evitar mapeos de red

Jorge Luis Rodriguez Fri Sep 12 10:40:34 2008

Hola comunidad!

les cuento mi problema, resulta que tenemos una red clase A con el rango de
ip 10.0.0.xxx, con salida a internet y algunos servicios para la red
interna, dentro de esta red
instales un servidor con debian, ese servidor tiene la eth0 con ip
10.0.0.150, y una eth1 con ip 192.168.1.1. Este servidor debe brindar nada
mas que internet a la subred de


clase C con ip 192.168.1.xxx. Resulta que con el scrips que posteso mas
abajo funciona perfecto, pero no logro evitar que desde la red interna se
pueda mapear la red de clase

A (10.0.0.xxx), probe con nmap, languard, y en ambos caso si mapeo el rango
de ip 10.0.0.1-10.0.0.250 estando en la red de clase C (192.168.1.1) puedo
ver todas las pc que

estan en la red 10.0.0.xxx. Eh buscado y leido mucho, quizas la solucion sea
una tontera, pero bueno, lo cierto es que no logro ver la socucion entre
todo lo que ley y busque.

internet-=|Router-1|10.0.0.1=-------10.0.0.150-=|Router-2|=-192.168.1.1

#!/bin/bash
#Firewall con politicas por defecto DROP!

route add default gw 10.0.0.1

IPTABLES="`which iptables`"
IPLOCAL="192.168.1.1"

EXTIF="eth0"

INTIF="eth1"


echo " Interface Externa:  $EXTIF"
echo " Interface Interna:  $INTIF"
echo " Path a iptables  :  $IPTABLES"
echo " IP de local    :  $IPLOCAL"

#cargamos los modulos

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe iptable_filter
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_state
/sbin/modprobe ipt_MASQUERADE

#bit necesarios en el kernel
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_dynaddr

#borramos Reglas Preestablecidas
$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
$IPTABLES -t nat -F

#establecemos las politicas por defecto
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

#habilitar el enmascarado
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

#Se permiten pasar solo las conecciones establecidas
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state
ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
$IPTABLES -A FORWARD -j LOG


$IPTABLES -A INPUT -i $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $EXTIF -j ACCEPT

#permitimos entrar y salir al loopback
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT

#solo mi ip puede entrar al SSH
$IPTABLES -A INPUT -i $INTIF -p tcp --dport 22 -s 192.168.1.9 -j ACCEPT
$IPTABLES -A OUTPUT -o $INTIF -p tcp --sport 22 -d 192.168.1.9 -j ACCEPT

$IPTABLES -A INPUT -i $INTIF -p udp --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -o $INTIF -p udp --sport 53 -j ACCEPT

#Permitiendo ingresar al DHCP
$IPTABLES -A INPUT -i $INTIF -p tcp --sport 68 --dport 67:68 -j ACCEPT
$IPTABLES -A INPUT -i $INTIF -p udp --sport 68 --dport 67:68 -j ACCEPT

$IPTABLES -A OUTPUT -p tcp --sport 67 --dport 67:68 -j ACCEPT
$IPTABLES -A OUTPUT -p udp --sport 67 --dport 67:68 -j ACCEPT

#Habilitar pings
$IPTABLES -A INPUT -p icmp -i $INTIF -j ACCEPT
$IPTABLES -A OUTPUT -p icmp -o $INTIF -j ACCEPT

#$IPT -L


basicamente lo que deseo es que desde la red 192.168.1.xxx no se puedan
hacer scaneos de red hacia la red 10.0.0.xxx

Muchas gracias a todos.

Ricardo!
From [EMAIL PROTECTED]  Fri Sep 12 11:46:45 2008
From: [EMAIL PROTECTED] (Sebastian Veloso Varas)
Date: Fri Sep 12 11:46:54 2008
Subject: evitar mapeos de red
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>

Jorge Luis Rodriguez escribió:
> Hola comunidad!
>
> les cuento mi problema, resulta que tenemos una red clase A con el rango de
> ip 10.0.0.xxx, con salida a internet y algunos servicios para la red
> interna, dentro de esta red
> instales un servidor con debian, ese servidor tiene la eth0 con ip
> 10.0.0.150, y una eth1 con ip 192.168.1.1. Este servidor debe brindar nada
> mas que internet a la subred de
>
> clase C con ip 192.168.1.xxx. Resulta que con el scrips que posteso mas
> abajo funciona perfecto, pero no logro evitar que desde la red interna se
> pueda mapear la red de clase
>
> A (10.0.0.xxx), probe con nmap, languard, y en ambos caso si mapeo el rango
> de ip 10.0.0.1-10.0.0.250 estando en la red de clase C (192.168.1.1) puedo
> ver todas las pc que
>
> estan en la red 10.0.0.xxx. Eh buscado y leido mucho, quizas la solucion sea
> una tontera, pero bueno, lo cierto es que no logro ver la socucion entre
> todo lo que ley y busque.
>
> internet-=|Router-1|10.0.0.1=-------10.0.0.150-=|Router-2|=-192.168.1.1
>
> #!/bin/bash
> #Firewall con politicas por defecto DROP!
>
> route add default gw 10.0.0.1
>
> IPTABLES="`which iptables`"
> IPLOCAL="192.168.1.1"
>
> EXTIF="eth0"
>
> INTIF="eth1"
>
>
> echo " Interface Externa:  $EXTIF"
> echo " Interface Interna:  $INTIF"
> echo " Path a iptables  :  $IPTABLES"
> echo " IP de local    :  $IPLOCAL"
>
> #cargamos los modulos
>
> /sbin/modprobe ip_tables
> /sbin/modprobe ip_conntrack
> /sbin/modprobe ip_conntrack_ftp
> /sbin/modprobe iptable_nat
> /sbin/modprobe ip_nat_ftp
> /sbin/modprobe iptable_filter
> /sbin/modprobe ipt_LOG
> /sbin/modprobe ipt_REJECT
> /sbin/modprobe ipt_state
> /sbin/modprobe ipt_MASQUERADE
>
> #bit necesarios en el kernel
> echo 1 > /proc/sys/net/ipv4/ip_forward
> echo 1 > /proc/sys/net/ipv4/ip_dynaddr
>
> #borramos Reglas Preestablecidas
> $IPTABLES -F
> $IPTABLES -X
> $IPTABLES -Z
> $IPTABLES -t nat -F
>
> #establecemos las politicas por defecto
> $IPTABLES -P INPUT DROP
> $IPTABLES -P OUTPUT DROP
> $IPTABLES -P FORWARD DROP
>
> #habilitar el enmascarado
> $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
>
> #Se permiten pasar solo las conecciones establecidas
> $IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state
> ESTABLISHED,RELATED -j ACCEPT
> $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
> $IPTABLES -A FORWARD -j LOG
>
>
> $IPTABLES -A INPUT -i $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
> $IPTABLES -A OUTPUT -o $EXTIF -j ACCEPT
>
> #permitimos entrar y salir al loopback
> $IPTABLES -A INPUT -i lo -j ACCEPT
> $IPTABLES -A OUTPUT -o lo -j ACCEPT
>
> #solo mi ip puede entrar al SSH
> $IPTABLES -A INPUT -i $INTIF -p tcp --dport 22 -s 192.168.1.9 -j ACCEPT
> $IPTABLES -A OUTPUT -o $INTIF -p tcp --sport 22 -d 192.168.1.9 -j ACCEPT
>
> $IPTABLES -A INPUT -i $INTIF -p udp --dport 53 -j ACCEPT
> $IPTABLES -A OUTPUT -o $INTIF -p udp --sport 53 -j ACCEPT
>
> #Permitiendo ingresar al DHCP
> $IPTABLES -A INPUT -i $INTIF -p tcp --sport 68 --dport 67:68 -j ACCEPT
> $IPTABLES -A INPUT -i $INTIF -p udp --sport 68 --dport 67:68 -j ACCEPT
>
> $IPTABLES -A OUTPUT -p tcp --sport 67 --dport 67:68 -j ACCEPT
> $IPTABLES -A OUTPUT -p udp --sport 67 --dport 67:68 -j ACCEPT
>
> #Habilitar pings
> $IPTABLES -A INPUT -p icmp -i $INTIF -j ACCEPT
> $IPTABLES -A OUTPUT -p icmp -o $INTIF -j ACCEPT
>
> #$IPT -L
>
>
> basicamente lo que deseo es que desde la red 192.168.1.xxx no se puedan
> hacer scaneos de red hacia la red 10.0.0.xxx
>
> Muchas gracias a todos.
>
> Ricardo!
>
>   
Ricardo,

          Primero que todo, que tipo de scans estas realizando por nmap
u otra herramienta hacia la red 10? Yo sugiero que controles los tipos
de ataques con PortScan Attack Detector psad
(http://cipherdyne.org/psad/). Una de las "debilidades" de Iptables es
esta. Yo tengo un par de equipos con firewalls con scripts iptables y a
los mas he creado reglas que controlen las secuencias tcp, syn para asi
poder determinar si se trata de un ataque o no (administrativamente
puede ser lineas y lineas de reglas!!) y aun asi es complejo evitar que
me detecten puertos abiertos en algun equipo, a pesar de que tengas
filtrado por defecto todo.
Respecto a psad, te da todas las ventajas de un IDS/IPS, está diseñado
para trabajar con Iptables y puedes utilizar las firmas de Snort para
poder filtrar ataques.

Saludos Cordiales

-- 

Sebastián Veloso Varas
Seguridad y Comunicaciones
E-Mail : [EMAIL PROTECTED]
Móvil : 9-4968717
PGP-Key : http://www.sevelv.cl/pgp/keypub/[EMAIL PROTECTED]
WebSite : http://www.sevelv.cl

evitar mapeos de red

Responder a