- Se incorporó
- 14 Enero 2008
- Mensajes
- 1.428
En vista que tengo que cambiar uno de los firewall de produccion, arme este "mini" tutorial para probar las reglas antes de ir a produccion, se agradece cualquier correccion/sugerencia etc
Requisitos
Se necesitan a lo menos 2 computadores
* Uno de los equipos debe poder instalar maquinas virtuales, dado que simulara la red LAN (equipo A)
* El otro equipo debe tener instalado hping3 (sudo apt-get install hping3) para poder simular las conexiones via WAN (Equipo B)
Supuestos
- El firewall tiene los siguientes datos de configuracion WAN
- El firewall tiene los siguientes datos de configuracion LAN
- Existe una regla de direccion de puertos con solo un host permitido (regla ya creada en el firewall)
Pruebas
Primero conectamos el equipo A en la interfaz LAN del firewall
En el equipo A creamos una maquina virtual con ip 10.10.10.5 y una interfaz de red de tipo bridge para simular nuestro servidor https
Segundo conectamos conectamos el Equipo B a la interfaz WAN del Firewall
En el Equipo B configuramos la interfaz de red de la siguiente forma (puede ser un alias de red)
Ahora para "probar" que nuesta redireccion de puertos se encuentre funcionando ejecutamos el siguiente comando en el Equipo B
Con esto "suplantamos" la ip de la maquina (159.65.161.177) por la ip 43.254.240.20el ping deberia responder algo como esto
Si no funciona revisar los logs del firewall
Requisitos
Se necesitan a lo menos 2 computadores
* Uno de los equipos debe poder instalar maquinas virtuales, dado que simulara la red LAN (equipo A)
* El otro equipo debe tener instalado hping3 (sudo apt-get install hping3) para poder simular las conexiones via WAN (Equipo B)
Supuestos
- El firewall tiene los siguientes datos de configuracion WAN
Código:
IPADDRESS 159.65.161.178
NETMASK 255.255.255.248 =29
GATEWAY 159.65.161.177
Código:
IPADDRESS 10.10.10.1
NETMASK 255.255.255.0 =24- Existe una regla de direccion de puertos con solo un host permitido (regla ya creada en el firewall)
Código:
dest. address: 159.65.161.178
dest. port: 443
nat ip: 10.10.10.5
nat ports: 443
source address 43.254.240.20Pruebas
Primero conectamos el equipo A en la interfaz LAN del firewall
En el equipo A creamos una maquina virtual con ip 10.10.10.5 y una interfaz de red de tipo bridge para simular nuestro servidor https
Segundo conectamos conectamos el Equipo B a la interfaz WAN del Firewall
En el Equipo B configuramos la interfaz de red de la siguiente forma (puede ser un alias de red)
Código:
IPADDRESS 159.65.161.177
NETMASK 255.255.255.0 =24Ahora para "probar" que nuesta redireccion de puertos se encuentre funcionando ejecutamos el siguiente comando en el Equipo B
Código:
sudo hping3 159.65.161.178 -S -V -p 443 --spoof 43.254.240.20
Código:
len=44 ip=159.65.161.178 ttl=64 DF id=0 tos=0 iplen=44
sport=443 flags=SA seq=0 win=29200 rtt=4.5 ms
seq=1459147831 ack=1904140472 sum=36f7 urp=0
len=44 ip=159.65.161.178 ttl=64 DF id=0 tos=0 iplen=44
sport=443 flags=SA seq=1 win=29200 rtt=3.4 ms
seq=3713492184 ack=502558551 sum=21a5 urp=0
len=44 ip=159.65.161.178 ttl=64 DF id=0 tos=0 iplen=44
sport=443 flags=SA seq=2 win=29200 rtt=3.4 ms
seq=4139755497 ack=1526407581 sum=5a59 urp=0Si no funciona revisar los logs del firewall