Configurando NAT y DMZ

Además de la función de filtrado, con iptables podemos realizar NAT, por ejemplo, permitir que los equipos de la red local puedan comunicarse con otra red (SNAT, source NAT) o para que un equipo externo acceda a una máquina de la red local (DNAT, destination NAT). Para ello utilizaremos la tabla nat.

Configuración de NAT con iptables.

NAT son las siglas del inglés Network Address Translation o Traducción de Direcciones de Red y es un mecanismo que se usa ampliamente hoy en día. Existen diferentes tipos:

          ⟶ Source NAT: Se cambia la dirección IP de origen, es la situación más utilizada cuando estamos utilizando una dirección IP privada en una red local y establecemos una conexión con un equipo de Internet. Un equipo de la red (normalmente la puerta de enlace) se encarga de cambiar la dirección IP privada origen por la dirección IP pública, para que el equipo de Internet pueda contestar. También es conocido como IP masquerading, pero podemos distinguir dos casos:

• SNAT estático: Cuando la dirección IP pública que sustituye a la IP origen es estática (SNAT también significa Static NAT).
• SNAT dinámico o MASQUERADE: Cuando la dirección IP pública que sustituye a la IP origen es dinámica, caso bastante habitual en conexiones a Internet domésticas.

          ⟶ Destination NAT o port forwarding: En este caso se utiliza cuando tenemos algún servidor en una máquina detrás del dispositivo de NAT. En este caso será un equipo externo el que inicie la conexión, ya que solicitará un determinado servicio y el dispositivo de NAT debe modificar la dirección IP destino.

          ⟶ PAT (Port Address translation): Modifica específicamente el puerto (origen o destino) en lugar de la dirección IP. Por ejemplo si queremos reenviar todas las peticiones web que lleguen al puerto 80/tcp al mismo equipo pero al puerto 8080/tcp.

POSTROUTING.

Para que nuestros equipos de la red local tengan salida al exterior (por ejemplo a internet) tenemos que configurar el SNAT en nuestro cortafuegos. Tendríamos dos casos:

          ⟶ SNAT estático, por ejemplo la ip pública del router es una IP fija.

          ⟶ SNAT dinámico o enmascaramiento, es el caso que tenemos en nuestra infraestructura, la ip del router es dinámica.

POSTROUTING

Para que nuestros equipos de la red local tengan salida al exterior (por ejemplo a internet) tenemos que configurar el SNAT en nuestro cortafuegos. Tendríamos dos casos:

- SNAT estático, por ejemplo la ip pública del router es una IP fija.

- SNAT dinámico o enmascaramiento, es el caso que tenemos en nuestra infraestructura, la ip del router es dinámica.

EJERCICIOS.

1. Borra todas las reglas de la tabla Establece ACCEPT como política por defecto en las cadenas INPUT, OUTPUT y FORWARD.

2. ¿Desde la red del cliente tienes conexión hacia la red roja? ¿Te es posible conectarte a un portal web?

Tengo conexión y contacto con Yahoo.es y Google.

3. Borra todas las reglas de la tabla nat. Establece ACCEPT como política por defecto en las cadenas POSTROUTING y PREROUTING.

4. Realiza las mismas pruebas que en el apartado 2, ¿qué sucede?

No hay conexión a Internet, porque se han borrado todas las reglas de la tabla NAT, el IPFire no puede enrutar, no puede salir a la red roja.

5. Busca información e implementa la regla necesaria para un caso de SNAT dinámico. Tras ello comprueba que el cortafuegos enruta las conexiones hacia Internet.

https://albertomolina.wordpress.com/2009/01/09/nat-con-iptables/

6. Borra la regla del apartado anterior e implementa la regla necesaria para un caso de SNAT estático.

7. ¿Qué diferencia existe entre un SNAT estático y dinámico?

En el SNAT estático la dirección IP pública que sustituye a la IP origen es estática.

En el SNAT dinámico o MASQUERADE la dirección IP pública que sustituye a la IP origen es dinámica. 

PREROUTING.

El único equipo de la red local que es accesible desde Internet es el dispositivo de NAT (como hemos indicado suele ser el router) a través de su dirección IP pública (por ejemplo la 80.56.1.14). Utilizando NAT, en concreto DNAT, podemos hacer que la conexión a la IP pública desde el exterior a un determinado puerto se redirija a un servidor en la red local que realmente esté ofreciendo el servicio.

Realizando esta configuración podríamos utilizar una DMZ, utilizada habitualmente para ubicar servidores que es necesario que sean accedidos desde el exterior o Internet.

EJERCICIOS.

*Nota: para esta parte vamos a reutilizar la red verde como si fuera una red naranja. A modos prácticos habría que diferenciar entre ambas redes.

1. Pon en marcha un servidor ssh en tu máquina cliente Kali Linux (168.2.2). Queremos que sea accesible desde Internet. Las peticiones se realizarían al puerto 22/tcp de la interfaz red0 del cortafuegos para luego modificar la dirección IP destino por la 192.168.2.2.

     Investiga cómo implementar la regla realizando las pruebas pertinentes.

       Activamos el ssh en el Kali para que pueda recibir la conexión.

PREROUTING: se va a hacer una conexión a través del puerto 22 con la red roja y que nos va a  redirigir a la máquina de IP 192.168.2.2

2. Ahora vamos a introducir una modificación. Crea otra regla en la que “se ataque al puerto 2220” de la interfaz red0 del cortafuegos para redirigir las comunicaciones como en el caso anterior.

¿Cómo lo harías?

Se borra todo lo anterior, se establece nueva reglas, tenemos activo el servicio ssh en kali.

Para obtener ayuda en la solución de problemas de PC, llámenos al 910174686. Data System es una empresa de servicios informáticos a nivel nacional con 3 locales en España. Nuestro personal del servicio de reparación de ordenadores en Madrid ofrece esta publicación de blog. Si necesita Reparación de ordenadores en Madrid, contáctenos o llama a la oficina local a 661531890. o entrar en nuestra página web www.datasystem.es

Fuente: José Humberto Gamarra Taco.