Filtrado de paquetes y NAT. Aprendizajes esperados Contenidos: Filtrado de paquetes NAT.

Slides:



Advertisements
Presentaciones similares
Introducción a los principales servicios de red. Enfoque práctico.
Advertisements

Profesor: Lic. Albino Petlacalco Ruiz M.C. Jose David Alanis Urquieta
Switches, routers, hubs & “patch panels”
Que es y su funcionamiento básico
Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática
29/03/2017 ROUTING IP Herramientas Basicas Redes Convergentes.
Tema 1 SRI Vicente Sánchez Patón I.E.S Gregorio Prieto
Redes I Unidad 5.
ARP Y RARP.
Enginyería de Xarxes Alberto Guerrero Raúl Moreno Carlos Rodríguez
DIAGRAMAS DE CLASES Completando los diagramas de interacción, es posible identificar la especificación de las clases que participarán en la solución indicando.
E NRUTAMIENTO E STÁTICO Prof.:Sergio Quesada Espinoza Conf. Dispositivos de Red.
PROTOCOLOS Un protocolo es un conjunto de reglas que hacen que la comunicación en una red sea más eficiente.
TOPICOS ACTIVIDAD # 5 TOPICOS G.B.I PRESENTADO POR:
Sebastián Barbieri IP - ICMP Comunicación de Datos II Ingeniería en Sistemas – Facultad Cs. Exactas Universidad Nacional de Centro de la Prov. de Bs. As.
Comunicación de Datos I
Funcionamiento del servicio DHCP. Tipos de mensajes.
Direccionamiento IP Clases de direcciones. 01 de octubre de 2004Cesar Guisado2 TCP/IP La familia de protocolos TCP/IP fue diseñada para permitir la interconexión.
FIREWALL.
INTEGRANTES: MARTINEZ MISHELL MEDINA ENID MENENDEZ EVELYN INTEGRANTES: MARTINEZ MISHELL MEDINA ENID MENENDEZ EVELYN.
TRINO ANDRADE G UNIVERSIDAD ECOTEC. PRESENTACIÓN DE OUTLOOK EXPRESS Microsoft Outlook Express es una herramienta necesaria que le permite administrar.
POP3 UCLV Mapas Conceptuales para la enseñanza de Redes de Computadoras.
LISTAS DE CONTROL DE ACCESO (ACL)
1 Chat de salón 1.Enunciado del problema 2.Modelo cliente/servidor 3.Protocolo de comunicación con el servidor. 4.Chat privado 5.Diseño del cliente 6.Diseño.
Joel Gustavo Rondón Rodríguez.  Un repetidor es un dispositivo electrónico que recibe una señal débil o de bajo nivel y la retransmite a una potencia.
66.69 Criptografía y Seguridad Informática FIREWALL.
LOS SERVIDORES DHCP. Acerca del protocolo DHCP DHCP (acrónimo de Dynamic Host Configuration Protocol, que se traduce Protocolo de configuración dinámica.
Access Control List Modulo 11, Semestre 2 CCNA..
Conceptos avanzados Dr. Daniel Morató Area de Ingeniería Telemática Departamento de Automática y Computación Universidad Pública de Navarra
© 2014 Cisco Systems, Inc. Todos los derechos reservados.Información confidencial de Cisco Presentation_ID 1 Capítulo 11: Traducción de direcciones de.
1 MENSAJES DE CONTROL Y ERROR DE LA PILA TCP/IP Semestre 2 Capítulo 8 Carlos Bran
DHCP protocolo de configuración dinámica de host.
El Protocolo ICMP Cesar Guisado 2003.
Javier Rodríguez Granados
HERRAMIENTAS DE SEGURIDAD
La tabla de enrutamiento: Un estudio detallado
1 Capítulo 19: Un mecanismo de reporte de errores (ICMP) ICD-327: Redes de Computadores Agustín J. González.
Conalep Coacalco 184 Manejo de redes Aguilar Juárez Rosa Isela
CAPA DE RED PROTOCOLOS.
© 2007 Cisco Systems, Inc. Todos los derechos reservados.Cisco Public 1 Enrutamiento estático Conceptos y protocolos de enrutamiento. Capítulo 2.
5.7 Servicios no orientados a conexión. 5.8 Ruteadores.
Tema 6 – Servicio de Correo Electrónico
N A T Network Address Translation.
Jorge De Nova Segundo. SSH File Transfer Protocol (también conocido como SFTP o Secure File Transfer Protocol) es un protocolo del nivel de aplicación.
Protocolos del modelo TCP/IP
4. Introducción a IP,TCP,UDP,ARP,ICMP
Registros de recursos DNS.
Luis Villalta Márquez. Servidores de nombres de dominio (DNS)
Funcionamiento del servicio DHCP. Tipos de mensajes 07/10/20121Jesús Torres Cejudo.
Ing. Elizabeth Guerrero V.
Luis Villalta Márquez Servicios SFTP/SCP. SFTP SSH File Transfer Protocol (también conocido como SFTP o Secure File Transfer Protocol) es un protocolo.
UD 1: “Introducción a los servicios de red e Internet” Protocolo IP. –Direccionamiento de Red – IPv4 –Direccionamiento de Red.- IPv6 Gustavo Antequera.
Simulación de Enrutamiento y Reenvío en Papel. Simulación incluye: Reenvío salto a salto DV – Enrutamiento tipo Vector Distancia (como RIP) LS – Enrutamiento.
Servidores. ¿Qué es un servidor? Servidor de Aplicación Servidor de impresión Servidor de base de datos Servidor de correo Servidor de Internet Servidor.
PROTOCOLOS Modelo TCP/IP
Ing. Horacio sagredo tejerina
Iptables Introduccion Comandos Basicos Ejemplos.
INSTALACIÓN Y ADMINISTRACIÓN DEL
Significa Modelo de Interconexión de sistemas Abiertos.
Ipv6.El protocolo Primera aproximación Introducción.
Gabriel Montañés León. TCP es un protocolo orientado a conexión es decir, que permite que dos máquinas que están comunicadas controlen el estado de la.
Benemérita Universidad Autónoma de Puebla Comandos Unix Ivan Rosas Torre.
MODELO TCP/IP.
En informática, es un protocolo de red para la transferencia de archivos entre sistemas conectados a una red TCP (Transmission Control Protocol)
UT7. SEGURIDAD PERIMETRAL
LISTAS DE CONTROL DE ACCESO
Clasificación y marcado de tráfico
“Firewalls”. Firewall Dispositivo que interconecta dos redes Dispositivo de red que regula el acceso a una red interna Programas que protegen los recursos.
66.69 Criptografía y Seguridad Informática FIREWALL.
Transcripción de la presentación:

Filtrado de paquetes y NAT

Aprendizajes esperados Contenidos: Filtrado de paquetes NAT

Filtrado de paquetes Cada regla especifica un conjunto de condiciones que un paquete debe cumplir, y lo que haremos si cumple dichas condiciones (efectuaremos una “acción”). Por ejemplo, puede que quieras hacer DROP de los paquetes ICMP provenientes de la dirección En este caso definiremos el protocolo como ICMP, la dirección de origen como y la acción será DROP.

Filtrado de paquetes es la interface de “loopback” que tendrá en su máquina incluso si no dispone de una conexión real a la red. Puede hacer un “ping” para generar dichos paquetes. un ping simplemente envía paquetes ICMP del tipo 8 (petición de eco - echo request) que todos los hosts operativos deberán responder con un paquete ICMP de tipo 0 (respuesta del eco - echo reply).

Filtrado de paquetes # p# ping –c ing -c PING ( ): 56 data bytes 64 bytes from : icmp_seq=0 ttl=64 time=0.2 ms ‐‐‐ ping statistics ‐‐‐ 1 packets transmitted, 1 packets received, 0% packet loss round‐trip min/avg/max = 0.2/0.2/0.2 ms # iptables -A INPUT -s p icmp -j DROP # ping -c PING ( ): 56 data bytes ‐‐‐ ping statistics ‐‐‐ 1 packets transmitted, 0 packets received, 100% packet loss #

Filtrado de paquetes Agregamos (‐A) a la cadena INPUT una regla especificando que los paquetes que vengan de (‐s ) con el protocolo ICMP (‐p icmp) deberán tomar la acción DROP (‐j DROP). Una vez hecho esto, probamos la regla con un segundo ping. El programa esperará una respuesta que nunca llegará.

Filtrado de paquetes Podemos eliminar esta regla de dos formas. La primera, ya que sabemos que es la única regla en la cadena INPUT, podemos utilizar su número para borrarla: # iptables -D INPUT 1 La segunda forma es igual a la del comando ‐A, pero sustituyendo ‐A por ‐D.

Filtrado de paquetes Esto es útil cuando tiene varias reglas complejas y no quieres tener que contarlas hasta encontrar la que buscabas. Para estos casos usaremos: # iptables -D INPUT -s p icmp -j DROP

Filtrado de paquetes La sintaxis de ‐D debe ser exactamente igual a la de ‐A (o ‐I o ‐R). Si hay múltiples reglas iguales en la misma cadena, sólo la primera será eliminada.

Filtrado de paquetes # iptables ‐F Para “vaciar” (Flush) todas las cadenas. # iptables ‐X Borrarlacadena definida‐por‐usuario (opcional) especificada. # iptables ‐Z Poner a cero (Zero) los contadores de bytes y paquetes de todas las cadenas.

Filtrado de paquetes # iptables -A INPUT -j DROP # iptables -A OUTPUT -j DROP # iptables -A FORWARD -j DROP Agregar(‐A) una regla para descartar(‐j(‐j DROP) todos los paquetes de entrada (INPUT), salida(OUPUT) y reenvío(FORWARD), respectivamente.

Filtrado de paquetes # iptables -A INPUT -p udp -j DROP Agregar (‐A) una regla a la cadena de INPUT en la tabla FILTER (la tabla por defecto cuando la opción ‐t no se especifica) que descarte (‐j DROP) todos los paquetes UDP (‐p UDP).

Filtrado de paquetes # iptables -A INPUT -p icmp -s j DROP Agregar (‐A) una regla a la cadena de entrada (INPUT) para que cualquier paquete ICMP (‐p icmp) con origen en (‐s ) sea descartado (‐j DROP).

Filtrado de paquetes # iptables -A INPUT -p tcp -s dport 21 -j DROP Agregar (‐A) una regla a la cadena de entrada (INPUT) para que cualquier paquete TCP (‐p tcp) con origen en (‐s(‐s ) a través de FTP por el puerto 21 (‐‐dport 21) sea descartado (‐j DROP).

Filtrado de paquetes # iptables -A INPUT -p tcp -dport 22 -j ACCEPT Agregar (‐A) una regla a la cadena de entrada (INPUT) para aceptar (‐j ACCEPT) conexiones a nuestra máquina a través de SSH por el puerto 22 (‐‐dport 22).

¿Qué es NAT? Normalmente, los paquetes viajan en una red desde un origen determinado (por ejemplo, desde mi computador) a un destino específico (como por ejemplo a través de varios enlaces diferentes. Ninguno de estos enlaces alteran realmente los paquetes: simplemente lo envían un paso adelante.

¿Qué es NAT? Si uno de estos enlaces hiciera NAT, podría alterar el origen o destino de los paquete según pasa a través suyo. Normalmente, el enlace que esté haciendo NAT recordará cómo y qué modificó del paquete, para hacer la acción inversa con el paquete de respuesta, de manera que todo funciona como se esperaba.

Razones para usar NAT Remedio frente a la escasez de direcciones Simplificación de la gestión de redes Mejora de la seguridad Conexiones con módem a Internet Varios servidores Proxy transparente

Tipos de NAT Source NAT (SNAT, por origen), y Destination NAT (DNAT, por destino). Source NAT es cuando alteramos el origen del primer paquete: esto es, estamos cambiando el lugar de donde viene la conexión. Source NAT siempre se hace después del encaminamiento, justo antes de que el paquete salgaporelcable.El enmascaramiento es una forma especializada de SNAT.

Tipos de NAT El enmascaramiento (masquerading) es una forma especializada de SNAT.

Source NAT

Tipos de NAT Destination NAT es cuando alteramos la dirección de destino del primer paquete: esto es, cambiamos la dirección a donde se dirige la conexión. DNAT siempre se hace antes del encaminamiento, cuando el paquete entra por el cable. El port forwarding (reenvío de puerto), el balanceo de carga y el proxy transparente son formas de DNAT.

Destination NAT

Controlar el NAT Se necesitan crear reglas NAT que le digan al núcleo (kernel) qué conexiones cambiar, y cómo hacerlo. Para hacer esto se utiliza la muy versátil herramienta IPTABLES, y le diremos que altere la tabla de NAT usando la opción ‐t nat.

Controlar el NAT La tabla de reglas NAT contiene tres listas llamadas “cadenas”: cada regla se examina por orden hasta que una coincide. Las tres cadenas se llaman PREROUTING (para Destination NAT, según los paquetes entran), POSTROUTING (para Source NAT, según los paquetes salen), y OUTPUT (para Destination NAT con los paquetes generados en la propia máquina).

Controlar el NAT Para todas las operaciones de NAT, se debe usar ‐t nat para especificar que se operará sobre la tabla NAT. Otra opciones importantes son ‐A para añadir una nueva regla al final de una cadena (‐A POSTROUTING), o ‐I para insertarla al principio (‐I PREROUTING).

Controlar el NAT Se puede especificar el origen (‐s o ‐‐source) y el destino (‐d o ‐‐destination) de los paquetes sobre los que se quiere hacer NAT. Estas opciones pueden ir seguidas por una IP sencilla(por ejemplo, ), un nombre (por ejemplo, o una dirección de red( /24o / ).

Controlar el NAT Se puede especificar qué interfaz de entrada o de salida considerar con las opciones ‐i o ‐‐in‐ interfacey ‐o‐oo ‐‐ out‐interface, respectivamente. Pero lo que se puede especificar depende de en qué cadena esté poniendo la regla: en PREROUTING sólo puede elegir la interfaz de entrada, y en POSTROUTING (y OUTPUT) sólo la de salida.

Controlar el NAT Si usa la equivocada, IPTABLES le avisará con un mensaje de error. También puede indicar un protocolo específico (‐p o ‐‐protocol), como TCP o UDP; sólo los paquetes de este protocolo coincidirán con la regla.

Controlar el NAT La razón principal para hacer esto es que especificar uno de los protocolos TCP o UDP permite más opciones: específicamente las opciones ‐‐ source‐port y ‐‐ destination‐port (abreviadas como ‐‐ sporty ‐‐ dport, respectivamente).

Source NAT Hacer Source NAT quiere decir que vamos a cambiar la dirección de origen de las conexiones a algo diferente. Source NAT se hace en la cadena de POSTROUTING, justo antes de que sea enviado. Este es un detalle importante, ya que significa que cualquier otro servicio de la máquina LINUX (encaminamiento, filtrado de paquetes) verá el paquete sin cambiar.

Source NAT También significa que se puede utilizar la opción ‐o (interfaz de salida). El Source NAT se especifica indicando ‐j SNAT, y la opción ‐‐to‐source especifica una dirección IP, un rango de direcciones IP, y un puerto o rango de puertos opcionales (sólo con los protocolos UDP y TCP).

Source NAT Cambiar la dirección de origen por # iptables -t nat -A POSTROUTING -o eth0 -j SNAT ‐‐to Cambiar la dirección de origen a , o # iptables -t nat -A POSTROUTING -o eth0 -j SNAT ‐‐to ‐

Source NAT Cambiar la dirección de origen por , puertos 1‐1023. # iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT ‐‐to :1‐1023

Enmascaramiento Hay un caso especial de Source NAT que se denomina enmascaramiento (masquerading). sólo debería ser usado para direcciones IP asignadas de forma dinámica, tales como las de conexiones por llamada estándar (para direcciones IP estáticas, se debe utilizar el SNAT descrito anteriormente).

Enmascaramiento No es necesario escribir la dirección de origen de forma explícita con el enmascaramiento: utilizará la dirección de origen de la interfaz por la que el paquete está saliendo. Pero más importante aún, si el enlace cae, las conexiones (que se iban a perder de todas maneras) se olvidan, lo que significa que habrá menos problemas cuando la conexión vuelva a la normalidad con una IP diferente.

Enmascaramiento Enmascarar todo lo que salga por ppp0. # iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Destination NAT Esto se hace en la cadena PREROUTING, según entra el paquete; esto significa que cualquier otro servicio de la máquina con LINUX (encaminamiento, filtrado de paquetes) verá el paquete yendo a su destino “real” (el definitivo). Esto significa que se puede utilizar la opción ‐i (interfaz de entrada).

Destination NAT Para alterar el destino de un paquete generado de forma local (en la máquina que hace el NAT), se debe usar la cadena OUTPUT, pero esto es más inusual. Destination NAT se especifica utilizando ‐j DNAT, y la opción ‐‐to‐destination especifica una dirección IP, un rango de direcciones IP, y un puerto o rango de puertos opcionales (sólo para los protocolos UDP y TCP).

Destination NAT Cambia la dirección de destino por # iptables -t nat -A PREROUTING -i eth1 -j DNAT ‐‐to Cambia la dirección de destino por , o # iptables -t nat -A PREROUTING -i eth1 -j DNAT ‐‐to ‐

Destination NAT Cambia la dirección de destino del tráfico web por , puerto # iptables -t nat -A PREROUTING -p tcp ‐‐ dport 80 -i eth1 -j DNAT ‐‐to :8080 Redirige los paquetes locales que van a hacia el dispositivo loopback. # iptables -t nat -A OUTPUT -d j DNAT ‐‐to

Configuración de un PROXY Vamos a suponer que tenemos un PROXY en la dirección y el puerto 3128 para las conexiones a servidores web de internet, con la siguiente regla se redirigirán todas las peticiones que se realicen hacia un servidor WEB (puerto 80) hacia el puerto 3128 de la máquina : # iptables-t nat-A PREROUTING -p tcp ‐‐ dport 80 –j DNAT ‐‐to :3128

Configuración de un PROXY Envía el tráfico que entra dirigido al puerto 80 (web) a nuestro proxy squid (transparente). # iptables -t nat -A PREROUTING -i eth1 -p tcp ‐‐dport 80 -j REDIRECT ‐‐to‐port 3128

Configuración de un PROXY

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.