Proxy Iptables
-
Upload
gines-rodriguez -
Category
Documents
-
view
55 -
download
0
Transcript of Proxy Iptables
5/17/2018 Proxy Iptables - slidepdf.com
http://slidepdf.com/reader/full/proxy-iptables 1/7
República Bolivariana de VenezuelaMinisterio del Poder Popular para la Educación Superior
Instituto Universitario de Tecnología de los LlanosValle de la Pascua – Estado Guárico
Configuración de Iptables y Proxy
Facilitador: Equipo de Trabajo:
Ing. Carlos Urbano • Rodríguez, Gines
• Ortega, Ana María
• Hernández Eduardo
Mayo, 2011.
5/17/2018 Proxy Iptables - slidepdf.com
http://slidepdf.com/reader/full/proxy-iptables 2/7
Firewall. Iptables
Este script posibilita el trafico entre una red local e internet
Esquema de conexión
#!/bin/sh
--> Comienzo del Script
Se cierra todo puerto innecesario de internet a nuestra ip
, desde nuestra red hacia fuera tenemos todo acceso
.
echo -n Aplicando Reglas de Firewall...
==> Comentario que muestra Aplicando reglas de firewall
iptables -F
iptables -X
iptables -Z
==> Borra las Reglas de Firewalliptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
==> Establecimiento de política por defecto
(Aceptar)iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
Interneteth1Firewalleth0LAN
5/17/2018 Proxy Iptables - slidepdf.com
http://slidepdf.com/reader/full/proxy-iptables 3/7
/sbin/iptables -A INPUT -i lo -j ACCEPT
==> Permite el Acceso a conexiones locales como mysql, apache, etc.
iptables -A INPUT -s 10.101.0.0/16 -i eth0 -j ACCEPT
==> Acceso al Firewall desde la LAN
En este momento se realiza el enmascaramiento de la red localy se activa el bit de forwarding (necesario pues sera parte del enrutado)
.
iptables -t nat -A POSTROUTING -s 10.101.0.0/16 -d 0.0.0.0/0 -j MASQUERADE
Luego se direcciona para hacer nat en nuestra LAN al puerto 3128 (Puerto por defecto squid)
, esto quiere decir, que todo lo que vanga por la interfaz eth0 por el puerto 80 se redirecciona al puerto3128, esto es lo que permite hacer un proxy transparente.
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
Se permite el reenvío de paquetes en el firewall, es decir
que otras máquinas puedan salir a través del firewall.
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
===> Este linea abre el puerto 80 para permitir el acceso a los sitios web que pueda tener el servidor.
#aqui si deseas abrir mas puertos solo copia la linea anterior y
#cambia el numero de puerto que quieres abrir y si es tcp o udp.
#############################################################################
5/17/2018 Proxy Iptables - slidepdf.com
http://slidepdf.com/reader/full/proxy-iptables 4/7
Y ahora cerramos los accesos indeseados del exterior:
0.0.0.0/0 significa: cualquier red
Cerramos el rango de puertos conocidos
, se puede notar que en interfaz se elige la eth1 que es la que está conectada según el esquema anterior a
internet.
iptables -A INPUT -i eth1 -s 0.0.0.0/0 -p tcp --dport 10000:65535 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP
Cerramos el puerto de gestión webmin (permite adminitrar un servidor web a través de internet)
iptables -A INPUT -s 10.101.2.5 -p tcp --dport 10000 -j ACCEPT
==> Se le permite acceso al equipo con esta dirección ip
Los demás equipos se les deniega el acceso.iptables -A INPUT -s 10.101.0.0/16 -p tcp --dport 10000 -j DROP
iptables -A INPUT -s 0.0.0.0/0.0.0.0 -p tcp --dport 10000 -j DROP
echo "firewall activado" ===> mensaje que indica que el firewall esta activado
update-rc.d nombredelscript defaults
Este comando crea enlaces que inician samba en los runlevels 2345 y enlaces que lo terminan en
los runlevels 016 con la prioridad 20.
5/17/2018 Proxy Iptables - slidepdf.com
http://slidepdf.com/reader/full/proxy-iptables 5/7
Configuración del Squid.
Un Servidor Intermediario (Proxy) se define como una computadora o dispositivo que ofrece un
servicio de red que consiste en permitir a los clientes realizar conexiones de red indirectas hacia otros
servicios de red. Durante el proceso ocurre lo siguiente:
• Cliente se conecta hacia un Servidor Intermediario (Proxy).
• Cliente solicita una conexión, fichero u otro recurso disponible en un servidor
distinto.
• Servidor Intermediario (Proxy) proporciona el recurso ya sea conectándose hacia el
servidor especificado o sirviendo éste desde un caché.
• En algunos casos el Servidor Intermediario (Proxy) puede alterar la solicitud delcliente o bien la respuesta del servidor para diversos propósitos.
http_port 3128==> puerto por donde escuha el squid
icp_port 3130
==>acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY== Deniega consulta de caché
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
D e c l a r a c i ó ns e g u r o s .
5/17/2018 Proxy Iptables - slidepdf.com
http://slidepdf.com/reader/full/proxy-iptables 6/7
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
==> Se permite conexión a puertos seguros.
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
==> Se deniega la conexión a otros puertos que no sean los seguros declarados.
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
acl negadas url_regex "/etc/squid3/Acls/paginas"
==> Lista de control de acceso, en este archivo se establecen las direcciones web que serán permitidas o
denegadasacl mired src 10.101.4.0/255.255.255.0
==> Se establece acl que corresponde a la red.
http_access allow localhost=> Se permite el acceso a la máquina local
http_access allow mired !negadas
==> se permite el acceso a la red menos (!) a las páginas negadas
http_access deny all==> luego se deniega el acceso a todo lo demás, referente a equipos que no esten declarados
previamente.