Seguridad Perimetral, Firewall Y DMZ en Linux (IPTABLES)
A continuación voy a dar solución a un ejemplo básico. Analizar muy bien la imagen.
1. El DMZ no puede ingresar al SSH de la LAN ni hacerle PING a ella y tampoco NAVEGAR por INTERNET.
----------------------------------------
//Código o script de IPTABLES. (va en el firewall)
#!/bin/bash
iptables -t nat -F
iptables -F
#MODULOS PARA EL FTP PUBLICO
/sbin/modprobe -a ip_tables
/sbin/modprobe -a ip_conntrack
/sbin/modprobe -a ip_conntrack_ftp
/sbin/modprobe -a ip_nat_ftp
/sbin/modprobe -a ipt_state
/sbin/modprobe -a iptable_nat
#Ponemos como enrutador nuestro Firewall
echo "1" > /proc/sys/net/ipv4/ip_forward
#enmascaramos la ip privada por publica para que tenga salida a internet. (LAN)
iptables -t nat -A POSTROUTING -s 192.168.30.2 -o eth0 -j MASQUERADE
#que todas las peticiones se redirijan al DMZ
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1:1024 -j DNAT --to 192.168.20.2:1-1024
#Aceptamos las peticiones LAN to DMZ
iptables -t nat -A PREROUTING -i eth2 -s 192.168.30.0/24 -p tcp --dport 1:1024 -j DNAT --to 192.168.20.2
#Denegamos las peticiones DMZ to LAN
iptables -A FORWARD -s 192.168.20.2 -d 192.168.30.2 -p tcp --dport 1:1024 -j DROP
#DENEGAR PING
iptables -A FORWARD -p icmp -s 192.168.30.2 -d 192.168.20.2 -j ACCEPT
iptables -A FORWARD -p icmp -s 192.168.20.2 -d 192.168.30.2 -j DROP
FIN - COMPARTE :)
IMAGEN:
DIRECCIONAMIENTO.
LAN 192.168.30.2/24
DMZ 192.168.20.2/24
PERMITIDO
1. De internet pueden entrar a HTTP y FTP del DMZ.
2. La LAN puede ingresar al HTTP y navegar por internet.
NEGADO
----------------------------------------
//Código o script de IPTABLES. (va en el firewall)
#!/bin/bash
iptables -t nat -F
iptables -F
#MODULOS PARA EL FTP PUBLICO
/sbin/modprobe -a ip_tables
/sbin/modprobe -a ip_conntrack
/sbin/modprobe -a ip_conntrack_ftp
/sbin/modprobe -a ip_nat_ftp
/sbin/modprobe -a ipt_state
/sbin/modprobe -a iptable_nat
#Ponemos como enrutador nuestro Firewall
echo "1" > /proc/sys/net/ipv4/ip_forward
#enmascaramos la ip privada por publica para que tenga salida a internet. (LAN)
iptables -t nat -A POSTROUTING -s 192.168.30.2 -o eth0 -j MASQUERADE
#que todas las peticiones se redirijan al DMZ
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1:1024 -j DNAT --to 192.168.20.2:1-1024
#Aceptamos las peticiones LAN to DMZ
iptables -t nat -A PREROUTING -i eth2 -s 192.168.30.0/24 -p tcp --dport 1:1024 -j DNAT --to 192.168.20.2
#Denegamos las peticiones DMZ to LAN
iptables -A FORWARD -s 192.168.20.2 -d 192.168.30.2 -p tcp --dport 1:1024 -j DROP
#DENEGAR PING
iptables -A FORWARD -p icmp -s 192.168.30.2 -d 192.168.20.2 -j ACCEPT
iptables -A FORWARD -p icmp -s 192.168.20.2 -d 192.168.30.2 -j DROP
FIN - COMPARTE :)
Comentarios