iptables con DNS

Agora queremos que o noso equipo non se poida conectar a un servidor DNS, eses que funcionan polo porto 53. É dicir, non queremos que ninguén faga a conversión de IP a nome de dominio, nin o contrario. O que vén sendo que podería facer ping a un número de IP pero non ao seu correspondente nome.

O teu traballo:

• Comproba que tes internet, fas ping, funciona a web e borra todas as regras que quedaran do outro día:

sudo iptables -F

Averigua a IP do Centro de Supercomputación de Galicia:

host cesga.es

Anota a IP que sae. Vai a un navegador e pon esa IP na barra de navegación. Das entrado na web do CESGA?

• Agora imos teclear dúas regras que digan que  NON permitimos que a nosa máquina  acceda a DNS ningún:

sudo iptables -A INPUT -p udp --sport 53 -j DROP
sudo iptables -A OUTPUT -p udp --dport 53 -j DROP

• Fai agora ping a unha IP, digamos 8.8.8.8 e despois fai ping a google.com Ten sentido o que obtés?
• Volve facer ping á IP e ao nome de dominio do CESGA
• Podes navegar por  internet? Co wireshark aberto, que está pasando?

iptables controlando a web

Queremos que un equipo non poda visitar páxinas web, pero imos deixarlle facer o resto das cousas.

O teu traballo:

Borramos as regras que teñamos doutros días:  sudo iptables -F

Imos aplicar agora unha política restrictiva: non permitimos o acceso nada:

sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT DROP
sudo iptables -P FORWARD DROP

Veña, vai imos permitir acceder ás páxinas web, tanto ás seguras como ás inseguras:

sudo iptables -A INPUT -p tcp --sport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --sport 443 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

 

Xa navegamos por internet? Se cadra non. Estamos permitindo todo dos protocolos http/s pero…. o noso servidor de DNS?

Argalla todo o que precises para poder volver navegar por internet sen poder facer ping. ou ssh, ou calquera outra cousa.

Investiga como poñer os dous portos á vez na mesma regra para acabar antes.

Cortalumes con iptables

Se lembrades traballamos co cortalumes ufw polo que paga a pena deshabilitalo para xogar coas iptables:
sudo ufw disable

O teu traballo:

Comezamos facendo limpeza de todo o que teñamos:
sudo iptables -F
sudo iptables -X

Miramos se nos fixo caso:
sudo iptables -L

Agora imos pedir que o firewall corte todo:
sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT DROP
sudo iptables -P FORWARD DROP
Das feito un ping? Podes navegar por internet?  Se queredes que só entren pings tedes que aceptalos:

sudo iptables -A OUTPUT -p icmp -j ACCEPT
sudo iptables -A INPUT -p icmp -j ACCEPT

Agora podemos poñer unha política permisiva: aceptamos todo:

sudo iptables -P INPUT ACCEPT
sudo iptables -P OUTPUT ACCEPT
sudo iptables -P FORWARD ACCEPT


Imos impedir que saian e entren pings da nosa máquina:

sudo iptables -A OUTPUT -p icmp -j DROP
sudo iptables -A INPUT -p icmp -j DROP

Se queremos impedir ademais por unha interfaz concreta, a miña é eth0:

sudo iptables -A OUTPUT -o eth0 -p icmp -j DROP
sudo iptables -A INPUT -i eth0 -p icmp -j DROP

• Para consultar:
  Imos seguir este .pdf (ata o exercicio 9) que explica polo miúdo como ir comprobando que as regras funcionan.
• Moi chula esta páxina web
• Superdocumento

RETO: tes que conseguir que a túa máquina faga ping a calquera IP pero non  a 8.8.8.8