Práctica: Cortafuegos perimetral con DMZ
Esquema de red
Vamos a utilizar tres máquinas en openstack, que vamos a crear con la receta heat: escenario3.yaml. La receta heat ha deshabilitado el cortafuego que nos ofrece openstack (todos los puertos de todos los protocolos están abiertos). Una máquina (que tiene asignada una IP flotante) hará de cortafuegos, otra será una máquina de la red interna 192.168.100.0/24 y la tercera será un servidor en la DMZ donde iremos instalando distintos servicios y estará en la red 192.168.200.0/24.
Ejercicios
Configurar un cortafuegos perimetral en la máquina router-fw
teniendo en cuenta los siguientes puntos:
- Política por defecto DROP para las cadenas INPUT, FORWARD y OUTPUT.
- Se pueden usar las extensiones que queremos adecuadas, pero al menos debe implementarse seguimiento de la conexión.
- Debemos implementar que el cortafuego funcione después de un reinicio de la máquina.
- Debes indicar pruebas de funcionamiento de todos las reglas.
- El cortafuego debe cumplir al menos estas reglas:
- La máquina
router-fw
tiene un servidor ssh escuchando por el puerto 22, pero al acceder desde el exterior habrá que conectar al puerto 2222. - Desde la LAN y la DMZ se debe permitir la conexión ssh por el puerto 22 al la máquina
router-fw
. - La máquina
router-fw
debe tener permitido el tráfico para la interfaz loopback. - A la máquina
router-fw
se le puede hacer ping desde la DMZ, pero desde la LAN se le debe rechazar la conexión (REJECT). - La máquina
router-fw
puede hacer ping a la LAN, la DMZ y al exterior. - Desde la máquina
DMZ
se puede hacer ping y conexión ssh a la máquinaLAN
. - Desde la máquina
LAN
no se puede hacer ping, pero si se puede conectar por ssh a la máquinaDMZ
. - Configura la máquina
router-fw
para que las máquinasLAN
yDMZ
puedan acceder al exterior. - La máquina
LAN
se le permite hacer ping al exterior. - La máquina
LAN
puede navegar. - La máquina
DMZ
puede navegar. Instala un servidor web, un servidor ftp y un servidor de correos. - Configura la máquina
router-fw
para que los servicios web y ftp sean accesibles desde el exterior. - El servidor web y el servidor ftp deben ser accesible desde la LAN y desde el exterior.
- El servidor de correos sólo debe ser accesible desde la LAN.
- En la máquina
LAN
instala un servidor mysql. A este servidor sólo se puede acceder desde la DMZ.
- La máquina