Saltar navegación

Activa JavaScript para disfrutar de los vídeos de la Mediateca.

IPTables. Vídeo 2 - Contenido educativo

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 1 de febrero de 2026 por Francisco J. G.

9 visualizaciones

IPTables. Vídeo 1

Más información Transcripción

Descargar la transcripción

Aquí tenemos el ejemplo del Retron. En esta dispositiva se muestra un ejemplo práctico del uso de Retron y cadenas personalizadas. 00:00:00
Primero, se crea una cadena personalizada, por ejemplo, con un nombre que será filtro-http, que sirve para agrupar reglas establecidas relacionadas con HTTP. 00:00:12
Véis que aquí lo ha hecho con el guión N la cadena para crear esa cadena personalizada con este nombre. 00:00:25
Después se agregan reglas dentro de esa cadena. Se van arreglando, veis, añado y añado a filtro HTTP, le añado esta regla, que sería esta de aquí, que permite el tráfico desde esta dirección IP fuente y con un tráfico TCP a través del puerto 80. 00:00:34
Entonces, esta regla la añade a esta cadena personalizada y que sucede que después que se agregan las reglas dentro de esa cadena, por ejemplo esta que hemos visto, finalmente se llama a la cadena desde input, de modo que cuando llegue tráfico HTTP se envía a esa cadena para evaluarlo. 00:00:55
Si el paquete cumple con la regla, se acepta y si no, pues lo que hará es que llamará a RETRUN devolviendo el control al input. 00:01:20
Esto permite organizar el framework como si fueran módulos o funciones, evitando reglas desordenadas en el input. 00:01:35
Es una forma profesional de mantener reglas claras y mantenibles. 00:01:43
En un framework real, con muchas reglas, esta técnica es imprescindible. Así se mejora la administración y se reducen los errores. 00:01:47
Veis aquí lo que ha creado primero la cadena personalizada. Agrega las reglas a la cadena personalizada, que sería aquí. 00:01:55
Segunda regla, usa Retrum para devolver el control a la cadena principal si ningún paquete coincide con la regla anterior. 00:02:05
Si no coincide con esta regla, entonces volvería a la regla anterior, que sería llamada al input, que llamaría a las reglas, para que te coincide con la regla filtro HTTP, será aceptado, pero si no coincide, el return hace regresar el control al input, donde la regla drop bloqueará cualquier otra condición. 00:02:11
Bien, pasamos a las acciones en IP Tables, tanto de NAT, SNAT, Masquerade y Redirect. Aquí aparecen acciones relacionadas con NAT, que son distintas al filtrado normal. Tenemos primero de NAT, que se usa, lo hemos visto antes, en prerouting para modificar la IP destino. 00:02:33
Normalmente para redigir tráfico entrante a un servidor interno. 00:03:01
Luego tenemos el SNAT, que se usa en ProRouting 00:03:05
y que para modificar la IP origen cuando el framework tiene una IP fija, 00:03:08
cuando esta IP es estática. 00:03:17
Mientras que el mascarade sería igual que el SNAT, 00:03:19
lo que pasa es que es cuando se utiliza cuando la dirección IP es dinámica 00:03:21
en la interfaz de red de salida. 00:03:25
Y luego, por último, tenemos el Redirect, que se usa para redirigir el tráfico a la propia máquina. Por ejemplo, cambiar un puerto de destino. Estas opciones son, por tanto, esenciales para compartir Internet y publicar servicios internos. En la práctica, NAT es lo que permite que redes privadas puedan comunicarse con Internet. Sin NAT, la mayoría de redes domésticas y muchas empresas no funcionarían como hoy. Por eso, esta dispositiva es clave. 00:03:27
Bien, ejemplos comunes de reglas en IP tables. 00:03:53
Aquí tenemos, os pongo en rojo, lo que significa cada una de las partes o comandos que tiene la propia regla. 00:04:04
Y fijaos, aquí, esta ya vemos que es una añade regla, añade regla y añade regla. 00:04:11
Es lo que está haciendo, que es, añade una regla de entrada al Firewall y está aceptando el qué, el tráfico HTTP desde el puerto 80. 00:04:15
no lo indica la acción ACET 00:04:24
bloquear el tráfico sería la contraria a la anterior 00:04:28
en la que lo estamos bloqueando, pero ¿para qué? 00:04:31
para aquellas IPs de esta fuente 00:04:33
en dirección al propio Firewall 00:04:37
permitir el tráfico de una red local 00:04:40
sería igual que la anterior, pero ahora estamos diciendo 00:04:43
que la acepten, no que la bloqueen 00:04:47
denegar todo el tráfico por defecto y permitir solo ciertos puertos 00:04:49
Fijaos, aquí primero realiza una acción de denegar todo el tráfico de entrada y, posteriormente, esta que lo ha generado por defecto, ahora permite, primero elimina todo por defecto y luego permite una serie de reglas que serían estas. 00:04:53
Solo va a permitir la entrada con ACEP, tanto con el protocolo TCP, tanto por teléfono de puerto 22 y del 80. O sea, está permitiendo SSH y permitiendo HTTP. 00:05:12
Pasamos a qué es NAT. Aquí se define NAT, que significa Network Address Translation, o lo que sería una traducción de direcciones de red. 00:05:26
NAT es un proceso que permite modificar direcciones IP en paquetes que atraviesan un router o un cortafuegos. 00:05:37
Se usa principalmente ¿para qué? Para traducir direcciones privadas a públicas y viceversa. 00:05:44
También sirve para redirigir puertos o hacer mascarado, que es cuando muchos equipos comparten una sola IP pública. 00:05:52
En IP tables, NAT se gestiona en la tabla NAT, que lo hemos visto antes con el guión T, 00:06:02
y se trabaja con cadenas específicas como prerouting, prerouting y out. 00:06:08
Es importante recalcar que NAT no es filtrado, sino que es transformación de direcciones. Eso es importante. No es filtrado, es transformación de direcciones. Gracias a NAT, redes privadas pueden salir a Internet, aunque usen direcciones no rutables. Es uno de los mecanismos más utilizados en redes modernas y sin NAT, necesitaríamos una IP pública por cada dispositivo, lo cual sería algo inviable. 00:06:14
Aquí tenemos el ejemplo, ya pasamos a SNAT y DNAT. Aquí se explica cómo las IP tables se pueden hacer dos tipos principales de NAT, que serían el SNAT y el DNAT. 00:06:37
Empezamos con el SNAT, que va a modificar la IP origen de un paquete por una IP externa del equipo que hace NAT. 00:06:52
El equipo que hace NAT, aquí sería el propio router, entonces esto se usa para que varios equipos internos puedan compartir. 00:07:02
compartir, estos serían los equipos internos, pueden compartir una IP pública para salir a 00:07:08
Internet. Esta sería la IP pública y sería esta aquí. Por tanto, este dispositivo actúa como puerta 00:07:13
de enlace y transforma el tráfico. Entonces, es importante destacar que esta técnica es la base 00:07:22
de la conectividad en redes privadas. Gracias a ese NAT, los equipos internos no necesitan IP 00:07:27
públicas. Además, el NAT mantiene una tabla interna, que ahora lo veremos a continuación, 00:07:32
en el que se establecen las conexiones entre privada y pública. 00:07:37
Aquí lo tenemos, veis aquí la tabla, bueno, se ve mejor aquí, esta sería la tabla NAT que va a crear, 00:07:44
crea que se relaciona tanto el puerto como la dirección privada con la dirección pública y el puerto público. 00:07:50
Y aquí los pasos que va a realizar desde que una determinada fuente, que sería esta, la 192.168.103, 00:07:55
a través del puerto 3855 00:08:03
tiene destino en esta dirección 00:08:05
que es de Yahoo. Cuando llega 00:08:08
al equipo NAT, allí lo que hace 00:08:09
es que transforma 00:08:12
esa dirección privada 00:08:14
en una dirección pública, lo mete en una tabla NAT 00:08:16
y la dirección pública 00:08:17
sería la del propio... 00:08:20
El último paso sería 00:08:22
que la fuente sería, a través de esta dirección pública 00:08:24
que tiene, al destino que sería 00:08:26
el de Yahoo. Aquí lo explica 00:08:28
este dispositivo 00:08:33
tiene dos interfaces de red, claro, la interfaz para la red local, que sería donde proviene, 00:08:34
y la interfaz hacia Internet, que sería la propia IP pública. 00:08:39
En esta dispositiva se visualiza mejor el proceso mediante una tabla de traducción NAT, 00:08:53
que sería la que hemos visto anteriormente. 00:09:00
El equipo interno genera una solicitud hacia Internet y el NAT traduce la IP privada 00:09:02
y el puerto origen a una IP pública y un puerto externo. 00:09:08
La tabla NAT guarda esa relación entre la privada y la pública, y así cuando Yahoo responda a la IP pública y al puerto 6282, 00:09:12
pues el NAT consultará la tabla y reenviará el paquete al equipo interno correcto. 00:09:24
Esto es lo que se conoce como NAT dinámico, con traducción de puertos. 00:09:29
En la práctica, cuando la conexión genera una entrada en esa tabla, es importante porque demuestra que NAT no solo cambia IPs, también gestiona puertos para diferenciar conexiones simultáneas. Esto permite que decenas o cientos de equipos puedan compartir una sola IP pública. 00:09:35
Nos queda cuándo esa dirección es diferenciada y cuándo una dirección es estática o cuándo es dinámica. 00:09:53
Entonces, aquí se aplica, que sería esta de aquí, con el masquerade, aquí se explica una situación muy común cuando la IP pública del NAT es dinámica. 00:10:06
Por ejemplo, en conexiones domésticas, en este caso, no podemos poner una regla de ese NAT fija. 00:10:18
O sea, recordad que ese NAT es para IPs fijas, con una IP concreta, porque la IP externa puede cambiar con el tiempo. 00:10:24
Entonces, para resolverlo, IPtribus usa el enmascaramiento, IP, o lo que llamamos el masquerade. 00:10:31
La idea es que antes de hacer el cambio de IP origen, el equipo NAT mira cuál es la IP externa actual de la interfaz de salida. 00:10:38
una vez la obtiene, realiza la traducción automáticamente 00:10:48
y esto hace que el sistema se adapte a cambios de IP sin necesidad de modificar reglas. 00:10:53
En resumen, Masker AD es como el SNAP, pero automático y dinámico. 00:10:59
Es la opción típica cuando el router recibe un IP por DHCP del proveedor. 00:11:06
Y por eso se usa mucho en entornos reales. 00:11:10
Esta dispositiva conecta directamente con el siguiente ejercicio 00:11:13
ejercicio que lo vamos a ver en el que vamos a diferenciar entre cómo usar ese 00:11:16
NAT y cómo usar el masquerade. Aquí tenemos un ejercicio en el que bueno 00:11:20
nos dice que reglas IP de tablets pues tendría que aplicarse para que los 00:11:27
equipos de la red esta que es la que aparece que sería la LAN y puedan tener 00:11:31
acceso a internet en este caso la IP externa es estática ya esto nos está 00:11:35
indicando que lo que vamos a tener que utilizar es ese NAT su interfaz de red 00:11:41
es decir, la ETH1, la interfaz de redes asociada a la DMZ es la ETH2 00:11:44
y la correspondiente a la LAN es la ETH0. 00:11:48
¿Cuál sería la regla para poder utilizar esto? 00:11:52
Esta ya la tengo aquí, esta sería la regla en la que, fijaos, 00:11:58
ya está utilizando en principio la tabla NAT. 00:12:02
Está diciendo que va a utilizar el ProRouting. 00:12:07
acordaos que el SNAT utilizaba el ProRouting, nos está diciendo que la fuente de ese source es la propia LAN, 00:12:10
que el protocolo va a ser el TCP a través del porto 80 y que la interfaz de origen va a ser la ETH1. 00:12:22
Aquí le está aplicando una opción que va a ser SNAT, puesto que es una dirección, va a ser dirección estática, ya lo dice, 00:12:33
y que ese SNAD se va a aplicar aquí a esa dirección pública que va a ser, por eso pone aquí el TO, destino A, la dirección pública que sería 80.58.1.14, que sería esta de aquí. 00:12:39
Se indica, aquí estamos indicando que para aplicar, qué reglas aplicar para que los equipos de la red 192.168.1.0 tengan acceso a Internet. Esa sería la regla que estamos escribiendo aquí. 00:12:53
Entonces, indica que la IP externa, nos está diciendo que la IP externa, que sería esta, es estática, va a ser siempre fija. 00:13:11
Y que la interfaz hacia Internet va a ser ETH1. 00:13:16
Entonces, también se menciona que hay una interfaz para la DMZ, que sería la ETH2, y una hacia la LAN, que sería la ETH0. 00:13:21
Como la IP externa es fija, lo correcto va a ser usar SNAP. 00:13:30
en la cadena post-routing 00:13:35
dentro de la tabla NAT 00:13:38
es lo que vamos a utilizar 00:13:40
el post-routing, el SNAT 00:13:41
el post-routing porque va a ser 00:13:44
de salida 00:13:46
la dirección es desde la LAN 00:13:48
hacia internet 00:13:50
la regla cambia la IP origen 00:13:52
privada, que sería esta 00:13:58
la cambia a la IP pública 00:14:00
que sería esta otra 00:14:02
que sería la 8058 00:14:03
Esto permite que el tráfico salga con una IP válida hacia Internet. 00:14:06
Pero además no basta con NAT, hay que permitir el tráfico en la tabla filter, que sería la cadena forward. 00:14:11
Es decir, el NAT traduce, pero el firewall debe permitir el paso. 00:14:21
Aquí tenemos la misma diapositiva, lo que pasa es que lo he agrandado para que veáis el esquema del ejercicio. 00:14:30
Por tanto, el ejercicio para el caso de una IP externa estática se utiliza siempre ese NAT, que sería la acción, a través de la tabla NAT con la T. 00:14:37
lo que estamos aplicando es un 00:14:57
post-routing 00:14:59
aquí he añadido el A 00:15:00
con la acción post-routing, ¿por qué? 00:15:03
porque estamos estableciendo el cambio 00:15:05
de esa dirección IP siempre 00:15:07
previo a salir 00:15:09
del firewall 00:15:11
la dirección fuente es 00:15:13
la de la LAN y el 00:15:15
protocolo es el TCP a través del puerto 80 00:15:17
y la 00:15:20
dirección destino o la que se va 00:15:21
a producir el cambio será la dirección pública 00:15:23
que sería esta 00:15:25
CC por Antarctica Films Argentina 00:15:26
Idioma/s:
es
Materias:
Informática
Niveles educativos:
▼ Mostrar / ocultar niveles
  • Formación Profesional
    • Ciclo formativo de grado superior
      • Primer Curso
      • Segundo Curso
Autor/es:
Francisco J. González Constanza
Subido por:
Francisco J. G.
Licencia:
Todos los derechos reservados
Visualizaciones:
9
Fecha:
1 de febrero de 2026 - 15:16
Visibilidad:
Público
Centro:
IES CIFP a Distancia Ignacio Ellacuría
Duración:
15′ 33″
Relación de aspecto:
1.78:1
Resolución:
1920x1080 píxeles
Tamaño:
213.39 MBytes

Del mismo autor…

Ver más del mismo autor

EducaMadrid, Plataforma Educativa de la Comunidad de Madrid

Plataforma Educativa EducaMadrid