Proxy Iptables

5/17/2018 Proxy Iptables - slidepdf.com

http://slidepdf.com/reader/full/proxy-iptables 1/7

República Bolivariana de VenezuelaMinisterio del Poder Popular para la Educación Superior

Instituto Universitario de Tecnología de los LlanosValle de la Pascua – Estado Guárico

Configuración de Iptables y Proxy

Facilitador: Equipo de Trabajo:

Ing. Carlos Urbano • Rodríguez, Gines

• Ortega, Ana María

• Hernández Eduardo

Mayo, 2011.



Firewall. Iptables

Este script posibilita el trafico entre una red local e internet

Esquema de conexión

#!/bin/sh

--> Comienzo del Script

Se cierra todo puerto innecesario de internet a nuestra ip

, desde nuestra red hacia fuera tenemos todo acceso

.

echo -n Aplicando Reglas de Firewall...

==> Comentario que muestra Aplicando reglas de firewall

iptables -F

iptables -X

iptables -Z

==> Borra las Reglas de Firewalliptables -t nat -F

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT

==> Establecimiento de política por defecto

(Aceptar)iptables -t nat -P PREROUTING ACCEPT

iptables -t nat -P POSTROUTING ACCEPT

Interneteth1Firewalleth0LAN



/sbin/iptables -A INPUT -i lo -j ACCEPT

==> Permite el Acceso a conexiones locales como mysql, apache, etc.

iptables -A INPUT -s 10.101.0.0/16 -i eth0 -j ACCEPT

==> Acceso al Firewall desde la LAN

En este momento se realiza el enmascaramiento de la red localy se activa el bit de forwarding (necesario pues sera parte del enrutado)

.

iptables -t nat -A POSTROUTING -s 10.101.0.0/16 -d 0.0.0.0/0 -j MASQUERADE

Luego se direcciona para hacer nat en nuestra LAN al puerto 3128 (Puerto por defecto squid)

, esto quiere decir, que todo lo que vanga por la interfaz eth0 por el puerto 80 se redirecciona al puerto3128, esto es lo que permite hacer un proxy transparente.

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Se permite el reenvío de paquetes en el firewall, es decir

que otras máquinas puedan salir a través del firewall.

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

===> Este linea abre el puerto 80 para permitir el acceso a los sitios web que pueda tener el servidor.

#aqui si deseas abrir mas puertos solo copia la linea anterior y

#cambia el numero de puerto que quieres abrir y si es tcp o udp.

#############################################################################



Y ahora cerramos los accesos indeseados del exterior:

0.0.0.0/0 significa: cualquier red

Cerramos el rango de puertos conocidos

, se puede notar que en interfaz se elige la eth1 que es la que está conectada según el esquema anterior a

internet.

iptables -A INPUT -i eth1 -s 0.0.0.0/0 -p tcp --dport 10000:65535 -j DROP

iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP

Cerramos el puerto de gestión webmin (permite adminitrar un servidor web a través de internet)

iptables -A INPUT -s 10.101.2.5 -p tcp --dport 10000 -j ACCEPT

==> Se le permite acceso al equipo con esta dirección ip

Los demás equipos se les deniega el acceso.iptables -A INPUT -s 10.101.0.0/16 -p tcp --dport 10000 -j DROP

iptables -A INPUT -s 0.0.0.0/0.0.0.0 -p tcp --dport 10000 -j DROP

echo "firewall activado" ===> mensaje que indica que el firewall esta activado

update-rc.d nombredelscript defaults

Este comando crea enlaces que inician samba en los runlevels 2345 y enlaces que lo terminan en

los runlevels 016 con la prioridad 20.



Configuración del Squid.

Un Servidor Intermediario (Proxy) se define como una computadora o dispositivo que ofrece un

servicio de red que consiste en permitir a los clientes realizar conexiones de red indirectas hacia otros

servicios de red. Durante el proceso ocurre lo siguiente:

• Cliente se conecta hacia un Servidor Intermediario (Proxy).

• Cliente solicita una conexión, fichero u otro recurso disponible en un servidor

distinto.

• Servidor Intermediario (Proxy) proporciona el recurso ya sea conectándose hacia el

servidor especificado o sirviendo éste desde un caché.

• En algunos casos el Servidor Intermediario (Proxy) puede alterar la solicitud delcliente o bien la respuesta del servidor para diversos propósitos.

http_port 3128==> puerto por donde escuha el squid

icp_port 3130

==>acl QUERY urlpath_regex cgi-bin \?

cache deny QUERY== Deniega consulta de caché

acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl to_localhost dst 127.0.0.0/8

acl SSL_ports port 443

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 # https

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 1025-65535 # unregistered ports

D e c l a r a c i ó ns e g u r o s .



acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl CONNECT method CONNECT

==> Se permite conexión a puertos seguros.

http_access allow manager localhost

http_access deny manager

# Deny requests to unknown ports

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

==> Se deniega la conexión a otros puertos que no sean los seguros declarados.

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

acl negadas url_regex "/etc/squid3/Acls/paginas"

==> Lista de control de acceso, en este archivo se establecen las direcciones web que serán permitidas o

denegadasacl mired src 10.101.4.0/255.255.255.0

==> Se establece acl que corresponde a la red.

http_access allow localhost=> Se permite el acceso a la máquina local

http_access allow mired !negadas

==> se permite el acceso a la red menos (!) a las páginas negadas

http_access deny all==> luego se deniega el acceso a todo lo demás, referente a equipos que no esten declarados

previamente.

Proxy Iptables

Documents

Transcript of Proxy Iptables