EJERCICIOS IPTABLES 1. Denegar todo el tráfico que quiera salir a través de la máquina iptables A OUTPUT j DROP 2. D
Views 183 Downloads 55 File size 119KB
EJERCICIOS IPTABLES
1. Denegar todo el tráfico que quiera salir a través de la máquina iptables A OUTPUT j DROP 2. Denegar todo el tráfico que quiera salir a través de la máquina y por la interfaz “lo” de esta: iptables A OUTPUT o lo j DROP 3. Aceptar el tráfico de entrada perteneciente al protocolo TCP: iptables A INPUT p tcp j ACCEPT 4. Rechazar el tráfico de entrada perteneciente al protocolo UDP: iptables A INPUT p udp j DROP 5. Filtrar los paquetes entrantes que vengan desde la ip 1.1.1.1: iptables A INPUT s 1.1.1.1 j REJECT 6. Aceptar los paquetes salientes que vayan a la dirección 2.2.2.2: iptables A OUTPUT d 2.2.2.2 j ACCEPT
7. Aceptar los paquetes salientes que vayan a la dirección 2.2.2.2 con máscara 255.255.255.0: iptables A OUTPUT d 2.2.2.2/24 j ACCEPT
8. Filtrar los paquetes TCP con puerto origen 20: iptables A INPUT p tcp sport 20 j REJECT 9. Filtrar los paquetes TCP con puerto origen entre el 20 y el 50: iptables A INPUT p tcp sport 20:50 j REJECT 10.Filtrar los paquetes UDP con puerto destino 30: iptables A INPUT p udp dport 30 j DROP 11.Aceptar los paquetes UDP con puerto destino entre 30 y 45: iptables A INPUT p udp dport 30:45 j ACCEPT 12.Aceptar los paquetes ICMP de tipo echoreply: iptables A INPUT p icmp icmptype echoreply j ACCEPT
13.Rechazar los paquetes salientes ICMP de tipo time exceeded: iptables A OUTPUT p icmp icmptype timeexceeded j DROP
14.Aceptar 15 paquetes UDP entrantes por minuto:
iptables A INPUT p udp m limit limit 15/minute j ACCEPT
15.Aceptar 500 paquetes icmp entrantes por hora: iptables A INPUT p icmp m limit limit 500/hour j ACCEPT
16.Rechazar los paquetes TCP que tengan activada la bandera SYN y desactivada la bandera ACK: iptables A INPUT p tcp tcpflags SYN,ACK SYN j DROP
17.Rechazar los paquetes TCP que tengan activada la bandera SYN y ACK, y desactivada la bandera FIN: iptables A INPUT p tcp tcpflags SYN,ACK,FIN SYN,ACK j DROP
18.Aceptar los paquetes que formen parte de una conexión realizada: iptables A INPUT m state state established j ACCEPT 19.Aceptar los paquetes TCP pertenecientes a una conexión asociada a otra existente, y teniendo como puertos destino entre el 800 y el 950: iptables A INPUT m state state related p tcp dport 800:950 j ACCEPT
20.Mandar un REJECT a los paquetes TCP entrantes que tengan como puerto destino el 113, mandando de vuelta un RST de tipo TCP:
iptables A INPUT p tcp dport 113 j REJECT rejectwith tcp reset
21.Mandar un REJECT a los paquetes ICMP entrantes que tengan como puerto origen el 25, mandando de vuelta un icmp de host inalcanzable: iptables A INPUT p icmp sport 25 j REJECT rejectwith icmphostunreachable
22.Registrar (logear) los paquetes entrantes TCP con puerto destino el 22 en modo debug, queriendo que el fichero empieze con la cadena “analisis_p22_”: iptables A INPUT p tcp dport 22 j LOG loglevel debug log prefix “analisis_p22_”
23.Rechazar los paquetes entrantes TCP que tengan como puerto destino el 22 y vengan desde la máquina 1.1.1.1. De igual modo, estos paquetes a bloquear han de tener el flag SYN activado y desactivo el ACK: iptables A INPUT p tcp tcpflags SYN,ACK SYN dport 22 s 1.1.1.1 j DROP
24.Establecer políticas por defecto para aceptar todo el tráfico de entrada y salida, y el de reenvío bloquearlo: iptables P INPUT ACCEPT iptables P OUTPUT ACCEPT
iptables P FORWARD DROP
25.Permitir conexión por TCP y por la interfaz eth0 a MySQL que se sitúa en el puerto 3306: iptables A INPUT i eth0 p tcp dport 3306 j ACCEPT 26. Bloqueamos cualquier tipo de conexión a los
puertos de gestión típicos (hasta el 1024): iptables A INPUT p tcp dport 0:1024 j DROP iptables A INPUT p udp dport 0:1024 j DROP
27.Queremos protección contra floods (1 ping por segundo (echorequest)), y el resto bloqueado:
iptables A INPUT p icmp icmptype echo request m limit limit 1/s j ACCEPT 28.Regla de reenvío que indique que todo el tráfico proveniente de la máquina 1.1.1.1 sea rechazado: iptables A FORWARD s 1.1.1.1 j DROP
29.Permitir cualquier salida por la interfaz de red eth1: iptables A OUTPUT o eth1 j ACCEPT
30.Hemos de permitir que los usuarios de nuestra red local puedan acceder a Internet, pero sólo a determinados servicios: A HTTP (80), HTTPS (443), DNS (53), denegando el acceso a cualquier otro tipo de servicio: iptables A FORWARD p tcp dport 80 j ACCEPT iptables A FORWARD p tcp dport 443 j ACCEPT iptables A FORWARD p tcp dport 53 j ACCEPT iptables A FORWARD p udp dport 53 j ACCEPT