Post on 22-Jun-2015
transcript
Práctica 3 IPTABLES
Seguridad y Alta Disponibilidad
Francisco Javier Gavilán Escriche 2ºASIR
Práctica 3 Iptables Francisco Javier Gavilán Escriche
1 1
Indice
Objetivos .......................................................................................................................................... 2
Escenario de máquinas .................................................................................................................... 3
Configuración de adaptadores de red .............................................................................................. 3
Servidor (Firewall) ...................................................................................................................... 3
Servidor DMZ.............................................................................................................................. 4
Cliente BD ................................................................................................................................... 4
Configuración del Script de reglas del servidor Firewall ................................................................ 5
Configuración Cliente (Base de datos) ............................................................................................ 6
Comprobación ................................................................................................................................. 7
Práctica 3 Iptables Francisco Javier Gavilán Escriche
2 2
Objetivos
Implementar el ejercicio 3.3 de los apuntes teniendo en cuenta que hay que adaptarlo a la
simulación con máquinas virtuales. En este tipo de firewall hay que permitir:
- Acceso de la red local a internet.
- Acceso público al puerto tcp/80 y tcp/443 del servidor de la DMZ
- Acceso del servidor de la DMZ a una BBDD de la LAN
- Obviamente bloquear el resto de acceso de la DMZ hacia la LAN.
Práctica 3 Iptables Francisco Javier Gavilán Escriche
3 3
Escenario de máquinas
Configuración de adaptadores de red
Servidor (Firewall)
Práctica 3 Iptables Francisco Javier Gavilán Escriche
4 4
Servidor DMZ
Cliente BD
Práctica 3 Iptables Francisco Javier Gavilán Escriche
5 5
Configuración del Script de reglas del servidor Firewall
Previamente tendremos que asegurarnos que descomentamos la siguiente línea del archivo
/etc/sysctl.conf
Ahora tendremos que configurar el script de reglas de la siguiente manera:
Ahora vamos a ejecutar el script mediante el comando sh
Práctica 3 Iptables Francisco Javier Gavilán Escriche
6 6
Después hacemos un iptables –L –n para observar todas las reglas que nos ha aplicado el script
para nuestro firewall:
Configuración Cliente (Base de datos)
Para poder conectarnos mediante un servidor o un equipo remoto a nuestra base de datos del
cliente será necesario hacer unas cuantas modificaciones, entre ellas la de configurar el archivo
/etc/mysql/my.cnf para que permita realizar conexiones con nuestro servidor DMZ (modificamos
la línea de bind address y le ponemos nuestra IP del cliente)
Después de efectuar los cambios reiniciamos el servicio mysql para que se queden aplicados.
Ahora iniciamos sesión en mysql como usuario root y vamos a crear un usuario al cual le vamos
a otorgar permisos para conectarse desde el servidor DMZ a la base de datos alojada en nuestro
cliente.
Práctica 3 Iptables Francisco Javier Gavilán Escriche
7 7
Comprobación
Una forma de comprobar que todo el proceso se ha realizado correctamente es hacer un telnet
por ejemplo desde la zona desmilitarizada a la dirección IP del cliente en la cual está alojada la
base de datos seguido del puerto 3306 y conecta perfectamente, más tarde rechaza la conexión
porque está cerrado por las reglas aplicadas en el script del servidor firewall
Otra comprobación que podemos hacer para cerciorarnos de que conecta perfectamente es
accediendo desde la zona desmilitarizada hacia el servidor mysql instalado en el cliente con la
base de datos (he creado antes desde el cliente una base de datos llamada ‘pruebacliente’) y
cómo podemos observar conecta satisfactoriamente.
Práctica 3 Iptables Francisco Javier Gavilán Escriche
8 8
Para asegurarnos de que están aplicando bien las reglas hacia los puertos 80 y 443 hemos
decidido instalar un servidor apache en la DMZ, de tal forma que cuando intento acceder desde
el cliente hacia la zona desmilitarizada
Ahora vamos a ejecutar el comando NMAP para realizar un escaneo de puertos para ver cuáles
son accesibles:
-NMAP desde el cliente hacia el servidor DMZ:
Práctica 3 Iptables Francisco Javier Gavilán Escriche
9 9
-NMAP desde el servidor DMZ hacia el cliente: