ejercicios iptables

Anuncio
EJERCICIOS IPTABLES
1. Denegar todo el tráfico que quiera salir a través de la máquina
iptables ­A OUTPUT ­j DROP
2. Denegar todo el tráfico que quiera salir a través de la máquina y por la interfaz “lo” de esta: iptables ­A OUTPUT ­o lo ­j DROP
3. Aceptar el tráfico de entrada perteneciente al protocolo TCP: iptables ­A INPUT ­p tcp ­j ACCEPT
4. Rechazar el tráfico de entrada perteneciente al protocolo UDP:
iptables ­A INPUT ­p udp ­j DROP
5. Filtrar los paquetes entrantes que vengan desde la ip 1.1.1.1: iptables ­A INPUT ­s 1.1.1.1 ­j REJECT
6. Aceptar los paquetes salientes que vayan a la dirección 2.2.2.2:
iptables ­A OUTPUT ­d 2.2.2.2 ­j ACCEPT
7. Aceptar los paquetes salientes que vayan a la dirección 2.2.2.2 con máscara 255.255.255.0:
iptables ­A OUTPUT ­d 2.2.2.2/24 ­j ACCEPT
8. Filtrar los paquetes TCP con puerto origen 20: iptables ­A INPUT ­p tcp ­­sport 20 ­j REJECT
9. Filtrar los paquetes TCP con puerto origen entre el 20 y el 50:
iptables ­A INPUT ­p tcp ­­sport 20:50 ­j REJECT
10.Filtrar los paquetes UDP con puerto destino 30: iptables ­A INPUT ­p udp ­­dport 30 ­j DROP
11.Aceptar los paquetes UDP con puerto destino entre 30 y 45: iptables ­A INPUT ­p udp ­­dport 30:45 ­j ACCEPT 12.Aceptar los paquetes ICMP de tipo echo­reply: iptables ­A INPUT ­p icmp ­­icmp­type echo­reply ­j ACCEPT
13.Rechazar los paquetes salientes ICMP de tipo time­
exceeded:
iptables ­A OUTPUT ­p icmp ­ ­icmp­type time­exceeded ­j DROP
14.Aceptar 15 paquetes UDP entrantes por minuto:
iptables ­A INPUT ­p udp ­m limit ­­limit 15/minute ­j ACCEPT
15.Aceptar 500 paquetes icmp entrantes por hora:
iptables ­A INPUT ­p icmp ­m limit ­­limit 500/hour ­j ACCEPT
16.Rechazar los paquetes TCP que tengan activada la bandera SYN y desactivada la bandera ACK:
iptables ­A INPUT ­p tcp ­­tcp­flags SYN,ACK SYN ­j DROP
17.Rechazar los paquetes TCP que tengan activada la bandera SYN y ACK, y desactivada la bandera FIN:
iptables ­A INPUT ­p tcp ­­tcp­flags SYN,ACK,FIN SYN,ACK ­j DROP
18.Aceptar los paquetes que formen parte de una conexión realizada:
iptables ­A INPUT ­m state ­ ­state established ­j ACCEPT
19.Aceptar los paquetes TCP pertenecientes a una conexión asociada a otra existente, y teniendo como puertos destino entre el 800 y el 950:
iptables ­A INPUT ­m state ­ ­state related ­p tcp ­ ­dport 800:950 ­j ACCEPT
20.Mandar un REJECT a los paquetes TCP entrantes que tengan como puerto destino el 113, mandando de vuelta un RST de tipo TCP: iptables ­A INPUT ­p tcp ­­dport 113 ­j REJECT ­­reject­with tcp­
reset
21.Mandar un REJECT a los paquetes ICMP entrantes que tengan como puerto origen el 25, mandando de vuelta un icmp de host inalcanzable:
iptables ­A INPUT ­p icmp ­­sport 25 ­j REJECT ­­reject­with icmp­host­unreachable
22.Registrar (logear) los paquetes entrantes TCP con puerto destino el 22 en modo debug, queriendo que el fichero empieze con la cadena “analisis_p22_”: iptables ­A INPUT ­p tcp ­­dport 22 ­j LOG ­­log­level debug ­­log­
prefix “analisis_p22_”
23.Rechazar los paquetes entrantes TCP que tengan como puerto destino el 22 y vengan desde la máquina 1.1.1.1. De igual modo, estos paquetes a bloquear han de tener el flag SYN activado y desactivo el ACK: iptables ­A INPUT ­p tcp ­­tcp­flags SYN,ACK SYN ­­dport 22 ­s 1.1.1.1 ­j DROP
24.Establecer políticas por defecto para aceptar todo el tráfico de entrada y salida, y el de reenvío bloquearlo:
iptables ­P INPUT ACCEPT
iptables ­P OUTPUT ACCEPT
iptables ­P FORWARD DROP
25.Permitir conexión por TCP y por la interfaz eth0 a MySQL que se sitúa en el puerto 3306:
iptables ­A INPUT ­i eth0 ­p tcp ­­dport 3306 ­j ACCEPT
26. Bloqueamos cualquier tipo de conexión a los puertos de gestión típicos (hasta el 1024):
iptables ­A INPUT ­p tcp ­­dport 0:1024 ­j DROP
iptables ­A INPUT ­p udp ­­dport 0:1024 ­j DROP
27.Queremos protección contra floods (1 ping por segundo (echo­request)), y el resto bloqueado:
iptables ­A INPUT ­p icmp ­­icmp­type echo­
request ­m limit ­ ­limit 1/s ­j ACCEPT
28.Regla de reenvío que indique que todo el tráfico proveniente de la máquina 1.1.1.1 sea rechazado:
iptables ­A FORWARD ­s 1.1.1.1 ­j DROP
29.Permitir cualquier salida por la interfaz de red eth1:
iptables ­A OUTPUT ­o eth1 ­j ACCEPT
30.Hemos de permitir que los usuarios de nuestra red local puedan acceder a Internet, pero sólo a determinados servicios: A HTTP (80), HTTPS (443), DNS (53), denegando el acceso a cualquier otro tipo de servicio:
iptables ­A FORWARD ­p tcp ­­dport 80 ­j ACCEPT
iptables ­A FORWARD ­p tcp ­­dport 443 ­j ACCEPT
iptables ­A FORWARD ­p tcp ­­dport 53 ­j ACCEPT
iptables ­A FORWARD ­p udp ­­dport 53 ­j ACCEPT
Descargar