Universidad Nacional Autónoma de MéxicoFacultad de Ingeniería

Manual de usuario

SHIANTY -> NAT

Integrantes del Equipo

Cardenas Hernandez JuanFlores Chavez Felix

Guevara Lopez Ruben

Versión 1.1

Administración de redes, 2010-1_________________________________________________________________

Manual de usuario

SHIANTY -> NAT

Índice

1 REQUISITOS DE SISTEMA...............................................................................................3

1.1 REQUISITOS DE SOFTWARE....................................................................................................31.2 REQUISITOS DE HARDWARE...................................................................................................3

3 TARJETAS ETHERNET COMPATIBLES CON GNU/LINUX UBUNTU 9.............3

2 INSTALACIÓN DEL SERVIDOR NAT.............................................................................3

2.1 EJECUTAR LAS REGLAS IPTABLES......................................................................................32.2 CONFIGURAR IP’S ESTATICAS PARA LAS INTERFACES DE RED..............................................4

2.2.1 Configuración modo texto.............................................................................52.2.2 Configuración modo grafico..........................................................................5

3 CONFIGURACIÓN DEL CLIENTE...................................................................................7

4 APÉNDICE A: SCRIPT DEL SERVIDOR.......................................................................10

Índice de Diagramas

Figura 1 Conexiones de red y habilitador del dispositivo...................................................5Figura 2 Conexiones de red.................................................................................................6Figura 3 Conexiones de red.................................................................................................6Figura 4 Configuración del dispositivo...............................................................................7Figura 5 Propiedades de conexión de área local..................................................................8Figura 6 Propiedades de protocolo de internet....................................................................8

Índice de Tablas

Tabla 1 – Configuración IP, servidor NAT.........................................................................5

Elaborado por: Página 3 de 14Autores

Manual de usuarioSHIANTY -> NAT

1 Requisitos de Sistema

1.1 Requisitos de software Sistema operativo GNU/Linux Ubuntu 9 Software IPTABLES Escritorio Gnome (opcional)

1.2 Requisitos de hardware

3 tarjetas Ethernet compatibles con GNU/Linux Ubuntu 9

Procesador: 700 MHz x86 o superior Memoria RAM: 384 MB o superior Disco duro: 8GB o superior Tarjeta gráfica capaz de soportar una resolución de 1024x768.

2 Instalación del servidor NAT

2.1 Ejecutar las reglas IPTABLES

El primer paso para instalar el servidor, es ejecutar el script que se adjunta en el CD y que puede consultar así mismo en el apéndice “A” de este documento.

Abrimos una terminal y escribimos la siguiente instrucción:

Al ejecutar la instrucción el script mostrara el estado de la aplicación de las reglas de IPTABLES.

Se aplican reglas para la subred 192.168.10.0/24 en la interface eth1 con la IP asignada 192.168.10.0 del sistema servidor y posteriormente se aplica para una segunda subred en la interface eth2 con las IP 192.168.20.5, 192.168.20.6, 192.168.20.7, 192.168.20.8, 192.168.20.9 y una IP para eth2 en el servidor 192.168.20.0. Por defecto la interface que conecta al servidor con el internet es eth0, pero puede modificarse en el script, las interfaces para cada subred y además especificar los puertos UDP y TCP.

Elaborado por: Página 4 de 14Autores

Manual de usuarioSHIANTY -> NAT

Para verificar que se aplicaron las reglas adecuadamente escribimos en línea de comandos: iptables –L –n, el cual nos mostrara el siguiente resultado.

2.2 Configurar IP’s estaticas para las interfaces de red

Es necesario configurar las IP’s, su máscara de subred y DNS’s para dar salida a internet tanto a el servidor como para los clientes.

Las IP’s donde se conectaran las subredes serán las puerta de enlace para los clientes.Por defecto el script define los siguientes datos:

interface IP Mascara de subred Puerta de enlaceeth0 Definido por el proveedor de

servicioDefinido por el proveedor de

servicioDefinido por el proveedor de

servicio

Elaborado por: Página 5 de 14Autores

Manual de usuarioSHIANTY -> NAT

eth1 192.168.10.0 255.255.255.0 0.0.0.0eth2 192.168.20.0 255.255.255.0 0.0.0.0

Tabla 1 – Configuración IP, servidor NAT

Hay dos formas para configurar las IP’s estáticas en Ubuntu, una desde línea de comandos y otra desde el escritorio de Gnome.

2.2.1 Configuración modo texto

Editamos el fichero de configuración de red:sudo vi /etc/network/interfaces

Añadimos la configuración estática:

auto ethX (donde X puede tomar valores 0,1,2,3…)iface eth0 inet staticaddress xxx.xxx.xxx.xxxnetmask xxx.xxx.xxx.xxxgateway xxx.xxx.xxx.xxx

en nuestro caso hay que escribir las líneas anteriores 3 veces, una para cada interface de red. (Rellenamos los datos usando la tabla 1.)

Reiniciamos los servicios de red:/etc/init.d/networking restart Verificar la información de red

Confirmamos los cambiosifconfig -a

2.2.2 Configuración modo grafico

Para habilitar o deshabilitar los dispositivos así como entrar a conexiones de red damos clic en el icono de red en la parte superior derecha con el botón derecho del mouse.

Figura 1 Conexiones de red y habilitador del dispositivo

Desde el escritorio de Gnome nos dirigimos a Sistema>>Preferencias>>conexiones de red.

Elaborado por: Página 6 de 14Autores

Manual de usuarioSHIANTY -> NAT

Figura 2 Conexiones de red

De las dos formas podemos abrir la siguiente ventana. En ella podemos seleccionar la interface a configurar.

Figura 3 Conexiones de red

Elaborado por: Página 7 de 14Autores

Manual de usuarioSHIANTY -> NAT

Seleccionamos la interface y presionamos el botón de “Editar”.

Nos dirigimos a la pestaña “Ajustes de IPv4” y rellenamos los campos con los datos de la tabla 1.

Figura 4 Configuración del dispositivo

Hacemos esto para cada una de las interfaces de red.

3 Configuración del cliente

El cliente puede ser un sistema Windows o Linux sin ningún problema, en este apartado lo haremos para un sistema con Windows XP.

Nos dirigimos a Inicio>>Configuración>>Panel de control >>Conexiones de red.

Elaborado por: Página 8 de 14Autores

Manual de usuarioSHIANTY -> NAT

Damos doble clic sobre la interface de red a conectar con el servidor NAT o damos clic en el botón derecho del mouse y seleccionamos propiedades.

Se desplegará una ventana con el título “propiedades de conexión de …”

Figura 5 Propiedades de conexión de área local

Seleccionamos “Protocolo Internet (TCP/IP)” y presintamos el botón propiedades.

Elaborado por: Página 9 de 14Autores

Manual de usuarioSHIANTY -> NAT

Figura 6 Propiedades de protocolo de internet

Si el quipo pertenece a la subred 1 puede tomar cualquier dirección IP del segmento 192.168.10.X/24, donde X puede tomar el valor desde 1 hasta 254. Hay que aclarar que la dirección 0 es la puerta de enlace, o sea la dirección IP de la interface eth1.

Si el equipo pertenece a la subred 2 entonces solo pueden tener acceso a internet las siguientes direcciones IP:

#reservada para la puerta de enlace192.168.20.0 (Interface eth2 del servidor NAT)

#5 equipos con salida a internet192.168.20.X (X = 5,6,7,8,9)

La máscara de subred para ambas redes es 255.255.255.0 y los DNS son proporcionados por el administrador de red.

Nota: Es imprescindible que se especifiquen los DNS, de lo contrario no tendrá acceso a internet.

Elaborado por: Página 10 de 14Autores

Manual de usuarioSHIANTY -> NAT

4 Apéndice A: Script del servidor Archivo: proyecto.sh

#!/bin/sh# Administracion de redes, grupo 5# Proyecto SHIANTY ----> NAT# Copyright (C) 2009 # Cardenas Hernandez Juan (email: jemarotiv@yahoo.com)# Flores Chavez Felix (email: flelix@hotmail.com)# Guevara Lopez Ruben (email: albert.wesker.re@gmail.com)

# Dispositivo de red de internet SalidaInt="eth0" # DispositivoS de red local SubR1="eth1" SubR2="eth2"

# Puertos tcp que se desean redirigir (separados por espacios) puertosTCP="80" # Puertos udp que se desean redirigir (separados por espacios) puertosUDP="53"

#variable de errorfail=0

#LIBRERIAS[ -f /etc/default/rcS ] && . /etc/default/rcS . /lib/lsb/init-functions

log_begin_msg "Aplicando Reglas de Firewall..."

Elaborado por: Página 11 de 14Autores

Manual de usuarioSHIANTY -> NAT

#echo -n Aplicando Reglas de Firewall...

## FLUSH de reglas iptables --flush || fail=1 iptables --table nat --flush || fail=1 iptables --delete-chain || fail=1

#politicas predeterminadas iptables -P INPUT ACCEPT || fail=1 iptables -P OUTPUT ACCEPT | | fail=1 iptables -P FORWARD ACCEPT || fail=1

iptables -t nat -P PREROUTING ACCEPT || fail=1 iptables -t nat -P POSTROUTING ACCEPT || fail=1

## Empezamos a filtrar## Nota: wlan1 es el interfaz conectado al router y eth0 a la LAN# El localhost se deja (por ejemplo conexiones locales a mysql)/sbin/iptables -A INPUT -i lo -j ACCEPT || fail=1

# Al firewall tenemos acceso desde la red local UNOiptables -A INPUT -s 192.168.10.0/24 -i $SubR1 -j ACCEPT || fail=1

# Al firewall tenemos acceso desde la red local DOSiptables -A INPUT -s 192.168.20.0 -i $SubR2 -j ACCEPT || fail=1

############################################################################## Descripción: # Para el primer segmento de red 192.168.10.0/24, se abren los puertos basicos para salida # a internet y se enmascara al final#############################################################################

log_begin_msg "Aplicando reglas para subred 1: 192.168.10.0/24"

## Ahora con regla FORWARD filtramos el acceso de la red local## al exterior. Como se explica antes, a los paquetes que no van dirigidos al ## propio firewall se les aplican reglas de FORWARD

# Aceptamos que vayan a puertos 80iptables -A FORWARD -s 192.168.10.0/24 -i $SubR1 -p tcp --dport 80 -j ACCEPT || fail=1# Aceptamos que vayan a puertos httpsiptables -A FORWARD -s 192.168.10.0/24 -i $SubR1 -p tcp --dport 443 -j ACCEPT || fail=1

# Aceptamos que consulten los DNSiptables -A FORWARD -s 192.168.10.0/24 -i $SubR1 -p tcp --dport 53 -j ACCEPT || fail=1iptables -A FORWARD -s 192.168.10.0/24 -i $SubR1 -p udp --dport 53 -j ACCEPT || fail=1

# Ahora hacemos enmascaramiento de la red local# y activamos el BIT DE FORWARDING (imprescindible!!!!!)iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o $SalidaInt -j MASQUERADE || fail=1

Elaborado por: Página 12 de 14Autores

Manual de usuarioSHIANTY -> NAT

log_end_msg $fail

############################################################################## Descripcion: # Para el primer segmento de red 192.168.20.x, donde x toma los valores 0 para el servidor # y 5 6 7 8 9 para los clientes.se abren los puertos basicos para salida a internet y # se enmascara al final #############################################################################

log_begin_msg "Aplicando reglas para 5 equipos "

## Ahora con regla FORWARD filtramos el acceso de la red local## al exterior. Como se explica antes, a los paquetes que no van dirigidos al ## propio firewall se les aplican reglas de FORWARD

# Aceptamos que vayan a puertos 80iptables -A FORWARD -s 192.168.20.5 -i $SubR2 -p tcp --dport 80 -j ACCEPT || fail=1 iptables -A FORWARD -s 192.168.20.6 -i $SubR2 -p tcp --dport 80 -j ACCEPT || fail=1 iptables -A FORWARD -s 192.168.20.7 -i $SubR2 -p tcp --dport 80 -j ACCEPT || fail=1 iptables -A FORWARD -s 192.168.20.8 -i $SubR2 -p tcp --dport 80 -j ACCEPT || fail=1 iptables -A FORWARD -s 192.168.20.9 -i $SubR2 -p tcp --dport 80 -j ACCEPT || fail=1 # Aceptamos que vayan a puertos httpsiptables -A FORWARD -s 192.168.20.5 -i $SubR2 -p tcp --dport 443 -j ACCEPT || fail=1 iptables -A FORWARD -s 192.168.20.6 -i $SubR2 -p tcp --dport 443 -j ACCEPT || fail=1 iptables -A FORWARD -s 192.168.20.7 -i $SubR2 -p tcp --dport 443 -j ACCEPT || fail=1 iptables -A FORWARD -s 192.168.20.8 -i $SubR2 -p tcp --dport 443 -j ACCEPT || fail=1 iptables -A FORWARD -s 192.168.20.9 -i $SubR2 -p tcp --dport 443 -j ACCEPT || fail=1

# Aceptamos que consulten los DNSiptables -A FORWARD -s 192.168.20.5 -i $SubR2 -p tcp --dport 53 -j ACCEPT || fail=1 iptables -A FORWARD -s 192.168.20.5 -i $SubR2 -p udp --dport 53 -j ACCEPT || fail=1

iptables -A FORWARD -s 192.168.20.6 -i $SubR2 -p tcp --dport 53 -j ACCEPT || fail=1 iptables -A FORWARD -s 192.168.20.6 -i $SubR2 -p udp --dport 53 -j ACCEPT || fail=1

iptables -A FORWARD -s 192.168.20.7 -i $SubR2 -p tcp --dport 53 -j ACCEPT || fail=1 iptables -A FORWARD -s 192.168.20.7 -i $SubR2 -p udp --dport 53 -j ACCEPT || fail=1

iptables -A FORWARD -s 192.168.20.8 -i $SubR2 -p tcp --dport 53 -j ACCEPT || fail=1 iptables -A FORWARD -s 192.168.20.8 -i $SubR2 -p udp --dport 53 -j ACCEPT || fail=1

iptables -A FORWARD -s 192.168.20.9 -i $SubR2 -p tcp --dport 53 -j ACCEPT || fail=1 iptables -A FORWARD -s 192.168.20.9 -i $SubR2 -p udp --dport 53 -j ACCEPT || fail=1

# Ahora hacemos enmascaramiento de la red local# y activamos el BIT DE FORWARDING (imprescindible!!!!!)iptables -t nat -A POSTROUTING -s 192.168.20.5 -o $SalidaInt -j MASQUERADE || fail=1 iptables -t nat -A POSTROUTING -s 192.168.20.6 -o $SalidaInt -j MASQUERADE || fail=1 iptables -t nat -A POSTROUTING -s 192.168.20.7 -o $SalidaInt -j MASQUERADE || fail=1 iptables -t nat -A POSTROUTING -s 192.168.20.8 -o $SalidaInt -j MASQUERADE || fail=1 iptables -t nat -A POSTROUTING -s 192.168.20.9 -o $SalidaInt -j MASQUERADE || fail=1

Elaborado por: Página 13 de 14Autores

Manual de usuarioSHIANTY -> NAT

log_end_msg $fail

#############################################################################

# Con esto permitimos hacer forward de paquetes en el firewall, o sea# que otras máquinas puedan salir a traves del firewall.

echo 1 > /proc/sys/net/ipv4/ip_forward || fail=1

log_begin_msg "Completo" # Se muestran los resultados log_end_msg $fail

if [ $fail -eq 0 ] then log_success_msg "Verifique los cambios con: iptables -L -n" else log_warning_msg "Se ha producido un error al aplicar alguna de las reglas" fi

Elaborado por: Página 14 de 14Autores

Manual de usuarioSHIANTY -> NAT