Práctica 3 iptables fran gavilan
- 1. Práctica 3 IPTABLES Seguridad y Alta Disponibilidad Francisco Javier Gavilán Escriche 2ºASIR
- 2. Práctica 3 Iptables Francisco Javier Gavilán Escriche Indice Objetivos ..........................................................................................................................................2 Escenario de máquinas ....................................................................................................................3 Configuración de adaptadores de red ..............................................................................................3 Servidor (Firewall) ......................................................................................................................3 Servidor DMZ..............................................................................................................................4 Cliente BD ...................................................................................................................................4 Configuración del Script de reglas del servidor Firewall ................................................................5 Configuración Cliente (Base de datos) ............................................................................................6 Comprobación .................................................................................................................................7 1
- 3. Práctica 3 Iptables Francisco Javier Gavilán Escriche Objetivos Implementar el ejercicio 3.3 de los apuntes teniendo en cuenta que hay que adaptarlo a la simulación con máquinas virtuales. En este tipo de firewall hay que permitir: - Acceso de la red local a internet. - Acceso público al puerto tcp/80 y tcp/443 del servidor de la DMZ - Acceso del servidor de la DMZ a una BBDD de la LAN - Obviamente bloquear el resto de acceso de la DMZ hacia la LAN. 2
- 4. Práctica 3 Iptables Francisco Javier Gavilán Escriche Escenario de máquinas Configuración de adaptadores de red Servidor (Firewall) 3
- 5. Práctica 3 Iptables Francisco Javier Gavilán Escriche Servidor DMZ Cliente BD 4
- 6. Práctica 3 Iptables Francisco Javier Gavilán Escriche Configuración del Script de reglas del servidor Firewall Previamente tendremos que asegurarnos que descomentamos la siguiente línea del archivo /etc/sysctl.conf Ahora tendremos que configurar el script de reglas de la siguiente manera: Ahora vamos a ejecutar el script mediante el comando sh 5
- 7. Práctica 3 Iptables Francisco Javier Gavilán Escriche Después hacemos un iptables –L –n para observar todas las reglas que nos ha aplicado el script para nuestro firewall: Configuración Cliente (Base de datos) Para poder conectarnos mediante un servidor o un equipo remoto a nuestra base de datos del cliente será necesario hacer unas cuantas modificaciones, entre ellas la de configurar el archivo /etc/mysql/my.cnf para que permita realizar conexiones con nuestro servidor DMZ (modificamos la línea de bind address y le ponemos nuestra IP del cliente) Después de efectuar los cambios reiniciamos el servicio mysql para que se queden aplicados. Ahora iniciamos sesión en mysql como usuario root y vamos a crear un usuario al cual le vamos a otorgar permisos para conectarse desde el servidor DMZ a la base de datos alojada en nuestro cliente. 6
- 8. Práctica 3 Iptables Francisco Javier Gavilán Escriche Comprobación Una forma de comprobar que todo el proceso se ha realizado correctamente es hacer un telnet por ejemplo desde la zona desmilitarizada a la dirección IP del cliente en la cual está alojada la base de datos seguido del puerto 3306 y conecta perfectamente, más tarde rechaza la conexión porque está cerrado por las reglas aplicadas en el script del servidor firewall Otra comprobación que podemos hacer para cerciorarnos de que conecta perfectamente es accediendo desde la zona desmilitarizada hacia el servidor mysql instalado en el cliente con la base de datos (he creado antes desde el cliente una base de datos llamada ‘pruebacliente’) y cómo podemos observar conecta satisfactoriamente. 7
- 9. Práctica 3 Iptables Francisco Javier Gavilán Escriche Para asegurarnos de que están aplicando bien las reglas hacia los puertos 80 y 443 hemos decidido instalar un servidor apache en la DMZ, de tal forma que cuando intento acceder desde el cliente hacia la zona desmilitarizada Ahora vamos a ejecutar el comando NMAP para realizar un escaneo de puertos para ver cuáles son accesibles: -NMAP desde el cliente hacia el servidor DMZ: 8
- 10. Práctica 3 Iptables Francisco Javier Gavilán Escriche -NMAP desde el servidor DMZ hacia el cliente: 9