Interconexión de redes

1 Introducción
La interconexión de redes ofrece un número creciente de servicios pero supone un gran agujero de
seguridad. Podemos intentar solventar esta seguridad en cada uno de los equipos pero buena parte
de las medidas a tomar debe ser llevada a cabo de forma global en un dispositivo cuya
funcionalidad recibe el nombre de cortafuegos o firewall.
Los sistemas GNU/Linux usan principalmente el paquete iptables. Iptables comprende dos
funcionalidades fundamentales:
1. Filtrado de paquetes. Este filtrado es una medida fundamental para la seguirdad de una LAN
que permite filtrar las comunicaciones desde nuestra red y desde el exterior a nuestra red.
2. NAT. Es decir permitir la conexión entre una red con IP privada y una red con IP pública.
Esta funcionalidad no es propia de un firewall sino de un router o pasarela pero viene
incluida en iptables por lo que podemos decir que iptables permite configurar un router-
firewall.
La configuración de iptables se realiza mediante el comando del mismo nombre y es cargada en
memoria RAM. Lo habitual es crear scripts de configuración que son ejecutados para cargar la
configuración del router-firewall.

2 NAT
NAT (Network Address Translation) consiste en reemplazar la IP de origen o destino de un paquete
IP con la dirección del propio router permitiendo comunicar redes que potencialmente son
incompatibles.

2.1 SNAT
SNAT (Source NAT) es cuando un equipo dentro de una intranet (red privada) quiere conectarse a
internet. Si no hacemos NAT el equipo destino, por ejemplo un sitio web como www.google.com,
debería contestar a una IP privada pero no podría saber donde está por el mismo hecho de ser
privada. Dado que el router posee dos tarjetas de red y una de ellas es pública reemplazamos la IP
privada por dicha IP pública, este mecanismo se llama enmascaramiento o MASQUERADE.
Hacer SNAT mediante iptables nos permite decidir caundo hacerla en función de:
• La interfaz de red por donde van a salir los paquetes TCP/IP tras su enrutamiento
(POSTROUTING).
• Quién es equipo origen.
• A quién va destinada la comunicación
• El protocolo utilizado, el servicio o puerto al que se desea acceder.
La sintáxis completa para definir una regla de POSTROUTING es la siguiente:
root@rafa-laptop:~# iptables -t nat -A POSTROUTING -o 'interfaz red' -s
'ip origen' -p tcp -–dport 'puerto destino' -j SNAT --to
'nueva ip origen'
root@rafa-laptop:~# iptables -t nat -A POSTROUTING -o ethX -s
192.168.1.0/24 -p tcp -–dport 80 -j SNAT --to 37.98.1

“-t nat” indica que se trata de una regla de tipo nat.

“-A POSTROUTING” indica que se añade (-A) una regla de POSTROUTING.
“-o eth0” indica la tarjeta de red por la que van a salir los paquetes.
“-s 192.168.1.0/24” indica la red de origen a la que se aplica la regla.
“-p tcp -–dport 80” indica que se hace nat para los paquetes TCP al puerto 80.
“ -j SNAT --to 37.98.1” indica la ip que se coloca en los paquetes tras el SNAT
Puesto que eth0 habitualmente sólo tiene una IP este último bloque se puede sustituir por “-j
MASQUERADE”.
root@rafa-laptop:~# iptables -t nat -A POSTROUTING -o ethX -s
192.168.1.0/24 -p tcp -–dport 80 -j MASQUERADE

Pero la sintáxis más simple es la siguiente:

root@rafa-laptop:~# iptables -t nat -A POSTROUTING -j MASQUERADE

Hace enmascaramiento para cualquier red de origen, cualquier red de destino y para todos los
puerots TCP o UDP.

2.2 DNAT

3 Filtrado de paqutes

4 Borrar:

Sitio con aplicación de ayuda para la creación del script

http://www.uday.com.np/tools/iptables.php