Antes de empezar debemos de ejecutar sobre la máquina cortafuegos los siguientes comandos:

apt-get update para actualizar

apt-get install nftables para instalar

systemctl start nftables.service para iniciar el servicio

systemctl status nftables.service para ver el estado del servicio

• Vamos a crear una tabla llamada accesojramos, en la máquina cortafuegos vamos a añadir la tabla indicando, nft add table inet accesojramos con nft list tables podemos ver el listado de tablas:

• Vamos a crear dos cadenas en los hook input y output con política accept por defecto
• En la máquina cortafuegos vamos a añadir las dos cadenas en los hook input y output con política accept por defecto, para ello, introducimos para la entrada nft add chain inet accesojramos entrada { type filter hook input priority 0 \; policy accept \;} y para la salida nft add chain inet accesojramos salida { type filter hook output priority 0 \; policy accept \;}

• Con nft list table inet accesojramos podemos ver la tabla con su contenido:

• Para finalizar, guardamos la configuración y reiniciamos el servicio, nft list ruleset > /etc/nftables.conf y systemctl restart nftables.service

• Bloquear en la entrada el acceso al servidor FTP desde el Cortafuegos
• En la máquina cortafuegos introducimos, nft add rule inet accesojramos entrada ip daddr 10.0.0.10 tcp dport 21 counter reject y con nft list table inet accesojramos podemos ver la tabla con su contenido:

• Para finalizar, guardamos la configuración y reiniciamos el servicio, nft list ruleset > /etc/nftables.conf y systemctl restart nftables.service

• Bloquear en la salida el ping con cualquier IP destino u origen
• En la máquina cortafuegos introducimos, nft add rule inet accesojramos salida ip protocol icmp drop y con nft list table inet accesojramos podemos ver la tabla con su contenido:

• Para finalizar, guardamos la configuración y reiniciamos el servicio, nft list ruleset > /etc/nftables.conf y systemctl restart nftables.service

• Ahora si desde la máquina servidor intentamos hacer un ping a la máquina cortafuegos, podemos ver que no funciona:

• Mostramos toda la configuración indicando el código de cada línea
• Con nft list table inet accesojramos podemos ver toda la configuración realizada y el código de cada línea:

Saludos y espero que os sea de ayuda

• En nuestra infraestructura de virtualización VMware, hemos desplegado estas dos máquinas, una llamada cortafuegos y otra servidor con las configuraciones de red indicadas en la actividad, la máquina cortafuegos es un Ubuntu Server 20.04 sin interfaz gráfica y la máquina servidor es un Ubuntu Server 20.04 con interfaz gráfica:

• La configuración de red para la máquina cortafuegos es la siguiente, hemos renombrado las interfaces de red para tenerlo todo más claro (WAN y LAN):

• La configuración de red para la máquina servidor es:

• En la máquina servidor podemos ver, que la ruta por defecto, sale a través de la máquina cortafuegos (10.0.0.1):

• Ahora vamos a realizar las siguientes tareas con el cortafuegos configurando iptables.
• Preparar el Cortafuegos para que haga NAT compartiendo la IP de la interface WAN:
• Lo primero que vamos a realizar es que la máquina cortafuegos deje pasar el tráfico entre la red externa (WAN) y la red interna (LAN), para ello, editamos el fichero /etc/sysctl.conf y descomentamos la línea net.ipv4.ip_forward=1:

• Ejecutamos sysctl -p /etc/sysctl.conf para que los cambios tengan efecto:

• En la máquina cortafuegos configuramos la siguiente regla, para que haga NAT compartiendo la IP dinámica de la interface WAN iptables -t nat -A POSTROUTING -o WAN -j MASQUERADE:

• Una vez configurada la máquina cortafuegos, vamos a realizar la prueba desde la máquina servidor, y verificar que podemos navegar hacia suarezdefigueroa.es:

• Para finalizar, guardamos la configuración, para que al reiniciar el sistema se carguen las iptables que hemos diseñado:

apt-get install iptables-persistent

iptables-save > /etc/iptables/rules.v4

• Abrir los puertos 80 (instalar apache en Servidor) y 21 (instalar vsftpd en Servidor) hacia el servidor:
• Sobre la máquina servidor instalamos el servidor web apache:

• Sobre la máquina servidor instalamos el servidor FTP vsftpd:

• Ahora en la máquina cortafuegos vamos a configurar la regla con iptables para abrir el puerto 80 hacia el servidor, para ello, introducimos iptables -t nat -A PREROUTING -p tcp –dport 80 -i WAN -j DNAT –to 10.0.0.10:80:

• En la máquina cortafuegos vamos a configurar la regla con iptables para abrir el puerto 21 hacia el servidor, para ello, introducimos iptables -t nat -A PREROUTING -p tcp –dport 21 -i WAN -j DNAT –to 10.0.0.10:21:

• Para finalizar, guardamos la configuración, para que al reiniciar el sistema se carguen las iptables que hemos diseñado:

iptables-save > /etc/iptables/rules.v4

• Ahora que hemos configurado las reglas con iptables, nos vamos a conectar al puerto 80 de la interface WAN de la máquina cortafuegos (192.168.14.101, ip servida por DHCP al cortafuegos) y como podemos ver, nos dirige al apache instalado en la máquina servidor:

• Nos conectamos ahora al puerto 21 de la interface WAN de la máquina cortafuegos (192.168.14.101, ip servida por DHCP al cortafuegos) y como podemos ver, nos dirige al FTP instalado en la máquina servidor:

• Permitir el acceso por SSH al cortafuegos cuando NO provenga de la MAC 02:42:02:42:02:42
• En Ubuntu Server 20.04 LTS que es el sistema operativo de la máquina cortafuegos viene instalado por defecto openssh-server, como podemos ver aquí, accedemos sin problemas por SSH:

• Ahora en la máquina cortafuegos vamos a configurar la regla con iptables para no permitir el acceso por SSH cuando provenga de la MAC 02:42:02:42:02:42, para ello, introducimos iptables -A FORWARD -m mac –mac-source 02:42:02:42:02:42 -p tcp –dport 22 -j DROP

• Para finalizar, guardamos la configuración, para que al reiniciar el sistema se carguen las iptables que hemos diseñado:

iptables-save > /etc/iptables/rules.v4

• Bloquear el acceso desde el Servidor a la web suarezdefigueroa.es
• En la máquina cortafuegos vamos a configurar la regla con iptables para bloquear el acceso desde el servidor a la web suarezdefigueroa.es, para ello, introducimos iptables -t filter -A FORWARD -s 10.0.0.10 -d www.suarezdefigueroa.es -j DROP

• Para finalizar, guardamos la configuración, para que al reiniciar el sistema se carguen las iptables que hemos diseñado:

iptables-save > /etc/iptables/rules.v4

• Desde la máquina servidor, podemos ver, que ya no se puede acceder a la web suarezdefigueroa.es:

• No permitir el ping con origen externo hacia el Servidor
• En la máquina cortafuegos vamos a configurar la regla con iptables para no permitir el ping con origen externo hacia el servidor, para ello, introducimos iptables -t filter -A OUTPUT -d 10.0.0.10 -p icmp -j DROP, luego le realizamos un ping desde la propia máquina cortafuegos al servidor y como vemos, la operación no está permitida:

• Para finalizar, guardamos la configuración, para que al reiniciar el sistema se carguen las iptables que hemos diseñado:

iptables-save > /etc/iptables/rules.v4

Saludos y espero que os resulte de ayuda

En este post vamos a ver como administrar el filtrado de archivos de los recursos compartidos en nuestro file server, y poder así darle seguridad al almacenamiento de nuestra infraestructura para proteger nuestro servidor.

• Para ello, desde el Administrador del Servidor nos abrimos el Administrador de recursos del servidor de archivos:

• Sobre la Administración del filtrado de archivos, lo primero que haremos será crearnos los Grupos de archivos, y como podemos ver tenemos una serie de grupos que vienen ya predefinidos, nosotros nos crearemos un grupo de archivos para los ejecutables .exe, cuando nos interese también podríamos excluir del grupo, los archivos .exe que necesitemos:

• Ahora vamos a crearnos las plantillas para el filtrado de archivos en los distintos recursos compartidos de nuestro File Server, en nuestro caso, vamos a bloquear los archivos de audio, video y .exe, en los tres recursos compartidos de nuestro servidor:

• Empezaremos configurando la plantilla para el recurso compartido Publico, para ello, sobre la pestaña Configuración le damos un nombre a la plantilla, elegimos el tipo de filtrado, en este caso, Filtrado activo, y marcamos el check del grupo de archivos que nos interese, en nuestro caso, vamos a filtrar los archivos de audio, video y .exe:

• Configuramos las opciones para el envío de correos electrónicos, en este caso, nos avisará cuando un usuario intente guardar un archivo no autorizado:

• Habilitamos las advertencias en el registro de eventos, así sabemos en todo momento, todo lo que está sucediendo en nuestro servidor de archivos, con respecto al bloqueo de los ficheros, aceptamos las opciones:

• Como podemos ver ya tenemos la plantilla creada:

• Para los demás recursos compartidos de nuestro File Server vamos a realizar las mismas operaciones, como podemos ver ya tenemos las plantillas creadas para los tres recursos compartidos de nuestro servidor de ficheros:

• Ahora vamos a crearnos los filtros de archivos:

• Como comentamos anteriormente vamos a bloquear los archivos de audio, video y .exe en los tres recursos compartidos de nuestro File Server:

• Como podemos ver, ya tenemos los tres filtros de bloqueo de archivos creados para nuestros recursos compartidos:

• En un futuro podremos ir añadiendo más tipos de archivos, sobre las plantillas que hemos creado para el filtrado de archivos en nuestros recursos compartidos.
• Ahora desde un equipo cliente de nuestra infraestructura con Windows 10 vamos a intentar copiar un archivo .exe a nuestro File Server, y como podemos ver no nos deja copiar:

• Si nos vamos al visor de eventos de nuestro File Server, podemos ver los intentos que hemos realizado para copiar este .exe sin éxito:

Saludos y espero que os sea de ayuda