GATEWAY CON IPTABLES

GATEWAY CON IPTABLES

Un gateway o puerta de enlace es normalmente un PC configurado para dotar a los equipos de una red local (LAN) conectadas a l de un acceso hacia una red exterior (Internet), generalmente realizando operaciones de traduccin de direcciones IP (NAT: Network Address Translation). Esta capacidad de traduccin de direcciones permite aplicar una tcnica llamada IP Masquerading (con iptables), usada a menudo para dar acceso a Internet a los equipos de una LAN compartiendo una nica conexin a Internet, y por tanto, una nica direccin IP externa.

GATEWAY CON IPTABLES

Ejemplo: Una LAN con varios equipos configurados con una direccin IP privada clase C, como 192.168.X.X y usando un PC con 2 tarjetas de red, una conectada al Switch de la LAN (red interna con IP privada) y la otra conectada al mdem que provee el ISP (red externa con IP pblica). O sea, usar una nica conexin a Internet y compartirla con el resto de los equipos.

GATEWAY CON IPTABLES

Ejemplo:

GATEWAY CON IPTABLES

Esta tcnica se denomina IP Masquerading (Enmascaramiento de IPs). Su funcionamiento bsico, simplificado, podemos verlo en el siguiente diagrama, en el que se ejemplifica una transmisin desde PC1 (una mquina de la red privada) hacia Server (una mquina en Internet), siendo GW el gateway de la red:

GATEWAY CON IPTABLES

PC1 quiere comunicarse con Server. PC1 recibe los paquetes de Server. PC1 comprueba que Server no est en su red (realizando un AND entre la direccin IP destino y la mscara de subred). GW reenva los paquetes hacia la red interna. (FORWARDING)

PC1 enva los paquetes a GW su puerta de enlace predeterminada.

GW modifica la direccin origen de los paquetes para figurar como tal. (MASQUERADING)

GW modifica los paquetes de respuesta para mandarlos por la red interna (PC1 es el destino de los paquetes). (MASQUERADING).

GW reenva los paquetes a Internet. (FORWARDING)

GW recibe la respuesta de Server y viendo el nmero de puerto por el que la recibe sabe que debe reenviarla hacia PC1 por su interfaz.interna.

Server recibe los paquetes y genera una respuesta a GW.

GATEWAY CON IPTABLES

Diferencias entre gateway y proxy: Ambos proveen de conexin a una red externa como Internet a equipos de una red local, pero:

GATEWAY CON IPTABLES

Caracterstica Peticiones hacia el exterior PROXY Los clientes realizan las peticiones de conexin con la red externa al proxy (tanto a nivel de red como de transporte). El proxy debe entender el protocolo de nivel de aplicacin al que pertenecen las peticiones (p.ej: HTTP) y puede hacer cach de los resultados obtenidos para cada peticin (haciendo la navegacin ms rpida). GATEWAY Los clientes realizan las peticiones directamente al exterior a nivel transporte, pero a nivel de red se las entrega al gateway (lo utilizan como salto en la transmisin). Al gateway no le interesa el protocolo al que pertenecen las peticiones, ni intenta interpretarlas. Simplemente las reenva hacia su destino.

Protocolos

Seguridad

El proxy permite un mayor nivel de seguridad, ya que asla ms eficientemente (hasta el nivel de aplicacin) la red interna de la externa.

El gateway ofrece un menor nivel de seguridad, ya que el aislamiento entre redes no es tan grande, y resulta aconsejable acompaarlo de un firewall correctamente configurado para evitar problemas de seguridad.

GATEWAY CON IPTABLES

Configuracin:
1.- Habilitar el forwarding: habilitar la capacidad de forwarding (reenvo) de paquetes TCP/IP.

Para hacer esto, tendremos que darle el valor 1 a la variable del sistema net.ipv4.ip_forward, aadiendo (o modificando, si ya existe) una lnea como la siguiente en nuestro fichero /etc/sysctl.conf:

net.ipv4.ip_forward = 1

Luego reinicializar los servicios de red. service network restart

Podremos comprobar que el forwarding est activado con: cat /proc/sys/net/ipv4/ip_forward (Si el contenido de este fichero virtual es 1, el forwarding est activado.)

GATEWAY CON IPTABLES

Configuracin:
2.- Configurar el forwarding

Una vez que hemos habilitado en nuestro equipo la caracterstica de forwarding, debemos configurar nuestro sistema de filtrado de red (iptables) para que lo realice de manera efectiva.

iptables -t nat -A POSTROUTING o eth1 -j MASQUERADE Esta regla indica que debe hacer IP Masquerading con los paquetes de los que haga forward hacia internet, esto es, que realice sobre ellos los cambios de IP adecuados.

GATEWAY CON IPTABLES

Configuracin:
3.- Asegurar el gateway

Para que la configuracin de forwarding que acabamos de realizar no se convierta en un potencial agujero de seguridad para nuestra mquina, resulta conveniente asegurar mediante reglas de nuestro firewall dicho forwarding.

iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT iptables -A FORWARD -j DROP

Siendo en este caso eth1 nuestro interfaz de salida a Internet y eth0 nuestro interfaz ethernet de la red interna. Acepta que ingresen desde Internet a nuestra LAN slo los paquetes que pertenecen a una sesin generada en un equipo de nuestra red. Acepta que salga de nuestra red todo hacia Internet. Rechaza todo el resto.