Saltar navegación

Activa JavaScript para disfrutar de los vídeos de la Mediateca.

IPTables. Vídeo 3 - Contenido educativo

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 1 de febrero de 2026 por Francisco J. G.

8 visualizaciones

IPTables. Vídeo 3

Más información Transcripción

Descargar la transcripción

Lógicamente también habría que añadir a la tabla filter las reglas de la cadena forward para que se permita el tráfico web. 00:00:00
¿Qué sucede ahora si pasamos de este ejercicio, pasamos a una dirección externa dinámica? 00:00:11
Ahora las reglas son aceptables, pero lo que nos está diciendo es que si la IP externa fuese dinámica, ¿cómo afectaría a las reglas anteriores? 00:00:22
Si veis el cambio, ya estaría aquí en la regla, lo único que ha añadido es el cambio ahora, quiere enmascarar esa IP porque tenemos que ahora, en función del tiempo, esa IP va a cambiar la dirección pública. 00:00:28
Por tanto, ahora, si veis, la regla es exactamente la misma que la anterior, lo único que ha variado es que en vez de poner el Senad como acción, utiliza el Masquerade. 00:00:42
En esta dispositiva se plantea la pregunta ahora qué hacemos cuando la dirección externa fuese dinámica. Entonces, la respuesta es que no conviene usar un SNAT con una IP fija porque podría cambiar y la regla quedaría mal. 00:00:52
Entonces, por tanto, en este caso se usa más que RAD. La regla se aplica igual, tabla NAT, cadena post-routing o red de origen 192.168.1.0, interfaz de salida la ETH1, todo igual. La diferencia está en el que la acción ahora ya no es JS NAT, sino que sería J más que RAD. Esto hace que IPTables sustituya la IP origen por la IP que tenga en ese momento la interfaz de salida, que puede ser, como hemos dicho, pues es variable, es dinámica. 00:01:10
Es decir, se adapta automáticamente a los cambios gracias a esta acción que le añade. También nos menciona que más que nada esta diapositiva podría funcionar aunque la IP fuese estática, podría funcionar, pero lo recomendable es no poner más que nada, sino poner SNAD si esta es estática por claridad y por eficiencia. 00:01:38
esto es la explicación de lo que acabo de decir 00:01:59
que no voy a repetir 00:02:07
sería más de lo mismo, es la misma regla 00:02:09
y ahora vamos a hablar de DENAT 00:02:12
hemos hablado de SENAT y hemos hablado de MASQUERADE 00:02:16
¿qué sucede con DENAT? 00:02:19
DENAT se usa cuando queremos que un servicio interno 00:02:22
sea accesible desde otra red 00:02:28
ahora estamos hablando del proceso inverso 00:02:31
a lo que hemos visto del SENAT 00:02:32
Por ejemplo, desde Internet. Entonces, el ejemplo típico es un servidor web en la DMZ que tiene una IP privada, pero queremos que se pueda visitar desde fuera. 00:02:34
Entonces, en este caso, el tráfico llega al dispositivo NAT desde Internet y el NAT cambia la dirección IP destino por la dirección IP privada del servidor interno en la DMZ. 00:02:47
Esto ocurre en la cadena, ahora ya no estamos hablando de post-routing, estamos hablando de pre-routing, previo a la entrada en el dispositivo. 00:03:00
Entonces habrá que poner el pre-routing de la tabla NAT, porque se hace antes de decidir el encaminamiento. 00:03:10
Además, de NAT no solo puede cambiar el IP destino, también puede cambiar el puerto destino. 00:03:16
Esto es lo que se conoce como redirección de puertos o port forwarding. 00:03:22
La diapositiva plantea un ejercicio de hacer accesible un servidor web de la DMZ con IP 192.168.2.3 y se indica que el NAT debe recibir peticiones en el puerto 80 y redirigirlas a ese servidor. 00:03:25
Este mecanismo es básico en redes empresariales con DMZ, así que así se publican servicios sin exponer toda la red interna. 00:03:44
¿Qué es lo que ha hecho? Ahora utilizamos la tabla NAT, igual con el T-T NAT, añadimos la regla con la acción PREROOTING porque va a ser previo a la entrada y el protocolo es el mismo, el puerto de destino es el mismo, la interfaz pero ahora de entrada, ¿veis? La I, no la O de OUTPUT sino la de entrada, la interfaz ETH1 y lo que va a aplicar ahora la acción es el DNAT, es el proceso inverso al SNAT que habíamos visto. 00:03:51
¿Hacia qué dirección? Hacia la dirección de la DMZ, que es la 192.168.2.3. Esto aparece aquí, iría en esta dirección. 00:04:18
Bien, entonces hemos visto que el SNAT va en esta dirección cuando la dirección IP pública es estática más que era de cuando es dirección IP dinámica y cuando va en esta otra dirección estamos hablando de ya no post-routing sino pre-routing y hablamos de D-NAT. 00:04:29
Aquí tenemos la explicación del ejercicio, que era si se quería que el servidor web de la DMZ con IP 192.168.2.3 fuera accesible de Internet. ¿Qué reglas IP tables tendrían que aplicarse? 00:04:49
Por tanto, en cuanto a... vemos el resumen de los tipos de NAT que aparecen, entonces los tipos de NAT que aparecen en el resumen serían todos estos. 00:05:07
Serían el... este sería el primero, que sería el SNAT, acordaos, modificar el origen de los paquetes salientes. 00:05:27
Aquí teníamos un ejemplo, se utiliza en prerouting y era para direcciones IP fijas. 00:05:37
Teníamos el de NAT, que modificaba la dirección IP de destino de los parquetes entrantes y se utiliza para redirigir el tráfico que llega a una IP pública hacia un servidor interno, el proceso contrario del que hemos visto anteriormente. 00:05:44
Veis, ahora se utiliza en prerouting. Esta regla redirige el tráfico TCP en el puerto 80 hacia una dirección interna de la red. 00:05:55
Y teníamos el masquerade, que es un tipo especial de Senat. Se utilizaba cuando la IP pública en el servidor era dinámica, como en las redes domésticas. 00:06:07
Reemplaza la IP de origen con la dirección IP de la interfaz de salida y lo hace de manera automática. 00:06:16
el masquerade se aplicaba en post-routing 00:06:21
puesto que era igual que el SNAT 00:06:24
salvo que para casos de IP dinámica 00:06:26
y esto hace que todos los paquetes salientes 00:06:30
desde la interfaz ETH0 00:06:31
utilicen la IP pública de esa interfaz 00:06:35
como la IP de origen 00:06:38
nos queda aquí 00:06:40
este sería el masquerade 00:06:45
que lo hemos visto anteriormente 00:06:48
y sería exactamente igual a lo que hemos visto 00:06:49
Nos queda también el resumen del redireccionamiento de puertos 00:06:52
Aquí se explica el redireccionamiento de puertos que es una técnica muy utilizada 00:06:59
Porque consiste en hacer que el tráfico que llega a un puerto concreto se dirija a otro puerto distinto 00:07:06
Esto puede hacerse en la misma máquina o hacia otro servicio según el caso 00:07:11
Entonces el ejemplo mostrado aquí que tenemos es, veis aquí, utiliza la tabla NAT 00:07:15
Se utiliza en prerouting, protocolo TCP, puerto destino 8080 y lo quiere redireccionar hacia el puerto que sería el puerto 8080. Esto va a redirigir el tráfico entrante en el puerto 8080 hacia el puerto 8080 en la misma máquina. 00:07:21
Significa que si alguien entra por el puerto 8080, realmente se le envía al puerto 80. 00:07:38
Es útil cuando queremos publicar un servicio sin usar el puerto estándar o cuando tenemos limitaciones. 00:07:44
Entonces, también se usa cuando se quiere que un servicio parezca estar en un puerto diferente. 00:07:49
En cuanto a las cadenas NAT en IP Tables, ya lo vimos en las diapositivas del principio. 00:08:00
Teníamos que era el perrouting, que se aplicaba antes de que el paquete fuera enrutado, que se utilizaba, se realizaba en the NAT, el porrouting, que se realizaba después de que el paquete hubiese sido enrutado y se utilizaba en ese NAT y en más que era de, y el output, que se aplica a los paquetes generados localmente por el sistema. 00:08:06
Y aquí ya tenemos ejemplos de comandos NAT, ejemplos en el que, para que veamos algunos de ellos, aquí tenemos el caso, pues, del primer ejemplo sería habilitar NAT con mascarade para compartir una conexión a Internet. 00:08:22
entonces aquí que tenemos aquí tendríamos la primera regla que lo que queremos es que se 00:08:45
aplique queremos que se aplique más que nada porque tenemos una situación de conexión a internet pero 00:08:55
con direcciones ip dinámicas entonces que está generando pues acordaos en más que nada se 00:09:05
utilizaba con el post rutina igual que el senado pero como aquí son direcciones públicas pues 00:09:12
tenemos que utilizar la acción más que era de con la tabla poner siempre poniendo la tabla nat 00:09:15
con respecto a redirigir el tráfico http entrante por el puerto 80 a un servidor interno pues 00:09:22
estamos haciendo el proceso inverso acordaos de su inverso era con un de nat aquí en cómo está 00:09:29
haciendo el proceso inverso tendremos que definir la dirección de destino hacia desde la que viene 00:09:35
habría que aplicar una tabla NAT 00:09:41
habría que añadir esta regla 00:09:43
va a ser prerouting 00:09:45
porque estamos hablando que hay que redirigir 00:09:47
el tráfico entrante 00:09:50
hacia un servidor interno 00:09:51
va a ser a través del puerto 80 00:09:54
tendríamos que sería el protocolo TCP 00:09:55
puerto 80 y con la regla DNAT 00:09:57
acordaos, cuando el proceso inverso 00:10:00
cuando venía desde internet hacia un servidor interno 00:10:01
estábamos hablando de DNAT 00:10:04
y habría que añadir la dirección destino 00:10:05
a la que va a dirigirse 00:10:08
Esa dirección de signo, que sería esta, sería la de la IP del servidor interno. 00:10:09
Habilitar redirección de puertos, lo hemos visto anteriormente, se hacía también con la tabla NAT. 00:10:16
La opción era Redirect, para redireccionar desde un puerto y un protocolo, que sería el 8080, 00:10:23
a, se pone con el toPort, al puerto 80. 00:10:29
Y esto se hacía en prerouting, por eso se añade aquí la cadena prerouting. 00:10:33
Y por último, permitir el acceso a Internet a través de una dirección IP pública. Estamos hablando ahora de qué, del proceso, que en el mismo proceso que la regla 1 que hemos puesto, pero ahora estamos hablando de una dirección pública estática. 00:10:39
estática. Entonces se aplicaba 00:10:56
igual en la tabla NAT, se aplicaba 00:10:58
en post-routing, se adicionaba 00:11:00
la regla y ahora 00:11:02
la acción, ¿cuál es? La acción es 00:11:04
SNAT. Se hacía a través de 00:11:06
la interfaz 00:11:08
ETH0 y 00:11:09
la dirección fuente pues ahora 00:11:12
ya no va a ser como pasaba en el de NAT 00:11:14
que era el servidor interno, sino que va a ser la dirección 00:11:16
pública estática que tiene 00:11:18
el acceso hacia Internet. 00:11:20
Nos quedan aquí también 00:11:29
aparte de los ejemplos 00:11:30
ver las reglas NAT 00:11:32
aquí se explica como ver las reglas NAT 00:11:34
configuradas en IP tables 00:11:36
entonces el comando sería este 00:11:37
que sería el guion T NAT 00:11:39
guion L, guion N, guion V 00:11:41
la opción guion T NAT 00:11:43
indica que queremos listar la tabla NAT 00:11:47
no la tabla filter por defecto 00:11:49
sino la tabla NAT 00:11:51
la opción guion L 00:11:52
va a listar las reglas 00:11:55
la guion N evita resolver 00:11:57
nombres DNS y muestra 00:11:59
IPs numéricas, lo cual lo hace más rápido. 00:12:03
Y luego la V sería muestra de información adicional como contadores 00:12:07
de paquetes y bytes. Esto es muy útil para comprobar 00:12:11
si una regla se está utilizando realmente. Por ejemplo, si el contador 00:12:15
está en cero, puede significar que la regla no coincide con 00:12:19
ningún tráfico. Entonces, para ello 00:12:23
Lo que hacemos aquí, hay que decir que este comando es esencial para la depuración. Muchas veces creemos que una regla está bien, pero al ver contadores vemos que no se aplica. Entonces, también sirve para auditoría y para analizar el tráfico. En entornos reales, revisar reglas y contadores es parte del mantenimiento. Así que esta diapositiva enseña una técnica práctica para comprobar las configuraciones NAT. 00:12:27
aquí tenemos el ejemplo de ese NAT 00:12:52
que ya lo hemos visto 00:13:00
como es una explicación detallada de la misma 00:13:02
y bueno, es más de lo mismo 00:13:05
con respecto a lo que hemos visto anteriormente 00:13:08
no lo voy a comentar 00:13:10
aquí viene la explicación más detallada 00:13:15
en el que dice que usa la tabla NAT 00:13:17
que aplica la regla después de que el paquete se haya enrutado 00:13:19
que aplica la regla de paquetes provenientes de esta red 00:13:22
y que aplica la regla solo en la interfaz de salida ETC0, Output, y hacia qué fuente, hacia la fuente que es el que cambia la IP de origen a la pública. 00:13:24
Este sería el de DNAT, que es el contrario y que también establece aquí una explicación sobre la regla que hemos visto antes y que nos aporta mucho más. 00:13:36
El ejemplo de Masquerade, que también lo hemos visto 00:13:46
Y este serían ejemplos de comandos NAT con IP tables 00:13:50
Si tienes una red interna y un servidor con una IP pública dinámica 00:13:58
Podrías usar estas reglas 00:14:01
Que serían las reglas permitir a los clientes acceder a Internet 00:14:02
¿Cómo se hacía? Pues a través del Masquerade 00:14:07
Y redirigir el tráfico entrante al porto 22SH 00:14:09
Hacia un servidor interno, como lo está pidiendo 00:14:12
Hacia un servidor interno, pues entendríamos que sería 00:14:16
a través de DENAT, acordaos, el paso inverso. 00:14:18
¿Cómo lo hace? Pone la tabla, añade la regla con la cadena prerouting, 00:14:23
acordaos, el DENAT prerouting, el masquerade y ese DENAT prerouting. 00:14:28
El destino sería, o sea, vendríamos desde la dirección pública, que sería esta, 00:14:34
iría hacia el puerto 22 a través de la acción DENAT. 00:14:43
Y en la dirección de destino será el servidor interno donde tenemos el SSH. 00:14:46
Y esto sería todo con respecto a las reglas IP tables para poder configurar el cortafuegos. 00:14:55
lo dejamos aquí 00:15:07
y creo que 00:15:10
en definitiva 00:15:12
he cubierto 00:15:13
casi todo 00:15:15
lo concerniente 00:15:16
pues a las reglas 00:15:18
Idioma/s:
es
Materias:
Informática
Niveles educativos:
▼ Mostrar / ocultar niveles
  • Formación Profesional
    • Ciclo formativo de grado superior
      • Primer Curso
      • Segundo Curso
Autor/es:
Francisco J. González Constanza
Subido por:
Francisco J. G.
Licencia:
Todos los derechos reservados
Visualizaciones:
8
Fecha:
1 de febrero de 2026 - 15:33
Visibilidad:
Público
Centro:
IES CIFP a Distancia Ignacio Ellacuría
Duración:
15′ 28″
Relación de aspecto:
1.78:1
Resolución:
1920x1080 píxeles
Tamaño:
219.07 MBytes

Del mismo autor…

Ver más del mismo autor

EducaMadrid, Plataforma Educativa de la Comunidad de Madrid

Plataforma Educativa EducaMadrid