La mayoría de las organizaciones se les asigna un número limitado de direcciones IP públicas enrutables desde sus ISP. Debido a esta limitación en la asignación, los administradores deben buscar formas creativas de compartir el acceso a los servicios de Internet sin otorgar las escasas direcciones IP a todos los nodos en la LAN. El uso de direcciones IP privadas es una forma común de permitir a todos los nodos en una LAN accesar apropiadamente los servicios de redes interna y externamente. Los enrutadores en los bordes de la red (tales como cortafuegos), pueden recibir las transmisiones entrantes desde la Internet y enrutar los paquetes al nodo objetivo en la LAN; al mismo tiempo los cortafuegos/puertas de enlace pueden enrutar peticiones salientes desde un nodo LAN al servicio Internet remoto. Este reenvío del tráfico de la red se puede volver peligroso a veces, especialmente con la disponibilidad de herramientas modernas para violar redes que pueden engañar direcciones IP internas y hacer que la máquina remota del atacante actúe como un nodo en su propia LAN. Para prevenir esto, iptables proporciona políticas de enrutamiento y reenvío que se pueden implementar para prevenir el uso inadecuado de los recursos de la red.
La política FORWARD permite al administrador controlar donde se enviaran los paquetes dentro de una LAN. Por ejemplo, para permitir el reenvío a la LAN completa (asumiendo que el cortafuegos/puerta de enlace tiene una dirección IP interna en eth1), se pueden configurar las reglas siguientes:
iptables -A FORWARD -i eth1 -j ACCEPT iptables -A FORWARD -o eth1 -j ACCEPT |
![]() | Nota | |||
---|---|---|---|---|
Por defecto, la política IPv4 en los kernels Red Hat Enterprise Linux desactivan el soporte para el reenvío IP, lo cual previene que las cajas ejecutando Red Hat Enterprise Linux funcionen como enrutadores de bordes de la red dedicados. Para activar el reenvío IP, ejecute el comando siguiente:
Si este comando se ejecuta a través del indicador de comandos, entonces este valor no se recuerda luego de un reinicio. Puede configurar el reenvío de forma permanente modificando el archivo /etc/sysctl.conf. Busque y modifique la línea siguiente, reemplazando 0 con 1:
Ejecute el comando siguiente para activar el cambio al archivo sysctl.conf:
|
Esto permite a los nodos LAN comunicarse entre ellos; sin embargo, no se les permite comunicarse externamente (por ejemplo, a la Internet). Para permitir a los nodos de la LAN que tengan una dirección IP privada comunicarse con redes públicas externas, configure el cortafuegos para el enmascaramiento IP, lo cual coloca máscaras en las peticiones desde los nodos LAN con la dirección IP del dispositivo externo del cortafuegos (en este caso, eth0):
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE |