NAT y Firewall


Linux
Enmascaramiento, NAT (Internet para LAN)
# sudo nano /etc/default/ufw
DEFAULT_INPUT_POLICY “ACCEPT”
DEFAULT_FORWARD_POLICY “ACCEPT”
# sudo nano /etc/ufw/sysctl.conf
net /ipv4/ip_forward = 1
# sudo nano /etc/ufw/before.rules
# Poner justo después de los primeros comentarios
*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING –s 192.168.11.0/24 –o eth1 –j MASQUERADE
COMMIT
*** ojo a –o, si hay una sola tarjeta causa problemas. NO PONER ***
Para activar y desactivar
# sudo ufw disable
# sudo ufw enable
Para ver las reglas de nat
# sudo iptables –t nat –L
Para borrar las reglas de nat (y poder recargar ufw sin que duplique reglas)
#sudo iptables –t nat -F
Para volver a la configuración inicial
# sudo ufw reset
Para recargar los ficheros de configuración (/etc/ufw/befote.rules, /etc/ufw/alter.rules y /lib/ufw/user.rules)
# sudo ufw reload
Cortafuegos
Añadir una regla al cortafuegos
# sudo ufw allow 80/tcp
- Si no se pone protocolo, lo hace para TCP y UDP
- De
la misma forma: 80 (www) , 8080 (http-alt) 20, 21 (ftp), 22 (ssh), 3306
(mySQL), 5432 (PostgreSQL), 53 (domain), 10000 (webmin), …
Eliminar una regla
# sudo ufw delete allow 80/tcp
Mostrar cómo están las reglas del cortafuegos
# sudo ufw status
Tabla de rutas
# sudo route del –net 192.168.11.0/24
# sudo route add –net 192.168.11.0/24 eth0
# sudo route add default gw 192.168.0.254
Debe quedar así:
Localnet
* 255.255.255.0
U 0 0
0 eth0
192.168.0.0
* 255.255.255.0
U 0 0
0 eth0
default
192.168.0.254 0.0.0.0
UG 100 0
0 eth0
Cortar el tráfico entre horas determinadas. Lo haremos con cron, que ejecuta acciones en dias y horas determinados
# sudo service cron start
# sudo crontab –e
00 16 * * * /sbin/iptables –t nat –F POSTROUTING
00 18 * * * /sbin/iptables –t nat –A POSTROUTING –s 192.168.0.0/24 –o eth1 –j MASQUERADE
# sudo service cron restart
Para
prohibir el acceso a determinadas horas a algunas páginas (por ejemplo
tuenti) se usa cron pero con las siguientes reglas.
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -d 95.131.168.181 -j DROP
para cortarlo dejando abierto el acceso a Internet, y
/sbin/iptables -F FORWARD
para borrar la regla anterior y dejar el acceso a cualquier sitio.
Si se deseara cortar más direcciones, se haría un shell-script con los iptables necesarios y se ejecuta con cron.
W2008
- Añadir al servidor la función de “Servicio de acceso y directiva de redes”
- Herramientas administrativas - Enrutamiento y acceso remoto
- Configurar y habilitar
- Traducción de direcciones NAT
- Elegir la tarjeta que tiene la dirección que conecta con Internet
Control de acceso (filtros entrantes y salientes)
Para poder filtrar las direcciones a las que hacer NAT
- Herramientas – Enrutamiento y acceso remoto
- Desplegar IPv4 – General
- Aparecen los 2 interfaces (LAN y WAN). Se pueden definir reglas de filtrado entrante y saliente sobre cada uno de ellos.
- Elegir uno de ellos - botón derecho
- Propiedades – Botón filtros salientes /entrantes
- Descartar/recibir los paquetes que cumplan / no cumplan criterios de dirección y/o puerto