NAT CON IPTABLES EN CENTOS 6

Para poder hacer un NAT para la red local debemos saber que se necesitan 2 tarjetas de red,
una conectada a la WAN(eth0) y otra conectada a la LAN(eth1).

INTERFACES DE RED EN EL SERVIDOR.

Lo primero que hay que hacer es configurar las dos tarjetas de red del servidor:

 Una tarjeta que nos permite conectarnos a Internet

 Otra tarjeta que permite conectarnos a la red interna (192.168.10.0)

En este caso el contenido del fichero de configuración de eth0 (/etc/sysconfig/network-

script/ifcfg-eth0) tiene el siguiente contenido:

DEVICE=eth0
ONBOOT=yes
BOOTPROTO=dhcp
 TYPE=Ethernet

Y la configuración de la interfaz eth1 (/etc/sysconfig/network-script/ifcfg-eth1) es la

siguiente:

DEVICE=eth1
ONBOOT=yes
IPADDR=192.168.10.1
NETMASK=255.255.255.0
TYPE=Ethernet

Para que se apliquen los cambios ejecutamos:

# service network reload

INTERFACES DE RED EN MAQUINAS CLIENTE

Como no se ha configurado un servidor DHCP se necesita asignar una ip fija a las

computadoras que estén dentro de la LAN para que puedan tener acceso a la red (no
importa el sistema operativo que tengan instalado).

Suponiendo que la tarjeta eth1 del servidor tiene la ip 192.168.10.1, el rango de ip's que
tienen para asignar en la LAN van desde la 192.168.10.2 a la 192.168.10.254.

Gateway o Puerta de Enlace.

192.168.10.1

Netmask o máscara de red.

255.255.255.0

Los DNS los debe de conocer el administrador de la red, pero sino los conocen se pueden
usar los de google.

8.8.8.8 y 4.4.4.4
COMPROBACIONES DE CONECTIVIDAD:

Una vez configuradas las interfaces de red para comprobar su correcto funcionamiento
hacemos lo siguiente:

 Desde un equipo de la red interna ejecutamos

ping 192.168.10.1

 Desde el servidor comprobamos que tenemos conexión a Internt

ping www.hotmail.com

CONFIGURACIONES IPTABLES EN EL SERVIDOR PARA TENER SALIDA A

INTERNET.
Suponiendo que no hay reglas en el firewall empezamos a habilitar NAT con IPTABLES.
# iptables -F
# iptables -t nat -F
# iptables --delete-chain
# iptables --table nat --delete-chain

Habilitamos el reenvió de paquetes.

# echo 1 > /proc/sys/net/ipv4/ip_forward

Creamos nuevas reglas para decirle al firewall que eth0 es la NIC conectada a la WAN, y
que enmascare todo lo que venga de la LAN (eth1).
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# iptables -A FORWARD -i eth1 -j ACCEPT

Para guardar las reglas usamos el comando:

# service iptables save

EJEMPLOS BLOQUEO.

EJEMPLO BLOQUEO DE PUERTO.

#iptables –A INPUT –p tcp –s 192.168.10.2 - -dport 22 -j DROP
#service iptables save
#iptables –L INPUT –n - -line-numbers

EJEMPLO DE BLOQUE DE SITIO WEB

#iptables –I FORWARD –m string - -string ‘facebook’ - -algo bm –j DROP

#iptables –I FORWARD –p tcp - -dport 443 –m string - -string ‘facebook’ - -algo bm –j DROP
#iptables –L FORWARD –n - -line-numbers