Scribd Logo
Upload

Welcome to Scribd!

  • Nat Con Iptables en Centos 6

    Uploaded by

    tito25
    24 views3 pages
    Para CENTOS 6.0

    Copyright

    © © All Rights Reserved

    Available Formats

    DOCX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    Para CENTOS 6.0

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    24 views3 pages

    Nat Con Iptables en Centos 6

    Uploaded by

    tito25
    Para CENTOS 6.0

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 3

    NAT CON IPTABLES EN CENTOS 6.

    Para poder hacer un NAT para la red local debemos saber que se necesitan 2
    tarjetas de red, una conectada a la WAN(eth0) y otra conectada a la LAN(eth1).
    CONFIGURACIONES EN EL SERVIDOR
    Suponiendo que no hay reglas en el firewall empezamos a habilitar NAT con
    IPTABLES.
    # iptables -F
    # iptables -t nat -F
    # iptables --delete-chain
    # iptables --table nat --delete-chain
    Habilitamos el reenvio de paquetes.
    # echo 1 > /proc/sys/net/ipv4/ip_forward
    Creamos nuevas reglas para decirle al firewall que eth0 es la NIC conectada a la
    WAN, y que enmascare todo lo que venga de la LAN (eth1).
    # iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    # iptables -A FORWARD -i eth1 -j ACCEPT
    Para guardar las reglas usamos el comando:
    # service iptables save
    Solo falta configurar las tarjeta que se conecta a la LAN(eth1), para eso vamos a
    editar el archivo ifcfg-eth1.
    # vim /etc/sysconfig/network-scripts/ifcfg-eth1
    Suponiendo que a la tareta de red eth1 se le va a asignar la ip 192.168.1.254, el
    archivo de configuracin debe contener lo siguiente:
    DEVICE=eth1 ONBOOT=yes
    IPADDR=192.168.1.254
    NETMASK=255.255.255.0
    BOOTPROTO=static
    Guardamos el archivo y NAT ha quedado configurado.
    CONFIGURACIONES EN LAS MAQUINAS CLIENTE
    Como no se ha configurado un servidor DHCP se necesita asignar una ip fija a las
    computadoras que estn dentro de la LAN para que puedan tener acceso a la red
    (no importa el sistema operativo que tengan instalado).
    Suponiendo que la tarjeta eth1 del servidor tiene la ip 192.168.1.254, el rango de
    ip's que tienen para asignar en la LAN van desde la 192.168.1.1 a la
    192.168.1.253
    Gateway o Puerta de Enlace.
    192.168.1.254
    Netmask o mscara de red.
    255.255.255.0
    Los DNS los debe de conocer el administrador de la red, pero sino los conocen se
    pueden usar los de google.
    8.8.8.8 y 4.4.4.4

    BLOQUEAR FACEBOOK Y TWITTER CON IPTABLES

    Configur SQUID como proxy transparente para una LAN. El objetivo principal era bloquear el
    acceso a facebook y twitter. Como ya sabran SQUID solo puede filtrar las peticiones que
    hacen desde cualquier nodo de la LAN hacia el puerto 80, por lo que las peticiones al puerto
    443 las deja pasar sin problemas. Es decir, si el usuario introduce en el navegador la direccin
    https://www.facebook.com, SQUID no bloquea la peticin y se abre la pgina sin problemas.
    La solucin ms fcil era bloquear con IPTABLES todas las peticiones al puerto 443, pero
    como el correo y los portales bancarios estn permitidos en las polticas de navegacin, no lo
    bloquee.
    Las versiones nuevas de IPTABLES no permiten hacer DROP o REJECT en la tabla nat, por lo
    que se tienen que aplicar las reglas en la tabla mangle.
    Aqu la solucin:
    ejecutan el siguiente comando
    nslookup facebook.com
    y debe arrojar un resultado ms o menos as
    Non-authoritative answer:
    Name: facebook.com
    Address: 69.171.247.21
    Name: facebook.com
    Address: 66.220.149.88
    Name: facebook.com
    Address: 66.220.152.16
    Name: facebook.com
    Address: 69.171.234.21
    Name: facebook.com
    Address: 69.171.237.16
    ahora hacemos lo mismo para twitter
    nslookup twitter.com
    arroja algo as
    Non-authoritative answer:
    Name: twitter.com
    Address: 199.59.149.230
    Name: twitter.com
    Address: 199.59.150.39
    Name: twitter.com
    Address: 199.59.148.10
    Las IP's que arroja el comando nslookup pueden variar en cada ejecucin porque los
    servidores de las redes sociales utilizan muchas direcciones IP's, as que hay que ejecutar el
    comando varias veces durante el da para que vaya arrojando todas las IP's.

    Una vez que se obtienen las IP's, las reglas de IPTABLES para bloquear esos 2 sitios son
    estas:
    iptables -t mangle -A PREROUTING -d 69.171.247.21 -j DROP
    iptables -t mangle -A PREROUTING -d 66.220.149.88 -j DROP
    iptables -t mangle -A PREROUTING -d 66.220.152.16 -j DROP
    iptables -t mangle -A PREROUTING -d 69.171.234.21 -j DROP
    iptables -t mangle -A PREROUTING -d 69.171.237.16 -j DROP
    iptables -t mangle -A PREROUTING -d 199.59.149.230 -j DROP
    iptables -t mangle -A PREROUTING -d 199.59.150.39 -j DROP
    iptables -t mangle -A PREROUTING -d 199.59.148.10 -j DROP
    Las IP's bloqueadas son las que me arrojo nslookup ejecutandolo aleatoriamente en 2 das,
    as que tal vez no sean las nicas.
    La opcin rpida es bloquear el segmento completo de las redes que utiliza facebook y twitter,
    el inconveniente es que alguna sitio que si este autorizado utilice una IP de estos segmentos,
    pero en mi caso no es as y bloquee todo el segmento de la siguiente manera.
    iptables -t mangle -A PREROUTING -d 64.13.0.0/16 -j DROP
    iptables -t mangle -A PREROUTING -d 69.171.0.0/16 -j DROP
    iptables -t mangle -A PREROUTING -d 66.220.0.0/16 -j DROP
    iptables -t mangle -A PREROUTING -d 199.59.0.0/16 -j DROP
    y listo.

    You might also like