Si tenemos configurado un firewall con iptables pero con ciertos puertos abiertos, como por ejemplo redirecciones de puertos a servidores internos, deberíamos tener control sobre los accesos a esos servidores. Un ejemplo sencillo es registrar los accesos por ssh un servidor interno de la red.

Iptables registra sus logs a través del demonio syslog, por lo tanto, si se le indica a que registre, podremos ver la información registrada en el archivo /var/log/messages.

Siguiendo con el ejemplo de la conexión ssh desde Internet, para habilitar el registro debemos agregar lo siguiente en nuestro script de iptables:

iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 22 -j LOG –log-tcp-options –log-ip-options –log-prefix “ACCESO A SERVIDOR: “
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-destination 192.168.0.2:22

Donde:

-j LOG #Si el paquete concuerda con la regla, hace el registro
–log-tcp-options #Registra datos de la conexion tcp (ej: puertos)
–log-ip-options #Registra datos de las ip (ip origen, ip-destino)
–log-prefix “ACCESO A SERVIDOR: ” #Etiqueta que se le aplicara a cada registro en el log.
-i eth0 #por que eth0 es la interfaz conectada al interior, solo estamos registrando las conexiones desde Internet

De esta manera, cuando se inicie la conexión, iptables registrará la acción y luego realizará la redirección.

Luego para verificar los registros de conexion ssh a través del firewall ejecutamos:

#cat /var/log/messages | grep “ACCESO A SERVIDOR”

la salida será algo como esto:

Oct 28 11:07:24 PROXY kernel: [16506.801959] ACCESO A SERVIDOR: IN=eth0 OUT= MAC=00:22:64:24:8f:6f:00:90:1a:a0:20:2b:08:00 SRC=190.72.156.123 DST=190.200.233.145 LEN=52 TOS=0x00 PREC=0x00 TTL=125 ID=9361 DF PROTO=TCP SPT=49200 DPT=22 WINDOW=8192
RES=0x00 SYN URGP=0 OPT (020405B40103030801010402)

Donde:

PROXY #Nombre del equipo
SRC=190.72.156.12 #Direccion IP de Origen
DST=190.200.233.145 #Dirección IP Destino (Ip publica del firewall)
PROTO=TCP #Protocolo de capa de Transporte
SPT=49200 #Puerto Origen
DPT=22 #Puerto Destino (Puerto del Firewall)

Entre otros datos de capa de red y transporte.

Leer más

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *