A.

Tabla consolidada para la ejecución de comandos IPTables para reglas de filtrado:

Comandos Función(es), acción o finalidad Sintaxis de Ejemplo contextualizado de
IPTables cada comando cada comando
Tema 1:
Cadenas
y opciones
de comandos
y de
parámetros
Tema 2:
Opciones de
coincidencia
para el
protocolo
TCP
(Incluir
banderas),
UDP e ICMP
Tema 3: Las opciones de coincidencia adicionales están Ejemplo módulo -- limit
Módulos con
disponibles a través de módulos cargados por el -- limit 5/ hour, permite 5
opciones de
coincidencia comando iptables. coincidencias de regla por
Para usar un módulo de opción de coincidencia, hora.
cargue el módulo por nombre mediante -m
<nombre-módulo>, donde <nombre-módulo> es -m state –state INVALID,
el nombre del módulo. NEW.
Muchos módulos están disponibles de forma --mac source
predeterminada. También puede crear módulos Seguida de un «!» opcional, y
luego una dirección Ethernet
para proporcionar funcionalidades adicionales.
en notación hexadecimal
La siguiente es una lista parcial de los módulos separada por «:», por ejemplo
«--mac-source
más comúnmente usados
00:60:08:91:CC:B7»

Modulo Función
limit --limit: establece número máximo
para un periodo de tiempo
determinado, especificado como
un par <valor>/<periodo>.
 --limit-burst: establece un límite en
el número de paquetes que pueden
coincidir con una regla a la vez
State Permite coincidencias de estado
--state: corresponde a un paquete
con los siguientes estados de
conexión:
 ESTABLISHED: el paquete
coincide con otros paquetes en
una conexión establecida
 INVALID: el paquete
coincidente no puede
conectarse a una conexión
conocida
 NEW: el paquete coincidente
crea una nueva conexión o hace
parte de una conexión de dos
vías no vistas anteriormente
 RELATED: el paquete
coincidente inicia una nueva
conexión relacionada de alguna
forma con una conexión
existente
Mac Permite la concordancia entre
direcciones MAC de hardware
--mac source: coincide con una
dirección mac de la tarjeta de
interfaz de red que envió el
paquete

Tema 4:
Opciones
 del objetivo
y del listado
Tema 5:
Directivas de
control de
IPTables,
guardado de
reglas y
archivos de
configuración
de scripts de
control

B. Tabla de Interfaces o gestores para el control de un cortafuego en una distribución

GNU/Linux para manejo de reglas IPTables: Se debe demostrar sobre cada Interfaz la
creación de las reglas para permitir o denegar las acciones solicitadas.
Interface Tema 1: Tema 2: Zorp Tema 3: Tema 4: Tema 5:
/Funcionalidad Gufw GPL pfsense IPCop Firewall
(ufw) Builder
Descripción Zorp GPL:
general de la
Fácil manejo,
Interface utiliza una
lengua de
escritura para
describir las
decisiones de
política,
permite
supervisar el
tráfico
cifrado,
eliminar las
acciones del
cliente,
proteger tus
servidores
gracias a
capacidades
de
identificación
. La lista es
sin fin.
Bloquear el
Acceso a nuestro
equipo desde la IP
192.168.1.10 a
Través del puerto
22 en función del
protocolo SSH.
Denegar el
acceso a
Internet para
El Equipo con IP
192.168.1.10
Restringir el
acceso a la
aplicación
Dropbox URL
de descarga

C. Tabla de distribuciones GNU/Linux como plataformas operativas tipo cortafuegos:

Firewall / Tema 1: Tema 2: Smoothwall Tema 3: Tema 4: Tema 5:
Características Endian ConfigServer IPCop
Security OPNsense
Firewall
(CSF)
Descripción Smoothwall Posee
general de la características muy
distribución avanzadas en la
administración de
redes ajustable a las
necesidades de las
empresas y sus
servicios que debe
controla en la red, es
completamente
configurable a
necesidad y sin
costos en licencias ni
límites de usuarios,
además de brindar
actualizaciones y
módulos adaptables
sin costos
adicionales, su
manejo es
 completamente en
ambiente web
seguro(https)
facilitando su
práctico control y
uso.
Distribución Es una distribución
GNU/Linux en la GNU/Linux que tiene
que está basada como objetivo
proporcionar un
cortafuegos o
firewall de fácil
administración e
instalación,
administrable a
través de una interfaz
web.
Características de SmoothWall admite
tráfico una amplia gama de
funciones, que
incluyen: servidores
proxy, IDS, registro,
gráficos de tráfico,
DHCP, VPN, DNS
dinámico, reenvío de
puertos, estado del
servidor y control de
acceso.
Características Ser lo
De Seguridad suficientemente
simple para ser
instalados por los
usuarios domésticos
sin conocimientos de
Linux.
Más seguro
Hardware Equipo de sobremesa
recomendado para sencillo, puede servir
instalación incluso un Pentium II
a 400MHz, con unos
8GB de disco duro y
512MB de memoria
RAM, sólo
necesitaremos el
monitor para la
instalación, una vez
 instalado y
configurado el
cortafuegos ya no
será necesario el
monitor, pues se
podrá administrar vía
web desde cualquier
otro equipo de la red.

Dos tarjetas de red

para el equipo
anterior.

Dos latiguillos de
cable de red para
conectar las dos
tarjetas al router y al
switch.

Un router o cualquier
otro tipo de
dispositivo para
conexión a Internet,
sólo el equipo con el
cortafuegos o
firewall irá conectado
a este router.

Un switch o varios
donde irán
conectados todos los
equipos de nuestra
red y también el
segundo cable de red
de la segunda tarjeta
de red de nuestro
equipo con el
firewall.
Otras Ejecutar de manera
características eficiente en hardware
adicionales viejo y barato.
Desarrollar una
comunidad de
usuarios de apoyo.
Todos los integrantes del grupo colaborativo realizaran la descarga, instalación y
configuración de la distribución GNU/Linux Endian (EFW), así mismo seleccionar una de
las siguientes cinco (5) temáticas y darle solución bajo esta distribución, la cual será la
plataforma de seguridad, así:
Instalación de Endian

Ahora debemos configurar también los adaptadores de red que vamos a configurar para este
caso configuramos 3, el primero y segundo en red interna y el tercero en puente que es el
que nos permitirá dar acceso a internet.
Se ingresa omitiendo la valides del certificado y elegimos lenguaje y zona horaria
Nos envía a la licencia, la cual debemos aceptar

Configuramos contraseña del administrador y root

Nos muestra el asistente de configuración de red, donde elegimos
Se activa el servidor DHCP para la interface verde con la ip que se había configurado
previamente en la instalación de EFW

Se selecciona la interface roja para indicarle al EFW cual estará conectada al internet

Después de finalizada la configuración, se solicita autenticación para iniciar la interface de

Endian Firewall
Interface operativa de Endian Firewall.

Temática 2: Configuración NAT.

Producto esperado:
 1. Configurar la regla de NAT (Network Address Translation/Traducción de
Direcciones de Red), demostrando el establecimiento de la comunicación desde la
LAN hacia la WAN (Red simulada de Internet).

Para este proceso debemos ir a la opción de menú ‘Firewall’, luego se nos mostrara
esta ventana.

Desde esta ventana como debemos configurar la regla de NAT, entonces seleccionamos la
pestaña NAT Fuente
Ahora sobre la ventana de Nat Fuente, damos clic sobre la opción de añadir una nueva regla
y aquí configuramos la regla de acceso de internet sobre la red LAN (Verde), esta tiene
como IP 192.168.0.15/24 y accediendo a todo

Esta se nos mostrara luego de su creación en la ventana principal de Nat Fuente, luego de
esto solo debemos guardar los cambios.
Luego de aplicar los cambios podemos verificar que navegamos a internet desde la
maquina cliente que tiene la configuración de la zona verde (LAN).

2. Configurar la regla de NAT, demostrando el establecimiento de la comunicación

de la Zona DMZ hacia la Internet. Verificar en el reenvío de puertos / NAT, la
creación de las reglas.
 Adicional al proceso de realizar la configuración de la regla NAT, que se realizó en
el punto anterior, se debe agregar una regla de tráfico enrutado de entrada, esto
para detener el acceso de la WAN a la LAN.

le diremos que es tipo ROJA (WAN) y en destino tipo Zonas, seleccionamos la VERDE
(LAN) y en la política le diremos DENEGAR y creamos la regla, esto quiere decir que
nuestra WAN no tendrá acceso a la LAN.
 Luego de agregar esta regla se nos listara y como es común se debe aplicar el
cambio en el servidor.

Luego de esto haremos una configuración en la pestaña de Redirección de puertos.

Acá vamos a crear dos servicios que apuntaran a los puertos web por defecto el 80
en http y el 443 en https.
Luego de este proceso se nos deben mostrar nuestras reglas de reenvío así como en
la siguiente pantalla, esto nos muestra el resultado de nuestra configuración.