Por favor
de seguir este articulo paso a paso cuando necesites eliminar una conexión en específico
de la tabla de conexiones de un firewall.
Requisitos
Previos:
Identificar
lo siguiente
1.-
Firewall donde existe la conexión.
2.- Source
IP
3.-
Destination IP
4.- Puerto
5.-
Protocolo
Herramientas
Necesarias:
*Putty o
cualquier herramienta similar
*Cualquier
web browser
*Crendeciales
de SSH del Firewall y password modo experto (esto lo puede ingresar el cliente
directamente)
*https://www.miniwebtool.com/ip-address-to-hex-converter/
*https://www.binaryhexconverter.com/decimal-to-hex-converter
*https://www.browserling.com/tools/hex-to-ip
Pasos:
1.- Ingresar al firewall por SSH
2.-Elevar permisos con expert
3.- Identificar
los flujos y la conexión que necesitas eliminar. (ver requisitios)
4.-Ejecutar
el siguiente comando:
5.- fw tab -t connections -f -u | grep -i IPOrigen | grep -i
IPDestino
Ejemplo: fw tab -t connections -f -u | grep -i IPOrigen |
grep -i IPDestino
Donde: 192.168.3.141 es una workstation dentro de la red de producción
192.168.5.235
es un Windows Server dentro de la red de servidores
La conexión
es mediante RDP utilizando el puerto 3389 mediante el protocolo 6 TCP.
6.- Buscar
la conexión en el ouput del filtro.
Ejemplo:
7.- Buscar
la misma conexión, pero en Hexadecimal. (utilizar las pagina web para convertir
la IP a hexadecimal.
Ejemplo: fw tab -t connections -u | grep -i HexOrigen | grep
-i HexDestino
Nota:
Eliminar el 0x del hexadecimal al momento de ejecutar el comando.
8.- Analizar
el output del comando para identificar la sesión en hexadecimal
9.- Aquí nos
toca identificar la sesión correspondiente, por lo que buscaremos el puerto
origen 3389 en hexadecimal para encontrarlo en esta tabla de conexiones: D3D
Nota - Identificar el flujo de la siguiente manera:
DIRECTION,SOURCE_IP,SOURCE_PORT,DEST_IP,DEST_PORT,PROTOCOL
Tenemos: Direction = 1, Source IP = 192.168.5.235, Source Port = 3389, Destination IP = 192.168.3.141, Destination Port= 59199, Protocol = 6.
En hexadecimal sería:
Direction = 00000001, Source IP = c0a805eb, Source Port = 00000d3d,
Destination IP = c0a8038d, Destination Port = 0000e73f, Protocol = 00000006.
10.- Una
vez que verificamos la sesión es momento de truncarla con el siguiente comando:
#fw tab -t connections -x -e "000,HexOrigen,000,000"
Ejemplo: IMPORTANTE SIN ESPACIOS DESPUES
DE CADA COMA.
11.- Validar
que la sesión haya sido dropeada con éxito.