En la anterior entrada Enrutamiento en solaris11 vimos como configurar un servidor con Solaris para que funcione como router entre dos redes. Muchas veces además de el enrutamiento, tenemos la necesidad de realizar un filtro de las conexiones, hacer redirecciones de puertos o simplemente NAT. Para esto debemos utilizar ipfilter. Dicho servicio viene incorporado en Solaris, por lo cual solo debemos configurarlo y habilitarlo. Antes de entrar a la configuración de las reglas vemos los archivos involucrados y opciones del los comandos.
Los archivos utilizados para las reglas son: /etc/ipf/ipf.conf (se colocarán las reglas de filtro) y el /etc/ipf/ipnat.conf (se agregarán las reglas que permitirán hacer redireción de puertos y NAT).
Algunos comandos:
ipf - Lee las reglas de un archivo y las agrega a la lista de filtrado activa. También puede ser usado para hacer un flush de las reglas o borrar una específica.
Ejemplo: # ipf –F i o (borra todas las reglas cargadas en memoria.)
# ipf –f /etc/ipf/ipf.conf (Carga las reglas escritas en ese archivo)
ipfstat - Interroga al kernel sobre estadíticas de filtrado.
ipnat - Lee las reglas de un archivo y las agrega a la lista de reglas NAT. También puede ser usado para borrar una regla NAT específica.
Veamos entonces la sintaxis para las reglas de filtro:
ACTION IN-OUT OPT SELEC PROTO SRC,DST OBJ PORT TCP_FLAG STATE
ACTION = block | pass
IN-OUT = in | out
OPT = log | quick | on interface-name
SELEC = proto val | src/dest IP | port = num | flags flag-val
PROTO = tcp/udp | udp | tcp | icmp
SRC,DST = all | from object to object
OBJ = IP address | any
PORT = port number
TCP_FLAG = S
STATE = keep state
Ejemplos:
- Permitir el paso de todo el tráfico proveniente de la IP: 192.168.1.200 con destino cualquiera. La opción "quick" le indíca que cuando el paquete haga mach con la regla, no se sigan macheando las siguientes.
pass in quick from 192.168.1.200 to any
- Permitir el paso de todo el tráfico proveniente de la 192.168.1.1 con destino 192.168.1.200.
pass in quick from 192.168.1.1 to 192.168.1.200
- Permite RDP desde 192.168.1.201 a 192.168.2.5
pass in quick proto tcp from 192.168.1.201 to 192.168.2.5 port = 3389 (Permite la ida)
pass in quick from 192.168.2.5 to 192.168.1.201 (Permite a vuelta)
(La ida y vuelta se coloca cuando tratamos de pasar de una red a otra)
- Permite trafico de ida y vuelta desde 192.168.1.201 a 192.168.2.2
pass in quick from any to 192.168.1.201 pass in quick from any to 192.168.2.2
- Permite ssh desde 192.168.1.201 con destino 192.168.1.200
pass in quick proto tcp from 192.168.1.201 to 192.168.1.200 port = 22
- Bloquea todo el tráfico (Colocamos una regla al final que bloquee todo lo que no se pudo machear con alguna regla)
block in from any to any
Ejemplo NAT y redicección:
- Redirige todo lo que llega al puerto 80 de 192.168.1.200 al puerto 80 de 192.168.2.2
rdr e1000g1 192.168.1.200 port 80 -> 192.168.2.2 port 80
- Redirige todo lo que llega al puerto 80 de 192.168.1.200 al puerto 80 de 192.168.2.2
rdr e1000g1 192.168.1.200 port 80 -> 192.168.2.2 port 80
- Habilita el NAT sobre la red de origen 172.20.0.0/16 sobre la interfaz externa net0.
map net0 172.20.0.0/16 -> 0/32
En la siguiente publicación veremos algunas reglas mas avanzadas de filtrado.
No hay comentarios:
Publicar un comentario