables firewall rules to allow or block traffic, configure network address translation (NAT), and log access. It also covers configuring the Squid proxy server by editing the squid.conf file to set the IP and port, enable access control using ACL rules, and control access. The seminar aims to teach how to configure a firewall and proxy server on Linux to filter network traffic and cache web content.

Copyright:

Attribution Non-Commercial (BY-NC)
Download as PPT, PDF, TXT or read online from Scribd
Download as ppt, pdf, or txt
77 views26 pages

Firewall

Uploaded by

Antonio Flores
The document discusses the configuration of a firewall server and proxy server in Linux. It provides step-by-step instructions on setting up iptables firewall rules to allow or block traffic, configure network address translation (NAT), and log access. It also covers configuring the Squid proxy server by editing the squid.conf file to set the IP and port, enable access control using ACL rules, and control access. The seminar aims to teach how to configure a firewall and proxy server on Linux to filter network traffic and cache web content.

Copyright:

Attribution Non-Commercial (BY-NC)
Download as PPT, PDF, TXT or read online from Scribd
Download as ppt, pdf, or txt
You are on page 1/ 26

SEMINARIO

Tema :

FIREWALL
Expositor:
Ing. Mario Borja B.

CONFIGURACION DE SERVIDOR FIREWALL

CONFIGURACION DE SERVIDOR FIREWALL

CONFIGURACION DE SERVIDOR FIREWALL

CONFIGURACION DE SERVIDOR FIREWALL

CONFIGURACION DE SERVIDOR FIREWALL

CONFIGURACION DE SERVIDOR FIREWALL


Esquema del flujo de paquetes en el kernel de linux.

CONFIGURACION DE SERVIDOR FIREWALL


Convenciones: eth0 - name of your external interface (connected to the world) eth1 - name of your internal interface (connected to the LAN) eth3 - name of your servers interface (connected to the LAN) ip_address_of_eth0 - numeric dotted quad IP address of your eth0 in the form of x.x.x.x ip_address_of_eth1 - numeric dotted quad IP address of your eth1 in the form of x.x.x.x ip_address_of_eth1 - numeric dotted quad IP address of your eth1 in the form of x.x.x.x

CONFIGURACION DE SERVIDOR FIREWALL


Crear nuevo canal:

iptables -N name_of_chain
Borrar un canal vaco Solo para canales del usuario

iptables -X name_of_chain*
*if name_of_chain is omitted, it deletes all custom chains.

Change the default policy for a built-in chain


iptables -P name_of_chain name_of_policy*

*DROP or ACCEPT

CONFIGURACION DE SERVIDOR FIREWALL


List the rules in a chain
iptables -L name_of_chain

Flush the rules out of a chain iptables -F name_of_chain* *if name_of_chain is omitted, it flushes all chains.

Zero the packet and byte counters on all rules in a chain iptables -Z name_of_chain

CONFIGURACION DE SERVIDOR FIREWALL


Para configurar las reglas del firewall en linux utilizaremos iptables, mediante un archivo de comandos:
#!/bin/sh echo "1" > /proc/sys/net/ipv4/ip_forward

modprobe ip_tables modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe iptable_nat modprobe ip_nat_ftp

CONFIGURACION DE SERVIDOR FIREWALL(cont)


# Limpiar todas las reglas iptables -t nat -F iptables -F # Acceso total al cliente con ip 192.168.100.9 iptables -t nat -A POSTROUTING -s 192.168.100.9 -o eth0 -j SNAT --to 200.60.198.204

# Acceso total a toda la red


iptables -t nat -A POSTROUTING -s 192.168.100.9/255.255.255.0 -o eth0 -j SNAT --to 200.60.198.204

CONFIGURACION DE SERVIDOR FIREWALL(cont)


#Acceso del cliente con ip 192.168.100.9 al servicio web iptables -t nat -A POSTROUTING -s 192.168.100.9 -o eth0 p TCP dport 80 -j SNAT --to 200.60.198.204

#Acceso del cliente con ip 192.168.100.9 al SSH


iptables -t nat -A POSTROUTING -s 192.168.100.9 -o eth0 p TCP dport 22 -j SNAT --to 200.60.198.204 #Acceso del cliente con ip 192.168.100.9 al FTP iptables -t nat -A POSTROUTING -s 192.168.100.9 -o eth0 p TCP dport 21 -j SNAT --to 200.60.198.204

CONFIGURACION DE SERVIDOR FIREWALL(cont)


#Estableciendo politicas de los canales por defecto iptables P INPUT ACCEPT iptables P OUTPUT ACCEPT iptables P FORWARD ACCEPT iptables t nat P PREROUTING ACCEPT iptables t nat P POSTROUTING ACCEPT

CONFIGURACION DE SERVIDOR FIREWALL(cont)


#Configuracion de acceso a servidores internos #Servidor FTP
iptables -t nat -A PREROUTING -p TCP -d 200.60.198.197 --dport 20 -j DNAT --to 10.1.0.65 iptables -t nat -A PREROUTING -p TCP -d 200.60.198.197 --dport 21 -j DNAT --to 10.1.0.65

#Servidor WEB
iptables -t nat -A PREROUTING -p TCP -d 200.60.198.197 --dport 80 -j DNAT --to 10.1.0.65

#Salida para todos los servidores


iptables -t nat -A POSTROUTING -s 10.1.0.65 -o eth0 -j SNAT --to 200.60.198.204

CONFIGURACION DE SERVIDOR FIREWALL(cont)


Obtencion de logs de acceso:
Es

necesario redirecionar la salida de los logs del kernel hacia un archivo en /etc/syslog.conf y luego reiniciar el servicio syslog mcedit /etc/syslog.conf
Editar la linea 3 kern.* /var/log/kernel.log
Agregar

las siguientes reglas con iptables:

iptables -A INPUT -j LOG --log-prefix =INPUT= iptables -A OUTPUT -j LOG --log-prefix =OUTPU=

CONFIGURACION DE SERVIDOR FIREWALL(cont)


Configuracin de proxy transparente:
Agregar

las siguiente reglas con iptables:

iptables -t nat -A PREROUTING -p TCP -s 192.168.100.5 --dport 80 -j REDIRECT to-port 3580 iptables -t nat -A POSTROUTING -s 192.168.100.5 -o eth0 p UDP dport 53 -j SNAT --to 200.60.198.204
Realizar

la siguiente configuracin de squid (squid.conf).


httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on

CONFIGURACION DE SERVIDOR DE CORREO

CONFIGURACION DE SERVIDOR CORREO (SMTP)


Para

instalar el servidor de correo utilizamos como servidor SMTP el sendmail, como servidor POP el qpopper.
Configuracin

de dominios para los cuales gestionar el correo electrnico el servidor: Editar el archivo /etc/mail/sendmail.cf, comentar la lnea con la clase
#cwlocalhost

CONFIGURACION DE SERVIDOR CORREO (SMTP) (cont)


Editar

el archivo /etc/mail/local-hosts-name, agregar los dominios de la siguiente forma:


mail.arip.com.pe arip.com.pe
Para

configurar las redes y dominios que pueden utilizar el servidor para enviar correo electrnico, es necesario editar el archivo /etc/mail/access. Este archivo se puede permitir: Basados en el IP:
192.168.100

RELAY

CONFIGURACION DE SERVIDOR CORREO (SMTP) (cont)


Permite

enviar correo electrnico a todas aquellas computadoras que su numero IP coincide con el 192.168.100
Basados

en dominios: RELAY

arip.net

Permite utilizar el correo electrnico a las maquinas que pertenezcan al dominio arip.net. Si desea denegar el acceso puede en lugar de la palabra RELAY puede utilizar DENY o REJECT

CONFIGURACION DE SERVIDOR CORREO (SMTP) (cont)


Configure en el servidor los nmeros IP correspondientes a su dominio de correo electrnico, registrados en los DNS de su proveedor de lnea de acceso a Internet.
Re

- iniciar el sendmail en /etc/rc.d/init.d con la orden:


#./sendmail restart

CONFIGURACION DE SERVIDOR PROXY


Configuracin del servidor proxy SQUID. El squid tiene los siguientes archivos:
/etc/squid/squid.conf

(Archivo de configuracin). /etc/rc.d/init.d/squid (Script para start, stop, restart). /var/log/squid (Directorio de cache y logs).

Para configurar se edita el archivo /etc/squid/squid.conf:

CONFIGURACION DE SERVIDOR PROXY (cont)


Asignacin

el numero ip y puerto a travs del cual sirve se utiliza la directiva http_port en la linea # 49.

Si deseamos asignar un puerto escribimos:


http_port 35580 Si desemos asignar ip + puerto:

http_port 192.168.100.5:34567 visible_hostname fw.btsys.net

CONFIGURACION DE SERVIDOR PROXY (cont)


Para controlar el acceso existen las lneas acl (access control lines), en la lnea # 1168 del archivo squid.conf. Las acl son reglas de acceso que pueden permitir o denegar el acceso, para activar se utiliza la directiva:
http_access allow nombre de acl (Permite el acceso).

http_access deny nombre de acl (Deniega el acceso).

CONFIGURACION DE SERVIDOR PROXY(cont)


La reglas acl tiene el siguiente formato: acl nombre_regla tipo cadena_de_decisin Ejemplo: acl mi_red src 192.168.100.0/255.255.255.0 Existen los siguientes tipo de acl:
Direccin

Fuente/Destino. Dominio Fuente/Destino. Regular expresin para el dominio. Regular expresin para el URL. Tiempo, etc.

You might also like