Configuracion básica de un servidor NAT - Configuracion basica de un servidor NAT (Network Address Translation
Monografía creado por Vegetto1. Extraido de: http://www.bandaancha.st/documentos.php?docid=63
16 de Noviembre de 2005
LAN, Networking, Protocolos
1 - Configuracion basica de un servidor NAT (Network Address Translation
Para que sea más sencillo a quien no conoce lo que es NAT, digamos que es lo que hacen los routers , de tal manera que si dentro de una LAN un ordenador intenta conectar a www.bandaancha.st, el router identifica la IP interna del solicitante, la procesa mediante "Network Address Translation" y la envía. Una vez recibida la respuesta, reconoce para quién es esa respuesta y la redirecciona dentro de la LAN al ordenador que la pidió, de forma transparente. Este proceso es también llamado MASQUERADING. NAT presenta problemas para algunos servicios -aquellos que tienen router los conocen muy bien- pero eso lo comentaremos al final, en "servicios especiales".
Evidentemente si no disponemos de un router podemos usar un software que actúe como tal, de tal forma que los cálculos necesarios los hace nuestra CPU. No es tan buena solución como tener un router propio, pero ¡son tan caros! :-D
En Windows son muy conocidos programas como WinRoute o Wingate, que realizan esta función de forma sencilla. En Linux tenemos una herramienta que no es tan visual (salvo algunos interfaces gráficos que hay por ahí y que no me gustan mucho) pero es más potente que cualquier software para Windows. Esta herramienta se llama IPTABLES, y es una herramienta de control, es decir, nos sirve como router y lógicamente también como firewall, ya que podemos establecer perfectamente las peticiones que queremos denegar si algún "listillo" intenta enganchar por algún puerto peligroso. Esto lo haremos a través de pequeñas reglas trabajando, como no, en modo superusuario.
Vamos a hacer un ejemplo básico para una LAN "casera" pensando en una conexión RTB o ADSL por módem con IP DINÁMICA, y dicho ejemplo es fácilmente adaptable por ejemplo, a una RDSI o cualquier otra línea. Supondremos que el ordenador servidor tendrá IP 192.168.0.1 y el cliente (o clientes) de 192.168.0.2 en adelante (configuradas de forma estática). Hay que decir que todos los núcleos a partir de 2.4.x traen soporte para iptables, y si se instalan desde las herramientas de configuración de RedHat, Mandrake, etc... no hay que preocuparse de cómo activarlo en el arranque ni nada. En los kernels de la versión 2.0.x se usaba ipfwadm, y en los 2.2.x ipchains. Para comprobar que efectivamente tenemos iptables cargado, podemos ejecutar:
chkconfig --list | grep iptables
siempre y cuando tengamos la herramienta grep instalada. Aparecerá una línea con un formato similar:
iptables 0:off 1:off 2:on 3:on 4:on 5:on 6:off
pero ya digo que esto ni siquiera es necesario si se instala desde la herramienta de paquetes de la propia distro.
Bueno, suponiendo ya que tenemos nuestro IPTABLES correctamente instalado, vamos a ver cómo establecer unas reglas básicas. Ante todo aclarar que la idea de este texto es sólo para conocer lo básico y tener el ruteo funcionando, pero IPTABLES admite reglas de una complejidad considerable, además de un alto número de parámetros. Para tener información sobre ellos sólo hay que teclear "man iptables".
Por otro lado hemos de pensar que los puertos de nuestro ordenador son pequeños enganches donde se establecen comunicaciones entre procesos, locales o remotos, y que, igual que es muy peligroso dejar la puerta de nuestra casa abierta, es peligroso dejar un puerto abierto a través del cual se pueda ejecutar un código malicioso o introducir un troyano o virus. Por eso la seguridad de nuestros ordenadores es nuestra responsabilidad igual que lo es la de nuestra casa, así que animo a todo aquel que se inicie en IPTABLES a aprender un poco más de lo que se detalla aquí para tener su ordenador lo más seguro posible con reglas precisas. No obstante para una red casera tampoco es necesario un nivel paranoico de seguridad. Podéis ver si tenéis puertos peligrosos abiertos con un scan online en http://seguridad.internautas.org/3C/es/scanonline.php∞
Podemos pensar de dos formas a la hora de construir nuestro firewall: "Todo abierto y cierro lo peligroso" o "Todo cerrado y abro sólo lo justo que me interesa". Son dos maneras de verlo y según las necesidades nos interesará más una cosa u otra. Aquí haremos el primer caso, y prácticamente ni eso, ya que no vamos a construir el firewall explícitamente, sólo permitiremos el paso de paquetes.
Evidentemente si no disponemos de un router podemos usar un software que actúe como tal, de tal forma que los cálculos necesarios los hace nuestra CPU. No es tan buena solución como tener un router propio, pero ¡son tan caros! :-D
En Windows son muy conocidos programas como WinRoute o Wingate, que realizan esta función de forma sencilla. En Linux tenemos una herramienta que no es tan visual (salvo algunos interfaces gráficos que hay por ahí y que no me gustan mucho) pero es más potente que cualquier software para Windows. Esta herramienta se llama IPTABLES, y es una herramienta de control, es decir, nos sirve como router y lógicamente también como firewall, ya que podemos establecer perfectamente las peticiones que queremos denegar si algún "listillo" intenta enganchar por algún puerto peligroso. Esto lo haremos a través de pequeñas reglas trabajando, como no, en modo superusuario.
Vamos a hacer un ejemplo básico para una LAN "casera" pensando en una conexión RTB o ADSL por módem con IP DINÁMICA, y dicho ejemplo es fácilmente adaptable por ejemplo, a una RDSI o cualquier otra línea. Supondremos que el ordenador servidor tendrá IP 192.168.0.1 y el cliente (o clientes) de 192.168.0.2 en adelante (configuradas de forma estática). Hay que decir que todos los núcleos a partir de 2.4.x traen soporte para iptables, y si se instalan desde las herramientas de configuración de RedHat, Mandrake, etc... no hay que preocuparse de cómo activarlo en el arranque ni nada. En los kernels de la versión 2.0.x se usaba ipfwadm, y en los 2.2.x ipchains. Para comprobar que efectivamente tenemos iptables cargado, podemos ejecutar:
chkconfig --list | grep iptables
siempre y cuando tengamos la herramienta grep instalada. Aparecerá una línea con un formato similar:
iptables 0:off 1:off 2:on 3:on 4:on 5:on 6:off
pero ya digo que esto ni siquiera es necesario si se instala desde la herramienta de paquetes de la propia distro.
Bueno, suponiendo ya que tenemos nuestro IPTABLES correctamente instalado, vamos a ver cómo establecer unas reglas básicas. Ante todo aclarar que la idea de este texto es sólo para conocer lo básico y tener el ruteo funcionando, pero IPTABLES admite reglas de una complejidad considerable, además de un alto número de parámetros. Para tener información sobre ellos sólo hay que teclear "man iptables".
Por otro lado hemos de pensar que los puertos de nuestro ordenador son pequeños enganches donde se establecen comunicaciones entre procesos, locales o remotos, y que, igual que es muy peligroso dejar la puerta de nuestra casa abierta, es peligroso dejar un puerto abierto a través del cual se pueda ejecutar un código malicioso o introducir un troyano o virus. Por eso la seguridad de nuestros ordenadores es nuestra responsabilidad igual que lo es la de nuestra casa, así que animo a todo aquel que se inicie en IPTABLES a aprender un poco más de lo que se detalla aquí para tener su ordenador lo más seguro posible con reglas precisas. No obstante para una red casera tampoco es necesario un nivel paranoico de seguridad. Podéis ver si tenéis puertos peligrosos abiertos con un scan online en http://seguridad.internautas.org/3C/es/scanonline.php∞
Podemos pensar de dos formas a la hora de construir nuestro firewall: "Todo abierto y cierro lo peligroso" o "Todo cerrado y abro sólo lo justo que me interesa". Son dos maneras de verlo y según las necesidades nos interesará más una cosa u otra. Aquí haremos el primer caso, y prácticamente ni eso, ya que no vamos a construir el firewall explícitamente, sólo permitiremos el paso de paquetes.
Valora este capítulo:
Autor y licencia de 'Configuracion básica de un servidor NAT - Configuracion basica de un servidor NAT (Network Address Translation'
|
Opiniona sobre 'Configuracion básica de un servidor NAT - Configuracion basica de un servidor NAT (Network Address Translation' (0)
Tu nombre debe tener tres caracteres como mínimo.
Es necesario que te des de alta con una cuenta de correo válida.
Es necesario que te des de alta con una cuenta de correo válida.
El contenido del título de tu opinión debe tener tres caracteres como mínimo.
Es obligatorio que selecciones una valoración del recurso.
El contenido del comentario de tu opinión debe tener tres caracteres como mínimo.
Opina sobre este monografía |
Wikis relacionados con 'Configuracion básica de un servidor NAT - Configuracion basica de un servidor NAT (Network Address Translation'
No se han encontrado cursos relacionados con '
Configuracion básica de un servidor NAT - Configuracion basica de un servidor NAT (Network Address Translation'
