Convirtiendo nuestro Debian en un router

Antes de nada, repasemos las características de un enrutamiento NAT:

Las funciones de enrutamiento mediante NAT son realizadas por el cortafuegos que analizará los paquetes provenientes de la red local interna cuyo destino sea Internet y los modificará convenientemente para que salgan hacia Internet como si fueran emitidos por el servidor.

Para posibilitar que nuestro servidor Linux sea capaz de comportarse como un router y hacer de puerta de enlace para los PCs de nuestra red local, será necesario crear un script que configure el cortafuegos iptables para que realice NAT desde dentro de la red local hacia Internet.

Imaginémonos la siguiente situación:

red

Tenemos una red de un centro (ya sea una oficina, una clase…) y queremos que los paquetes se filtren a través de nuestro servidor, ya sea para monotorizarlos, aplicar reglas de firewall o incluso un proxy transparente.

Al lio. Lo primero que debemos tocar es el archivo /etc/sysctl.conf para activar el enrutamiento de paquetes IPv4. Esto lo hacemos descomentando la siguiente linea:

net.ipv4.ip_forward=1

Debemos asegurarnos que no tenga el comentario (#) y que tenga valor 1. Hecho esto debemos reiniciar la máquina para que surjan los efectos.

Una vez reiniciada vamos a empezar a configurar las tablas del firewall. Vamos a empezar permitiendo todos los paquetes de FORWARD:

iptables -A FORWARD -j ACCEPT

Y a continuación le indicamos la red y por cual interfaz queremos mandarla:

iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j MASQUERADE

En el caso de la imagen, todos los paquetes que llegan por la red 10.0.0.0/8 los vamos a mandar por el interface eth0, y después de enrutarlos demenos enmascararlos (MASQUERADE), es decir, hacer la NAT.

Así, nuestro servidor se convertiría en un router. Si todas las comunicaciones de la red pasan por nuestro servidor podremos tenerlas controladas.

Un saludo!

Matías Moreno Cárdenas

Publicado por: Matías Moreno Cárdenas

Analista de Seguridad IT y hacking ético / Desarrollador de Software Multiplataforma. Actualmente analista de seguridad informática y hacking ético en Grupo SIA

Deja un comentario