Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Un gateway o puerta de enlace es normalmente un PC configurado para dotar a los equipos de una red local (LAN) conectadas a l de un acceso hacia una red exterior (Internet), generalmente realizando operaciones de traduccin de direcciones IP (NAT: Network Address Translation). Esta capacidad de traduccin de direcciones permite aplicar una tcnica llamada IP Masquerading (con iptables), usada a menudo para dar acceso a Internet a los equipos de una LAN compartiendo una nica conexin a Internet, y por tanto, una nica direccin IP externa.
Ejemplo: Una LAN con varios equipos configurados con una direccin IP privada clase C, como 192.168.X.X y usando un PC con 2 tarjetas de red, una conectada al Switch de la LAN (red interna con IP privada) y la otra conectada al mdem que provee el ISP (red externa con IP pblica). O sea, usar una nica conexin a Internet y compartirla con el resto de los equipos.
Ejemplo:
Esta tcnica se denomina IP Masquerading (Enmascaramiento de IPs). Su funcionamiento bsico, simplificado, podemos verlo en el siguiente diagrama, en el que se ejemplifica una transmisin desde PC1 (una mquina de la red privada) hacia Server (una mquina en Internet), siendo GW el gateway de la red:
PC1 quiere comunicarse con Server. PC1 recibe los paquetes de Server. PC1 comprueba que Server no est en su red (realizando un AND entre la direccin IP destino y la mscara de subred). GW reenva los paquetes hacia la red interna. (FORWARDING)
GW modifica la direccin origen de los paquetes para figurar como tal. (MASQUERADING)
GW modifica los paquetes de respuesta para mandarlos por la red interna (PC1 es el destino de los paquetes). (MASQUERADING).
GW recibe la respuesta de Server y viendo el nmero de puerto por el que la recibe sabe que debe reenviarla hacia PC1 por su interfaz.interna.
Diferencias entre gateway y proxy: Ambos proveen de conexin a una red externa como Internet a equipos de una red local, pero:
Protocolos
Seguridad
El proxy permite un mayor nivel de seguridad, ya que asla ms eficientemente (hasta el nivel de aplicacin) la red interna de la externa.
El gateway ofrece un menor nivel de seguridad, ya que el aislamiento entre redes no es tan grande, y resulta aconsejable acompaarlo de un firewall correctamente configurado para evitar problemas de seguridad.
Configuracin:
1.- Habilitar el forwarding: habilitar la capacidad de forwarding (reenvo) de paquetes TCP/IP.
Para hacer esto, tendremos que darle el valor 1 a la variable del sistema net.ipv4.ip_forward, aadiendo (o modificando, si ya existe) una lnea como la siguiente en nuestro fichero /etc/sysctl.conf:
net.ipv4.ip_forward = 1
Podremos comprobar que el forwarding est activado con: cat /proc/sys/net/ipv4/ip_forward (Si el contenido de este fichero virtual es 1, el forwarding est activado.)
Configuracin:
2.- Configurar el forwarding
Una vez que hemos habilitado en nuestro equipo la caracterstica de forwarding, debemos configurar nuestro sistema de filtrado de red (iptables) para que lo realice de manera efectiva.
iptables -t nat -A POSTROUTING o eth1 -j MASQUERADE Esta regla indica que debe hacer IP Masquerading con los paquetes de los que haga forward hacia internet, esto es, que realice sobre ellos los cambios de IP adecuados.
Configuracin:
3.- Asegurar el gateway
Para que la configuracin de forwarding que acabamos de realizar no se convierta en un potencial agujero de seguridad para nuestra mquina, resulta conveniente asegurar mediante reglas de nuestro firewall dicho forwarding.
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT iptables -A FORWARD -j DROP
Siendo en este caso eth1 nuestro interfaz de salida a Internet y eth0 nuestro interfaz ethernet de la red interna. Acepta que ingresen desde Internet a nuestra LAN slo los paquetes que pertenecen a una sesin generada en un equipo de nuestra red. Acepta que salga de nuestra red todo hacia Internet. Rechaza todo el resto.