• 6.1 Característiques
• 6.1.1 Funcionament intern
• 6.1.1.1 Regles d'usuari
• 6.1.1.1.1 Avaluació de regles
• 6.1.1.1.2 Elements
• 6.1.1.1.2.1 Grups
• 6.1.1.1.2.2 Serveis
• 6.1.1.1.3 Creació
• 6.1.1.1.3.1 Exemple
• 6.1.1.1.4 Eliminació
• 6.1.1.1.5 Modificació
• 6.1.2 Emmascarament IP
• 6.1.2.1 Avaluació
• 6.1.2.2 Configuració
• 6.1.2.2.1 Exemple

6 Configuració de la traducció d'adreces IP (NAT)

La traducció d'adreces IP (NAT) són un conjunt de procediments que permeten la modificació de la la direcció IP mentre els datagrames IP viatgen pel sistema. A continuació aprendrà a configurar aquesta funcionalitat que li ofereix el NSS.

• Per visualitzar la configuració en memòria de la traducció d'adreces IP:

#show address_translation

address_translation {
  enabled
  masq {
    enabled
    input_interface eth1
    output_interface eth0
  }
  groups {
  -
  }
  service {
  -
  }
  rules {
  -
  }
}

6.1 Característiques

Com el cas del tallafocs la traducció d'adreces IP utilitza connexions pel seu funcionament. El sistema no es limita canviar la direcció IP dels datagrames, sinó que manté constància d'aquest fet mantenint una taula de connexions actives al sistema.

Les opcions de traducció que permet fer el sistema són les següents:

• DNAT (Destination Nat): Modificació de l'adreça IP destí del paquet.

• SNAT (Source Nat): Modificació de l'adreça IP font del paquet.

6.1.1 Funcionament intern

Existeixen dos mètodes per configurar la traducció d'adreces IP, cada un d'ells amb els seus paràmetres de configuració subjacents, de totes maneres pot utilitzar els dos mètodes conjuntament per configurar el sistema. Els possibles mètodes de configuració són els següents:

• Configuració amb regles d'usuari

• Configuració amb emmascarament IP (IP Masquerade)

6.1.1.1 Regles d'usuari

Les regles d'usuari permeten modificar alternativament la adreça IP destí i la adreça IP font dels paquets que arriben al NSS. Aquest enfocament permet al NSS la construcció de diversos escenaris de sistemes de seguretat tals com la creació de DMZs o Bastion hosts.

6.1.1.1.1 Avaluació de regles

L'avaluació de regles de traducció d'adreces segueix un procés similar a l'avaluació de regles d'usuari del tallafocs . En aquest cas la diferència radica en que les regles de traducció d'adreces són agrupades en 2 grups:

• Regles DNAT

• Regles SNAT

L'agrupació de dites regles no es realitza de manera aleatòria sinó que es realitza en funció de l'ordre de definició de regles en memòria.

Quan un paquet entra al sistema s'avaluen les regles de DNAT de manera seqüencial, la primera regla que coincideixi amb les característiques del paquet (sport,dport,service) farà que se li apliqui al mateix la traducció d'adreces DNAT definida a la regla.

A continuació es realitza l'encaminament del paquet, és a dir es busca una possible ruta determinada per la destination_adress del mateix i posteriorment el paquet és filtrat pel tallafocs del sistema.

En el cas que el paquet sigui acceptat s'avaluaran les regles de SNAT de manera seqüencial, la primera regla que coincideixi amb les característiques del paquet (sport, dport, service) farà que se li apliqui al mateix la traducció d'adreces SNAT definida a la regla.

Finalment el paquet s'envia al host destí per la ruta seleccionada.

6.1.1.1.2 Elements

Com podrà observar els elements que intervenen amb la construcció de regles per la traducció d'adreces són molt semblants als elements utilitzats en la creació de regles d'usuari del tallafocs.

6.1.1.1.2.1 Grups

El funcionament és exactament igual que el cas dels grups de les regles d'usuari del tallafocs.

• Per crear un grup :

#set address_translation groups name nomdelgrup

• Per eliminar un grup o bé tots els grups creats en memoria :

#del address_translation groups name nomdelgrup

#del address_translation groups all

6.1.1.1.2.2 Serveis

El funcionament és el mateix que les regles d'usuari del tallafocs.

• Per crear un servei :

#set address_translation service name nomdelservei

• Per eliminar un servei o bé tots els serveis de la configuració en memòria:

#del address_translation service name nomdelservei

#del address_translation service all

6.1.1.1.3 Creació

Per crear una regla d'aquest tipus necessita definir els següents paràmetres:

• Source : Adreces IP font, es defineixen mitjançant un grup dels citats anteriorment o bé pot introduir directament una adreça IP o xarxa sencera.

• Destination: Adreces IP destí, es defineixen com en el cas anterior.

• Service: És el recurs utilitzat definit per un sol servei : com en el cas de les regles d'usuari del tallafocs si ha definit una regla de de traducció d'adreces sense cap servei associat i executa un commit, el sistema reportarà un error quan intenti actualitzar la configuració del tallafocs, tornant el sistema al seu estat anterior.

• Snat address: La nova IP font que vol establir al paquet.

• Dnat address: La nova IP destí que vol establir al paquet.

Solament pot especificar un dels dos camps anteriors per crear una regla, en cas contrari el sistema reportarà un error.
Si defineix una regla d'usuari SNAT que entri en conflicte amb l'emmascarament IP(veure capítol següent) la regla d'usuari s'executarà en primer terme.

6.1.1.1.3.1 Exemple

Continuant amb la Il·lustració 3, suposi que vol que tot el tràfic dirigit a la adreça IP del NSS 62.0.0.1 amb el port 80 sigui reenviat a un servidor Apache amb adreça IP 192.168.3.223 ubicat a la intranet.

Per fer això primer necessita afegir al tallafocs una regla la qual permeti acceptar connexions HTTP al port 80, en cas contrari es realitzarà DNAT però durant el filtratge el paquet serà llençat.

• Per la definició del servei:

#set net_filter service name www protocol tcp dport 80

• Per definir la regla

#set net_filter rules name regla1 enable source 0.0.0.0/0 destination 192.168.3.223service www action accept

Aquesta regla d'usuari indica al sistema que permet fer el forward a qualsevol paquet la seva adreça IP font sigui qualsevol i la seva IP destí sigui 192.168.3.223

• Per configurar la traducció d'adreces IP es realitza el següent :

• Creació del grup 'httpserver':

#set address_translation groups name httpserver ip_member 192.168.3.223

• Creació del servei web:

#set address_translation service name http protocol tcp dport 80

• Creació de la regla de traducció d'adreces IP

#set address_translation rules name acces_http service http dnat_addressn 192.168.3.223

6.1.1.1.4 Eliminació

• Per eliminar una regla definida anteriorment:

#del address_translation rules name nomregla

• Per eliminar la regla 'regla1'

#del address_translation rules name regla1

• Per eliminar totes les regles definides al sistema :

#del address_translation rules all

NSSOS permet la modificació de qualsevol camp de les regles definides.

• Per modificar el camp la adreça IP del servidor Apache :

#set address_translation rules name acces_http service http dnat_address 192.168.3.22

6.1.2 Emmascarament IP

L'emmascarament IP és un cas particular de traducció d'adreces IP en el qual s'efectua SNAT amb la IP de la interfície que surten els paquets al sistema. Aquest fet és molt útil pels següents motius :

• Possibilita augmentar el número d'adreces IP disponibles a la xarxa donat que permet que vàries adreces IP privades es connectin a Internet utilitzant una sola adreça IP pública (la de la interfície de sortida).

• Ofereix inherentment seguretat al sistema ja que permet ocultar la topologia de la xarxa interna a l'exterior.

6.1.2.1 Avaluació

l'emmascarament IP és un cas particular de regla de SNAT i serà l'última regla SNAT que s'avaluarà al sistema. Això vol dir que el sistema dóna preferència a les regles d'usuari definides.

6.1.2.2 Configuració

El sistema d'emmascarament IP del NSSOS és molt fàcil de configurar, solament necessita els següents elements de configuració:

• Interfície/s d'entrada : Indica el sistema que efectuï l'emmascarament dels paquets que arribin al NSS a través de les interfícies especificades.

• Interfície de sortida: Permet especificar la IP amb la qual es realitzarà l'emmascarament IP: Si NSS reenvia el paquet per la interfície de sortida definida i aquest ha arribat al sistema per una de les interfícies d'entrada el paquet serà emmascarat amb la IP que estigui configurada la interfície de sortida.

6.1.2.2.1 Exemple

Seguint l'exemple de configuració de la il·lustració 3, per tal que els paquets de connexions que han arribat al sistema per la interfície eth1 i siguin reenviats per la interfície eth0 estiguin emmascarats amb la adreça IP d'aquesta.

• Per l'activació del servei de traducció d'adreces del NSS :

#set address_translation masq enabl

• Per configurar les interfícies d'entrada i la interfície de sortida, en aquest cas a la interfície d'entrada solament apareix interfície eth1:

#set address_translation masq input_interface eth1

#set address_translation masq output_interface eth0

• Per habilitar l'emmascarament IP al NSSOS :

#set address_translation masq enable

Quan executi un commit el sistema començarà a emmascarar les connexions.


Capitol 5 | Index | Tornar al començament | Capitol 7