Universidad de Guayaquil

ENRUTAMIENTO EN LINUX

Se puede definir el enrutamiento como la capacidad de transmitir datos entre

redes interconectadas. Al agente encargado de realizar este encaminamiento
de informacin entre redes se conoce como enrutador o router pudiendo ser
de tipo hardware si es un dispositivo fsico dedicado al encaminamiento y de
tipo software en caso de ser un PC que ejecuta una aplicacin que realice las
funciones propias del enrutamiento.

Con el software adecuado, nuestro servidor Linux podr actuar de enrutador en

nuestra red de manera que permitir que los equipos de la red local se
conecten a Internet como si lo hicieran a travs de un router.

La tecnologa empleada para permitir que los equipos de la red local se

conecten a Internet a travs de nuestro servidor Linux se denomina NAT -
Network Address Traslation (Traduccin de Direcciones de Red). El software
NAT que se ejecuta en nuestro servidor permite, que con una nica direccin IP
pblica en el servidor, tengan acceso a Internet el resto de PCs de la red.

En los PCs de la red local se deber configurar como puerta de enlace

(gateway) la direccin IP interna del servidor para que sea ste quien reciba y
procese los paquetes provenientes de la red interna y con destino hacia
Internet.

Cuando desde un PC de la red local se quiere acceder a Internet, el paquete de

datos se enviar al servidor linux ya que es la puerta de enlace. El software
NAT del servidor cambiar en el paquete de datos la direccin IP de origen del
PC de la red local por la direccin IP pblica del servidor y lanzar el paquete
de datos hacia Internet. En una tabla interna almacenar el puerto de salida del
paquete junto con la IP del PC de la red local con la finalidad de que cuando
llegue la respuesta desde Internet, realizar el proceso inverso y poder redirigirlo
hacia el PC que lanz la peticin.
Si nuestro servidor Linux, dispone adems de servidor DHCP, la configuracin
de las direcciones IP, la puerta de enlace y el servidor DNS de nuestros PCs,
podr ser establecida automticamente por el servidor DHCP.

Configuraciones establecidas automticamente por el servidor DHCP

Una alternativa podra ser instalar en el servidor un proxy como squid, de esa
forma las pginas accedidas por los clientes seran cacheadas en el servidor
con lo cual se acelerara la conexin a Internet, especialmente cuando son
muchos los clientes que acceden a los mismos sitios. Un proxy facilita tambin
el control de la conexin impidindola o restringindola a medida de nuestras
necesidades. El inconveniente de compartir una conexin a Internet con un
proxy es que trabaja a nivel de aplicacin y por tanto del protocolo de cada
aplicacin (HTTP, FTP, SMTP, etc...). Esto obliga a configurar las aplicaciones
(navegador, clientes de correo, clientes ftp, etc...) para que utilicen el proxy,
cosa que no es necesario hacer cuando se dispone de un router ya que el
router NAT trabaja a nivel de red TCP/IP y es totalmente trasparente a las
aplicaciones.

Otro servicio que se podra disponer en el servidor es un cortafuegos

como iptables que permite filtrar qu paquetes de datos pueden entrar y qu
paquetes de datos pueden salir, con la finalidad de controlar el acceso a
Internet y ganar en seguridad frente a ataques externos.

Ms adelante veremos una configuracin bsica de iptables que nos permitir

permitir o denegar las conexiones a diferentes redes y puertos, as como una
configuracin bsica de squid para poder compartir y controlar la conexin a
Internet mediante el proxy.

Situacin de partida

En nuestro Centro Educativo hemos venido detectando problemas de

saturacin de la lnea de conexin a Internet sin motivo justificado. Hemos
detectado que en algn ordenador de la sala de profesorado y de algn
departamento hay instalados programas de P2P (descarga masiva) y somos
conscientes de que estos programas saturan el canal de salida a Internet del
centro, adems sospechamos que el alumnado tambin utiliza este tipo de
programas.

El router ADSL est conectado a un switch y por lo tanto a travs de mltiples

utilidades es fcil conocer su direccin IP y configurar nuestro equipo como
puerta de enlace, con el consiguiente acceso libre a Internet y a la descarga
masiva. Nos encontramos con un esquema del tipo:
Esquema en el que los PCs tienen acceso directo al router

Este esquema no permite controlar el trfico de red puesto que los PCs tienen
acceso directo al router.

Situando el servidor entre la red y el router, todo el trfico hacia Internet pasa
por el servidor lo que nos permitir analizarlo, generar estadsticas, filtrar
accesos, instalar un proxy-cach, etc., de forma sencilla y centralizada.
En el grfico, los sistemas a la derecha de la nube de internet son sistemas
conectados a la red pblica. Bob se encuentra en una red LAN, y el Router que
acta como Default Gateway (o Puerta de enlace predeterminada de la LAN de
Bob), es el sistema en el que nos centraremos.

Este ltimo, deber proveer servicios de DHCP a la LAN de Bob y servicio de

puerta de enlace (router con enmascaramiento).

Configuracin de Gateway de LAN basado en GNU/Linux

En el grfico, los sistemas a la derecha de la nube de internet son sistemas
conectados a la red pblica. Bob se encuentra en una red LAN, y el Router que
acta como Default Gateway (o Puerta de enlace predeterminada de la LAN de
Bob), es el sistema en el que nos centraremos.

Este ltimo, deber proveer servicios de DHCP a la LAN de Bob y servicio de

puerta de enlace (router con enmascaramiento).

1) En primer instancia, se debern configurar las interfaces de red del router,

para que ste cuente con conexin en la LAN (192.168.1.1/24) y en la Internet
(WAN, 200.51.2.1/30); para ello, editar el fichero de configuracin de red:

1 # vim /etc/network/interfaces

2) Suponiendo que eth0 es la interfaz LAN y eth1 la interfaz WAN, especificar la

configuracin de la siguiente manera:
Notar que se ha indicado al principio que las interfaces de red deben levantar
automticamente con la interfaz de loopback, mediante la directiva auto

Luego para cada interfaz, LAN o eth0 y WAN o eth1, se ha indicado la

configuracin de red de manera esttica.
Para este caso suponemos que el proveedor de internet o ISP de Bob le ha
asignado la direccin IP pblica y fija 200.51.2.1/30 y su puerta de enlace es
200.51.2.2.

3) Configurar el nombre del Gateway editando los ficheros /etc/hostname y

/etc/hosts
Reemplazar el nombre que aparece actualmente con cuidado de poner el
mismo en ambos. Para este tutorial he seleccionado Gateway como nombre.

Ejecutar:

# vim /etc/hostname

Insertar el nuevo nombre:

Luego ejecutar en la terminal:

# vim /etc/hosts

Y especificar el nombre del router como se muestra a continuacin:

4) Debe activarse la funcionalidad de reenvo de paquetes en el Gateway que

estamos configurando, para que acte como router. Ejecutar en un terminal del
Gateway:

# vim /etc/sysctl.conf

5) Luego descomentar la lnea net.ipv4.ip_forward=1 y reiniciar (por

cuestiones de testing)
Para probar la configuracin, ejecutar en la terminal:

# cat /proc/sys/net/ipv4/ip_forward

Si la salida es 1 significa que est activada la funcin de reenvo de paquetes:

6) Una vez configurado el sistema como router, aadir funcionalidad de

enmascaramiento. Con iptables es posible indicar que el trfico saliente desde
la LAN hacia cualquier red (internet) sea enmascarado por este Gateway.

Ejecutar el siguiente comando:

# echo "iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0

-j MASQUERADE" >> /etc/init.d/reglas-fw.sh

Esto genera el fichero /etc/reglas-fw.sh. Ahora otorgar permisos de ejecucin:

# chmod +x /etc/init.d/reglas-fw.sh
Luego con update-rc.d indicar que se ejecute reglas-fw.sh en el inicio:

# update-rc.d reglas-fw.sh start 90 2 3 4 5 .

Finalmente reiniciar y probar si la regla se ha aplicado. Para ello, luego de

reiniciar ejecutar:

# iptables -t nat -L -n

Y la salida deber mostrar las reglas aplicadas, en las que debe aparecer la de
enmascaramiento:

7) Para que el router asigne configuraciones de red a los hosts de la LAN,

instalar un servidor DHCP con el siguiente comando:

# apt-get install isc-dhcp-server

8 ) Configurar el servicio DHCP para que slo utilice la interfaz de red LAN (no
queremos repartir IPs hacia Internet!). Para ello editar el fichero de
configuracin:
 # vim /etc/default/isc-dhcp-server

Especificar la interfaz de lan:

9) Editar el fichero de configuracin del servidor DHCP para determinar el pool

de direcciones IP, la puerta de enlace a asignar, etc. Ejecutar en un terminar:

# vim /etc/dhcp/dhcpd.conf

Ingresar la configuracin de la subred, los dns a asignar y la pueta de enlace.

Para el host de Bob hemos forzado que se asigne la direccin IP 192.168.1.2
siempre:

1 subnet 192.168.1.0 netmask 255.255.255.0 {

2 option routers 192.168.1.1;

3 option domain-name-servers 8.8.8.8;

4 option domain-name "lan";

5 authoritative;

6 }

7 host Bob {

8 hardware ethernet AA:BB:CC:22:33:44;

9 fixed-address 192.168.1.2;

10 }
Reiniciar el servicio:

# /etc/init.d/isc-dhcp-server restart

Comprobar en el syslog del sistema si algn cliente solicita asignacin de IP:

La asignacin de IP mediante DHCP le asigna a Bob la direccin que

especificamos con su direccin MAC.

10) Si todo est bien configurado, Bob podra hacer ping a Alice:

12) Finalmente, Bob accede a la pgina web de Alice: