Linux
Páginas: 14 (3401 palabras)
Publicado: 21 de enero de 2014
Introducción a Netfilter/Iptables
Enrutamiento en Linux
El enrutamiento es el proceso de envío de paquetes entre diferentes redes. Los routers pueden ser
dispositivos hardware u ordenadores normales con el software apropiado. Linux puede ser la solución a
nuestras necesidades de enrutamiento.
En nuestro caso, Network Address Traslation (NAT) es la forma más sencilla de dar acceso a Interneta
los equipos de la red local: con una sólo IP pública, todos los equipos saldrán a Internet.
Nuestro router debería tener al menos dos tarjetas de red, una conectada a la LAN y la otra a la WAN
(Internet).
Los equipos en la red local usarán como puerta de enlace la IP interna del router. Linux recibirá los
paquetes, los procesará y los reenviará a Internet.
Un servicio muy conveniente en unrouter es un cortafuegos, que permite el filtrado de paquetes tanto
entrantes como salientes para proteger nuestra red de forma eficiente. Netfilter/Iptables, el sistema de
filtrado de paquetes incluido en las series 2.4, 2.6 y 3 del núcleo de Linux, puede hacer tanto de
cortafuegos como realizar la traducción de direcciones de red NAT.
Otra posibilidad interesante es la instalación de Squid.Es un proxy cache para la web que soporta HTTP,
HTTPS, FTP y otros protocolos. Reduce el uso de ancho de banda y mejora los tiempos de respuesta al
cachear y reutilizar los elementos de las páginas web más visitadas desde nuestra red. Squid también
ofrece control de acceso para regular el uso de Internet de diversas formas:
• bloqueando ciertos sitios web.
• bloqueando la salida a Internetde algunos equipos.
• permitiendo la conexión sólo durante ciertas horas del día, etc.
Activando el enrutamiento en Linux
Si queremos activar el enrutamiento en el núcleo de Linux, tenemos que poner a '1' la variable de sistema
'ip_forward'. Desde una terminal o en un script, ejecutaríamos (como root):
echo "1" > /proc/sys/net/ipv4/ip_forward
Desde ese momento y sin tener que reiniciarningún servicio, el equipo empezaría a reenviar por cada
tarjeta de red todo lo que le llega por la otra y cuyo destino no es el propio equipo.
Pero eso no es suficiente, por ejemplo, para enviar paquetes desde nuestra LAN a Internet. El problema es
la dirección IP de origen de los paquetes (192.168.x.x u otra de los rangos reservados para direcciones
privadas), que no es válida en Internet.Netfilter/Iptables
Como se ha dicho, Netfilter es el sistema de filtrado de paquetes incluido en las series 2.4 y 2.6 del
núcleo de Linux. Iptables es el programa de línea de comandos que usamos para configurar las reglas de
filtrado de paquetes en Linux.
El objetivo de este documento es crear un script para convertir nuestro equipo Linux en un enrutador para
nuestra red. Controlará eltráfico de red, permitiendo el paso de ciertos paquetes y bloqueando el resto.
Netfilter/Iptables ofrece muchas posibilidades, pero nosotros nos vamos a centrar en dos de ellas: filtrado
de paquetes y traducción de direcciones. Iptables tiene dos tablas (subprogramas) para realizar dichas
tareas: la tabla filter y la tabla nat. La tabla nat se utiliza para modificar las direcciones IP de lospaquetes, mientras que la tabla filter deja o no pasar los paquetes que llegan al cortafuegos.
Esas tablas se aplican en diferentes momentos o actúan sobre paquetes con diferentes destinos, como se
muestra en la figura, donde se ve un esquema simplificado del camino que recorren los paquetes cuando
llegan al enrutador:
Netfilter/Iptables - Tablas and cadenas
Flujo simplificado de las posiblesrutas que siguen los paquetes
que llegan o salen del firewall
En la figura también aparecen 5 cadenas (chains): PREROUTING, POSTROUTING, INPUT, OUTPUT
y FORWARD.
La traducción de direcciones o nat puede realizarse en dos momentos:
• en cuanto el paquete llega al firewall y antes de decidir si el destino es el propio equipo o si debe
ser reenviado a otro. Este momento o cadena se denomina...
Enrutamiento en Linux
El enrutamiento es el proceso de envío de paquetes entre diferentes redes. Los routers pueden ser
dispositivos hardware u ordenadores normales con el software apropiado. Linux puede ser la solución a
nuestras necesidades de enrutamiento.
En nuestro caso, Network Address Traslation (NAT) es la forma más sencilla de dar acceso a Interneta
los equipos de la red local: con una sólo IP pública, todos los equipos saldrán a Internet.
Nuestro router debería tener al menos dos tarjetas de red, una conectada a la LAN y la otra a la WAN
(Internet).
Los equipos en la red local usarán como puerta de enlace la IP interna del router. Linux recibirá los
paquetes, los procesará y los reenviará a Internet.
Un servicio muy conveniente en unrouter es un cortafuegos, que permite el filtrado de paquetes tanto
entrantes como salientes para proteger nuestra red de forma eficiente. Netfilter/Iptables, el sistema de
filtrado de paquetes incluido en las series 2.4, 2.6 y 3 del núcleo de Linux, puede hacer tanto de
cortafuegos como realizar la traducción de direcciones de red NAT.
Otra posibilidad interesante es la instalación de Squid.Es un proxy cache para la web que soporta HTTP,
HTTPS, FTP y otros protocolos. Reduce el uso de ancho de banda y mejora los tiempos de respuesta al
cachear y reutilizar los elementos de las páginas web más visitadas desde nuestra red. Squid también
ofrece control de acceso para regular el uso de Internet de diversas formas:
• bloqueando ciertos sitios web.
• bloqueando la salida a Internetde algunos equipos.
• permitiendo la conexión sólo durante ciertas horas del día, etc.
Activando el enrutamiento en Linux
Si queremos activar el enrutamiento en el núcleo de Linux, tenemos que poner a '1' la variable de sistema
'ip_forward'. Desde una terminal o en un script, ejecutaríamos (como root):
echo "1" > /proc/sys/net/ipv4/ip_forward
Desde ese momento y sin tener que reiniciarningún servicio, el equipo empezaría a reenviar por cada
tarjeta de red todo lo que le llega por la otra y cuyo destino no es el propio equipo.
Pero eso no es suficiente, por ejemplo, para enviar paquetes desde nuestra LAN a Internet. El problema es
la dirección IP de origen de los paquetes (192.168.x.x u otra de los rangos reservados para direcciones
privadas), que no es válida en Internet.Netfilter/Iptables
Como se ha dicho, Netfilter es el sistema de filtrado de paquetes incluido en las series 2.4 y 2.6 del
núcleo de Linux. Iptables es el programa de línea de comandos que usamos para configurar las reglas de
filtrado de paquetes en Linux.
El objetivo de este documento es crear un script para convertir nuestro equipo Linux en un enrutador para
nuestra red. Controlará eltráfico de red, permitiendo el paso de ciertos paquetes y bloqueando el resto.
Netfilter/Iptables ofrece muchas posibilidades, pero nosotros nos vamos a centrar en dos de ellas: filtrado
de paquetes y traducción de direcciones. Iptables tiene dos tablas (subprogramas) para realizar dichas
tareas: la tabla filter y la tabla nat. La tabla nat se utiliza para modificar las direcciones IP de lospaquetes, mientras que la tabla filter deja o no pasar los paquetes que llegan al cortafuegos.
Esas tablas se aplican en diferentes momentos o actúan sobre paquetes con diferentes destinos, como se
muestra en la figura, donde se ve un esquema simplificado del camino que recorren los paquetes cuando
llegan al enrutador:
Netfilter/Iptables - Tablas and cadenas
Flujo simplificado de las posiblesrutas que siguen los paquetes
que llegan o salen del firewall
En la figura también aparecen 5 cadenas (chains): PREROUTING, POSTROUTING, INPUT, OUTPUT
y FORWARD.
La traducción de direcciones o nat puede realizarse en dos momentos:
• en cuanto el paquete llega al firewall y antes de decidir si el destino es el propio equipo o si debe
ser reenviado a otro. Este momento o cadena se denomina...
Leer documento completo
Regístrate para leer el documento completo.