Administración de Redes con Iptables, NAT, RPC, NFS, NIS y DHCP
Clasificado en Informática
Escrito el en 
español con un tamaño de 5,08 KB
Acciones con Netfilter e Iptables
Netfilter es un framework de cortafuegos integrado en el kernel de Linux. Iptables es la herramienta de gestión para configurar las reglas de Netfilter.
Política por Defecto
- Aceptar (funcionalidad)
- Denegar (seguridad)
Sintaxis de Iptables
iptables -t [tabla] -[AIRDLFZXNP] [regla] [criterio] -j [acción]
Tablas
- Filter (INPUT: entrantes, FORWARD: pendientes, OUTPUT: salientes)
- NAT (PreRouting, OUTPUT, POSTROUTING)
- Mangle (PREROUTING, OUTPUT, INPUT, FORWARD, POSTROUTING)
Comandos
- A - Añadir
- D - Borrar
- I - Insertar
- R - Reemplazar
- L - Listar
- F - Vaciar
- Z - Poner a cero
- N - Nueva
- P - Política por defecto
Criterios
- -s (origen)
- -d (destino)
- --sport (puerto fuente)
- --dport (puerto destino)
- -p (protocolo)
- -i (interfaz de entrada)
- -o (interfaz de salida)
Acciones
- DROP (Descartar)
- ACCEPT (Aceptar)
- REDIRECT (Redirigir)
- LOG (Registrar)
NAT (Network Address Translation)
NAT es un conjunto de procedimientos para modificar las direcciones IP.
Funcionamiento
Sustituye la IP y el datagrama origen por los suyos, conecta con el servidor y responde al origen.
Consecuencias
- Máquina no visible en Internet.
- Protección relativa.
- Menor rendimiento.
- No funcionan ciertos servidores.
Listar Reglas de NAT
iptables -t nat -L
Tipos de NAT
- SNAT (Source NAT, origen)
- DNAT (Destination NAT, destino)
RPC (Remote Procedure Call)
RPC: Restringir el acceso a la red local para evitar exportaciones no controladas.
NFS (Network File System)
Montar un recurso compartido NFS:
mount -t nfs asi:/compart /veo
Montaje Automático
Editar /etc/fstab:
servidor_nfs:asi:/comparto /veo nfs defaults 0 0
NIS (Network Information Service)
Propósito
Compartir archivos de configuración de red (/etc/password, /etc/group, /etc/hosts).
Permiso de lectura, editar /etc/ypserv.conf: *:*:*:none
DHCP (Dynamic Host Configuration Protocol)
- El cliente envía en difusión un mensaje DHCPDISCOVER (con origen 0.0.0.0, destino 255.255.255.255) que puede incluir como opciones la IP y el tiempo de validez.
- Cada servidor puede responder con un mensaje DHCPOFFER que incluye una dirección IP y otras opciones de configuración. Se envía con la dirección física del cliente y con la dirección IP 255.255.255.255. Los servidores recuerdan las direcciones ofertadas, evitando ofrecerlas en posteriores mensajes DHCPDISCOVER.
- El cliente elige una de las direcciones IP que recibe y envía en difusión un DHCPREQUEST en el que indica el servidor y la dirección IP elegida. La recepción de este mensaje por los servidores no elegidos sirve de notificación de que el cliente no ha aceptado su oferta. Se pueden incluir parámetros de configuración adicionales.
- El servidor elegido envía un mensaje DHCPACK confirmando la dirección IP y otros parámetros de configuración. Además, inicia el temporizador de validez de la dirección IP (lease time) y lo envía al cliente en el campo de opciones del mensaje junto con otros dos temporizadores (T1 = 0.5T y T2 = 0.875T, donde T es el tiempo máximo de validez).
- Cuando el temporizador T1 expira, el cliente envía un DHCPREQUEST (unicast) al servidor, solicitando extender el tiempo de validez de la configuración. Si el servidor está de acuerdo, envía un mensaje DHCPACK con nuevos valores de los temporizadores.
- Si no llega el mensaje DHCPACK, cuando el temporizador T2 expira, el cliente envía un mensaje DHCPREQUEST en difusión (entra en el estado "reconectando"). Esta solicitud puede ser contestada por alguno de los servidores con un mensaje DHCPACK.
- Si el cliente no recibe DHCPACK y vence el tiempo T, el cliente debe dejar de usar la configuración IP actual e iniciar el proceso con un mensaje DHCPDISCOVER.
- Un cliente puede decidir dejar de usar una configuración IP asignada enviando un mensaje DHCPRELEASE al servidor.