Saltar navegación

Activa JavaScript para disfrutar de los vídeos de la Mediateca.

DMZ, SNAT, DNAT,... - Contenido educativo

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 21 de enero de 2024 por Luis B.

74 visualizaciones

Más información Transcripción

Descargar la transcripción

Buenas chicos, a ver, os voy a contar cosillas. 00:00:00
Ahora mismo cuando utilizábamos la herramienta IPT2 00:00:03
lo que hacíamos es tocar la tabla filter, ¿vale? 00:00:06
y entre ellas tocábamos las cadenas Input o Forward y Output, ¿vale? 00:00:11
en modo de repaso ya sabéis que en este caso Forward es que atraviesa 00:00:15
siempre pensando desde la visión desde la máquina de cortafogos 00:00:18
que atraviesa la máquina de cortafogos, ¿vale? 00:00:21
comúnmente desde lo que hacíamos desde el Kali como cliente hacia Internet 00:00:24
Input es una información hacia el cortafogos 00:00:28
y Output que sale del cortafogos, ¿vale? 00:00:31
eso es lo que hemos visto en la tabla filter 00:00:34
pero ahora vamos a utilizar la tabla NAT 00:00:36
que como ya sabéis lo que hace NAT como su nombre indica es 00:00:38
traducción de direcciones, ¿vale? 00:00:42
vamos a tocar dos cadenas, pre-routing y post-routing, ¿vale? 00:00:44
en este caso post-routing lo que hace es que se aplica 00:00:48
después de que se ha realizado el enrutamiento 00:00:51
principalmente lo que hace es cambiar la dirección origen 00:00:54
traducción de direcciones, NAT 00:00:58
lo que hace es cambiar en resumen la dirección origen 00:01:00
por eso se llama SOURCE NAT 00:01:03
esto sería un caso por ejemplo en vuestra casa 00:01:07
es decir, el funcionamiento del router 00:01:10
lo que habéis hecho en el año pasado conmigo 00:01:12
o lo que habéis hecho con Gema este año 00:01:13
en vuestra casa lo que se hace es cambiar la IP privada, ¿vale? 00:01:16
y el router lo que hace es cambiar esa IP privada 00:01:20
por la pública de vuestra casa 00:01:22
de esta forma si os conectáis a una página web 00:01:24
esa página web sabe que lo tiene que devolver 00:01:26
a la pública de vuestra casa 00:01:28
y luego vuestro router dirá, hombre me la ha pedido fulanito 00:01:30
y se lo manda a fulanito, ¿vale? 00:01:33
en esa memoria interna, en esa tabla interna que tiene 00:01:34
entonces tened claro que el post-routing lo que hace es 00:01:37
cambiar la dirección origen 00:01:39
y se aplica después de haber pensado ya en el enrutamiento 00:01:42
es decir, por donde iban a ir los paquetes 00:01:46
y luego el pre-routing lo que hace es que se aplica 00:01:48
antes de realizar el encaminamiento 00:01:50
que en resumen lo que va a hacer es 00:01:52
cambiar la dirección de destino 00:01:55
de NAT, ¿vale? 00:01:57
fijaros aquí, con este vamos a conseguir 00:01:59
que nuestra máquina haga de router 00:02:02
ya os he comentado que el 00:02:04
en este caso la maquina IDFAR 00:02:06
está preparada de antemano, ya está configurada 00:02:08
para que haga de router 00:02:10
nosotros lo vamos a borrar y lo vamos a hacer nosotros 00:02:12
en este caso hablo del pre-routing 00:02:14
el pre-routing lo que hace, imaginaros 00:02:17
nosotros vamos a implementar en la red verde 00:02:19
vamos a hacer un mix 00:02:21
nuestra máquina Kali que está en la red verde 00:02:23
ahora va a estar verde más naranja 00:02:25
es decir, vamos a hacer una DMZ 00:02:28
vamos a implementar unos servidores 00:02:31
tanto SSH como APACHE 00:02:34
para que la gente se pueda conectar desde el exterior 00:02:35
es decir, lo que va a hacer en este caso el pre-routing 00:02:38
es modificar la dirección de destino 00:02:41
es decir, que si alguien se conecta 00:02:44
a esta interfaz del cortafuegos 00:02:46
vamos a redirigirlo 00:02:48
vamos a cambiar la dirección de destino 00:02:50
para que se conecte al verde 00:02:52
si alguien se conecta por SSH aquí 00:02:54
que se vaya a esta máquina 00:02:56
que es donde está el servidor local 00:02:58
el servidor interno en la red privada 00:03:00
en la red verde 00:03:02
si alguien se conecta HTTP aquí 00:03:03
que lo redirija aquí, ¿vale? 00:03:05
así visto, un poco teórico 00:03:07
parece complicado, pero luego a nivel práctico 00:03:09
es muy rápido 00:03:11
lo voy a hacer yo lo primero 00:03:13
yo me voy a mi CALE 00:03:15
y lo primero de todo es 00:03:17
voy a montar el servidor SSH 00:03:19
voy a montarlo en un puerto 00:03:22
diferente al puerto 22 00:03:26
en este caso, ya sabéis que tenéis que tocar el SSHD 00:03:28
porque es el de la configuración 00:03:31
de ser servidor, y en este caso 00:03:33
voy a ser servidor no cliente 00:03:35
voy a poner como puerto origen el 7.3.2.1 00:03:37
voy a iniciarle 00:03:41
y ya veis que está iniciado 00:03:47
y en STATUS puedo ver 00:03:49
que ya está en 00:03:51
el mando que prefiráis, SSH 00:03:59
STATUS 00:04:01
no sé por qué no lo estoy viendo 00:04:06
pero me da igual 00:04:10
lo he iniciado 00:04:12
y voy a probar 00:04:14
si me puedo conectar 00:04:16
aquí lo tengo ya 00:04:18
y fijaros que sí me permite conectar 00:04:20
perfecto 00:04:22
SSH ya está corriendo 00:04:24
por otra parte voy a 00:04:26
activar el servidor Apache 00:04:28
y como veis la configuración 00:04:32
está escuchando el servidor HTTP en el 80 00:04:34
pues yo le voy a poner el 6.3.8.7 00:04:36
seguro service 00:04:40
o systemctl lo que queréis 00:04:42
apache 00:04:44
start 00:04:46
apache 2 00:04:48
me voy al navegador y voy a ver 00:04:50
si el servidor 00:04:52
se me abre 00:04:54
aquí lo tengo, fijaros que 00:04:56
yo aquí lo que he hecho es meterme en 00:04:58
var www.html 00:05:00
en su 00:05:02
nanoindex 00:05:04
si bajáis por aquí 00:05:06
he metido una etiqueta con H1 00:05:08
un título mejor dicho 00:05:10
y lo he modificado 00:05:12
y lo he guardado, para que lo veáis 00:05:14
ahí está 00:05:16
página de prueba de Luis 00:05:18
entonces ya tengo tanto mi servidor SSH 00:05:20
como mi servidor Apache 00:05:22
Apache corre 00:05:24
si hago un nmap 00:05:26
menos p menos para que me mire desde el 0 00:05:28
hasta el 65.535 00:05:30
fijaros que 00:05:32
tengo mi máquina 00:05:34
que tiene dos puertas abiertas 00:05:36
en este caso el 6.3.8.7 y el 7.3.2.1 00:05:38
en este caso 00:05:40
yo voy a mi pfire 00:05:42
que lo tengo por aquí y voy a hacer 00:05:44
oye, la tabla filter 00:05:46
pues voy a hacer una política permisiva 00:05:48
entonces me voy a cargar 00:05:50
todas las reglas de la 00:05:54
tabla filter 00:05:56
menos t 00:05:58
ya sabéis, puedo indicar o no la tabla 00:06:00
ptables 00:06:02
menos nl 00:06:04
input está afe 00:06:06
output está afe 00:06:10
por último forward 00:06:14
está afe 00:06:16
si yo hago un ping 00:06:18
desde aquí 00:06:20
funciona 00:06:22
¿vale? ¿por qué? 00:06:24
porque la política es permisiva 00:06:26
y realmente el pfire 00:06:28
está funcionando como 00:06:30
router, ya decíamos que está configurado 00:06:32
previamente para hacer ese NAT 00:06:34
¿pero qué voy a hacer ahora? voy a hacerlo yo mismo 00:06:36
me voy a cargar toda la configuración 00:06:38
previa que tiene el pfire 00:06:40
como NAT y lo voy a hacer yo mismo 00:06:42
fijaros que voy a hacer un menos t NAT 00:06:44
menos f 00:06:46
me voy a cargar toda la configuración NAT 00:06:48
del pfire, me lo cargo 00:06:50
y fijaros que ahora si hago un ping 00:06:52
a google no funciona 00:06:54
lo primero de todo voy a ver 00:06:58
que la política 00:07:00
de post routing y 00:07:04
pre routing 00:07:06
está a menos nl 00:07:08
es igual pero 00:07:10
post routing 00:07:12
está afe 00:07:14
y pre routing 00:07:16
está afe 00:07:18
perfecto, entonces ahora 00:07:20
lo que vamos a hacer es hacer el 00:07:22
post routing, yo aquí 00:07:24
os he dejado unos ejemplos para la hora 00:07:26
de hacer la práctica 00:07:28
lo que hace el post routing es cambiar 00:07:30
ese NAT, cambiar 00:07:32
ese source, cambiar la dirección 00:07:34
origen, puede ser 00:07:36
un SNAT dinámico o 00:07:38
un SNAT estático, imaginaros 00:07:40
en este esquema que desde el 00:07:42
cliente del Kali nos conectamos a internet 00:07:44
lo que tenemos que decir es que esta IP 00:07:46
la 192.168.2.2 00:07:48
me la cambie por esta IP de aquí 00:07:50
imaginaros que esta IP 00:07:52
va cambiando todo el rato 00:07:54
entonces le diríamos 00:07:56
oye, cámbiame por la IP que está aquí 00:07:58
si lo queremos decir, eso sería dinámico 00:08:00
si lo queremos decir estático le tendríamos 00:08:02
que decir la IP concreta que tenemos 00:08:04
aquí, fijaros aquí 00:08:06
en este caso es dinámico, ¿por qué? 00:08:08
porque le decimos menos j más que nada 00:08:10
la IP que esté en ese punto 00:08:12
si le decimos menos j 00:08:14
ese NAT a esta IP 00:08:16
es estático, le estamos diciendo 00:08:18
una IP concreta que hay 00:08:20
yo lo voy a hacer de ambas 00:08:22
formas 00:08:24
yo voy a hacer IPTABLES 00:08:26
menos 00:08:28
tenat, indicando 00:08:30
procesador de introducción de dos 00:08:32
direcciones, menos app 00:08:34
post routing 00:08:36
y le voy a decir menos s 00:08:38
es decir, es el origen, la IP 00:08:40
original, menos 2.0 00:08:42
2.0 barra 24 00:08:46
que es el Kali 00:08:48
por dónde voy a mandar 00:08:50
los paquetes 00:08:52
para que haga el NAT 00:08:54
lo voy a mandar 00:08:56
por la salida roja 00:08:58
hacia internet 00:09:00
por la salida roja 00:09:02
y ya le tengo que decir un menos j 00:09:04
y por dónde lo voy a mandar 00:09:06
menos j 00:09:08
ese NAT, bueno yo no me salí pero 00:09:10
tengo que mirar 00:09:12
tenemos 00:09:14
1.133 00:09:16
menos tenat, menos app 00:09:18
post routing 00:09:20
voy a cambiar la IP origen 00:09:24
cualquier máquina en este caso podría ponerla 00:09:26
2.2 y un menos o 00:09:28
porque va a salir por ahí 00:09:30
menos j 00:09:32
ese NAT 00:09:34
y le digo 00:09:40
menos tu 00:09:42
menos tu 00:09:44
192.168.1.133 00:09:46
entonces ya he dicho que 00:09:50
la IP origen de lo que me lleve 00:09:52
desde el Kali lo cambie a la 00:09:54
interfaz de la red roja 00:09:56
entonces fijaos ahora que si hago el pin a google 00:09:58
funciona, lo voy a hacer ahora 00:10:00
sin indicar la IP, imaginaros que esta IP 00:10:02
que es mi 192.168.1.133 00:10:04
va variando 00:10:06
todo el rato, es una pública 00:10:08
que va cambiando dinámica, entonces voy a hacer un 00:10:10
menos tenat pero estático 00:10:12
me voy a cargar esta entrada 00:10:14
menos d 00:10:18
ya sabéis como funciona 00:10:20
post routing 00:10:22
1 y me cargo 00:10:24
la primera, pero fijaros que lo voy a hacer así 00:10:26
es mucho más fácil porque no hay que indicarme la IP 00:10:28
directamente como 00:10:30
hemos puesto 00:10:32
más 00:10:34
que nada 00:10:36
como hemos puesto 00:10:38
que va a salir 00:10:40
menosorred0 por la roja 00:10:42
que directamente va a cambiar por esa IP 00:10:44
y fijaros que voy aquí y ya funciona 00:10:46
la conexión hacia internet 00:10:48
también puedo verlo, puedo ver como he metido 00:10:50
esa regla 00:10:52
menos nl 00:10:54
post 00:10:56
vale fijaros 00:10:58
vale pues ya oye, mi máquina ya está funcionando 00:11:00
como router 00:11:02
vale y ahora lo que quiero hacer es 00:11:04
hacer un denat 00:11:06
que es como realmente 00:11:08
queremos acceder 00:11:10
a esos servidores que están dentro de la roja, una dmz 00:11:12
esa red naranja 00:11:14
pero que la hemos montado en la verde 00:11:16
entonces lo que vamos a hacer 00:11:18
es un denat para que la gente se conecte 00:11:20
desde fuera, más allá del cuartafuegos 00:11:22
entonces 00:11:24
fijaros, yo quiero que 00:11:26
voy a hacer un clear 00:11:28
bueno vamos a ver 00:11:30
ya hemos visto 00:11:32
antes que si, los puertos abiertos 00:11:34
lo que voy a hacer ahora es 00:11:36
fijaros un segundo 00:11:38
aquí está mi hiperfile 00:11:42
hipertables 00:11:44
bueno ya, voy a enseñar el pre-routing 00:11:46
para que veáis que no hay nada 00:11:48
menos denat 00:11:50
menos nl 00:11:52
pre-routing, vale no hay nada 00:11:54
perfecto entonces ya vamos con ello 00:11:56
hipertables 00:11:58
menos denat 00:12:00
menos a pre-routing 00:12:02
y yo ya empiezo a decir 00:12:04
menos p 00:12:06
tcp 00:12:08
porque las conexiones son ssh y apache 00:12:10
y se van a conectar a nivel de transporte 00:12:12
por el puerto tcp 00:12:14
y yo quiero decirle 00:12:16
que lo que me llegue 00:12:18
menos i 00:12:20
por la red 0 00:12:22
es decir, algo que se conecte 00:12:24
aquí 00:12:26
y al puerto 22 00:12:30
vale 00:12:32
redirija 00:12:38
a la 00:12:40
192.168.2.2 00:12:42
del puerto 00:12:46
7.3.2.1 00:12:48
vale, lo vuelvo a explicar 00:12:50
es decir, lo que estamos diciendo es que 00:12:52
alguien que se conecte a menos i red 0 00:12:54
es decir, que entre por aquí 00:12:56
por el interfaz rojo 00:12:58
al puerto 22 lo redirija 00:13:00
a esta maquina a donde está montado 00:13:02
el servidor ssh 00:13:04
perfecto, vale 00:13:06
algo me he comido yo 00:13:08
ah vale, me falta denat 00:13:16
en minúsculas 00:13:22
oh vale 00:13:24
sigo fallando 00:13:28
a ver que me he liado yo 00:13:30
al escribir 00:13:32
ah, fue el 2 menos 00:13:34
vale, ahora 00:13:36
entonces fijaros, si yo voy a mi maquina 00:13:38
y hago un ssh 00:13:40
bueno, me voy a conectar al 22 00:13:42
ssh cali 00:13:44
porque es el usuario de la maquina cali linux 00:13:46
a donde me quiero conectar 00:13:48
y me voy a conectar a 192.168.1 00:13:50
me estoy conectando, fijaros 00:13:52
me estoy conectando al interfaz rojo 00:13:54
que es 00:13:56
192.168.1.133 00:13:58
fijaros que me conecto a la maquina 00:14:04
es decir, me ha redirigido a la 192.168.2.2 00:14:06
es decir, estoy más allá del cortafuegos 00:14:08
y he accedido 00:14:10
saltándome el cortafuegos, es decir 00:14:12
una DMZ, una zona naranja 00:14:14
donde están servidores accesibles desde fuera 00:14:16
es lo que pasa en internet 00:14:18
nos conectamos a la IP pública de Instagram 00:14:20
y hay máquinas routers 00:14:22
balanzadores de carga 00:14:24
que nos redirigen hacia una máquina interna 00:14:26
vale, y vamos a hacer 00:14:28
lo mismo pero 00:14:30
con el servidor 00:14:32
web, en este caso fijaros 00:14:34
yo voy a hacer lo mismo pero en lugar 00:14:36
de conectarme al puerto 80 00:14:38
voy a conectarme al puerto 00:14:40
por ejemplo 6432 00:14:42
vale, y a donde lo que quiero 00:14:44
redirigir, al puerto que tengo 00:14:46
es el 6387 00:14:48
con este mensaje 00:14:50
que estoy en esta regla, perdón, que estoy diciendo 00:14:52
oye, que si me conecto 00:14:54
a la IP de la red roja 00:14:56
al puerto 6432 00:14:58
a donde me lo tienes que redirigir 00:15:00
oye, a la máquina interna 00:15:02
del Kali, a ese puerto 00:15:04
que es donde está montado el servidor Apache 00:15:06
entonces fijaros 00:15:08
si yo voy aquí 00:15:10
me conecto a 192.168.1.133 00:15:12
y a la IP 00:15:14
hemos dicho 6432 00:15:16
6432 00:15:20
entonces fijaros que ya me he conectado 00:15:22
a la máquina Kali 00:15:24
que es donde está montado el servidor 00:15:26
eso es todo y ya hemos hecho una máquina router 00:15:28
y por otra parte hemos hecho 00:15:30
tanto el susnat como el denat 00:15:32
Valoración:
  • 1
  • 2
  • 3
  • 4
  • 5
Eres el primero. Inicia sesión para valorar el vídeo.
Subido por:
Luis B.
Licencia:
Reconocimiento - No comercial - Sin obra derivada
Visualizaciones:
74
Fecha:
21 de enero de 2024 - 20:16
Visibilidad:
Público
Centro:
IES FRANCISCO DE QUEVEDO
Duración:
15′ 37″
Relación de aspecto:
1.78:1
Resolución:
1920x1080 píxeles
Tamaño:
71.12 MBytes

Del mismo autor…

Ver más del mismo autor

Comentarios

Para publicar comentarios debes entrar con tu nombre de usuario de EducaMadrid.

Comentarios

Este vídeo todavía no tiene comentarios. Sé el primero en comentar.


EducaMadrid, Plataforma Educativa de la Comunidad de Madrid

Plataforma Educativa EducaMadrid