CONFIGURACION+DEL+FIREWALL

 ** CONFIGURACIÓN DEL FIREWALL **


 * cOMO FUNCIONA EL NETFILTER
 * QUE ES EL NAT
 * SEGUIMIENTO Y RASTREO DE LA CONEXION Y EL NAT
 * PROTOCOLOS DEL NAT
 * INSTALACION DE NETFILTER
 * CONFIGURACION DEL NETFILTER
 * cOMANDOS IPTABLES
 * ADMINISTRACION DE CADENAS
 * DEFINICION DE REGLAS

**GRUPO A** //**¿QUE ES UN FIREWALL O CONTRAFUEGOS?**//  es un dispositivo que funciona entre dos o mas redes, permitiendo o denegando las transmisiones de una red a la otra como un policía, es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso un firewall funciona como un embudo por el que pasan los datos que circulan por una LAN, manteniendo en control a sus usuarios restringidos o malintencionados tales como hackers, crackers, vàndalos y espìas. todo esto brinda la portunidad de actuar a tiempo para poder terminar, cerrar o aislar el posible ataque, fuga o problema y de ser necesario de apagar o reiniciar toda la red. Como parte de la gestión de seguridad en la red, después de este tipo de eventos es recomendable realizar un informe y encontrar las causas del suceso para así poder hallar una solución y evitar que pueda suceder de nuevo ante la presencia del administrador. un firewall brinda una mayor seguridad en la red interna de la institucion, protegiendola contra amenazas informaticas y proporcionando control al administrador de la red para supervisar la actividad de los usuarios en èsta y asi evitar que ellos, por ejemplo realicen descargas ilegales hacia o desde el internet. Esta protección brinda seguridad a la institución para evitar problemas legales por infracción a los derechos de autor u otros.

= //__NAT__// =

=
NAT es la sigla de Network Address Translation, un traductor de Direcciónes de Red, que es utilizado como un mecanismo en routers IP para intercambiar paquetes entre dos redes que se asignan mutuamente direcciones incompatibles. Consiste en convertir en tiempo real las direcciones utilizadas en los paquetes transportados. También es necesario editar los paquetes para permitir la operación de protocolos que incluyen información de direcciones dentro de la conversación del protocolo. ======

=
Su uso más común es permitir utilizar direcciones privadas (definidas en el RFC 1918 ) y aún así proveer conectividad con el resto de Internet. Existen rangos de direcciones privadas que pueden usarse libremente y en la cantidad que se quiera dentro de una red privada. Si el número de direcciones privadas es muy grande puede usarse solo una parte de direcciones públicas para salir a Internet desde la red privada. De esta manera simultáneamente sólo pueden salir a Internet con una dirección IP tantos equipos como direcciones públicas se hayan contratado. Esto es necesario debido al progresivo agotamiento de las direcciones IPv4. Se espera que con el advenimiento de IPv6 no sea necesario continuar con esta práctica. ======

====**//Acontinuacion encontran un mapa conceptual que resume las principales caracteristicas de NAT. __PROCEDIMIENTO DE INTALACIÓN DEL NAT__ //**====

NAT se debe intalar como un protocolo de consola de enrutamiento, pudiendose agregar de dos modos con el asistente o manualmente: **__PROCESO CON EL ASISTENTE__**
En el asistente de configuracón se elegira la opción NAT, despues se debe elegir la interfaz que se conecta a internet, la cual puede ser una interfaz de narcado a petición, pero en este caso especifico se debe utilizar una interfaz de red directamente conectada a internet.


 * __PROCESO MANUALMENTE:__**

5. configuración de los clientes: = //__NETFILTER__// =
 * 1) Configurar correctamente la interfaz de red interna para que sea accesible para todos los equipos cliente, se debe hacer con una red privada y sin puerta de enlace.
 * 2) Si se va a utilizar una conección de marcado a petición para conectar a internet es necesario agregarla y despues agregar una ruta estatica para que se inicie la comunicación cuando haya peticiones a esa red.
 * 3) Agregar NAT y las interfaces publica y privada.
 * 4) Se debe confugurar la interfaz publica de la siguiente forma:
 * Para que traduazca los puertos TCP-UDP
 * Si el ISP otorga mas de una dirección, se pueden usar todas, si el numero de direcciones es igual alnumero de clientes, Windows asiganara una dirección IP publica a cada IP privada. y en el momento que haya mas, debera traducir direcciónes.
 * Por ultimo debemos realizar un mapeo por los puertos para hacer accesibles algunos servicios desde internet.
 * De manera Estatica, configurando como DNS y como puerta privada la IP privada del servidor NAT.
 * De manera Automatica, configurando el DHCP que esta incluido en el servidor NAT.
 * De manera automatica configurando el NAT para que use direcciones de un servidor DHCP de la red.

Netfilter es un framework disponible en el núcleo Linux que permite interceptar y manipular paquetes de red. Dicho framework permite realizar el manejo de paquetes en diferentes estados del procesamiento. Netfilter es también el nombre que recibe el proyecto que se encarga de ofrecer herramientas libres para cortafuegos basados en Linux.

El componente más popular construido sobre Netfilter es iptables, una herramientas de cortafuegos que permite no solamente filtrar paquetes, sino también realizar traducción de direcciones de red (NAT) para IPv4 o mantener registros de log. El proyecto ofrecía compatibilidad hacia atrás con ipchains hasta hace relativamente poco, aunque hoy día dicho soporte ya ha sido retirado al considerarse una herramienta obsoleta. El proyecto Netfilter no sólo ofrece componentes disponibles como módulos del núcleo sino que también ofrece herramientas de espacio de usuario y librerías.

iptables es el nombre de la herramienta de espacio de usuario mediante la cual el administrador puede definir políticas de filtrado del tráfico que circula por la red. El nombre iptables se utiliza frecuentemente de forma errónea para referirse a toda la infraestructura ofrecida por el proyecto Netfilter. Sin embargo, el proyecto ofrece otros subsistemas independientes de iptables tales como el connection tracking system o sistema de seguimiento de conexiones, o que, que permite encolar paquetes para que sean tratados desde espacio de usuario. iptables es un software disponible en prácticamente todas las distribuciones de Linux actuales.

Cuando la computadora ha sido reiniciada después de la instalación de EnoLogic NetFilter, un nuevo ícono aparecerá en el área de estado en la barra de tareas (Próximo al reloj). Este ícono muestra el estado del filtro y advierte sobre problemas potenciales.
 * CONFIGURACION Y SUPERVISION DE NETFILTER **

 El filtro está activo. El filtro no está activo. El filtro está activo, pero uno o más navegadores pueden no estar configurados para usarlo. Si un navegador no está configurado para usar el filtro, tendrá acceso sin filtro a Internet, aunque el filtro esté activado. En algunos casos, no tendrá acceso a Internet. El filtro no está activo y los navegadores pueden no estar configurados para usarlo. En algunos casos esto puede significar que los navegadores no tienen acceso a Internet. El estado es desconocido o el servicio de EnoLogic NetFilter no está funcionando. Esto puede ocurrir a menudo cuando la computadora está siendo iniciada. En circunstancias normales la cruz roja desaparecerá después de pocos segundos. 

Interfaz Interfaz de red -> PREROUTING -> ENRUTADO -> FORWARD --> POSTROUTING -> de red IN DNAT | FILTER ^ SNAT OUT  | |  | |  v OUTPUT  INPUT FILTER <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-ansi-language: EN-US;"> FILTER DNAT <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; msospacerun: yes; mso-ansi-language: EN-US; msofareastfontfamily: 'Times New Roman'; msofareastlanguage: ES; msoansilanguage: EN-US;"> <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">| ^ <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;"> | | <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;"> -> Proceso Local -- <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">Veamos las principales opciones de //iptables// para reglas FILTER: <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">Veamos algunas opciones de //iptables// que cambian para reglas NAT: <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">Es muy conveniente controlar en todo momento la configuración y actividad de nuestro firewall. Para ello disponemos de varias herramientas. <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">Podemos ver la configuración de la tabla FILTER con la opción //-L// (la configuración por defecto es //ACCEPT//): <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-ansi-language: EN-US;"># <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-ansi-language: EN-US; mso-bidi-font-size: 11.0pt;">iptables -L <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-ansi-language: EN-US;"> <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-ansi-language: EN-US;">Chain INPUT (policy ACCEPT) <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-ansi-language: EN-US;">target prot opt source destination <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-ansi-language: EN-US;">Chain FORWARD (policy ACCEPT) <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-ansi-language: EN-US;">target prot opt source destination <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-ansi-language: EN-US;">Chain OUTPUT (policy ACCEPT) <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">target prot opt source destination <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">Con la opción //-n// veremos direcciones IP y números de puerto en vez de nombres: <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;"># <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">iptables -nL <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;"> <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">Con la opción //-v// veremos todos los detalles: <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;"># <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">iptables -nvL <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;"> <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">Para ver la configuración de la tabla NAT usaremos la opción //-t nat//: <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;"># <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">iptables -t nat -L <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;"> <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">Para saber qué puertos tenemos abiertos y asegurarnos de que el firewall funciona correctamente, haremos un escaneado de puertos con //nmap//. Primero haremos un escaneo de puertos TCP de tipo SYN ejecutando (como //root//): <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;"># <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">nmap -sS <ip_del_servidor> -p 1-65535 <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;"> <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">y luego un escaneo de puertos UDP: <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;"># <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">nmap -sU <ip_del_servidor> <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;"> <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">Compararemos los resultados antes y después de activar el firewall: una vez activado el firewall sólo se deben ver los puertos que hemos especificado con //iptables//.
 * EL KERNEL MANEJADO POR LA RED**
 * 1) <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">IN: llega un paquete a una interfaz de red desde el exterior.
 * 2) <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">en PREROUTING se puede modificar el destino del paquete (reglas DNAT, //Destination NAT//).
 * 3) <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">en ENRUTADO el kernel examina el destino del paquete. Si está destinado a la propia máquina, lo manda a INPUT. Si está destinado a otra máquina (si ha llegado a nuestra máquina para ser enrutado), lo envía a FORWARD.
 * 4) <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">en INPUT se puede filtrar el paquete (reglas FILTER). Si pasa el filtro, el paquete entra en la máquina.
 * 5) <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">en FORWARD se puede filtrar el paquete (reglas FILTER). Si pasa el filtro, el paquete pasa a POSTROUTING.
 * 6) <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">en POSTROUTING se puede modificar el origen del paquete (reglas SNAT, //Source NAT//).
 * 7) <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">OUT: sale un paquete por una interfaz de red al exterior.
 * 8) <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">si un proceso de la propia máquina envía un paquete a la red, llega a OUTPUT, donde se puede filtrar (reglas FILTER) y modificar su destino (reglas DNAT, //Destination NAT//). Si pasa el filtro, el paquete pasa a POSTROUTING.
 * <span style="font-size: 13.5pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">REGLAS FILTER **
 * __[tabla]__
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">-t filter <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: tabla FILTER (es la opción por defecto).
 * __[cadena]__
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">-A INPUT|OUTPUT|FORWARD <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: añadir regla a una cadena.
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">-F <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: borra las reglas de todas las cadenas.
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">-X <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: borra todas las cadenas que no sean del sistema.
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">-Z <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: pone a cero todos los contadores.
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">-P INPUT|OUTPUT|FORWARD ACCEPT|DROP <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: política por defecto, regla que se aplica a los paquetes que no cumplen ninguna otra regla.
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">-L <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: lista las reglas. Con la opción <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">-n <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;"> (numérico) veremos direcciones IP y números de puerto en vez de nombres.
 * **<span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">__[condiciones]__ **<span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;"> __que debe cumplir el paquete para que se le aplique la regla.__
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-ansi-language: EN-US; mso-bidi-font-size: 11.0pt;">-s IP[/mask][-IP] <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-ansi-language: EN-US;">: IP de origen.
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">--sport port[-port] <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: puerto de origen.
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-ansi-language: EN-US; mso-bidi-font-size: 11.0pt;">-d IP[/mask][-IP] <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-ansi-language: EN-US;">: IP destino.
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">--dport port[-port] <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: puerto destino.
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">-p tcp|udp|icmp|all <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: protocolo.
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">-i interfaz <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: interfaz de entrada. <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-ansi-language: EN-US;">Aplicable a INPUT, FORWARD, PREROUTING y OUTPUT (DNAT).
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">-o interfaz <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: interfaz de salida. <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-ansi-language: EN-US;">Aplicable a OUTPUT (FILTER), FORWARD y POSTROUTING.
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">-m state --state NEW|ESTABLISHED|RELATED|INVALID <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: estado de la conexión (en todos los paquetes se mira la conexión a la que está asociado).
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">-m multiport --dports port,port[,...] <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: para especificar varios puertos de destino.
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">-m limit [--limit num/s|m|h|d] <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: permite restringir el número de coincidencias que una regla puede generar por unidad de tiempo. Se utiliza habitualmente con LOG para evitar ataques DoS por disco ocupado o por tiempo consumido en generar y guardar logs.
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">-m mac --mac-source mac <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: cada interfaz de red (NIC) conectada a una red basada en IP necesita una MAC para identificarse a nivel de la Capa de Enlace. La MAC es un número de 48 bits (24 identifican al fabricante y 24 son el número de serie), por ejemplo en hexadecimal 3A-F5-CD-98-33-B1, exclusivo para cada NIC: no existen (o no deben existir) dos NIC con la misma MAC.
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">-f <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: fragmento.
 * **<span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">__[qué_hacer]__ **<span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;"> __con el paquete (objetivo).__
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">-j ACCEPT <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: acepta el paquete.
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">-j DROP <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: ignora el paquete (lo descarta sin responder).
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">-j REJECT <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: rechaza el paquete (lo descarta respondiendo).
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">-j LOG [--log-level prioridad] [--log-prefix prejifo_log] <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: genera un log mediante //syslogd// con prioridad //warning// y origen //kernel//. Loguearemos sólo los paquetes que se salen de lo normal (intentos de conexión desde direcciones no autorizadas, paquetes ICMP no habituales, fragmentos, etc.).
 * <span style="font-size: 13.5pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">REGLAS NAT **
 * __**<span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">[tabla] **<span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;"> __
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">-t nat <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: tabla NAT.
 * **<span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">__[cadena]__ **<span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">-A PREROUTING|POSTROUTING|OUTPUT <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: añadir regla a una cadena.
 * **<span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">__[qué_hacer]__ **<span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;"> __con el paquete (objetivo).__
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">-j SNAT --to IP[-IP][:port][-port] <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: modificar el origen del paquete.
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">-j MASQUERADE <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: caso particular de SNAT. Pone como origen del paquete la IP de la interfaz de salida.
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">-j DNAT --to IP[-IP][:port][-port] <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: modificar el destino del paquete.
 * <span style="font-size: 10pt; font-family: 'Courier New'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES; mso-bidi-font-size: 11.0pt;">-j REDIRECT --to port[-port] <span style="font-size: 12pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">: caso particular de DNAT. Pone como destino del paquete la IP de la interfaz de entrada.
 * CONTROLAR EL FIREWALL **
 * <span style="font-size: 13.5pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">CONFIGURACION DE NETFILER **
 * <span style="font-size: 13.5pt; font-family: 'Times New Roman','serif'; mso-fareast-font-family: 'Times New Roman'; mso-fareast-language: ES;">COMPROBAR QUE FIREWALL FUNCIONA **


 * //WEBGRAFÍA://**

[]
 * **[]**
 * **[|[[http://74.125.47.132/search q=cache:_0qGUDQuvc0J:josecandido.galeon.com/enlaces/nat.html+cuales+son+los+protocolos+de+NAT&cd=2&hl=es&ct=clnk&gl=co&lr=lang_es|http://74.125.47.132/search]]]**** q=cache:_0qGUDQuvc0J:josecandido.galeon.com/enlaces/nat.html+cuales+son+los+protocolos+de+NAT&cd=2&hl=es&ct=clnk&gl=co&lr=lang_es **