Header Ads

Firewall


ACEPTAR O DENEGAR HTTPS

Actualmente existen herramientas para que el Administrador IT pudiera bloquear las conexiones p2p y https en su red local, la mayoría centradas en afectar el archivo host, sin embargo el inconveniente es que algunos antivirus (Microsoft Essential Security, etc), eliminan estas modificaciones y restaura el host.
También existen otros métodos que consisten en la modificación del registro de Windows de los clientes (mediante archivos .reg) para impedir la ejecución de ciertos programas en sus terminales, como ares, ultrasurf, tor, utorrent, eMule, bittorrent y un largo etc, pero hay programas como Malwarebytes que eliminan estas modificaciones en el registro. Y si bien puede surtir los efectos deseados en redes pequeñas y altamente controlables, esta alternativa aplica siempre y cuando los clientes de la red local tengan Windows. Pero en redes híbridas, que integran smartphones, tablets y demás dispositivos portables, con una variedad de sistemas operativos como MacOS, Linux, Android, etc, este tipo de medidas no son viables.
Ante esta situación solo nos queda un camino: suicidarnos… Mejor usar a los superhéroes Batman y Robin:  IPTABLES y  SQUID entre nuestra red local e internet, para filtrar el contenido.
Nota: Para los amantes de Windows Server, lamentamos informarles que  Microsoft decidió usar servidores Linux para Skype.
8080 o 3128: ESA ES LA CUESTION
Saltándonos la explicación de cómo funciona  IPTABLES y  SQUID , se presenta un gran dilema al aplicar las políticas restrictivas en un servidor proxy:
Usamos un  Proxy Cache No-Transparente (Todas las peticiones van al puerto 3128 por default) o un  Proxy Cache Transparente (Redirección de todas las peticiones del 80 al puerto 8080 Transparent por default).
Si elegimos un Proxy Cache (Default 3128) sin la cláusula transparent o intercept (depende de la versión), Squid "filtrará" las peticiones, pero esta configuración implica una carga laboral muy grande, ya que el Administrador TI tendría que configurar los navegadores web de todos los equipos de su red local para que apunten a la IP/Puerto del servidor proxy, bien sea usando el protocolo WPAD (lo cual no es muy recomendado por su vulnerabilidad) o manualmente.
Esta selección se vuelve inmanejable a la hora de configurar smartphones, tabletas y demás dispositivos portables, y a los visitantes ocasionales procedentes de otras redes con diferentes configuraciones. Existen scripts que hacen este trabajo, pero la mayoría no funcionan bien fuera del entorno Windows, y en muchos casos es necesario instalar una aplicación en estos dispositivos para que puedan aceptar la IP/Puerto del proxy (ej: Proxy Setting)
Caso contrario, si el Administrador TI se decanta por un Proxy Transparente (Default 8080), no tendría que hacer esta tediosa tarea, pero no puede filtrar las peticiones HTTPS (443) ya que  SQUID no filtra HTTPS en modo transparente (aunque otros afirman lo contrario). Lo anterior se traduce en que cualquier novato puede saltarse la protección del proxy y ganar acceso al centro mundial del chisme (facebook) con solo ponerle una "S" al final de HTTP, o usar un túnel VPN, o los escurridizos Tor o Ultrasurf .
Antes que siquiera lo piense, no pierda el tiempo redireccionando las peticiones del 443 al 8080, porque el navegador web no podría verificar los certificados de seguridad (SSL/TLS) procedentes de estas conexiones seguras y se presenta el típico error de certificado. Y si creen que la solución es crear  certificados propios SSL o un  man-in-the-middle, aparte del trabajo adicional que implica y de la ralentización del tráfico, es algo considerado por la comunidad como una invasión a la privacidad... En fin; otra pérdida de tiempo.
Sin embargo hay algo que podemos hacer y es ofrecer lo mejor de ambos mundos y obtener un buen resultado bastante satisfactorio. En otras palabras, podemos establecer un Proxy Transparente y a la vez filtrar las peticiones HTTPS con una solución muy simple: agregando un par de líneas en el Firewall de Linux IPtables.
ANTES DE COMENZAR
Las siguientes técnicas están basadas en los principios de los NGFW (Next Generation Firewalls), con un esquema de seguridad en el cual solo lo legitimo y autorizado es permitido, bloqueando todo lo demás, sin embargo se ofrece la posibilidad de hacerlo a la inversa, o sea, permitir todo y bloquear urls o ips específicas, pero esta última no la recomendamos, por carecer de estándares básicos de seguridad, sin embargo queda a juicio del administrador TI usar una técnica u otra.
Tenga en cuenta que el filtrado IP a través del firewall, que a continuación se describirá, demanda grandes cantidades de recursos de servidor. Uselo a discresión.
El Firewall Iptables viene por defecto en muchas distribuciones de Linux, pero su ubicación puede variar. Para saberlo use los comandos 'which' o 'whereis'.
~$ which iptables
/sbin/iptables
Luego haga el script de IPtables con los datos aportados por los comandos y colóquelo en  init.d, especificando la ruta del IPTables, tal y como aparece abajo.
Sin importar la política por default que se aplique en iptables, se recomienda SIEMPRE, cerrar todo al final del script. Esto es con el objeto de cerrar algún puerto abierto declarado en alguna regla específica, pero no cerrado explícitamente para el resto.También se aclara que el iptables no agrega las reglas en el orden del script sino en su propio orden. Para mayor información, lea el Capítulo 3 de Iptables Turorial 1.1.19
Script de iptables
#!/bin/bash
### BEGIN INIT INFO
# Provides:          iptables
# Required-Start:    $local_fs $remote_fs $network
# Required-Stop:     $local_fs $remote_fs $network
# Should-Start:      $named
# Should-Stop:       $named
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Start iptables.
# Description:       Enable service provided by daemon.
### END INIT INFO

# Written:           Maravento.com and Novatoz.com
# Ejecute root:      chmod +x /etc/init.d/iptables.sh
# Verifique con:     iptables -L -n o iptables -nvL
# verifique puertos: /etc/services

#-------------------------------------------------------
echo IPTABLES FIREWALL START...

######################
### FIREWALL RULES ###
######################

echo Load Firewall Rules...

internet=eth0
lan=eth1
local=192.168.1.0
iptables=/sbin/iptables
ip6tables=/sbin/ip6tables
route=/etc/acl
proxyport1=3128
proxyport2=8080
netmask=24
# reemplace los DNS por los de su ISP
DNS1=8.8.8.8
DNS2=8.8.4.4
# reemplace la mac de administrador
sysadmin="00:00:00:00:00:00"

echo Apply Flush Rules...

# Zero all packets and counters
$iptables -F
$iptables -X
$iptables -t nat -F
$iptables -t nat -X
$iptables -t mangle -F
$iptables -t mangle -X
$iptables -t raw -F
$iptables -t raw -X
$iptables -t security -F
$iptables -t security -X
$iptables -Z
$iptables -t nat -Z
$iptables -t mangle -Z

# Preload required kernel modules
# modules (consulte con lsmod)
modprobe=/sbin/modprobe
arp=/usr/sbin/arp
# Adicional modules
sysctl=/sbin/sysctl
rmmod=/sbin/rmmod
lsmod=/sbin/lsmod
depmod=/sbin/depmod
grep=/bin/grep
awk=/usr/bin/awk

# modprobe
# ls /lib/modules/*/kernel/net/*/netfilter/
$modprobe ip_tables
$modprobe iptable_nat
$modprobe iptable_mangle
$modprobe iptable_filter
$modprobe ipt_REJECT
$modprobe nf_nat
$modprobe nf_conntrack
$modprobe ip_conntrack_irc
$modprobe nf_conntrack_ipv4
$modprobe nf_conntrack_ftp
$modprobe xt_connlimit
$modprobe ipt_recent
$modprobe xt_NFLOG

# Activar ip forward rules. Ponga el resto de las reglas en /etc/sysctl.conf
# Para mayor informacion, visite https://klaver.it/linux/sysctl.conf
echo 1 > /proc/sys/net/ipv4/ip_forward
echo ok
En la cabecera del script de colocan las siguientes variables:
route : es la variable que sustituye la ruta en el IPtables donde el Administrador IT ubicará las ACLs  
internet : es eth0, la interfaz que recibe el internet del exterior
lan es eth1, la interfaz que maneja la red local
adminMAC : la variable que contiene la/s MAC/s de administración del IPtables, o de acceso a los puertos SSH/VNC/WEBMIN  
iptables: contiene la ubicación del IPtables
proxyport : el puerto que define el proxy default. Ej: 8080
netmask: define la máscara de red.
alias: una serie de símbolos que usaremos en la regla, para validarlos
Es importante resaltar que las variables solo son para el script de IPTables. En el Squid no se usan, debido a que es un archivo de configuración, por tanto, para el caso de route hay que poner la ruta completa y no la variable.
A continuación le podemos otorgar privilegios a sysadmin para los puertos SSH, Webmin, y VNC. Si hay más de un sysadmin debe colocar las macs en sysadmin, una después de las otras, separadas por un espacio.
# PRIVILEGIOS SSH, WEBMIN, VNC PARA SYSADMIN
$iptables -A INPUT -i $lan -m mac --mac-source $sysadmin -p tcp -m multiport --dports 22,10000,5900 -j ACCEPT
Instalar Squid Para este procedimiento, instale Squid v2.x o v3.x, en dependencia de la versión de su distribución.
apt-get install squid3
o
apt-get install squid
Puerto del Proxy
No se recomienda el uso puertos reservados para la configuración del Proxy (Ej: 80 (Internet), 53 (DNS), etc.) Puede consultar los puertos de servicios en  /etc/services
El puerto del Proxy debe ser predefinido por el Administrador IT al momento de la configuración. Squid usa por defecto el 3128, pero puede cambiarlo.
Para activar el modo transparente (que no tengamos que configurar el navegador web) solo necesita agregarle al puerto la palabra " transparent" (para Squid 2.6 o superior) o " intercept" (Para Squid 3.1 o superior) después del puerto elegido (Vea  Directiva http_port). Para los efectos de este artículo, usaremos el puerto 8080 en modo transparente y versión 3x de Squid.
# Default Squid Listens to Port 3128
http_port 8080 intercept
Diferencia entre distros de Linux
IPtables difiere en cada versión de Linux. Lea el post de Nico Schottelius para solucionarlo. Tenga en cuenta a la hora de configurar su iptables, el error de squid3 No forward-proxy ports configured
CONFIGURANDO IPTABLES
Solo mencionaremos la parte del filtrado HTTPS y otras recomendaciones. Asumimos que ya tienen el script  iptables.sh (Por seguridad cámbiele el nombre) ubicado en  init.d y arrancado (puede usar  webmin para arrancarlo automáticamente en cada inicio del sistema) y que SQUID e IPTABLES están configurados en modo TRANSPARENTE.
Las siguientes políticas solo afectan las conexiones al puerto 443 (HTTPS) y no al resto de las conexiones (80, 53, 21, 8080, etc). Por tanto debe ubicarlas después de las reglas que hayan establecido por defecto.
Ambos scripts son idénticos (ACCEPT Y DROP). Lo único que cambia es el nombre de la ACL a usar y su ruta, y la regla.
PASOS
1. Cree dos ACLs cada una con las direcciones ip o rangos completos que vaya a bloquear o aceptar, según el caso y ubíquelas donde considere (establezca los permisos necesarios). Para los efectos de este instructivo las llamaremos  httpspermitidos y  httpsbloqueados y estarán en la ruta explicada en la variable $route de la cabecera del IPtables.
2. Edite el script  iptables.sh en init.d (o como sea que lo haya nombrado) con privilegios root y después de las políticas de la red que haya determinado como prioridad, coloque lo siguiente (copie y pegue):
Caso 1: ACEPTAR CONEXIÓN (Recomendado)
Solo se aceptan las IPs incluidas en la ACL  httpspermitidos. El resto de las peticiones https se rechazan.
Caso 2: DENEGAR CONEXIÓN
Solo se niegan las IPs incluidas en la ACL  httpsbloqueados. El resto de las peticiones https se aceptan.
El siguiente ejemplo es el clásico Caso 1: se aceptan solamente algunos sitios https (correos, etc) y el resto se bloquea.
##########################
# LOCAL NETWORK POLICIES #
##########################
echo Apply Local Network Policies...
# SOLO PETICIONES LAN
for mac in `sed '/#.*/d' $route/macs-* | tr '[A-Z]' '[a-z]' | sort -u`; do
$iptables -t mangle -A PREROUTING -i $lan -m mac --mac-source $mac -j ACCEPT
done
$iptables -t mangle -A PREROUTING -i $lan -j DROP

# ACCESO LAN AL PUERTO 443 (SOLO SE PERMITEN SITIOS ACL HTTPSPERMITIDOS)
for ip in `sed '/#.*/d' $route/httpspermitidos`; do
   if echo $ip | grep "-" >/dev/null; then
     $iptables -A FORWARD -m iprange --dst-range "$ip" -j ACCEPT
   else
     $iptables -A FORWARD -d $ip -j ACCEPT 
   fi
done
# ACCESO LAN AL PUERTO 443 (DENEGAR SITIOS ACL HTTPSBLOQUEADOS)
#for ip in `sed '/#.*/d' $route/httpsbloqueados`; do
#  if echo $ip | grep "-" >/dev/null; then
#   $iptables -A FORWARD -m iprange --dst-range "$ip" -j DROP 
#  else
#    $iptables -A FORWARD -d $ip -j DROP 
#  fi
#done
echo ok
Donde "route" es la ruta donde están las acls con las macs de la red local; y "macs-*" es el nombre con el que comienzan las acls con dichas macs (Ej: macs-permitidas). Si cambia el nombre de sus acls deberá hacerlo en el script.
Para finalizar el script, debe asegurarse de que se encuentre el puerto 443. Si eligió el CASO 1 :ACEPTAR CONEXIÓN, la línea correspondiente a 443 debe estar  comentada (con #) o eliminada (así se cierra el acceso a este puerto) . Si eligió el CASO 2: DENEGAR CONEXIÓN, la línea debe estar  descomentada (para abrir el puerto)
##########################
### PRESET CONNECTIONS ###
##########################
echo Apply Preset Connections...
# LAN ---> INTERNET
# ACEPTAR CONEXIONES DE LA LAN A PUERTOS HTTP, FTP, DNS, POP3, SSH, SMTP !HTTPS
$iptables -A FORWARD -s $local/$netmask -i $lan -p udp -m multiport --dports 25,53,110 -o $internet -j ACCEPT
$iptables -A FORWARD -s $local/$netmask -i $lan -p tcp -m multiport --dports 80,8080,22,21 -o $internet -j ACCEPT
# $iptables -A FORWARD -s $local/$netmask -i $lan -p tcp --dport 443 -o $internet -j ACCEPT
# DENEGAR EL RESTO
$iptables -A FORWARD -s $local/$netmask -i $lan -o $internet -j DROP
echo ok
Si quiere permitir algunos terminales dentro de su red local que tengan acceso al puerto 443 escriba la siguiente regla y póngala  antes de la regla de aceptar o denegar conexión https, pero primero cree la ACL (la llamaremos  macs-443) y coloque dentro todas las MACs que quiera que tengan acceso al 443.
El siguiente ejemplo hemos permitido el acceso al 443 a una acl llamada macs-443, en el horario laboral (El horario se estableció previamente en la cabecera del iptables definido como hora actual - hora limitada). Después que finalice la hora laboral, se abre el puerto 443 para toda la red local.
# ACCESO AL PUERTO 443 (SOLO ALC MACS-443)
if [ $hora_actual -lt $hora_ilimitada ]; then
for mac in `sed '/#.*/d' $route/macs-443`; do
 $iptables -A FORWARD -m mac --mac-source $mac -p tcp --dport 443 -o $internet -j ACCEPT
done
else
 $iptables -A FORWARD -p tcp --dport 443 -o $internet -j ACCEPT
fi
Pero si quiere bloquear el 443 de forma permanente (sin horarios) y dejarlo solamente para las macs-443, cambie la última línea por DROP
# ACCESO PRIVILEGIADO AL PUERTO 443 (SOLO ALC MACS-443)
for mac in `sed '/#.*/d' $route/macs-443`; do
$iptables -A FORWARD -m mac --mac-source $mac -p tcp --dport 443 -o $internet -j ACCEPT
done
$iptables -A FORWARD -p tcp --dport 443 -o $internet -j DROP
Ahora, cada vez que un usuario visite  https://www.facebook.com, el navegador quedará en suspenso hasta que se agote el tiempo y se cae la página como si no hubiese internet.
En una política basada en el  Caso 2, solamente se bloquearán las IPs que escriba en la ACL, pero como este caso abre el puerto 443, implica que cualquier usuario con acceso a nuestra red puede saltarse literalmente estas IPs bloqueadas con programas como Ultrasurf o Tor.
En una política basada en el Caso 1, el puerto 443 está cerrado por defecto y solo se autorizan las IPs https contenidas en la ACL httpspermitidos, por lo que los programas como Tor o Ultrasurf y sus derivados, quedarán inservibles.
Basados en ese análisis, consideramos que la mejor política es el Caso 1; o sea, aceptar solamente las conexiones https (443) procedentes de los correos electrónicos y messengers (Hotmail, Skype, gmail, yahoo, etc), bancos y uno que otro portal corporativo o institucional y denegar el resto del tráfico por ese puerto, e ir agregando sitios a medida que los de su red local lo soliciten y las políticas de seguridad de su empresa las valide. El resto del tráfico (Puerto 80) puede ser filtrado por el Squid.
Otros métodos de bloqueo
Iptables, de acuerdo a la documentación, solamente trabaja con IPs y puertos. Sin embargo una regla basada en aceptar o denegar urls es aceptada por Iptables.
$iptables -A FORWARD -i $lan -o $internet -p tcp -d google.com --dport 443 -j ACCEPT
$iptables -A FORWARD -i $lan -o $internet -p tcp -d facebook.com --dport 443 -j DROP
Lo anterior se puede hacer debido a que Iptables "traduce" las urls a ips y las acepta o niega en dependencia de la regla, pero esto ralentiza el firewall, ya que cada vez que se corre debe realizar estas consultas, y el tiempo que demore lo determinará la cantidad de urls/ips a consultar. Es por esta razón que basamos nuestro método en IPs directamente.
También existen otras reglas para bloquear sitios:
$iptables -A FORWARD -p tcp --dport 443 -m string --string 'facebook.com' --algo bm -j DROP
O para bloquear descargas de archivos con extensiones específicas:
$iptables -A INPUT -p tcp -m string --string ".exe" --algo bm -j DROP
O para vigilar un puerto y bloquear tráfico sospechoso por ejemplo en el puerto 80
$iptables -A INPUT -p tcp --dport 80 -m string --string "/etc/passwd" --algo kmp  -j LOG --log-ip-options --log-tcp-options --log-prefix "passwd access "
$iptables -A INPUT -p tcp --dport 80 -m string --string "/etc/passwd" --algo kmp -j DROP
Sin embargo aclaramos que las reglas basadas en "string" no corren con fluidez y ralentizan demasiado el firewall y la navegación en comparación con la validación por ip, sin embargo queda a criterio del administrador IT, utilizarlas o no.
DONDE BUSCO LAS IPs PARA LAS ACLs?
El Administrador TI debe saber cuáles sitios HTTPS debe aceptar o denegar. Para averiguarlo, con tan solo escribir en el terminal de linux la palabra host y seguido la URL del sitio a bloquear (Ej: host www.google.com), rápidamente obtiene la/s IP/s del sitio. También puede usar dig o nslookup. Ejemplo:
nslookup google.com
dig +short google.com
host -t a google.com
Es importante resaltar que los comandos host, dig y nslookup debe ejecutarlos como mínimo 3 veces (con www y sin www para cada dominio), ya que los resultados en cada ejecución puede ser diferentes.
Otro método que arroja resultados más amplios es  originAS. Para obtenerlo visite centralops.net/co/, busque el sitio de su preferencia (Ej: facebook.com) y en los resultados aparecerá el originAS. Luego ejecute en consola el siguiente comando:
/usr/bin/whois -h whois.radb.net '!gAS32934' | tr ' ' '\n' | sort -n -k1,1 -k2,2 -k3,3 -k4,4 |grep /
Donde, por ejemplo, AS32934 es el originAS de facebook y seguido arrojará todos los rangos de ips de este dominio.
Desafortunadamente no siempre se obtiene el originAS de un dominio, pero es bastante útil y ahorra tiempo en la recopilación de las IPs. El originAS también sirve para bloquear o aceptar rangos en el Iptables. Ejemplo de bloqueo de Ultrasurf por OriginAS (AS6939)
# BLOCK ULTRASURF (solo bloquea los rangos de ips relacionados con el sitio web) 
for i in $(/usr/bin/whois -h whois.radb.net '!gAS6939' | tr ' ' '\n' | sort -n -k1,1 -k2,2 -k3,3 -k4,4 |grep /)
do iptables -A FORWARD -d $i -j DROP
done
Aunque no es muy recomendable usarlo para este propósito (bloqueo o aceptar conexiones a un sitio), ya que si lo incluye en el Iptables, cada vez que corre, debe consultar la base de datos en internet para actualizar las tablas, lo cual ralentiza la ejecución del firewall. Si no se abusa de este comando puede usarse para casos de emergencia (ataques DDoS, etc)
Otra herramienta excelente para determinar las ip que usan los programas, navegadores y demás para conectarse es Socketsniff. Es muy efectiva y simple.
Iniciamos el programa que queremos saber la ip a la cual se conecta (ej: Skype). Después de iniciado, arrancamos Sockersniff y elegimos Skype. Seguido ponemos el usuario y la contraseña en Skype y comienza la autenticación normal, y Sockersniff va registrando todos las ip a las que Skype intenta conectarse y otros datos como el puerto que usa, etc. Tomamos nota de las IPs y vamos a nuestra ACL correspondiente (bloquear o aceptar) y las validamos.
Lo mismo con los sitios en Internet. Abrimos el navegador. Elegimos en Sockersniff el navegador a monitorear, y luego vamos a la página deseada, para que Sockersniff detecte la IP y el resto es el mismo procedimiento que con los programas.
En ocasiones las IPs son similares, lo cual nos indica que hay un rango más amplio de IPs que usa nuestro programa o sitio web que queremos bloquear o aceptar. Para saberlo vamos a IP Adrdress Lockup, y buscamos las IPs, subiendo y bajando los octetos de valor decimal, para ir verificando el propietario o usuario de la IP, hasta completar el rango. También pueden usar Whois Lockup, o cualquier otra herramienta que gusten para determinar las IPs objetivo, siempre que brinden resultados confiables.
Sin embargo, si conseguir todas las IPs que necesita para validar su entrada se convierte en algo tedioso, ya que pueden ser cientos, o tal vez miles de dominios, consulte el post Automatizando parámetros en Linux II.
PUEDO USAR MI SERVIDOR PROXY CONFIGURADO COMO TRANSPARENTE Y NO TRANSPARENTE A LA MISMA VEZ?
Sí y puede recibir peticiones de su red local con configuración manual o automática del proxy en el navegador web de los usuarios.
Ejemplo de Squid:
# Default Squid Listens to Port 3128
http_port 3128
http_port 8080 intercept
Para usar ambos en el Squid debe asegurarse tener abiertos los puertos que vaya a usar como transparente y no transparente en el IPtables y redireccionarlos al Squid.
Ejemplo de Iptables
# ACCESO LAN AL PROXY (LAN ---> PROXY ---> INTERNET) (DEFAULT 3128 Y NAT 8080)
$iptables -t nat -A PREROUTING -i $lan -p tcp --dport 80 -j REDIRECT --to-port $proxyport
$iptables -A INPUT -i $lan -p tcp --dport 8080 -j ACCEPT
$iptables -A INPUT -i $lan -p tcp --dport 3128 -j ACCEPT
Donde internet=eth0 (que viene de internet) y lan=eth1 (que va a la red local)
NOTA: Por seguridad se recomienda cambiar los puertos del proxy por defecto, o sea 8080 y 3128. Si los cambia, asegúrese que su reemplazo no sea el mismo para ambos tipos de configuraciones y colocar los nuevos en el iptables y squid
BLOQUEO DE ANONIMIZADORES
Para bloquear anonimizadores como Ultrasurf, etc, con Iptables, visite el proyecto  blackstring.
Para bloquear otros anonimizadores, como  PrivateTunnelFreegateyour-freedom, además de las reglas del proyecto Blackstring, debe cerrar el puerto 21 y filtrar el puerto 80 en el squid. Para las aplicaciones  autohide (y familia hide-ip), y similares, solamente deberá filtrar el puerto 80 como medida adicional.
Para filtrar el puerto 80, agregue la siguiente regla a su squid
acl blackweb dstdomain -i "/etc/acl/blackweb"
http_access deny blackweb
Para mayor información visite  blackweb
Para completar el filtrado, bloquee las peticiones a ips por el puerto 80 en el Squid (y solo permita peticiones urls de su red local y la acl httpspermitidos puede usarla también en squid). Lo anterior es debido a que ultrasurf, SecurityKiss Tunel, Easy Hide IP (y familia hide-ip), etc, hacen peticiones al puerto 80, y los Free o Anonymous Web proxy.
# squid.conf Denegar todas las peticiones a ips (solo url)
acl httpspermitidos src "/etc/acl/httpspermitidos"
acl no_ip dstdom_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+$
http_access deny no_ip !httpspermitidos
Luego puede crear una acl para las macs de su red local que quiera permitirles el acceso a ciertos puertos (Ej: 443, 21, 22)
# ACCESO PRIVILEGIADO A CIERTOS PUERTOS(ALC MACS-ESSENTIAL)
for mac in `sed '/#.*/d' $route/macs-essential`; do
 $iptables -A FORWARD -m mac --mac-source $mac -p tcp -m multiport --dports 443,21,22 -o $internet -j ACCEPT
done
Autorice los puertos de trabajo de su red local (sin incluir los puertos autorizados arriba) y cierre.
# LAN ---> INTERNET
# ACEPTAR CONEXIONES A PUERTOS HTTP, FTP, DNS, POP3, SMTP !HTTPS, SSH, FTP
$iptables -A FORWARD -s $local/$netmask -i $lan -p udp -m multiport --dports 25,53,110 -o $internet -j ACCEPT
$iptables -A FORWARD -s $local/$netmask -i $lan -p tcp -m multiport --dports 80,8080 -o $internet -j ACCEPT
# DENEGAR EL RESTO
$iptables -A FORWARD -s $local/$netmask -i $lan -o $internet -j DROP
Y después de poner todas las reglas de su preferencia, no olvide cerrar parcialmente el script
echo Drop All...
$iptables -A INPUT -s 0.0.0.0/0 -j DROP
También puede bloquear los servicios de Google Translate Para mayor información sobre cómo usar Google como proxy visite el post visite el post  Usar Google como un proxy para entrar a páginas censuradas
Recomendaciones para el script de Iptables
1. Establecer en lo posible una política de cero tolerancia. por defecto DROP
2. Que tenga como política permitir solo las ips https autorizadas y bloquear el resto
3. No abusar de la regla "string" propuesta (incluyéndole otros hexadecimales en la acl  blacklist-string para realizar bloqueos a sitios o descargas), ya que este tipo de reglas lo que hacen es capturar todo el tráfico (443) y revisar una por una las peticiones y respuestas, y si alguna coincide con los hexadecimales incluidos en la acl blacklist-string se aplica el DROP (caso contrario lo deja pasar) . Dicha revisión es mucho más exhaustiva (en comparación con una regla que solamente valida si la ip https solicitada/recibida se encuentra en la acl https-permitidas), entonces si hay demasiados hexadecimales en la acl  blacklist-string, su firewall se ralentizara al extremo que se puede detener.
Medidas adicionales 
Recomendamos proteger las peticiones a los puertos 80 y 443 con la siguiente regla que deberá ubicarse en el Iptables antes que la de https-permitidos y anti-ultrasurf y similares (active el módulo connlimit en la cabecera de su Iptables: modprobe xt_connlimit)
# PROTECTION RULES
# Permitir conexiones 443 (3 por host)
$iptables -A INPUT -p tcp --syn --dport 443 -m connlimit --connlimit-above 3 -j DROP
# Proteger el puerto 80
$iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 30 -j DROP
RECOMENDACIONES
1. Si va a usar algún símbolo diferente en el script de IPTables, debe agregarlo en el 'alias'.
2. Puede tener ambas reglas dentro del mismo IPtables. Solo comente la que no va a usar
3. No abuse de este tipo de filtrado colocándole demasiadas ips o rangos de ips dentro de las ACLs, ya que ralentiza el Firewall.
4. No olvide configurar el SQUID para estas reglas
5.  Pruebe su firewall
TABLA  MANGLES
Anteriormente explicamos la manera de bloquear las conexiones de tipo HTTPS no autorizadas usando una regla, sin embargo, ésta por sí sola no impide el acceso al HTTPs a usuarios no deseados, ya que su única función es validar o denegar las IPs contenidas dentro de ACL usada según el caso, pero no discrimina cuáles usuarios pueden hacer peticiones HTTPs y cuáles no.
Puede ocurrir que un fulano de tal, no autorizado, haga peticiones (desde dentro o fuera de nuestra red local) a sitios HTTPs contenidos en la ACL citada en el artículo anterior, por lo tanto podrá navegar sin problemas. Peor aún; un hacker irrumpe en nuestra LAN, (ya sea por un ataque por fuerza bruta descifrando la clave del WIFI, usando software de penetración como  BacktrackBeiniWirelessKeyView, etc, o logra acceso físico a uno de los equipos de nuestra red o cibercafé y copie la clave WIFI en la  configuración de red de los terminales Windows. En este caso el chico malo tendrá acceso a gmail, hotmail, yahoo o a cualquier IP registrada en la ACL  https-permitidos, con tan solo agregarle una "s" a su petición http://. Para evitarlo hay que aplicar niveles de seguridad en el servidor; o sea blindar el firewall IPTABLES.
MANGLES es una de las tantas alternativas que existen para hacer más seguro el acceso a nuestra red. De acuerdo a la  estructura misma del IPTABLES, lo primero que aparece es la tabla MANGLES. Esta se encarga de modificar los paquetes de Internet y es precisamente en este punto cuando podemos establecer los usuarios que vamos a autorizar a recibir o enviar paquetes dentro de nuestra red, sin importar que sus peticiones sean http o https, ftp, etc.
Un filtrado con MANGLES se logra creando una simple regla que hace dos cosas:
1. Solo permite el acceso a Internet y a los recursos de nuestra LAN a las MACs previamente seleccionadas por el administrador TI, que registre en una ACL.
2. Denegar el resto de las conexiones (corta literalmente las comunicaciones al resto)
De esta manera es más fácil controlar los equipos que hacen uso de nuestros recursos en la red y por ende el filtrado de HTTPs descrito en el post  Firewall, sería más fácil de aplicar.
NOTA: Consulte las variables de la cabecera del IPTables en  Firewall
Ejemplo del uso de MANGLES en el IPTABLES, visto en  Firewall:
# SOLO PETICIONES DE LA LAN
for mac in `sed '/#.*/d' $route/macs-* | tr '[A-Z]' '[a-z]' | sort -u`; do
$iptables -t mangle -A PREROUTING -i $lan -m mac --mac-source $mac -j ACCEPT
done
$iptables -t mangle -A PREROUTING -i $lan -j DROP
Con esta regla limitamos el acceso a nuestra red a un puñado de MACs establecidas previamente en las ACLs creadas por el administrador TI. El resto de las MACs que logren entrar a nuestra red local, simplemente no tendrán conectividad ni acceso a ningún recurso.
Pero a pesar de que esta regla es muy efectiva, solo considera las macs autorizadas, mas no realiza ningún "amarre" entre Host+IP+Mac.
ESTABLECIENDO HORARIOS
Supongamos ahora que el administrador TI quiere hacer una discriminación. Un grupo de computadores de nuestra red tendrá acceso a Internet 24/7 y a los sitios establecidos en la ACL  https-permitidos (o como quieran llamarle), sin embargo el otro grupo no tendrá Internet salvo en un horario predefinido y solo tendrá acceso a ciertos recursos de la red en ese horario (Ejemplo: carpetas compartidas desde el servidor, impresión, sistema de mensajería interna, etc). Para este grupo limitado, hay que poner de primero la regla MANGLES, antes que cualquier otra regla del IPTABLES e irle validando los puertos que queremos que tengan acceso y cerrarles el resto. El administrador TI es quien debe valorar qué recursos les otorga a sus usuarios (abriendo o cerrando puertos y bloqueando sitios y recursos) dentro de su red LAN.
El siguiente ejemplo se abren solamente los puertos 53 (consulta DNS), 80 (internet), 8080 (proxy) 137, 138, 139 y 445 (samba - archivos compartidos con redes windows).
Para efectos de este ejemplo llamaremos a la ACL  macs-limitadas. Aquí se le aplicará un horario especial a esta ACL y las restricciones estarán sujetas a este horario. Las restricciones consisten en un bloqueo general y la validación de algunos puertos. Una vez terminado el horario, se levantarán las restricciones impuestas. Se recomienda que se programe esta tarea en el Crontab (/usb/bin/crontab) para que se ejecute de manera desatendida y automáticamente. También se incluyen especificaciones adicionales y las reglas descritas en la primera parte  Firewall para una mayor comprensión de los pasos.
Primero debe establecer en la cabecera del IPtables el horario (Ajústelo en dependencia de sus necesidades
# horario (formato 24h)
route=/etc/acl
hora_actual=$(date +%H)
hora_permitida=12
hora_ilimitada=16
Uso de MANGLES para aplicarle restricciones a un grupo de equipos de la red LAN en un horario determinado.
# TABLA/CADENA: -t mangle -A PREROUTING (INTERNET-2-LOCALHOST)
# BLOQUEAR HTTPS A MACS-LIMITADAS SI NO ES LA HORA PERMITIDA Y ABRIR PUERTO HTTP PARA ERROR (BLOQUEO SQUID)
if [ $hora_actual -lt $hora_permitida ]; then
  echo bloqueando https para macs-limitadas
  for mac in `sed '/#.*/d' $route/macs-limitadas`; do
  $iptables -t mangle -A PREROUTING -i $lan -m mac --mac-source $mac -p tcp -m multiport --dports 80,3128,139,445 -j ACCEPT
  $iptables -t mangle -A PREROUTING -i $lan -m mac --mac-source $mac -p udp -m multiport --dports 53,137,138 -j ACCEPT
  $iptables -t mangle -A PREROUTING -i $lan -m mac --mac-source $mac -j DROP
  done                                                                         
fi
Otro ejemplo es cuando permite solo la entrada a las direcciones mac de nuestra red local, previamente seleccionadas
# SOLO PETICIONES DE LA LAN
for mac in `sed '/#.*/d' $route/macs-* | tr '[A-Z]' '[a-z]' | sort -u`; do
$iptables -t mangle -A PREROUTING -i $lan -m mac --mac-source $mac -j ACCEPT
done

				
				
$iptables -t mangle -A PREROUTING -i $lan -j DROP
O cuando las trabajamos con el DHCP
# SOLO PETICIONES DE LA LAN
create_acl $mac2ip
$iptables -t mangle -A PREROUTING -i $lan -j DROP
MANGLES es de gran ayuda, pero no servirá de mucho si la política es demasiado flexible. Habría que implementar un nivel mucho más alto de seguridad y aplicar protecciones adicionales, que se describirán a continuación.
POLÍTICAS AVANZADAS
Ninguna política descrita anteriormente impide que un intruso, con ciertos conocimientos, se haga con nuestra clave de red wifi o tenga acceso físico a un terminal de nuestra Lan y ejecute un scanner de red ( Angry Ip Scanner, arp ping, etc) y logre obtener todas las direcciones MACs de los equipos autorizados de la Lan y clone alguna para hacer uso de los recursos de la red de datos o lanzar un túnel vpn para establecer contacto remoto con su propio servidor y comprometer la seguridad del entorno.
Este es uno de los problemas más graves que enfrentan las  redes locales actuales, como cibercafes internet, universidades, empresas, bancos, etc, sobre todo aquellas que tienen puntos de acceso WiFi, abiertas o no; el robo de  direcciones mac.
Como bien lo define  Wikipedia, estas direcciones son únicas en cada dispositivo de red y no en cada computador (como muchos creen), ya que a un PC se le pueden conectar X cantidad de tarjetas de red, ya sea en su interior o via usb, aplicable también a tablets, smarthphones y otros dispositivos de comunicaciones. Sin embargo el hecho de que sean únicas no significa que no se puedan alterar y es por eso que se presenta este mal que tanto daño causa.
Existe una infinidad de aplicaciones, que en dos o tres pasos nos permiten alterar la mac de un adaptador de red. Incluso los sistemas operativos actuales permiten hacer esto. Las distribuciones de seguridad Wifiway, Wifislax, Kali, y otras, traen aplicaciones capaces de detectar y falsear el identificador de una tarjeta de red y luego navegar con nuestros recursos, ya sea normalmente o conectado a una VPN.
Y en el mejor de los casos, el usuario no autorizado nos monta un  Fake AP ( Rogue AP) y revende nuestra señal o la usa para fines más lucrativos, como robar información financiera y venderla en el mercado negro, o simplemente reventar nuestra red por mera diversión o prestigio.
La mayoría de arquitecturas y firewalls que se implementan en estas redes, son susceptibles a este tipo de ataques, sobre todo en las redes WIFI, que ya no es necesario estar físicamente conectado a la red mediante un cable ethernet para escanearla y determinar todas las ips con sus respectivas macs.
QUÉ SUCEDE CUANDO UNA MAC ES CLONADA?
Cuando dos PCs (o tablets, smarthphones, AP, etc) tienen la misma dirección mac, eventualmente uno de los dos podrá acceder a internet y a los recursos de la red local (no pueden acceder ambos al mismo tiempo) y las peticiones que hagan a internet puede llegar a cualquiera de los terminales clonados indistintamente; o sea si un PC se conecta a Gmail y el otro a Hotmail, eventualmente ambos pueden recibir la misma información, o no recibir nada.
Obviamente esto genera cuellos de botella en la red y mal funcionamiento, ya que el proxy o router puede descartar paquetes o generar un exceso de reenvío, afectando directamente el ancho de banda de la red local. 
CÓMO SABER SI UNA MAC HA SIDO CLONADA?
Lanzando un  ARP ping a la IP sospechosa y si arroja más de una respuesta o hay diferencias entre una respuesta y otra, entonces se repite el proceso, pero esta vez con el equipo que tiene la mac clonada desconectado de la red local. Si se obtiene respuesta, definitivamente ha sido clonada. 
Hay que aclarar que no es un método 100% garantizado, ya que si hay problemas internos con la red local o los paquetes ICMP u otros están bloqueados a nivel de proxy o router, puede que no haya respuesta.
EXISTE ALGUNA MANERA DE EVITARLO?
Cómo dicen en un foro: ¿Existe alguna manera de evitar que algunos conductores manejen borrachos por las carreteras?.. No, pero no hacer nada y esperar que se estrellen, para que aprendan la lección, es un error, ya que lo más seguro es que se lleven por delante a muchos inocentes en el proceso. Lo mismo sucede con la seguridad de una red local. Nada puede evitar que un atacante pueda hacerse con las credenciales de nuestra Lan, corra un escáner sigiloso, obtenga todas las direcciones macs y clone algunas de ellas, ya que no tenemos control sobre el equipo del atacante, pero sí tenemos control sobre nuestra red local, y se pueden tomar algunas contramedidas para mitigar el problema. Pero es necesario aclarar que, al igual que sucede con el conductor borracho, no siempre las medidas que se toman están exentas de daños colaterales.
Pero primero analicemos algunas propuestas hechas en los diferentes foros, desde las más simples hasta las avanzadas, con sus ventajas y desventajas.
1. Crear una tabla con las direcciones mac autorizadas en el router o servidor proxy y ponerles una ip a cada mac
Esta medida es buena y es un primer paso al filtrado interno de la red local, pero no aplica en redes abiertas y tampoco evita que un atacante escanee la red y se haga con el juego Mac+IP, clone una Mac y le ponga una IP manual, diferente a la que tiene asignada la original, para evitar la colisión y las alertas de "ip duplicada en la red".
Además, es necesario insistir que las  direcciones IP trabajan en la Capa 3 del  Modelo OSI y las direcciones MAC son identificadores de acceso al medio físico (adaptador de red) que trabajan en la  capa 2 OSI, y normalmente se usan para direccionar paquetes dentro de la red Lan (broadcast), por tanto, operan en niveles diferentes y no se relacionan entre sí de forma directa y esto conlleva a que se pueda tener en una red local, dos equipos con la misma dirección mac, pero con una misma ip diferente.
2. Desactivar el servidor DHCP y poner las IPs manualmente; ocultar el SSID; establecer el/los rango/s de IP/s que se van a usar, reduciendo el pool de direcciones y bloquear el resto
Funcional bien si tu red local es cerrada y tiene pocos equipos, pero de igual manera el atacante puede escanear la red y determinar el rango de IPs autorizadas y colocar la IP manual. Además, muchos escáneres de red detectan el tráfico de los AP, incluso si el punto de acceso está "escondido" (SSID oculto).
Se imaginan a un Administrador IT poniendo direcciones manuales en una red pública y mixta (con clientes dinámicos y estáticos), con más de 1000 terminales, muchos de ellos smarthphones, tablets, etc. Una auténtica locura.
Además, hay que tener en cuenta el tipo de enrutamiento de la red local, desde y hacia el servidor o router. Lea el post  Enrutamiento en Linux
3. Usar un servidor DNS propio
Evita en parte el problema, pero el atacante puede colocar DNS manuales de su conveniencia y conectarse a una VPN propia para navegar.
Se recomienda leer el post  Tres tipos de ataques DNS y cómo lidiar con ellos. También puede usar la herramienta  DNSSec-Check para diagnosticar su servidor DNS.
4. Usar un Servidor controlador de Dominio de  Active Directory
Obsoleto. Una tecnología exclusiva de Microsoft que tiene más de 20 años. Se puede implementar en linux pero es muy engorroso. No obstante para los nostálgicos, pueden leer el  manual de instalación, aunque en la actualidad existen mejores y más versátiles soluciones.
5. Usar un Portal Cautivo (hotspot) con redirección a una web interna y credenciales de validación (Servidor Radius)
Está de moda, pero no es tan seguro como creemos. Recomendamos la lectura del post  Sobre Wifi, Robar y los portales cautivos
6. Cambiar los puertos por defecto del servidor, AP o router, ponerlos en modo "stealth"; y crear un  honeypot  
Es una solución más avanzada, pero tampoco garantiza nada. Con respecto a la implementación de un honeypot, siempre que sea una solución local, puede disuadir bastante al atacante, ya que crea una serie de servicios inexistentes ideales para distraer al más concentrado atacante. Y si le agregamos una  jaula Chroot, puede sumarle más distracción. Recomendamos las herramientas honeypot de distro LiveCD  HoneyDrive
7. Usar una  VPN y encriptar el tráfico de la red local
Muy buena elección, pero más costosa, ya se aplica a nivel de servidor y no se justifica en redes locales pequeñas. Implementar una VPN con cifrado de datos eleva mucho el nivel de seguridad, y esta sería aún mayor si en lugar de una VPN, sin embargo estos esquemas son mayormente corporativos y no aplican para redes Lan pequeñas.
La lista de propuestas de los diferentes foros y portales especializados en seguridad informática es realmente extensa, muchas de estas "soluciones" concentradas en grandes redes de datos, y otras, más  sencillas, orientadas al mundo de los cibercafes internet, escuelas, redes públicas.
Como el esquema en cada caso no es el mismo, y es difícil encontrar una regla de oro para todos los casos, estos portales solo se limitan a dar pautas para contrarrestar intrusiones no deseadas, pero para casos específicos.
Nuestro post tampoco les ofrecerá una solución "mágica", ya que no existe. Las intrusiones evolucionan todos los días y con ellas la seguridad informática. Es por esta razón que la panacea de hoy es el hazme reír del mañana, por tanto nos enfocaremos en una parte esencial de la seguridad de cualquier red: la protección del tráfico in/out.
ESNIFANDO NUESTRA RED
Lo primero que hay que hacer es escanear nuestra red local. Esto debe ser una tarea constante para cualquier administrador TI, usando las mismas herramientas exploratorias que utilizaría cualquier usurpador.
Existen herramientas muy versátiles que hacen este trabajo, como Wireshark o Ettercap (Véalos en acción en  Ataque MITM), pero en esta ocasión lo haremos a la antigua (por consola) y usaremos  Nmap y  nast, que son perfectas para el trabajo.
Y como dice Oscar Wide "La mejor manera de librarse de una tentación es caer en ella", ejecuten en el terminal lo siguiente y verán los resultados:
# Instalamos nmap y nast
apt-get install nmap nast
# Escaneamos la red local con el protocolo arp
nast -m
# Determinar el gateway (con Yep! ya lo tenemos)
nast -g
# si tienen varias interfaces en su PC, elijan una. Ej: wlan1
nast -m -i wlan1
# Escaneo preliminar del target ej 192.168.1.1
nast -S
Nast V. 0.2.0
Port Scanner extremes
Insert IP to scan   : 192.168.1.1
Insert Port range   : 1-65535
# Pero si quieres algo rápido y potente
nmap -sS -PN -T5 -p 1-65535 192.168.1.10
# y al estilo triniti
nmap -sS -O -v 192.168.1.10
Nota: Para más opciones de nmap, lea su  cheatsheet. Consulte  Nmap Warning, para establecer la restransmisión (T5, T4, T3, etc) y evitar mensaje como " nmap warning: giving up on port because retransmission cap hit (2)".
Con esto ya establecemos las mac+ip asignadas en nuestra Lan, si hay alguna mac clonada con diferente ip (algo que hacen los atacantes para ocultar el llamativo mensaje de Windows "conflicto de ip") y de paso establecemos los puertos desprotegidos, gateway, etc, etc. Esta información es la misma que obtendría un atacante; y si bien es difícil ocultarla, es la primera que tenemos que proteger.
AMARRAR MAC+IP CON DHCP+IPTABLES+SQUID
Muchos dirán que este tipo de solución tiene vulnerabilidades, ya expuestas en el Punto No 1 de este post; y es cierto. El servidor ISC DHCP utiliza un Socket Internet de protocolo Raw en lugar de TCP o UDP, lo cual es una limitación para poder bloquear sus peticiones en el IPtables.
Además, existen muchos ataques que involucran al servidor DHCP. Explicarlos todos ( DHCP ACK Injection Attack, IP Spoofing Attacks, Discover DoS attacks, etc) y sus defensas (DHCP Snooping) podría tomarnos varios post. Es por eso que si quiere profundizar en la protección de su servidor DHCP y evitar ataques Man-in-the-Middle puede consultar el post  Defensas frente a ataques DHCP  y   Bloqueo de servidores DHCP Falsos
En resumen, DHCP literalmente hace lo que se le da la gana, y no respeta las reglas de IPtables, como las propuestas por este  tutorial de Iptables
$IPTABLES -t filter -A INPUT -p udp --sport 68 --dport 67 -j DROP
o
$IPTABLES -A INPUT -i LAN_IFACE -p udp --sport 67:68 --dport 67:68 -j ACCEPT
o
$IPTABLES  -I INPUT -i $LAN_IFACE -p udp --dport 67:68 --sport \
     67:68 -j ACCEPT  
Sin embargo podemos aprovechar algunas de sus virtudes para establecer un nivel de protección, que por sí solo no es efectivo, pero si los parámetros establecidos previamente en el servidor DHCP son validados por el IPtables y el Squid, entonces estamos hablando de una protección decente en la entrada/salida de nuestra red local. 
Combinar un triple filtrado mac+IP en la entrada/salida de nuestra red local es un gran paso en la seguridad, sin importar su clasificación, categoría, esquema, protocolos, cifrado, etc.
Desafortunadamente estas técnicas (no todas) solo se admiten en los routers más costosos. Es por eso que recomendamos usar un servidor proxy basado en Linux,  que es mucho más económico y configurable que un router físico.
Para lograrlo podemos utilizar varias herramientas muy conocidas, como son DHCP Server, Squid3 e IPtables y reforzamos el perímetro con  Fail2banARPon y script Anti-DDos ( DDoS Deflate) y de ser posible con un proxy inverso.
Nota: Las defensas perimetrales como IDS/IPS (Snort), sistemas UTMs (Unified Threat Management) y MFA (Multi Functional Appliances), o  WAF las explicaremos en otras entregas de la serie Firewall
Adicionalmente instalaremos los programas de monitoreo  SargSqstat e  IPtraf; y para un análisis global de nuestra red local y detectar las vulnerabilidades, podemos implementar  Nessus (opcional) (Vea el post  Network Monitor)
No se asusten si se mencionan demasiadas herramientas. Muchas de ellas trabajan automáticamente y las configuraciones son tan solo un par de líneas; y para el caso de IPtables, si consideran difícil manipularlo, puede echar mano de algún  frontend disponible.
PASOS
Primero que todo debe configurar su Firewall IPtables de manera segura. Cada Firewall se construye de acuerdo a las necesidades de cada red, por tanto si es demasiado permisivo, estos controles no serán suficientes. En este orden de ideas, para que diseñe un Firewall seguro, acorde a sus necesidades, recomendamos en primera instancia la lectura de los artículos  Configuración segura de Iptables,  Detección, control y contención de tráfico innecesario con Iptables  Iptables like a pro, así como conocer en detalles los  comandos del Iptables
Una vez configurado el script de Iptables, y el servidor DHCP instalado y corriendo en su servidor, ahora pasaremos a colocar la primera capa de reglas de filtrado Mac+IP en el archivo de configuración de DHCP.
Nota:
a. Nos parámetros propuestos, rangos de red, leases, dns, mac + ip, etc, son a modo de ejemplo. Puede modificarlos de acuerdo a sus necesidades.
b. Jamás elijan la primera dirección IP (.01) para asignarla al servidor proxy, ya que los AP, Routers, etc, casi siempre traen por defecto esta dirección y si se la cambiemos, pero por alguna causa externa (voltaje, hackeo, etc) se desconfiguran, estos, una vez reinicien, automáticamente se reconfigurarán con los valores de fábrica, el cual incluye la IP terminada en 01, creando una colisión con nuestro servidor proxy.
1. DHCP
Aquí se establece en el archivo de configuración del servidor DHCP una IP por cada Host y Mac de nuestra Lan. El procedimiento es sencillo. Asumiendo que tiene instalado  DHCP ( Tutorial), acceda a su archivo de configuración
Configuración de red
# solo para dhcp v4.x. Las versiones anteriores a 4.x no tienen este archivo
nano /etc/default/isc-dhcp-server

# Defaults for dhcp initscript
# sourced by /etc/init.d/dhcp
# installed at /etc/default/isc-dhcp-server by the maintainer scripts
#
# This is a POSIX shell fragment
#
# On what interfaces should the DHCP server (dhcpd) serve DHCP requests?
# Separate multiple interfaces with spaces, e.g. "eth0 eth1".

# Poner el nombre de la tarjeta de red que usará para el dhcp.
# Para determinarlo, ejecute en el terminal ifconfig o ipconfig (en dependencia de su SO). 
# Como ejemplo usaremos una tarjeta wifi.
INTERFACES="wlan3"
Configuracion del archivo dhcp.conf
# en dependencia de su versión de dhcp
nano /etc/dhcp3/dhcpd.conf # para dhcpd v3.x
# o
nano /etc/dhcp/dhcpd.conf # para dhcpd v4.x
Parametrizando dhcpd.conf
# Establezca la autoridad de su servidor dhcp, descomentando authoritative
# If this DHCP server is the official DHCP server for the local
# network, the authoritative directive should be uncommented.
authoritative;

# Determine sus usuarios
host CLIENTE1 {
  hardware ethernet e0:ca:94:a7:xx:xx;
  fixed-address 192.168.1.100;
}
host CLIENTE2 {
  hardware ethernet 00:14:d1:d5:xx:xx;
  fixed-address 192.168.1.101;
}

# Bloquer macs no autorizadas, que roban ips asignadas por DHCP
class "macs-block" {
         match pick-first-value (option dhcp-client-identifier, hardware);
  }
  subclass "macs-block" 1:cc:af:78:a3:xx:xx;
  subclass "macs-block" 1:54:26:96:96:xx:xx;
  subclass "macs-block" 1:cc:55:ad:02:xx:xx;

# Configurando los parámetros generales de su red local en el DHCP
subnet 192.168.1.0 netmask 255.255.255.0 {
 option domain-name-servers 8.8.8.8 , 8.8.4.4;
# Nunca elijan la IP 1 para evitar autoataque por desconfiguracion de un AP
        option routers 192.168.1.10;
 option broadcast-address 192.168.1.255;
        #option domain-name "tu.server.public";
 default-lease-time 600;
        max-lease-time 7200;
  pool {
                deny members of "macs-block" ;
                range 192.168.1.160 192.168.1.199;
                }
}
Y guardamos el archivo de configuración y reiniciamos el servidor DHCP
service dhcp3-server restart
o
service isc-dhcp-server restart
Con esta configuración propuesta para el servidor DHCP evitamos tener que asignar IPs fijas (manuales) a cada terminal de nuestra red, y de paso nos quitamos de encima una tediosa y casi imposible tarea. El DHCP hace este trabajo por nosotros y de paso quedan amarrados Mac+IP en un nivel.
También bloqueamos las macs que no pertenecen a nuestra red local, para que no ocupen direcciones ips que ofrece el servidor DHCP. En el Webmin, en la sección "arrendamientos DHCP, marcamos las casillas de las macs indeseadas y pulsamos " Haz click en una dirección IP de arrendamiento de la lista superior para borrarla" y el servidor DHCP liberará la IP. También puede eliminarlas del archivo  dhcpd.leases (donde también se puede obtener la información mac+IP del DHCP para luego ponerla en  dhcpd.conf)
/var/lib/dhcp/dhcpd.leases
Nota:
a. No declaren el rango (range) DHCP dos veces en el archivo de configuración ya que genera error.
b. El amarre real se produce entre mac+ip, ya que a pesar de que se asigna un nombre de host en el DHCP, este no garantiza que pueda ser cambiado arbitrariamente.
Diferencias de configuración DHCP en Webmin
En las recientes versiones de DHCPd, en especial para Ubuntu 12.04 o superior, dhcp3-server (v3x) ya no se usa, y en su reemplazo llegó isc-dhcp-server (v4x). Las configuraciones en ambos son diferentes, y por supuesto también en el Webmin. Por lo anterior se recomienda encarecidamente que purgue cualquier configuración anterior de dhcp (dhcp3-server o isc-dhcp-server), y que instale el dhcpd directamente del administrador Webmin, PERO ANTES DE INSTARLO  (ojo) primero modifique el módulo de dhcp en webmin, reemplazando dhcp3 por isc-dhcp-server , para que quede con los parámetros necesarios, ya que pueden presentarse conflictos en los archivos de configuración.
Vea los siguientes ejemplos de las configuraciones de Webmin  dhcp3-server vs  isc-dhcp-server, para Ubuntu 10.04.03, Ubuntu 12.04.02 y Debian 7x
Ruta al archivo de configuracion DHCP de Webmin
nano /etc/webmin/dhcpd/conf
Configuración del servidor DHCPd versión 3.1.3 de ISC (dhcp3-server) para Ubuntu 10.04.03 (descontinuada)
lease_file=/var/lib/dhcp3/dhcpd.leases
display_max=100
lease_tz=0
interfaces_type=debian
show_mac=0
stop_cmd=/etc/init.d/dhcp3-server stop
dhcpd_conf=/etc/dhcp3/dhcpd.conf
pid_file=/var/run/dhcp3-server/dhcpd.pid
restart_cmd=/etc/init.d/dhcp3-server restart
desc_name=0
dhcpd_nocols=5
dhcpd_path=/usr/sbin/dhcpd3
start_cmd=/etc/init.d/dhcp3-server start
dhcpd_version=3.1.3
dhcpd_size=642480
group_name=0
lease_sort=0
show_ip=0
dhcpd_mtime=1369359529
Configuración del servidor dhcp3 DHCPd versión 4.1 de ISC para Ubuntu 12.04.02 LTS (isc-dhcp-server). Presenta problemas con Stop/Restart en Webmin.
lease_file=/var/lib/dhcp/dhcpd.leases
display_max=100
lease_tz=0
interfaces_type=debian
show_mac=0
stop_cmd=service isc-dhcp-server stop
dhcpd_conf=/etc/dhcp/dhcpd.conf
pid_file=/var/run/isc-dhcp-server/dhcpd.pid
interfaces=wlan3
restart_cmd=service isc-dhcp-server restart
desc_name=0
dhcpd_nocols=5
dhcpd_version=4.1
dhcpd_path=/usr/sbin/dhcpd
start_cmd=service isc-dhcp-server start
dhcpd_size=787816
group_name=0
lease_sort=0
show_ip=0
dhcpd_mtime=1378284459
add_file=
lease_refresh=
hostnet_list=
version=
Para  solucionar el problema del Webmin, antes de instalar isc-dhcp-server desde webmin o desde el terminal, ingrese a "Configuración de Módulo", y reemplace dhcp3 por isc-dhcp-server, o entre directamente al archivo de configuración de Webmin y coloque los parámetros de la siguiente manera.
lease_file=/var/lib/dhcp/dhcpd.leases
display_max=100
lease_tz=0
interfaces_type=debian
show_mac=0
stop_cmd=/etc/init.d/isc-dhcp-server stop
dhcpd_conf=/etc/dhcp/dhcpd.conf
pid_file=/var/run/dhcp-server/dhcpd.pid
interfaces=wlan3
restart_cmd=/etc/init.d/isc-dhcp-server restart
desc_name=0
dhcpd_nocols=5
dhcpd_version=4.1
dhcpd_path=/usr/sbin/dhcpd
start_cmd=/etc/init.d/isc-dhcp-server start
dhcpd_size=787816
group_name=0
lease_sort=0
show_ip=0
dhcpd_mtime=1378284459
add_file=
lease_refresh=
hostnet_list=
version=
Para configurarlos en Debian 7x consulte  Configurar Webmin para isc-dhcp-server (4.x) Por lo anterior se recomienda tener la  última versión de DHCP instalada.
2. SCRIPT IPTABLES
Nada de lo anterior es suficiente para completar el "amarre" ip+mac, y las subclass del DHCP lo único que hacen es impedir que el DHCP le asigne más direcciones IP a estas macs bloqueadas. El bloqueo real se produce en Iptables.
En este orden de ideas, el próximo paso (tal y como lo explicamos en el post  Firewall), es definir cuales direcciones mac accederán a nuestra red local, para evitar que si el atacante logra burlar la seguridad del punto WiFi, no llegará más lejos.
A continuación, el IPTables, va a leer las macs asociadas a las ips, previamente escritas en el  dhcpd.conf, y creará dos ACLs, una con el nombre de  macs_dhcp (donde pondrá todas las macs en orden) y otra llamada  ips_dhcp (donde hará lo mismo con las ips).
Lo siguiente que hará la regla es autorizar solamente a estas macs con sus respectivas ips a pasar por el firewall y accesar a la red local y sus recursos. Aquellas que no coincidan serán rechazadas.
Filtrado MAC+IP por IPtables
##################
# FIREWALL RULES #
##################

echo IPTABLES FIREWALL START...
adminMAC="48:5a:b6:55:xx:xx"
internet=eth0
lan=eth1
local=192.168.1.0
iptables=/sbin/iptables
route=/etc/acl
proxyport=8080
netmask=255.255.255.0

###############
# FLUSH RULES #
###############

echo Apply Flush Rules...

# Delete all
$iptables -F
$iptables -t nat -F
$iptables -t mangle -F
$iptables -X
$iptables -t nat -X
$iptables -t mangle -X
# Zero all packets and counters.
$iptables -Z
$iptables -t nat -Z
$iptables -t mangle -Z

# CREANDO ACL MACS/IPS
# RUTA dhcpd.conf 
#dhcp_conf=/etc/dhcp3/dhcpd.conf # para dhcp v3.x
dhcp_conf=/etc/dhcp/dhcpd.conf # para dhcp v4.x
# 
mac2ip=$(sed -n '/^\s\+hardware\|^\s\+fixed/ s:hardware ethernet \|fixed-address ::p' $dhcp_conf | sed 's/;//')

# RUTA ips_dhcp/macs_dhcp
path_ips=/etc/acl/ips_dhcp 
path_macs=/etc/acl/macs_dhcp

create_acl() {
    ips="# ips"
    macs="# macs"
    while [ "$1" ]; do
        mac="$1"
        shift
        ip="$1"
        shift
        $iptables -t mangle -A PREROUTING -i $lan -m mac --mac-source $mac -s $ip -j ACCEPT
        ips="$ips\n$ip"
        macs="$macs\n$mac"
    done
# Para versiones anteriores a Debian 7 y Ubuntu 12x
#     echo $ips > $path_ips
#     echo $macs > $path_macs
# Para Debian 7x y Ubuntu 12x o superior
      echo -e $ips > $path_ips
      echo -e $macs > $path_macs
}

echo ok

#####################
### KERNEL RULES ###
#####################

echo Load Kernel Rules...

# Activar ip forward rules
echo 1 > /proc/sys/net/ipv4/ip_forward

echo OK

####################
# DEFAULT POLICIES #
####################

echo Apply Default Policies...

# LOOPBACK
$iptables -A INPUT -i lo -j ACCEPT
$iptables -A OUTPUT -o lo -j ACCEPT

echo ok

##########################
# LOCAL NETWORK POLICIES #
##########################

echo Apply Local Network Policies...

# SOLO PETICIONES DE LA LAN
create_acl $mac2ip
$iptables -t mangle -A PREROUTING -i $lan -j DROP
Muy Importante
Este script es válido para Debian 7, Ubuntu 12x o superior. Para versiones anteriores (Ubuntu 10x, Debian 6) hay que suprimir la "-e" del script. Esto se debe a la incompatibilidad de versiones del comando "echo". Para mayor información visite  Etherlabs
El siguiente paso es definir qué hacer con estas "macs" generadas por el DHCP y convertidas en ACLs por el IPtables. O sea, determinar qué privilegios le otorgará dentro de nuestra red local.  Para esto, puede consultar el post anterior  Firewall.
Nota:
El duo DHCP+IPtables solo puede darle conectividad a una Mac (la real o la clonada), pero no a las dos al mismo tiempo, por tanto uno de los dos terminales se quedaría sin acceso a Internet al momento de navegar y eventualmente el usuario real puede alertar al Administrador TI sobre este comportamiento anormal, y sería otro indicador para tomar medidas.
Medidas Opcionales
Si ya aplicó las reglas explicadas anteriormente (que solo pueden acceder a su red local las macs que estableció previamente en las acls, o las establecidas manualmente en el  dhcpd.conf),  la siguiente regla no es necesaria. Solo la mostramos a modo de ejemplo, para que nuestros lectores puedan ver las posibilidades de iptables. Tenga en cuenta que si la aplica y son demasiadas ips a bloquear, puede generar una sobrecarga en el firewall, por tanto recomendamos más efectivo filtrarlas en el squid.
En el siguiente ejemplo, creamos dos ACLs :  blacklist-macs (para bloquear las macs no autorizadas o clonadas) y  blacklist-ips (Para las ips o rangos de ips falsificados, de la LAN o de internet) y las ubicamos en la ruta de las ACLs ( route) y las bloqueamos.
# blacklist-macs
for mac in `sed '/#.*/d' $route/blacklist-macs`; do
 $iptables -t mangle -A PREROUTING -m mac --mac-source $mac -j DROP
 $iptables -A FORWARD -i $lan -m mac --mac-source $mac -p tcp -j DROP
done

# blacklist-ips
for ips in `sed '/#.*/d' $route/blacklist-ips`; do
   if echo $ips | grep "-" >/dev/null; then
     $iptables -A FORWARD -m iprange --dst-range "$ips" -j DROP
   else
     $iptables -t mangle -A PREROUTING -i $ips -j DROP
     $iptables -A FORWARD -d $ips -j DROP
     $iptables -A INPUT -s $ips -j DROP
     $iptables -A OUTPUT -s $ips -j DROP
   fi
done
3. TODO POR EL SQUID
El hecho de que el servidor sea transparente no significa que el tráfico de internet no pase por Squid. Todo el tráfico de su red Lan debe pasar  obligatoriamente por el Squid, si quiere evitarse dolores de cabeza. El Administrador TI deberá evitar a toda costa reglas en la cabecera del Iptables como la siguiente:
####################
# ACCESO ILIMITADO #
####################
for mac in `sed '/#.*/d'/etc/acl/macs-privilegiadas`; do
 $iptables -t nat -A PREROUTING -i $lan -m mac --mac-source $mac -j ACCEPT
 $iptables -A FORWARD -i $lan -m mac --mac-source $mac -p tcp -j ACCEPT
done
Donde la ACL "macs-privilegiadas" contiene un grupo de Macs (terminales) que no pasan por el Squid, ni por el iptables, por tanto no están sujetas a ningún tipo de supervisión ni su actividad en la red e internet sale en algún reporte. Esta regla es un ejemplo de lo que  NO SE DEBE HACER en el Iptables.
Hay administradores TI que usan esta regla (y otras similares) para que los jefes y los "amigos", hagan y deshagan, sin que nadie lo sepa. Grave error, ya que si un atacante o usuario no autorizado se hace con una de estas macs, con tan elevado nivel de privilegios, simplemente el Administrador TI jamás sabrá lo que sucede y los recursos de su red pueden dilapidarse en cuestión de segundos... y su contrato de soporte terminado por los mismos jefes y amigos a quienes les ofreció el cielo y la tierra con esta regla.
Esta regla en la cabecera se usa principalmente para mantenimiento. Cuando existe algún problema en la red local, en el squid o en el iptables, o no hay conectividad interna o algún otro problema derivado de las configuraciones, una buena manera de "descartar" si el problema es en la entrada de nuestra red (antes de aplicar filtrados) o en otro tramo de la misma, es colocando nuestra dirección mac en esta acl y saltándonos nuestras propias restricciones para acceder a internet y otros recursos.
Es más viable abrir el puerto 443 bajo demanda, que otorgar privilegios ilimitados a un grupo reducido de Macs. Para abrirlo basta con colocar la misma acl y crear la siguiente regla en el IPtables
########################
### Macs acceso 443 ####
########################
for mac in `sed '/#.*/d' $route/macs-privilegiadas`; do
 $iptables -A FORWARD -m mac --mac-source $mac -p tcp --dport 443 -o $internet -j ACCEPT
done
En el Squid filtraremos los accesos que no sean https (ya que está en modo transparente y Squid no filtra peticiones https en modo "transparent") y declaramos las acls (mencionadas en otros post de la serie Firewall), tales como, blacklist-web (contiene todos los sitios en internet a bloquear), blacklist-ips (contiene todas las ips que queremos banear), extensiones (para impedir que determinados archivos con un tipo específico de extensión sean descargados y dilapiden el ancho de banda. También se puede hacer por mime_type) y las diferentes acls que contienen los listados de las macs de nuestra red, clasificadas según el nivel de privilegios que les querramos otorgar y los horarios y al final aceptarlas o bloquearlas
Squid Config
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
acl blacklist-web dstdomain -i "/home/usuario/acl/blacklist-web"
acl blacklist-ips src "/home/usuario/acl/blacklist-ips"
acl extensiones url_regex "/home/usuario/acl/extensiones"
acl archivos-bloqueados rep_mime_type -i "/home//usuario/acl/archivos-bloqueados"
acl macs-443 arp "/home/usuario/acl/macs-443"
acl macs-permitidas arp "/home/usuario/acl/macs-permitidas"
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]

# reglas propias (bloqueando o aceptando)
http_access allow localhost
http_access allow facebook macs-443
http_access allow youtube macs-443
http_access allow vimeo macs-443
#http_reply_access allow macs-443 archivos-bloqueados
http_access deny blacklist-web
http_access deny blacklist-ips
http_reply_access deny archivos-bloqueados
http_access deny extensiones
http_access allow macs-permitidas
El filtrado por Squid con las conocidas SuperBlacklist, será abordado en la próxima entrega  Firewall IV
4. MEDIDAS OPCIONALES
Vigilancia ARP, puertos
Podemos implementar una vigilancia estricta sobre las tablas ARP, para evitar su envenenamiento. Para esto podemos utilizar ARPWatch, ARPon o  MACWatch (una variante mejorada de ARP Watch), siendo las dos últimas las más recomendadas, en conjunto, y complementar con  Port Knocking
Lectura recomendada:  ArpON Proteccion contra Spoofing/Poisoning y mas
Cache DNS
A medida que se van colocando filtros, esto puede ralentizar las peticiones. Colocar un servidor DNS, no es lo adecuado en muchos casos, ya que debe llevar una protección adicional para evitar  ataques DNS, sin embargo podemos "cachear" las consultas DNS de los terminales de nuestra red local, para reducir la latencia creada por los diferentes filtros y la conexión de internet. Para esto podemos usar  DNSmasq o  djbdns, aunque el uso del primero es mucho más sencillo de implementar, siempre que no active el DHCP que trae por defecto, para que no entre en conflicto con nuestro DHCP3. Además, al no ser persistente, a su reinicio vacía la caché de consultas, lo cual es una ventaja para evitar un ataque DNS.
Puede verlo en acción en  Jam Blog  y trabajando en combinación con la herramienta de cifrado  DNSCrypt, ambos cortesía de  Jesús Marin .
Broadcast, Diagramación y Mapeo
Las ips sin asignar generan problemas de broadcast. Una correcta diagramación de la red local puede significar la diferencia entre un flujo de tráfico transparente y un cuello de botella. Para mayor información, lea  Subnetting  y   Redes con Subnetting
Existen muchas herramientas que pueden ayudarnos a mapear nuestra red local y verificar (en intervalos) si los equipos están activos, o presentan cualquier anormalidad, (clonación, problemas de conectividad interna, etc), tales como  JNetMap, ( Official),  Network Topology Mapper de SolarwindsNagios, entre otras.
Si están en Windows pueden echar mano de la suite  Net Tools, la cual contiene un sinnúmero de herramientas, para diagnosticas nuestra red, y poner a prueba nuestro sistema de seguridad.
Protección Adicional
Existe niveles más altos de seguridad. La encriptación de las comunicaciones cliente-servidor es una alternativa. Hay muchas técnicas y programas que logran muy buena seguridad como las soluciones tipo  VPN, tales como  OpenVPN ( Howto GNU/LinuxHowto AndroidHowto Ubuntu),  PPTPOpenswan, etc.
Contramedidas frente a ataques ARP y DHCP
Nada de lo anterior nos protegerá de un ataque DHCP ( rogue dhcp) o  envenenamiento ARP, y filtrar los puertos dhcp 67 y 68 en el iptables es virtualmente imposible y las contramedidas para proteger la tabla ARP, como  ArpOn, por sí solas son insuficientes.
Por lo anterior recomendamos como alternativa realizar una protección adicional, implementando VACL (Vlan Access List), que controlan el trafico UDP dirigido a los puertos 68 y 67, y  DHCP Snooping, una contramedida implementada en dispositivos Cisco. Para mayor información consulte el post  Defensas frente ataques DHCP
Y para proteger la tabla ARP, podemos utilizar  Dynamic ARP Inspection (DAI), una medida de seguridad también disponible en switches Cisco que nos permite validar los paquetes ARP de la red, la cual utiliza la tabla de asociaciones IP-MAC generada por DHCP Snooping. Para mayor información consulte el post  Defensas frente ataques ARP. Y para evitarlo en los clientes, utilice el script  AntiArpSpoof ( Descarga)
BLACKTRAFFIC
El uso de la tabla MANGLES, la restricción sobre el acceso de equipos no autorizados a nuestra red local de datos, entre otras reglas, el filtrado HTTPS via IPTables, o amarrar IP+Host+Mac no significa que todo está resuelto. Hay mucho Black Traffic que circula por el puerto 80 (HTTP), el cual puede ser filtrado por el Squid.
Squid es uno de los software tipo proxy más usados en la actualidad y es capaz de filtrar múltiples protocolos, pero, para el caso del proxy cache transparente, Squid no procesa peticiones al puerto de seguridad 443 en modo transparente (Vea  Firewall); pero sí procesa el resto del tráfico por el puerto 80.
Ver tutorial de instalación de Squid para  Linux Windows
El Administrador TI debe determinar que sitios debe bloquear y cuales no y crear una ACL que contenga estos portales restringidos para su red local, sin embargo, (tal y como sucedía con las IPs de HTTPS en el artículo  Firewall) son incontables los sitios de descargas, de contenido adulto xxx, etc, etc.
Cómo bloquear millones de IPs y URLs con contenido no deseado...  
Si bien este trabajo es arduo para el Administrador TI, existen sitios que ofrecen ACLs Blacklists. Lo único que hay que hacer es descargarlas, colocarlas en una carpeta y agregarle al Squid las reglas de filtrado correspondiente, indicándole la ruta de las ACLs.
Estas ACLs pueden representar el 80% de los portales e IPs que el Administrador TI necesita bloquear. El restante 20% serán aquellas específicas que el Administrador TI haya recopilado y que no se encuentren en las ACLs ofrecidas en estos "big packs blacklists".
SUPERPACKS BLACKLISTS
Estos sitios especializados ofrecen Packs de ACLs Blacklists con Black Traffic. La ventaja es que los creadores las actualizan permanentemente, lo cual es un ahorro de tiempo considerable para el Administrador TI. Una lista detallada de proyectos relacionados con listas negras puede encontrarla en el portal Zeltser
Configurando Squid
Supongamos que hemos descargado una ACL con URLs de sitios con contenido para adultos (porno) y otra de sitios prohibidos de descargas. Ahora vamos a ponerlas en el Squid y a activarlas.
A modo de ejemplo las ubicaremos en una carpeta en la siguiente ruta:
/home/usuario/acl/porno
Sustituya   usuario  por   tu-usuarioEditando  squid.conf
/etc/squid/squid.conf
o
/etc/squid3/squid.conf
Inserte las siguientes reglas
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
acl webserver src 192.168.1.0/255.255.255.0
acl porno dstdomain "/home/usuario/acl/porno"
acl descargas dstdomain "/home/usuario/acl/descargas"
Y actívelas
# Don't upgrade ShoutCast responses to HTTP
acl apache rep_header Server ^Apache
http_access allow manager localhost
http_access allow manager webserver
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny porno
http_access deny descargas
http_access allow localhost
http_access deny all
upgrade_http0.9 deny shoutcast
Pueden seguir agregando reglas de filtrado con ACLs, por ejemplo, que prohíban las descargas de archivos vía HTTP (exe, mp3, mp4...) y solo dejar pasar pdf, xls, doc, etc. También se puede exceptuar las reglas para determinado grupo privilegiados de terminales dentro de la red local, los cuales deben estar también dentro de una ACL (macs-privilegiadas).
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
acl archivos-bloqueados rep_mime_type -i "/home/usuario/acl/archivos-bloqueados"
acl extensiones url_regex "/home/usuario/acl/extensiones"
Y luego...
# Don't upgrade ShoutCast responses to HTTP
http_reply_access allow macs-privilegiadas archivos-bloqueados
http_access allow macs-privilegiadas extensiones
http_reply_access deny archivos-bloqueados
http_access deny extensiones 
EFECTO DOMINÓ
Primero que todo hay que establecer que en un proxy server, que tenga Squid e Iptables "filtrando" el tráfico de nuestra red local, el tráfico primero llega al servidor y ahí se produce el filtrado, no antes ni después, por tanto no importará que tengamos el IPtables en DROP, ya que ante un ataque  DDOS, al no haber nada protegiendo a nuestro Servidor Proxy, el ataque llegará y con toda seguridad el servidor caerá.
Ante esto, muchos se preguntarán: ¿Si usamos un servidor para proteger nuestro servidor, quién protege al primer servidor y así sucesivamente?.. Un servidor tras otro, protegiendo siempre al anterior; y si "el último" es atacado, cae el resto como fichas de dominó. El hecho de tener muchos servidores, firewalls dedicados y otros equipos perimetrales protegiendo nuestro servidor proxy y bases de datos, no garantiza que un ataque no llegue al núcleo de nuestra red local. Todo radica en la estrategia de defensa y no en la cantidad de equipos.
Existen varios tipos de ataques contra la infraestructura informática. En dependencia de su origen, tenemos los  Externos (Outside), cuando vienen desde fuera de nuestra red local y los  Internos (Inside), los se producen desde nuestra propia infraestructura, incluyendo nuestros servidores. También están los Directos e Indirectos (client-side attacks), basados en la forma del ataque. Puede leer sobre ellos en el portal  thehackerway.com.
El más popular de los "Externos" es el de 'Denegación de Servicios' o (DoS o su variante DDos). Hay mucha documentación en Internet sobre estos ataques. Entrar en detalles sería muy extenso, pero puede consultar su funcionamiento  AQUI y verlo en acción en un video publicado por la revista  Enter.
Garantías... Ninguna. Hay que partir de la base que no existen soluciones 100% garantizadas. Todos son paños de agua tibia para un mal que crece cada día. Hay muchos "intentos", que van desde balancear las cargas con clusters (pool de servidores), rogarle a los ISP que ponga filtros para bloquear el Black Traffic, disminuir el tamaño de la pila TCP o un delay en el establecimiento de conexiones, hasta firewall dedicados por hardware o software, etc, etc... Sin embargo, si el ataque DDoS es superior a 1TB/s no lo para ni la NASA... (a no ser que apaguen los  Backbones, Datacenters, Nodos,  BotnetPuntos Neutros, Tiers ( Tier1 y  Tier2) y demás puntos por donde circula el tráfico del ataque DDoS).
Ejemplo de ataque DoS mediano: Una “botnet” tiene 3000 máquinas zombies. Cada máquina utiliza una conexión hogareña (generalmente xDSL) con un promedio de 128 Kib/s de ancho de banda de subida (upstream). 3000 hosts * 128 KiB/s (upstream) = 384000 KiB/s = 375,00 MiB/s, el cual es suficiente para hacer caer cualquier sistema de rango medio.
Pero no debemos quedarnos con los brazos cruzados y ver cómo caen como moscas nuestro servidores. La mejor manera de protegernos hasta la fecha es aplicando un sistema de seguridad por capas (o  niveles), que van desde la protección física primaria de la infraestructura informática, hasta el uso del sentido común.
He aquí algunas soluciones:
Gestión Unificada de Amenazas ( UTM Unified Theat Management)
Es un Firewall avanzado que engloba múltiples funcionalidades, tales como Firewall, UDP, VPN, Antiphishing, Antispyware, Filtro de contenidos, Antivirus, Detección/Prevención de Intrusos (IDS/IPS), control de aplicaciones, acceso móvil, prevención de fuga de datos, información de la identidad, filtrado URL, Web, antibots, antispam & correo electrónico, read & clustering avanzados, software de emulación de amenazas, etc, etc, etc.
Hay una variedad de empresas que suministran este tipo de soluciones integradas tales como  IBM FirewallCheckpoint Firewall o  Stonesoft, (certificadas por  ICSLABS), pero son productos muy costosos y requieren de soporte permanente. Hay alternativas Open Source, como  Open UTM, pero aún está en fase de desarrollo. (Lectura recomendada:  Seguridad Perimetral, UTM)
Escudo de Red  (NetShield o Network Shield)
Es la primera línea de defensa de tipo perimetral. Se define como un conjunto de técnicas y herramientas (integradas o independientes), de hardware y software, que vinculadas (o por separado) brindan la primera protección a una infraestructura informática. Puede estar conformada por sistemas  IDS/IPS, uno o varios servidores (clusters) y diferentes tipos de hardware de red y equipos de comunicaciones, Firewalls, proxy inverso, etc, en dependencia del esquema de protección que se pretenda brindar.
Su único objetivo es rechazar el Black traffic (Tráfico no deseado) hacia nuestras redes y solo dejar pasar el White Traffic (Tráfico solicitado), por lo que se convierte en un esquema ideal para blindar nuestros servidores locales de ataques, en especial los DDoS. He aquí algunos ejemplos de herramientas usadas en un Escudo de Red:
DDOS Deflate:   Un script de bash bastante efectivo para mitigar ataques DoS y DDoS pequeños y medianos, y muy útil en escenarios donde el servidor proxy solo se usa para filtrado de la red local y otros usos internos, y para pequeñas y medianas empresas y centros educativos.
Requerimientos
Conexión a internet para descargar el script y APF (si queremos usar que las IP´s sean baneadas a traves de APF). Este script se mantiene ejecutando en el servidor y puede detectar los ataques o conexiones originados desde múltiples direcciones IPs, mediante;
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Instalación
wget http://www.inetbase.com/scripts/ddos/install.sh
chmod 0700 install.sh
./install.sh
Desinstalación
wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
chmod 0700 uninstall.ddos
./uninstall.ddos
Configuración
Edite el archivo de configuración:
/usr/local/ddos/ddos.conf:
Con los siguientes parámetros:
FREQ= "aqui ponemos la frecuencia en la que el O.S ejecuta dicho script en minutos" //Default =1
NO_OF_CONNECTIONS= "conexiones límites para una IP entrante al servidor" //Default =150
APF_BAN= "Si es igual a uno (1) se usará APF, sino lo tienes instalado, cámbialo por cero (0) para usar iptables" //Default =1
KILL= "Deniega la conexión a IPS de lista Negra" //Default =1
EMAIL_TO= "aquí ponemos el email a donde se nos enviaran las ips atacantes" //Default =root
BAN_PERIOD= "segundos de banneo tras realizar un ataque al servidor" //Default =600
Podría ser necesario cambiar la línea shebang de /bin/sh a /bin/bash en ddos.sh para que la primera línea quede como #!/bin/bash. Así mismo recomendamos instalar APF ya que es mucho mas preciso que mod_dosevasive/mod_evasive.
Para excluir IPs, incluyalas en el archivo ignore.ip.list
/usr/local/ddos/ignore.ip.list
Luego agregue el servicio al cron
sh /usr/local/ddos/ddos.sh -c
La entrada del cron job se añade en /etc/cron.d con el nombre ddos.cron
SHELL=/bin/sh
0-59/1 * * * * root /usr/local/ddos/ddos.sh >/dev/null 2>&1
Si el script detecta una ip atacante nos enviará un e-mail
root: administrador@maravento.com
Asunto “IP addresses banned”, con los datos de la ip baneada (fecha, ip, número de conexiones)
IP addresses banned on Mon Jan 25 10:30:09 CET 2014
Banned the following ip addresses on Mon Jan 25 10:30:09 CET 2014
xxx.xxx.xxx.xxx with 212 connections
Para mayor información visite  RinconLejano
APF y BFD:  También están los scripts  APF (Políticas Avanzadas de Firewall) y  BFD (Detección de Fuerza Bruta), que refuerzan a DDoS Deflate. Puede descargar el  pack antiDDoS desde nuestra nube, el cual contiene  DDos Deflate, APF BFD. Para DDoS Deflate modifique el instalador para que busque los scripts dentro de una carpeta del pack antiDDoS. Puede ver su configuración  AQUI
Otros scripts para protegerse de ataques DDOS basado en IPTables es el de  Ruslan Abuzant y el de  Citadel (similar a DDoS Deflate)
Reverse Proxy:  Otra buena medida es un  Proxy Inverso (Reverse Proxy). Un servidor proxy-caché pero "al revés". O sea, en lugar de permitir el acceso a Internet a usuarios internos, permite a usuarios de Internet acceder indirectamente a determinados servidores internos.
El Reverse Proxy, en vez de de bloquear las peticiones entrantes, trata consigo mismo. Esta estrategia ofrece una seguridad mucho más fuerte que un firewall tradicional, ya que un firewall comprueba la estructura del paquete de fuentes sospechosas de conexiones y lo deja pasar o lo rechaza, en dependencia de las reglas que tenga predeterminadas, pero el tráfico llega hasta el servidor y ahí se produce el filtrado; en cambio, el Proxy Inverso impide que la conexión no autorizada logre llegar al servidor de destino. Esto elimina cualquier posibilidad de un virus o spyware en el servidor. En este orden de ideas, un proxy-inverso protege a un proxy-caché (o a cualquier otro proxy que tengamos en la red local).
Tutoriales  Cómo configurar un Proxy Inverso con Apache, y  Qué es Reverse Proxy y cuándo usarlo?
Fail2ban y DenyHOST: De las mejores herramientas que han mostrado resultados efectivos en la prevención y supervisión de ataques por fuerza bruta (Tutorial  Eng y  Esp). Puede verlos  juntos trabajando y  con asterisk.
ARPon: De las mejores herramientas para impedir ataques por envenenamiento de la caché ARP ( ARP Spoofing/Flooding/Poisoning or (ARP Poison Routing)) y  MITM. No necesita de conocimientos avanzados para su configuración. Vea el  Tutorial de instalación en Ubuntu
rkhunter: Un verificador de rootkits (mucho más completo y potente que  chkrootkit). Se encarga de verificar el sistema de nuestro servidor por comparación de hashes MD5, búsqueda por archivos comunes usados por rootkits, permisos equivocados para binarios, búsqueda por cadenas de texto sospechosos en módulos LKM (Loadable Kernel Modules) y KLD (Kernel Loadable Device); búsqueda de archivos ocultos; opciones de escaneo dentro de archivos binarios y planos, etc. (Tutorial de instalación  AQUI)
Hay ataques más peligrosos que el DDoS, que se desencadenan en nuestra red local y servidores, ya sea originado por un malware, una aplicación, u otro tipo de amenazas, en ocasiones casi imposibles de controlar por la proximidad teórica con el núcleo de la red.
Para blindar los puntos neurálgicos de la red local (servidores, bases de datos, etc) se debe contar con una protección adicional, más allá del Squid y el Iptables. En otras palabras, hay que evitar que el Black Traffic llegue a nuestro servidor principal, sin importar de donde venga. Para esto se pueden implementar medidas adicionales de seguridad perimetral. Dos de las más usadas son  SELinux y  AppArmor
SELinux: (del inglés Security-Enhanced Linux, Linux con Seguridad Mejorada) ( Wiki) es un proyecto de la Agencia de Seguridad Nacional ( NSA) de los Estados Unidos y de la comunidad SELinux.
Es una característica de seguridad de Linux que provee una variedad de políticas de seguridad, incluyendo controles de acceso a través del uso de módulos de Seguridad en el núcleo Linux. No es una distribución de Linux, sino un conjunto de modificaciones que puede ser aplicado a un sistema tipo Unix (como Linux y BSD). Por tanto activar este módulo es vital para proteger internamente nuestros servidores.
AppArmor: Fue creado en parte como alternativa a SELinux, que era criticado por los administradores por ser demasiado difícil de instalar y mantener. Al contrario que SELinux, que se basa en añadir etiquetas a los archivos, AppArmor trabaja con las rutas de los ficheros. Según sus autores, AppArmor es menos complejo y más fácil de aprender a utilizar para un usuario medio que SELinux. Añaden además que AppArmor necesita realizar pocas modificaciones en el sistema de ficheros mientras que SELinux necesita un sistema de ficheros que soporte sus atributos extendidos, lo que implica que no pueda controlar el acceso a archivos montados vía NFS. Con AppArmor no importa en qué clase de sistema de ficheros estén montados los archivos.
Lea los posts:  Habilitando y Deshabilitando SELinux en FedoraSELinux TeoríaIntroducción a SELinuxSecure Ubuntu With AppArmorArmado y protegido
Hay otras alternativas que ayudan a proteger el núcleo de nuestra red; entre ellas:
Systrace: Un sistema diseñado para "enjaular" las app que intenten correr en el servidor.
Sandboxes o Entornos de prueba: Similar a Systrace, con la diferencia que prueba las aplicaciones en un entorno virtual antes de dejarla ejecutar en el entorno real.
Secure Virtual Cloud (SVC es una plataforma completamente virtual (Open Source). Su función principal es correr todo tipo de tráfico cliente-servidor por la plataforma virtual en la nube, incluyendo sistemas operativos, aplicaciones, comunicaciones, transporte de datos, ejecutar archivos y programas, sistemas virtualizados, etc, con el objeto de que si se produce un daño por malware, ataques informáticos, aplicaciones corruptas, o factor humano (mal uso), simplemente se reemplaza el sistema completo (o el segmento virtual afectado), por otra plataforma en limpio, de manera transparente y transparente, sin que afecte ningún servicio, programas, ni comprometa los datos de la red local y usuarios. Esto se logra gracias a que tiene la capacidad de  autoclonarse de manera incremental, según la programación del Administrador TI. Tampoco se afecta la seguridad, ya que posee un sistema de encriptación militar, siendo la encriptación de la capa de transporte la mejor alternativa en la actualidad.
Si bien los sistemas actuales de encriptación y los números aleatorios has sido fuertemente cuestionados por tener supuestos backdoors la batalla por la privacidad no está perdida. En el caso de los sistemas basados en SVC, se crean tramas de datos conocidas como "miel"; o sea de introduce dentro del tráfico habitual codificado un volumen considerable de "datos no relacionados con los reales",  para que el atacante, en el supuesto caso que logre burlar la seguridad perimetral y entre al túnel, tarde años en "armar el rompecabezas", ya que la criptografía usada para proteger el tráfico real está basada en números aleatorios que se generan por una combinación de software y hardware (externo e interno), sin el patrón definido del chip y RDRand de Intel o la "piscina de entropía" de Linux.
EL FIN JUSTIFICA LOS MEDIOS
La única manera de saber realmente si nuestro trabajo de protección sirve de algo es haciéndole una auditoria. En otras palabras, bombardear nuestra defensa perimetral con todo lo que tengamos, sin importar qué sea, hasta que se reviente o aguante la embestida... Es mejor hacerlo uno mismo que esperar a que otro lo haga.
Existen muchas herramientas capaces de determinar qué tan sólida es nuestra defensa. Una muy buena es la Mega Suite  Net Tools, que contiene casi todo lo necesario para probar una red.
En GNU/Linux las más usadas para capturar y analizar el tráfico son  Wireshark ( InstallManual),  TCPDumpNmapIPTraf ( Manual),  Ettercap y  NLAS, entre otras. Una descripción de estos programas puede encontrarla en  Bloqueando IP atacante y  Snifeando su proxy
FOCA es otra herramienta muy recomendada, que realiza procesos de fingerprinting e information gathering en trabajos de auditoría web. La versión Free realiza búsqueda de servidores, dominios, URLs y documentos publicados, así como el descubrimiento de versiones de software en servidores y clientes. FOCA se hizo famosa por la extracción de metadatos en documentos públicos, pero hoy en día es mucho más que eso.
También tenemos  Suricata, Snort, Cutter, Metasploit, Anonymous High OrbitIon Cannon, Dawn of Darkness tool, Zap, DHCP ACK Injector, etc. Una gran cantidad de herramientas para pentest e instructivos pueden encontrarlos en los portales especializados  SecurityByDefault e  Informatica64
Podemos auto-ejecutarnos un ataque de  DDoS contra nuestra propia infraestructura, de manera controlada. El objetivo es que el Administrador TI compruebe la capacidad de tráfico que sus servidores pueden soportar sin volverse inestables y afectar a los servicios que prestan, o sea, conocer la capacidad real de cada máquina.
Puede utilizar  Low Orbit Ion Cannon (LOIC), que es una aplicación del proyecto Chanology, la cual realiza un ataque de denegación de servicio del objetivo enviando una gran cantidad de paquetes TCP, paquetes UDP o peticiones HTTP con objeto de determinar cuál es la cantidad de peticiones por segundo que puede resolver la red objetivo antes de dejar de funcionar. También puede usar Turbinas, o  Hping3Ping Flooding o cualquier otra  herramienta hacking para explotar las vulnerabilidades de su propia red.
Ejemplo de ataque DDoS con Hping3
apt-get install hping3
hping3 --rand-source -p 80  -S --flood 192.168.1.1
# o
hping3 -S 192.168.1.1 --flood --rand-source -d 5000 -p 80
Donde 192.168.1.1 es la ip de nuestro servidor proxy que pretendemos hacer caer,  -p 80 es el puerto que elegimos atacar,  -S activa el flag Syn,  --flood le indica a hping que envíe los paquetes a la máxima velocidad posible,  --rand-source hace que se generan direcciones de origen ip al azar (para no saturar nuestra propia máquina con las respuestas (Spoofing) o también se puede usar  -a ip_falsa (en reemplazo de  --rand-source) para usar una ip diferente a la nuestra y finalmente  -d, que indica el tamaño del cuerpo del paquete (expresado en bytes). Este valor puede variar.
Al cabo de unos pocos segundos, el servidor se volverá inaccesible dada la cantidad de requests que el servidor tiene que procesar. Al intentar acceder al servidor o sitio atacado por el puerto 80, se obtiene un timeout dado que no puede responder a peticiones genuinas por estar saturado de paquetes malformados.
Vea  SYN Flood con Hping3 y  Ataques coordinados DDos
Distribuciones especializadas GNU/Linux
Muchas de las tools descritas anteriormente se recogen en distros especializadas en seguridad perimetral, análisis forense, recuperación, penetración y filtrado. Una distro especializada y preconfigurada, no solo ahorra tiempo al Administrador TI, sino que garantiza que no pase por alto alguna protección esencial a la hora de la configuración.
Una buena alternativa es  Zeroshell.  Es una distribución GNU/Linux casi desconocida, pero muy profesional. Especial para servidores y dispositivos integrados destinados a proporcionar los servicios de red principal de una LAN requiere. Está disponible en forma de Live CD o de imagen de Compact Flash y se puede configurar y administrar utilizando el navegador web. La ventaja es que no es un folk sino una distro genuina independiente, ideal para equilibrio de cargas, tráfico 3g, servidor radius, proxy inverso, portal cautivo, etc, etc.
Existen muchas distribuciones de este tipo, tales como  Backtrack,  y su archicompetencia  Kali Linux Network Security Toolkit (NST) ( Basada en Fedora y equipada con herramientas de análisis de seguridad de redes, programas de validación y monitoreo);  Pentoo (creada para pruebas de penetración y asesoría de seguridad. Basada en Gentoo);  Helix (Basada en Ubuntu y diseñada para análisis de sistemas, recuperación de datos, auditoría de seguridad, y respuesta a incidentes);  WiFiSlax (diseñada para la auditoría de seguridad y relacionada con la seguridad informática en general);  BackBox Linux (Basada en Ubuntu y diseñada específicamente para tareas vinculadas a seguridad de redes, análisis forense, ingeniería inversa, reportes, etc.)  BeiniOperatorInside Security Rescue ToolkitDeft LinuxFireLocal Area Security LASPhlaknUbuntu (Network Ubuntu), entre otras.
En el artículo  Distros de Seguridad y Firewall encontrará las distribuciones servidor con múltiples funcionalidades incorporadas, relacionadas con seguridad.

Con la tecnología de Blogger.