NAT y Firewall

Linux

Enmascaramiento, NAT (Internet para LAN)

# sudo nano /etc/default/ufw
DEFAULT_INPUT_POLICY “ACCEPT”
DEFAULT_FORWARD_POLICY “ACCEPT”

# sudo nano /etc/ufw/sysctl.conf
net /ipv4/ip_forward = 1

# sudo nano /etc/ufw/before.rules
# Poner justo después de los primeros comentarios
*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING –s 192.168.11.0/24 –o eth1 –j MASQUERADE
COMMIT
*** ojo a –o, si hay una sola tarjeta causa problemas. NO PONER ***

Para activar y desactivar
# sudo ufw disable
# sudo ufw enable

Para ver las reglas de nat
# sudo iptables –t nat –L

Para borrar las reglas de nat (y poder recargar ufw sin que duplique reglas)
#sudo iptables –t nat -F

Para volver a la configuración inicial
# sudo ufw reset

Para recargar los ficheros de configuración (/etc/ufw/befote.rules, /etc/ufw/alter.rules y /lib/ufw/user.rules)
# sudo ufw reload

Cortafuegos

Añadir una regla al cortafuegos
# sudo ufw allow 80/tcp

Si no se pone protocolo, lo hace para TCP y UDP
De la misma forma: 80 (www) , 8080 (http-alt) 20, 21 (ftp), 22 (ssh), 3306 (mySQL), 5432 (PostgreSQL), 53 (domain), 10000 (webmin), …

Eliminar una regla
# sudo ufw delete allow 80/tcp

Mostrar cómo están las reglas del cortafuegos
# sudo ufw status

Tabla de rutas
# sudo route del –net 192.168.11.0/24
# sudo route add –net 192.168.11.0/24 eth0
# sudo route add default gw 192.168.0.254

Debe quedar así:
Localnet   *   255.255.255.0       U   0    0    0   eth0
192.168.0.0   *   255.255.255.0       U   0    0    0   eth0
default   192.168.0.254    0.0.0.0       UG   100    0    0   eth0

Cortar el tráfico entre horas determinadas. Lo haremos con cron, que ejecuta acciones en dias y horas determinados
# sudo service cron start
# sudo crontab –e
   00 16 * * * /sbin/iptables –t nat –F POSTROUTING
   00 18 * * * /sbin/iptables –t nat –A POSTROUTING –s 192.168.0.0/24 –o eth1 –j MASQUERADE
# sudo service cron restart

Para prohibir el acceso a determinadas horas a algunas páginas (por ejemplo tuenti) se usa cron pero con las siguientes reglas.
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -d 95.131.168.181 -j DROP
para cortarlo dejando abierto el acceso a Internet, y
/sbin/iptables -F FORWARD
para borrar la regla anterior y dejar el acceso a cualquier sitio.

Si se deseara cortar más direcciones, se haría un shell-script con los iptables necesarios y se ejecuta con cron.

W2008

Añadir al servidor la función de “Servicio de acceso y directiva de redes”
Herramientas administrativas - Enrutamiento y acceso remoto
Configurar y habilitar

Traducción de direcciones NAT
Elegir la tarjeta que tiene la dirección que conecta con Internet

Control de acceso (filtros entrantes y salientes)

Para poder filtrar las direcciones a las que hacer NAT

Herramientas – Enrutamiento y acceso remoto

Desplegar IPv4 – General
Aparecen los 2 interfaces (LAN y WAN). Se pueden definir reglas de filtrado entrante y saliente sobre cada uno de ellos.

Elegir uno de ellos - botón derecho

Propiedades – Botón filtros salientes /entrantes

Descartar/recibir los paquetes que cumplan / no cumplan criterios de dirección y/o puerto