evitar mapeos de red

Horst H. von Brand vonbrand en inf.utfsm.cl
Jue Sep 18 22:04:58 CLT 2008 

Jorge Luis Rodriguez <ricardocanavide en gmail.com> wrote:

> les cuento mi problema, resulta que tenemos una red clase A con el rango
> de ip 10.0.0.xxx, con salida a internet y algunos servicios para la red
> interna, dentro de esta red instales un servidor con debian, ese servidor
> tiene la eth0 con ip 10.0.0.150, y una eth1 con ip 192.168.1.1.

Puras redes privadas. OK (supongo).

>                                                                 Este
> servidor debe brindar nada mas que internet a la subred de clase C con ip
> 192.168.1.xxx.

No tengo idea de que hablas.

Configuracion de la red? Algo como:

                +--- 192.168.1.0/24
                |
 Internet -- Maquina 
                |
                +---- 10.0.0.0/8

Otra cosa? Que hay en las redes del caso? Exactamente que trafico quieres
que pase/no pase entre las tres zonas?

>                Resulta que con el scrips que posteso mas abajo funciona
> perfecto, pero no logro evitar que desde la red interna se pueda mapear
> la red de clase A (10.0.0.xxx), probe con nmap, languard, y en ambos caso
> si mapeo el rango de ip 10.0.0.1-10.0.0.250 estando en la red de clase C
> (192.168.1.1) puedo ver todas las pc que estan en la red 10.0.0.xxx. Eh
> buscado y leido mucho, quizas la solucion sea una tontera, pero bueno, lo
> cierto es que no logro ver la socucion entre todo lo que ley y busque.

> internet-=|Router-1|10.0.0.1=-------10.0.0.150-=|Router-2|=-192.168.1.1

Oh! OK, claro que desde la red interna se "ve" la red 10.0.0.0/8 El trafico
/pasa/ por ella!

> #!/bin/bash
> #Firewall con politicas por defecto DROP!

Malisima idea. REJECT, como ya dije un par de docenas de veces aca.

> route add default gw 10.0.0.1
> 
> IPTABLES="`which iptables`"
> IPLOCAL="192.168.1.1"
> 
> EXTIF="eth0"
> 
> INTIF="eth1"
> 
> 
> echo " Interface Externa:  $EXTIF"
> echo " Interface Interna:  $INTIF"
> echo " Path a iptables  :  $IPTABLES"
> echo " IP de local    :  $IPLOCAL"
> 
> #cargamos los modulos
> 
> /sbin/modprobe ip_tables
> /sbin/modprobe ip_conntrack
> /sbin/modprobe ip_conntrack_ftp
> /sbin/modprobe iptable_nat
> /sbin/modprobe ip_nat_ftp
> /sbin/modprobe iptable_filter
> /sbin/modprobe ipt_LOG
> /sbin/modprobe ipt_REJECT
> /sbin/modprobe ipt_state
> /sbin/modprobe ipt_MASQUERADE
> 
> #bit necesarios en el kernel
> echo 1 > /proc/sys/net/ipv4/ip_forward
> echo 1 > /proc/sys/net/ipv4/ip_dynaddr
> 
> #borramos Reglas Preestablecidas
> $IPTABLES -F
> $IPTABLES -X
> $IPTABLES -Z
> $IPTABLES -t nat -F
> 
> #establecemos las politicas por defecto
> $IPTABLES -P INPUT DROP
> $IPTABLES -P OUTPUT DROP
> $IPTABLES -P FORWARD DROP
> 
> #habilitar el enmascarado
> $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
> 
> #Se permiten pasar solo las conecciones establecidas
> $IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state
> ESTABLISHED,RELATED -j ACCEPT
> $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
> $IPTABLES -A FORWARD -j LOG
> 
> 
> $IPTABLES -A INPUT -i $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
> $IPTABLES -A OUTPUT -o $EXTIF -j ACCEPT
> 
> #permitimos entrar y salir al loopback
> $IPTABLES -A INPUT -i lo -j ACCEPT
> $IPTABLES -A OUTPUT -o lo -j ACCEPT
> 
> #solo mi ip puede entrar al SSH
> $IPTABLES -A INPUT -i $INTIF -p tcp --dport 22 -s 192.168.1.9 -j ACCEPT
> $IPTABLES -A OUTPUT -o $INTIF -p tcp --sport 22 -d 192.168.1.9 -j ACCEPT
> 
> $IPTABLES -A INPUT -i $INTIF -p udp --dport 53 -j ACCEPT
> $IPTABLES -A OUTPUT -o $INTIF -p udp --sport 53 -j ACCEPT
> 
> #Permitiendo ingresar al DHCP
> $IPTABLES -A INPUT -i $INTIF -p tcp --sport 68 --dport 67:68 -j ACCEPT
> $IPTABLES -A INPUT -i $INTIF -p udp --sport 68 --dport 67:68 -j ACCEPT
> 
> $IPTABLES -A OUTPUT -p tcp --sport 67 --dport 67:68 -j ACCEPT
> $IPTABLES -A OUTPUT -p udp --sport 67 --dport 67:68 -j ACCEPT
> 
> #Habilitar pings
> $IPTABLES -A INPUT -p icmp -i $INTIF -j ACCEPT
> $IPTABLES -A OUTPUT -p icmp -o $INTIF -j ACCEPT
> 
> #$IPT -L

> basicamente lo que deseo es que desde la red 192.168.1.xxx no se puedan
> hacer scaneos de red hacia la red 10.0.0.xxx

Entonces debieras parar /todo/ trafico que no vaya hacia "afuera" o al
router-1 en router-2.

Algo como dejar pasar 10.0.0.1, y luego frenar todo 10.0.0.0/8.

Aunque para que quieres hacer tal cosa, se me escapa...
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                    Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria             +56 32 2654239
Casilla 110-V, Valparaiso, Chile 2340000       Fax:  +56 32 2797513

Más información sobre la lista de distribución Linux