LinuxParty

NUESTRO SITIO necesita la publicidad para costear hosting y el dominio. Por favor considera deshabilitar tu AdBlock en nuestro sitio. También puedes hacernos una donación entrando en linuxparty.es, en la columna de la derecha.
Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 
<_ScratcH_> la NAT hemos dicho ke era la traduccion de direcciones de red,
es decir.. modificar la cabecera IP de los paquetes
<_ScratcH_> pues bien.. la tabla que define estas politicas se llama nat
<_ScratcH_> los posibles objetivos son tres: PREROUTING, POSTROUTING y OUTPUT
<_ScratcH_> al recibir un paquete para ser reenviado lo que hace el nucleo es
ver a que direccion va destinado y decidir por cual de los
interfaces de red debe reenviarlo para que llegue a su destino
<_ScratcH_> las acciones de PREROUTING son las realizadas antes de tomar esta
decision..
<_ScratcH_> las de POSTROUTING se toman despues de esta decision
<_ScratcH_> las de OUTPUT son acciones de NAT que afectan a paquetes generados
por la propia maquina y que por tanto no pasan por el filtro
de reenvio
<_ScratcH_> las dos acciones basicas que haremos en cuanto a NAT son las de
modificar la direccion IP de origen y la modificacion de la IP
de destino
<_ScratcH_> por ejemplo.. el caso de masquerading
<_ScratcH_> consiste en lo siguiente.. tenemos un ordenador conectado a
internet con su IP publica y su IP en la red local
<_ScratcH_> y este ordenador actua como enrutador para el resto de ordenadores
de la red local
<_ScratcH_> si un ordenador quiere enviar un paquete al exterior lo envia
al router
<_ScratcH_> si este lo reenviara al destino sin ningun tipo de modificacion
este paquete jamas volveria
<_ScratcH_> puesto que la direccion de origen que figuraria seria la direccion
que tiene este ordenador en la red local, que no seria una IP
valida en internet
<_ScratcH_> la tecnica de enmascaramiento (masquerading) consiste en que el
firewall modifica la direccion de origen del paquete
sustituyendola por la propia IP que tiene el router en
internet..
<_ScratcH_> de este modo al llegar el paquete a su destino volvera al router
que nuevamente lo dirigira al ordenador del que procedia
<_ScratcH_> este seria un caso de POSTROUTING puesto que la modificacion de la
direccion de origen se haria despues de haber tomado la
decision de enrutado
Cómo sabe el router a ké ekipo de la red local pertenecía?
<_ScratcH_> el sistema de enrutado hace que todos los paquetes que se envian
sean introducidos en unas tablas e identificados con un numero
de serie
<_ScratcH_> al volver comprueba este numero de serie y asi sabe a que "traza"
pertenece el paquete para poderlo devolver al ordenador que
toca
<_ScratcH_> otro dipo de nat consiste en lo contrario
<_ScratcH_> en modificar el destino de paquete..
<_ScratcH_> podemos hacer que los paquetes que cumplan unas caracteristicas
vayan destinados a otra direccin diferente de la original.. en
este caso habria que modificar la direccion de destino antes de
tomar la decision de enrutado.. por que de este modo podriamos
variar la ruta que debe seguir
<_ScratcH_> pues bien.. en el caso de modificacion de direccion de origen
la accion se llama SNAT
<_ScratcH_> en caso de modificar el destino se llama DNAT
<_ScratcH_> como ejemplo.. supongamos que nos interesa que todos los paquetes
que van desde nuestra red hacia el exterior para solicitud de
paginas web (puerto TCP 80) pasen antes por otro ordenador que
haga de filtro, cache, o lo que sea..
un caso real en el que se use DNAT
<_ScratcH_> chawax: este mismo ke estoy explicando
<_ScratcH_> supongamos ke el ordenador ke vamos a usar para trabajar como cache
de web por ejemplo sea 192.168.0.20 y que reciba estas
conexiones en el puerto 8080
<_ScratcH_> pues bien.. la configuracion seria la siguiente
<_ScratcH_> iptables -t nat -A PREROUTING -j DNAT -p tcp -s 192.168.0.0/24
--to-destination 192.168.0.20:8000
<_ScratcH_> bueno.. podriamos seguir hablando horas y horas sobre iptables..
<_ScratcH_> pero creo que con esto y el man ya es suficiente para el que
quiera empezar a montar un firewall


** Y con esto y un bizcocho hasta mañana a las ocho **
** Ronda de preguntas, aplausos, cumplidos y peloteo general, xD **

plas plas plas plas plas plas plas plas plas plas plas plas plas plas
plas plas plas plas plas plas plas plas plas plas plas plas plas plas


 Te puede interesar:
Configuración paso a paso de una NAT con los iptables
Permitir NAT (enrutamiento) en Linux
20 Ejemplos IPTables para nuevos Administradores de Sistemas

_ScratcH_ tengo 2 dudas pekeñas :)
<_ScratcH_> si hay alguna pregunta sencilla.. podeis hacerla.. si es muy
complicada.. man iptables ;)
plas plas plas plas plas plas plas plas plas plas plas plas plas plas
<_ScratcH_> ppalou:

_ScratcH_ no acabo de entender lo de /8 /12 /24 ....
<_ScratcH_> ppalou: ok
<_ScratcH_> la mascara de red nos dice cuantos bits de una direccion IP
pertenecen a la red y cuantos al ordenador en concreto
<_ScratcH_> si tenemos una red del tipo 192.168.0.0/255.255.255.0
<_ScratcH_> signicica que la red es: 192.168.0.x
si
<_ScratcH_> ok..
<_ScratcH_> es decir.. los primeros 3 bytes de los 4 que hay nos definen la red
<_ScratcH_> si escribes la mascara de red en binario:
<_ScratcH_> 255.255.255.0 = 11111111/11111111/11111111/00000000
<_ScratcH_> tenemos 24 bits a 1
<_ScratcH_> en resumen:
<_ScratcH_> /255.0.0.0 = /8
<_ScratcH_> /255.255.0.0 = /16
<_ScratcH_> /255.255.255.0 = /24
<_ScratcH_> etc..
VALE!!!! :-)
<_ScratcH_> ok
<_ScratcH_> la otra duda ke tenias? asias, ahora .... en el kernel ke hay k seleccionar en las opciones de red? pk hay miles <_ScratcH_> si.. hay miles.. <_ScratcH_> a ver.. en el apartado Networking options <_ScratcH_> [*] Network packet filtering (replaces ipchains) <_ScratcH_> esto da soporte a iptables <_ScratcH_> y luego dentro de el apartado: IP: Netfilter Configuration ---> me lo imagino ;) scratch.. la mitad d la charla q he visto ta de pm:)))))) felicidades ;) <_ScratcH_> ppalou <_ScratcH_> ok ;) <_ScratcH_> GoMi: pelota dime ha estado mu biens sc es el number one <_ScratcH_> pplou: dentro de la configuracion lo peudes activar practicamente todo.. si vas a hacer pruebas.. <_ScratcH_> sino solo lo ke necesites <_ScratcH_> en concreto <_ScratcH_> ipchains (2.2-style) support <_ScratcH_> ipfwadm (2.0-style) support yo lei k si activabas iptables no podrias activar ipchains ni ipfwadm
<_ScratcH_> estas dos no las necesitas a no ser que vayas a usar ipchains o ipfwadm ke ya he dicho antes que estan obsoletas con el kernel 2.4 ok :) entonces a: [ ] IP: advanced router ] IP: kernel level autoconfiguration y estas cosas ke le den no? <_ScratcH_> si lo que necesitais es un firewall optimizado en cuanto a la gestion de paquetes.. no activeis nada que no vayais a utilizar.. pero eso es algo de norma general <_ScratcH_> ppalou: esas dos no tienen mucho que ver con iptables _ScratcH_ ok UNA CHARLA FANTASTICA!!!!!! MUCHAS GRACIAS <_ScratcH_> advancer router te permite configurar que cosas se tienen en cuenta a la hora de decidir ke ruta sigue el pakete a el no le dices lo de pelota? XDDDDDDDDDDD :-) <_ScratcH_> gracias ;) _ScratcH_ grcx, explicas de puta madre <_ScratcH_> chawax: sera ke tu entiendes bien.. XDDD


Proviene de la parte 1

Charla IPTABLES, que se dió en el canal #linux_party



Redes:



   

 

Suscribete / Newsletter

Suscribete a nuestras Newsletter y periódicamente recibirás un resumen de las noticias publicadas.

Donar a LinuxParty

Probablemente te niegues, pero.. ¿Podrías ayudarnos con una donación?


Tutorial de Linux

Filtro por Categorías