NAT y Firewall

a

a

Linux

Enmascaramiento, NAT (Internet para LAN)

# sudo nano /etc/default/ufw
DEFAULT_INPUT_POLICY “ACCEPT”
DEFAULT_FORWARD_POLICY “ACCEPT”

# sudo nano /etc/ufw/sysctl.conf
net /ipv4/ip_forward = 1

# sudo nano /etc/ufw/before.rules
# Poner justo después de los primeros comentarios
*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING –s 192.168.11.0/24 –o eth1 –j MASQUERADE
COMMIT
*** ojo a –o, si hay una sola tarjeta causa problemas. NO PONER ***

Para activar y desactivar
# sudo ufw disable
# sudo ufw enable

Para ver las reglas de nat
# sudo iptables –t nat –L

Para borrar las reglas de nat (y poder recargar ufw sin que duplique reglas)
#sudo iptables –t nat -F

Para volver a la configuración inicial
# sudo ufw reset

Para recargar los ficheros de configuración (/etc/ufw/befote.rules, /etc/ufw/alter.rules  y /lib/ufw/user.rules)
# sudo ufw reload

Cortafuegos

Añadir una regla al cortafuegos
# sudo ufw allow 80/tcp
Eliminar una regla
# sudo ufw delete allow 80/tcp 

Mostrar cómo están las reglas del cortafuegos
# sudo ufw status
 
Tabla de rutas
# sudo route del –net 192.168.11.0/24
# sudo route add –net 192.168.11.0/24 eth0
# sudo route add default gw 192.168.0.254

Debe quedar así:
Localnet    *    255.255.255.0        U    0     0     0    eth0
192.168.0.0    *    255.255.255.0        U    0     0     0    eth0
default     192.168.0.254     0.0.0.0        UG    100     0     0    eth0

Cortar el tráfico entre horas determinadas. Lo haremos con cron, que ejecuta acciones en dias y horas determinados
# sudo service cron start
# sudo crontab –e
    00 16 * * * /sbin/iptables –t nat –F POSTROUTING
    00 18 * * * /sbin/iptables –t nat –A POSTROUTING –s 192.168.0.0/24 –o eth1 –j MASQUERADE
# sudo service cron restart

Para prohibir el acceso a determinadas horas a algunas páginas (por ejemplo tuenti) se usa cron pero con las siguientes reglas.
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -d 95.131.168.181 -j DROP
para cortarlo dejando abierto el acceso a Internet, y
/sbin/iptables -F FORWARD
para borrar la regla anterior y dejar el acceso a cualquier sitio.

Si se deseara cortar más direcciones, se haría un shell-script con los iptables necesarios y se ejecuta con cron.


W2008

Control de acceso (filtros entrantes y salientes)

Para poder filtrar las direcciones a las que hacer NAT