SlideShare ist ein Scribd-Unternehmen logo

Firewall y nat

Biron Piña
Biron Piña

Firewall y nat

Bildung
1 von 28
Downloaden Sie, um offline zu lesen
septiembre de 2006 1 Configuración de firewall y NAT CC50P Sebastián Castro A. Primavera 2006
septiembre de 2006 2 Firewall Cómo funcionan Filtros de paquetes ACL Para que se usan Seguridad Control de uso de recursos (traffic shapping) Configuración típica
septiembre de 2006 3 Firewall Cómo funcionan Es una función que puede estar albergada en un switch L3, Router, Host o equipo especializado. Mediante el análisis de los paquetes IP que pasan a través de él, se determina si cada paquete debe pasar, devolverse o simplemente descartarse. En las versiones preliminares el análisis de los paquetes era uno a uno y no se generaban asociaciones entre paquetes: stateless. Actualmente se ofrecen diferentes niveles de asociación entre paquetes, esquema llamado stateful. Existen además esquemas más avanzados que entienden protocolos de capas superiores a la IP: full inspection.
septiembre de 2006 4 Firewall Cómo funcionan Los paquetes se analizan y se verifican contra un conjunto de reglas, conocidas como ACL: Access Control List. Las reglas más básicas permiten verificar por las direcciones de origen/destino, los puertos de origen/destino, protocolo, flags específicos de cada protocolo. En la actualidad éstos aparatos pueden reconocer protocolos de nivel mayor. A cada regla se asocia una acción, que pueden ser: Permitir (ALLOW, ACCEPT), Rechazar (REJECT), Descartar (DROP).
septiembre de 2006 5 Firewall Para que se usan Seguridad Restringir tráfico Indeseable Innecesario No permitido Control de uso de recursos Limitando la tasa de tráfico Limitando el tipo de tráfico
septiembre de 2006 6 Firewall Configuración Típica Tres interfaces de red: una para Internet, una para la DMZ y otra para la red interna. Internet DMZ Red Interna
septiembre de 2006 7 Firewall Configuración Típica Tres o más interfaces de red, para separar áreas que tienen políticas de seguridad diferentes. ¿Se puede implementar algo parecido usando otro método? Administración y Finanzas Producción Desarrollo
septiembre de 2006 8 NAT Qué es Cómo funciona Para que sirve Tipos: NAT y NAPT Usos típicos
septiembre de 2006 9 NAT Qué es Network Address Translation Consiste en cambiar la dirección de origen y/o destino de un datagrama IP, al pasar por un elemento de red (router, firewall, switch, host, etc). La motivación para el cambio viene de diversas fuentes: necesidad, diseño y/o seguridad.
septiembre de 2006 10 NAT Cómo funciona Existen tres tipos de NAT, dependiendo del mecanismo para decidir la dirección a usar para el cambio: Estático, una dirección tiene asociada otra dirección fija que siempre se usará al cambiar. Dinámica, una dirección no tiene asociación fija, por tanto será reemplazada por otra elegida dinámicamente. Masquerading, también conocido como NAPT, se asigna dinámicamente una dirección y puerto para realizar el cambio.
septiembre de 2006 11 NAT Cómo funciona NAT Estático Internet 10.0.0.1 171.69.58.1 Inside Outside
septiembre de 2006 12 NAT Cómo funciona NAT Dinámico Internet 10.0.0.1 171.69.58.20 Inside Outside 10.0.0.130 171.69.58.21
septiembre de 2006 13 NAT Cómo funciona NAPT o Masquerading Internet 10.0.0.1,4578 171.69.58.20,63221 I nside Outside 10.0.0.130,6699 171.69.58.20,63222
septiembre de 2006 14 NAT Para qué sirve Necesidad: Se tiene un número insuficiente de direcciones IP públicas, por lo que se deben asociar un varias direcciones privadas a unas pocas direcciones públicas. Diseño: Se quiere ocultar la topología local de una red, enmascarándola a través de NAT. Seguridad: Mediante el uso de NAT se puede tener un control implícito de que tráfico de “entrada” está permitido.
septiembre de 2006 15 NAT Cómo funciona Dependiendo de los campos que se cambien, NAT se divide en SNAT (cambia el origen) o DNAT (cambia el destino). La diferencia es muy sútil y depende del punto de vista. Según los ejemplos anteriores, se hace DNAT, pero cuando los paquetes de “respuesta” vienen de vuelta, se hace SNAT. En otros casos se produce el fenómeno inverso.
septiembre de 2006 16 Statefull Firewall Descripción Nueva generación de firewalls que permiten controlar aspectos que las primeras generaciones no podían Tasa de entrada/salida de datos (por flujo/conexión o global) Número de conexiones entrantes/salientes (por unidad de tiempo). Incluso algunos entienden capas superiores a la 3, pudiendo analizar el “contenido” a nivel de aplicación de un paquete de datos.
septiembre de 2006 17 Experiencia en laboratorio Vamos a experimentar en el laboratorio los diversos conceptos asociados a firewall, utilizando IPTables en Linux. Revisaremos Filtros de entrada Filtros de salida Control de uso de recursos NAT, DNAT, SNAT.
septiembre de 2006 18 IPTables Definición Según lo publicado en la página Web http://www.netfilter.org IPTables es una estructura genérica de tabla para la definición de reglas. Cada regla dentro de una tabla IP consiste de un número de clasificadores (matches) y una acción (objetivo) Características Filtro de paquetes tipo stateless para IPv4 e IPv6 Filtro de paquetes tipo stateful para IPv4 Todo tipo de NAT y NAPT Infraestructura flexible y extensible Etc.
septiembre de 2006 19 IPTables La definición de reglas para iptables está definida usando comandos. Estructura general de cada comando: Tabla Comando Cadena Regla
septiembre de 2006 20 IPTables Tablas: Filter INPUT, OUTPUT, FORWARD. NAT PREROUTING, OUTPUT, POSTROUTING. Mangle PREROUTING, OUTPUT (2.4.17). INPUT, FORWARD, POSTROUTING (2.4.18)
septiembre de 2006 21 IPTables Cómo se examinan las cadenas [Tabla Filter] Routing Decision Forward Input OutputLocal Process Incoming Outgoing
septiembre de 2006 22 IPTables Cómo se examinan las cadenas [Tabla NAT] Routing Decision Prerouting DNAT Local Process Incoming Outgoing Postrouting SNAT
septiembre de 2006 23 IPTables Comandos: -A, append -D, delete -I, insert -L, list -F, flush
septiembre de 2006 24 IPTables Reglas Algunas de las opciones para definir reglas son: !, negar una condición -p, protocol: verifica el campo “protocol” del datagrama. Puede ser udp, tcp, icmp o all. -s, source: Dirección origen del datagrama. -d, destination: Dirección de destino del datagrama. -i, in-interface: Nombre de la interface de entrada del datagrama. -o, out-interface: Nombre de la interface de salida del datagrama.
septiembre de 2006 25 IPTables Sintaxis La sintaxis general (muy simplificada para nuestro ejemplo es) Iptables –t tabla comando cadena definicion_regla –j target Tabla puede ser nat, filter o mangle; comando puede ser –A, -D, -L, -F, -I; cadena puede ser INPUT, OUTPUT, FORWARD; target puede ser ACCEPT o DROP.
septiembre de 2006 26 IPTables Ejemplos de ACL en un router # # Reglas que autoriza entrada de cualquier paquete que se origine # como repuestas a una comunicación interior # iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT # # Autorizo el ICMP a la red iptables -A FORWARD -d 200.27.115.0/24 -p icmp -j ACCEPT # Autorizo accesos a whois.nic.cl TCP (43) UDP (43) iptables -A FORWARD -d 200.1.123.2 -p tcp -m tcp --dport 43 -j ACCEPT # Autorizo accesos a www.nic.cl TCP (80,443,5555) iptables -A FORWARD -d 200.1.123.3 -p tcp -m tcp --dport 80 -j ACCEPT iptables -A FORWARD -d 200.1.123.3 -p tcp -m tcp --dport 443 -j ACCEPT iptables -A FORWARD -d 200.1.123.3 -p tcp -m tcp --dport 5555 -j ACCEPT # Rechazo algunos accesos iptables -A FORWARD -p tcp -m tcp --dport 1:21 -j DROP iptables -A FORWARD -p tcp -m tcp --dport 23:24 -j DROP iptables -A FORWARD -p tcp -m tcp --dport 26:42 -j DROP
septiembre de 2006 27 IPTables Ejemplos en un host final # Evitamos que los mails salgan iptables -A OUTPUT -o eth0 -p tcp --dport 25 -j DROP # Aceptamos los ICMP iptables -A INPUT -p icmp --icmp-type any -j ACCEPT # Aceptamos los accesos al sitio Web iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT # Rechazamos todo el resto iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
septiembre de 2006 28 IPTables Ejemplos de NAT # # Configuracion DNAT # iptables -t nat -A PREROUTING -d 200.4.121.6 -p tcp -m tcp --dport 6666 -j DNAT --to-destination 192.168.10.1 iptables -t nat -A PREROUTING -d 200.4.121.7 -p tcp -m tcp --dport 6667 -j DNAT --to-destination 192.168.10.11 # # Configuro SNAT para direcciones locales como 200.1.123.1 # iptables -t nat -A POSTROUTING -s 172.30.10.0/255.255.255.0 -d 200.27.2.2/255.255.255.255 -o eth1 -j SNAT --to-source 192.80.24.4 # eth0 iptables -t nat -A POSTROUTING -s 172.30.10.0/255.255.255.0 -d ! 172.30.12.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.80.23.3

Empfohlen

NAT
NATNAT
NATMiguel Castillo
 
Protocolo nat
Protocolo natProtocolo nat
Protocolo natDaniel Gvtierrex
 
NAT|PAT
NAT|PATNAT|PAT
NAT|PATMao Mos!
 
Cap 07 dhcp y nat
Cap 07 dhcp y natCap 07 dhcp y nat
Cap 07 dhcp y natcequiroz2011
 
Nat (network address translation) qué es y cómo funciona
Nat (network address translation) qué es y cómo funcionaNat (network address translation) qué es y cómo funciona
Nat (network address translation) qué es y cómo funcionaqueches
 
Natpat
NatpatNatpat
NatpatDenis Ramírez
 
Conceptos nat
Conceptos natConceptos nat
Conceptos nat1 2d
 
Traducción de direcciones de red nat
Traducción de direcciones de red natTraducción de direcciones de red nat
Traducción de direcciones de red natDanilo Puntonet
 

Empfohlen

NAT
NATNAT
NATMiguel Castillo
 
Protocolo nat
Protocolo natProtocolo nat
Protocolo natDaniel Gvtierrex
 
NAT|PAT
NAT|PATNAT|PAT
NAT|PATMao Mos!
 
Cap 07 dhcp y nat
Cap 07 dhcp y natCap 07 dhcp y nat
Cap 07 dhcp y natcequiroz2011
 
Nat (network address translation) qué es y cómo funciona
Nat (network address translation) qué es y cómo funcionaNat (network address translation) qué es y cómo funciona
Nat (network address translation) qué es y cómo funcionaqueches
 
Natpat
NatpatNatpat
NatpatDenis Ramírez
 
Conceptos nat
Conceptos natConceptos nat
Conceptos nat1 2d
 
Traducción de direcciones de red nat
Traducción de direcciones de red natTraducción de direcciones de red nat
Traducción de direcciones de red natDanilo Puntonet
 
Dirección IP
Dirección IPDirección IP
Dirección IPfabirucco
 
Unidad III: Seguridad de las Redes
Unidad III: Seguridad de las RedesUnidad III: Seguridad de las Redes
Unidad III: Seguridad de las RedesOswaldoPolanco3
 
Cap 07 dhcp y nat
Cap 07 dhcp y natCap 07 dhcp y nat
Cap 07 dhcp y natcequiroz2011
 
Como funciona NAT
Como funciona NATComo funciona NAT
Como funciona NATDiego Merino
 
Prototipo de informe laboratorio nat
Prototipo de informe laboratorio natPrototipo de informe laboratorio nat
Prototipo de informe laboratorio natNacho SP
 
Acpj rdg10 17-2
Acpj rdg10 17-2Acpj rdg10 17-2
Acpj rdg10 17-2Raul Ramires
 
Nat
NatNat
Nat1 2d
 
Guia de instalación de dhcp en centos 6.4
Guia de instalación de dhcp en centos 6.4Guia de instalación de dhcp en centos 6.4
Guia de instalación de dhcp en centos 6.4Michelle Gutierrez
 
Redes
RedesRedes
RedesEstefanía Padilla Cepeda
 
Nat
Nat Nat
Nat laura1352
 
Linux
LinuxLinux
Linuxlna_kdns
 
I pv6
I pv6I pv6
I pv6Paula Naranjo
 
Redes: Protocolo Arp
Redes: Protocolo ArpRedes: Protocolo Arp
Redes: Protocolo ArpJorge S Cruz Lambert
 
Utilerias
UtileriasUtilerias
UtileriasJuan Carlos Sanchez Solis
 
Implementación de NAT/PAT en routers Cisco
Implementación de NAT/PAT en routers CiscoImplementación de NAT/PAT en routers Cisco
Implementación de NAT/PAT en routers CiscoPaulo Colomés
 
Rfc2460 es
Rfc2460 esRfc2460 es
Rfc2460 esAlejandro Perez
 
Actividad Topologías VoIP
Actividad Topologías VoIPActividad Topologías VoIP
Actividad Topologías VoIPcyberleon95
 
Firewall Disertacion
Firewall DisertacionFirewall Disertacion
Firewall Disertacionsquall01
 
20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral3calabera
 
Firewall y nat
Firewall y natFirewall y nat
Firewall y natkristianfilipp
 
Firewall
FirewallFirewall
FirewallDani Sasmoko
 
Pengertian Firewall, NAT, dan Proxy Server
Pengertian Firewall, NAT, dan Proxy ServerPengertian Firewall, NAT, dan Proxy Server
Pengertian Firewall, NAT, dan Proxy Serverfajaarfds
 

Weitere ähnliche Inhalte

Was ist angesagt?

Dirección IP
Dirección IPDirección IP
Dirección IPfabirucco
 
Unidad III: Seguridad de las Redes
Unidad III: Seguridad de las RedesUnidad III: Seguridad de las Redes
Unidad III: Seguridad de las RedesOswaldoPolanco3
 
Prototipo de informe laboratorio nat
Prototipo de informe laboratorio natPrototipo de informe laboratorio nat
Prototipo de informe laboratorio natNacho SP
 
Nat
NatNat
Nat1 2d
 
Guia de instalación de dhcp en centos 6.4
Guia de instalación de dhcp en centos 6.4Guia de instalación de dhcp en centos 6.4
Guia de instalación de dhcp en centos 6.4Michelle Gutierrez
 
Implementación de NAT/PAT en routers Cisco
Implementación de NAT/PAT en routers CiscoImplementación de NAT/PAT en routers Cisco
Implementación de NAT/PAT en routers CiscoPaulo Colomés
 
Actividad Topologías VoIP
Actividad Topologías VoIPActividad Topologías VoIP
Actividad Topologías VoIPcyberleon95
 

Was ist angesagt? (17)

Dirección IP
Dirección IPDirección IP
Dirección IP
 
Unidad III: Seguridad de las Redes
Unidad III: Seguridad de las RedesUnidad III: Seguridad de las Redes
Unidad III: Seguridad de las Redes
 
Cap 07 dhcp y nat
Cap 07 dhcp y natCap 07 dhcp y nat
Cap 07 dhcp y nat
 
Como funciona NAT
Como funciona NATComo funciona NAT
Como funciona NAT
 
Prototipo de informe laboratorio nat
Prototipo de informe laboratorio natPrototipo de informe laboratorio nat
Prototipo de informe laboratorio nat
 
Acpj rdg10 17-2
Acpj rdg10 17-2Acpj rdg10 17-2
Acpj rdg10 17-2
 
Nat
NatNat
Nat
 
Guia de instalación de dhcp en centos 6.4
Guia de instalación de dhcp en centos 6.4Guia de instalación de dhcp en centos 6.4
Guia de instalación de dhcp en centos 6.4
 
Redes
RedesRedes
Redes
 
Nat
Nat Nat
Nat
 
Linux
LinuxLinux
Linux
 
I pv6
I pv6I pv6
I pv6
 
Redes: Protocolo Arp
Redes: Protocolo ArpRedes: Protocolo Arp
Redes: Protocolo Arp
 
Utilerias
UtileriasUtilerias
Utilerias
 
Implementación de NAT/PAT en routers Cisco
Implementación de NAT/PAT en routers CiscoImplementación de NAT/PAT en routers Cisco
Implementación de NAT/PAT en routers Cisco
 
Rfc2460 es
Rfc2460 esRfc2460 es
Rfc2460 es
 
Actividad Topologías VoIP
Actividad Topologías VoIPActividad Topologías VoIP
Actividad Topologías VoIP
 

Andere mochten auch

Firewall Disertacion
Firewall DisertacionFirewall Disertacion
Firewall Disertacionsquall01
 
20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral3calabera
 
Pengertian Firewall, NAT, dan Proxy Server
Pengertian Firewall, NAT, dan Proxy ServerPengertian Firewall, NAT, dan Proxy Server
Pengertian Firewall, NAT, dan Proxy Serverfajaarfds
 
Internetworking With Pix Firewall
Internetworking With Pix FirewallInternetworking With Pix Firewall
Internetworking With Pix FirewallSouvik Santra
 
Open vSwitch - Stateful Connection Tracking & Stateful NAT
Open vSwitch - Stateful Connection Tracking & Stateful NATOpen vSwitch - Stateful Connection Tracking & Stateful NAT
Open vSwitch - Stateful Connection Tracking & Stateful NATThomas Graf
 
Seminario Administradores Febrero 2007
Seminario Administradores Febrero 2007Seminario Administradores Febrero 2007
Seminario Administradores Febrero 2007Antonio Durán
 
Securizando sistemas a nivel de usuario y administrador
Securizando sistemas a nivel de usuario y administradorSecurizando sistemas a nivel de usuario y administrador
Securizando sistemas a nivel de usuario y administradorastralia
 
Tipos de Malware
Tipos de MalwareTipos de Malware
Tipos de Malwareedelahozuah
 
routerosbasicsv0-3espaol
routerosbasicsv0-3espaol routerosbasicsv0-3espaol
routerosbasicsv0-3espaolpattala01
 
Iptables
IptablesIptables
Iptablescercer
 
Linux ud12 - configuracion de iptables en linux
Linux ud12 - configuracion de iptables en linuxLinux ud12 - configuracion de iptables en linux
Linux ud12 - configuracion de iptables en linuxJavier Muñoz
 

Andere mochten auch (20)

Firewall Disertacion
Firewall DisertacionFirewall Disertacion
Firewall Disertacion
 
20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral
 
Firewall y nat
Firewall y natFirewall y nat
Firewall y nat
 
Firewall
FirewallFirewall
Firewall
 
Pengertian Firewall, NAT, dan Proxy Server
Pengertian Firewall, NAT, dan Proxy ServerPengertian Firewall, NAT, dan Proxy Server
Pengertian Firewall, NAT, dan Proxy Server
 
Nat pat
Nat patNat pat
Nat pat
 
Internetworking With Pix Firewall
Internetworking With Pix FirewallInternetworking With Pix Firewall
Internetworking With Pix Firewall
 
NAT Traversal
NAT TraversalNAT Traversal
NAT Traversal
 
NAT in ASA Firewall
NAT in ASA Firewall NAT in ASA Firewall
NAT in ASA Firewall
 
Open vSwitch - Stateful Connection Tracking & Stateful NAT
Open vSwitch - Stateful Connection Tracking & Stateful NATOpen vSwitch - Stateful Connection Tracking & Stateful NAT
Open vSwitch - Stateful Connection Tracking & Stateful NAT
 
Seminario Administradores Febrero 2007
Seminario Administradores Febrero 2007Seminario Administradores Febrero 2007
Seminario Administradores Febrero 2007
 
Firewalls iptables
Firewalls iptablesFirewalls iptables
Firewalls iptables
 
Securizando sistemas a nivel de usuario y administrador
Securizando sistemas a nivel de usuario y administradorSecurizando sistemas a nivel de usuario y administrador
Securizando sistemas a nivel de usuario y administrador
 
Tipos de Malware
Tipos de MalwareTipos de Malware
Tipos de Malware
 
routerosbasicsv0-3espaol
routerosbasicsv0-3espaol routerosbasicsv0-3espaol
routerosbasicsv0-3espaol
 
firewall
firewallfirewall
firewall
 
Iptables
IptablesIptables
Iptables
 
Network address translation
Network address translationNetwork address translation
Network address translation
 
Linux ud12 - configuracion de iptables en linux
Linux ud12 - configuracion de iptables en linuxLinux ud12 - configuracion de iptables en linux
Linux ud12 - configuracion de iptables en linux
 
Firewall
FirewallFirewall
Firewall
 

Ähnlich wie Firewall y nat

Firewalls
FirewallsFirewalls
FirewallsTensor
 
Firewalls
FirewallsFirewalls
FirewallsTensor
 
Firewalls
FirewallsFirewalls
FirewallsTensor
 
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
Protección perimetral. Fundamentos de firewalls y redes privadas virtualesProtección perimetral. Fundamentos de firewalls y redes privadas virtuales
Protección perimetral. Fundamentos de firewalls y redes privadas virtualesseguridadelinux
 
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales Francisco Ribadas
 
Presentacion de seguridad de la redes
Presentacion de seguridad de la redesPresentacion de seguridad de la redes
Presentacion de seguridad de la redeselvisprieto2
 
Servidir Proxy
Servidir ProxyServidir Proxy
Servidir Proxykaliz
 
IPTABLES y SQUID‏
IPTABLES y SQUID‏IPTABLES y SQUID‏
IPTABLES y SQUID‏ingpuma
 
6 WebConferencia Curso 201494.pptx
6 WebConferencia Curso 201494.pptx6 WebConferencia Curso 201494.pptx
6 WebConferencia Curso 201494.pptxJhonAlexanderRiascos
 
Herramientas Administrativas de Red
Herramientas Administrativas de RedHerramientas Administrativas de Red
Herramientas Administrativas de Redcyberleon95
 

Ähnlich wie Firewall y nat (20)

06 airc firewalls
06 airc firewalls06 airc firewalls
06 airc firewalls
 
firewall
firewallfirewall
firewall
 
7.herramientas de redes
7.herramientas de redes7.herramientas de redes
7.herramientas de redes
 
SEGURIDAD DE LAS REDES
SEGURIDAD DE LAS REDES SEGURIDAD DE LAS REDES
SEGURIDAD DE LAS REDES
 
Firewalls
FirewallsFirewalls
Firewalls
 
Firewalls
FirewallsFirewalls
Firewalls
 
Firewalls
FirewallsFirewalls
Firewalls
 
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
Protección perimetral. Fundamentos de firewalls y redes privadas virtualesProtección perimetral. Fundamentos de firewalls y redes privadas virtuales
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
 
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
 
Practica_1_STD.pptx
Practica_1_STD.pptxPractica_1_STD.pptx
Practica_1_STD.pptx
 
Presentacion de seguridad de la redes
Presentacion de seguridad de la redesPresentacion de seguridad de la redes
Presentacion de seguridad de la redes
 
Linux Redes
Linux RedesLinux Redes
Linux Redes
 
Servidir Proxy
Servidir ProxyServidir Proxy
Servidir Proxy
 
IPTABLES y SQUID‏
IPTABLES y SQUID‏IPTABLES y SQUID‏
IPTABLES y SQUID‏
 
firewall.pptx
firewall.pptxfirewall.pptx
firewall.pptx
 
netfilter iptables
netfilter iptablesnetfilter iptables
netfilter iptables
 
6 WebConferencia Curso 201494.pptx
6 WebConferencia Curso 201494.pptx6 WebConferencia Curso 201494.pptx
6 WebConferencia Curso 201494.pptx
 
Firewall
FirewallFirewall
Firewall
 
Herramientas Administrativas de Red
Herramientas Administrativas de RedHerramientas Administrativas de Red
Herramientas Administrativas de Red
 
Clase 09
Clase 09Clase 09
Clase 09
 

Mehr von Biron Piña

Banco de preguntas_especialista_tics
Banco de preguntas_especialista_ticsBanco de preguntas_especialista_tics
Banco de preguntas_especialista_ticsBiron Piña
 
Manual de-uso-de-nmap
Manual de-uso-de-nmapManual de-uso-de-nmap
Manual de-uso-de-nmapBiron Piña
 
Cuentos para reflexionar
Cuentos para reflexionarCuentos para reflexionar
Cuentos para reflexionarBiron Piña
 
Como alcanzar la sabiduria
Como alcanzar la sabiduriaComo alcanzar la sabiduria
Como alcanzar la sabiduriaBiron Piña
 
Examen mtca lima2011
Examen mtca lima2011Examen mtca lima2011
Examen mtca lima2011Biron Piña
 
Wc780x user guide_es
Wc780x user guide_esWc780x user guide_es
Wc780x user guide_esBiron Piña
 
Fedora 14-fedora live-images-es-es
Fedora 14-fedora live-images-es-esFedora 14-fedora live-images-es-es
Fedora 14-fedora live-images-es-esBiron Piña
 
Criptografía básica principiantes
Criptografía básica principiantesCriptografía básica principiantes
Criptografía básica principiantesBiron Piña
 
Ucm vpn windows 7
Ucm vpn windows 7Ucm vpn windows 7
Ucm vpn windows 7Biron Piña
 
Cableado estructurado
Cableado estructuradoCableado estructurado
Cableado estructuradoBiron Piña
 
Ucm vpn windows 7
Ucm vpn windows 7Ucm vpn windows 7
Ucm vpn windows 7Biron Piña
 

Mehr von Biron Piña (15)

Banco de preguntas_especialista_tics
Banco de preguntas_especialista_ticsBanco de preguntas_especialista_tics
Banco de preguntas_especialista_tics
 
Manual de-uso-de-nmap
Manual de-uso-de-nmapManual de-uso-de-nmap
Manual de-uso-de-nmap
 
Cuentos para reflexionar
Cuentos para reflexionarCuentos para reflexionar
Cuentos para reflexionar
 
El infierno
El infiernoEl infierno
El infierno
 
Como alcanzar la sabiduria
Como alcanzar la sabiduriaComo alcanzar la sabiduria
Como alcanzar la sabiduria
 
Examen mtca lima2011
Examen mtca lima2011Examen mtca lima2011
Examen mtca lima2011
 
Wc780x user guide_es
Wc780x user guide_esWc780x user guide_es
Wc780x user guide_es
 
Iptables
IptablesIptables
Iptables
 
Fedora 14-fedora live-images-es-es
Fedora 14-fedora live-images-es-esFedora 14-fedora live-images-es-es
Fedora 14-fedora live-images-es-es
 
Criptografía básica principiantes
Criptografía básica principiantesCriptografía básica principiantes
Criptografía básica principiantes
 
Debian server
Debian serverDebian server
Debian server
 
Ucm vpn windows 7
Ucm vpn windows 7Ucm vpn windows 7
Ucm vpn windows 7
 
vpn con win7
vpn con win7vpn con win7
vpn con win7
 
Cableado estructurado
Cableado estructuradoCableado estructurado
Cableado estructurado
 
Ucm vpn windows 7
Ucm vpn windows 7Ucm vpn windows 7
Ucm vpn windows 7
 

Kürzlich hochgeladen

TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOTUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOweislaco
 
periodico mural y sus partes y caracteristicas
periodico mural y sus partes y caracteristicasperiodico mural y sus partes y caracteristicas
periodico mural y sus partes y caracteristicas123yudy
 
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUFICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUgustavorojas179704
 
DETALLES EN EL DISEÑO DE INTERIOR
DETALLES EN EL DISEÑO DE INTERIORDETALLES EN EL DISEÑO DE INTERIOR
DETALLES EN EL DISEÑO DE INTERIORGonella
 
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxLINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxdanalikcruz2000
 
libro para colorear de Peppa pig, ideal para educación inicial
libro para colorear de Peppa pig, ideal para educación iniciallibro para colorear de Peppa pig, ideal para educación inicial
libro para colorear de Peppa pig, ideal para educación inicialLorenaSanchez350426
 
La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxJunkotantik
 
PROGRAMACION ANUAL DE MATEMATICA 2024.docx
PROGRAMACION ANUAL DE MATEMATICA 2024.docxPROGRAMACION ANUAL DE MATEMATICA 2024.docx
PROGRAMACION ANUAL DE MATEMATICA 2024.docxEribertoPerezRamirez
 
Mapa Mental de estrategias de articulación de las areas curriculares.pdf
Mapa Mental de estrategias de articulación de las areas curriculares.pdfMapa Mental de estrategias de articulación de las areas curriculares.pdf
Mapa Mental de estrategias de articulación de las areas curriculares.pdfvictorbeltuce
 
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdfOswaldoGonzalezCruz
 
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMALVOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMALEDUCCUniversidadCatl
 
CIENCIAS NATURALES 4 TO ambientes .docx
CIENCIAS NATURALES 4 TO ambientes .docxCIENCIAS NATURALES 4 TO ambientes .docx
CIENCIAS NATURALES 4 TO ambientes .docxAgustinaNuez21
 
Uses of simple past and time expressions
Uses of simple past and time expressionsUses of simple past and time expressions
Uses of simple past and time expressionsConsueloSantana3
 
Contextualización y aproximación al objeto de estudio de investigación cualit...
Contextualización y aproximación al objeto de estudio de investigación cualit...Contextualización y aproximación al objeto de estudio de investigación cualit...
Contextualización y aproximación al objeto de estudio de investigación cualit...Angélica Soledad Vega Ramírez
 
cuadernillo de lectoescritura para niños de básica
cuadernillo de lectoescritura para niños de básicacuadernillo de lectoescritura para niños de básica
cuadernillo de lectoescritura para niños de básicaGianninaValeskaContr
 
Instrucciones para la aplicacion de la PAA-2024b - (Mayo 2024)
Instrucciones para la aplicacion de la PAA-2024b - (Mayo 2024)Instrucciones para la aplicacion de la PAA-2024b - (Mayo 2024)
Instrucciones para la aplicacion de la PAA-2024b - (Mayo 2024)veganet
 
Estrategia de Enseñanza y Aprendizaje.pdf
Estrategia de Enseñanza y Aprendizaje.pdfEstrategia de Enseñanza y Aprendizaje.pdf
Estrategia de Enseñanza y Aprendizaje.pdfromanmillans
 
Monitoreo a los coordinadores de las IIEE JEC_28.02.2024.vf.pptx
Monitoreo a los coordinadores de las IIEE JEC_28.02.2024.vf.pptxMonitoreo a los coordinadores de las IIEE JEC_28.02.2024.vf.pptx
Monitoreo a los coordinadores de las IIEE JEC_28.02.2024.vf.pptxJUANCARLOSAPARCANARE
 

Kürzlich hochgeladen (20)

TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOTUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
 
periodico mural y sus partes y caracteristicas
periodico mural y sus partes y caracteristicasperiodico mural y sus partes y caracteristicas
periodico mural y sus partes y caracteristicas
 
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUFICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
 
DETALLES EN EL DISEÑO DE INTERIOR
DETALLES EN EL DISEÑO DE INTERIORDETALLES EN EL DISEÑO DE INTERIOR
DETALLES EN EL DISEÑO DE INTERIOR
 
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxLINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
 
libro para colorear de Peppa pig, ideal para educación inicial
libro para colorear de Peppa pig, ideal para educación iniciallibro para colorear de Peppa pig, ideal para educación inicial
libro para colorear de Peppa pig, ideal para educación inicial
 
Aedes aegypti + Intro to Coquies EE.pptx
Aedes aegypti + Intro to Coquies EE.pptxAedes aegypti + Intro to Coquies EE.pptx
Aedes aegypti + Intro to Coquies EE.pptx
 
La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptx
 
PROGRAMACION ANUAL DE MATEMATICA 2024.docx
PROGRAMACION ANUAL DE MATEMATICA 2024.docxPROGRAMACION ANUAL DE MATEMATICA 2024.docx
PROGRAMACION ANUAL DE MATEMATICA 2024.docx
 
DIA INTERNACIONAL DAS FLORESTAS .
DIA INTERNACIONAL DAS FLORESTAS .DIA INTERNACIONAL DAS FLORESTAS .
DIA INTERNACIONAL DAS FLORESTAS .
 
Mapa Mental de estrategias de articulación de las areas curriculares.pdf
Mapa Mental de estrategias de articulación de las areas curriculares.pdfMapa Mental de estrategias de articulación de las areas curriculares.pdf
Mapa Mental de estrategias de articulación de las areas curriculares.pdf
 
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
 
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMALVOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
 
CIENCIAS NATURALES 4 TO ambientes .docx
CIENCIAS NATURALES 4 TO ambientes .docxCIENCIAS NATURALES 4 TO ambientes .docx
CIENCIAS NATURALES 4 TO ambientes .docx
 
Uses of simple past and time expressions
Uses of simple past and time expressionsUses of simple past and time expressions
Uses of simple past and time expressions
 
Contextualización y aproximación al objeto de estudio de investigación cualit...
Contextualización y aproximación al objeto de estudio de investigación cualit...Contextualización y aproximación al objeto de estudio de investigación cualit...
Contextualización y aproximación al objeto de estudio de investigación cualit...
 
cuadernillo de lectoescritura para niños de básica
cuadernillo de lectoescritura para niños de básicacuadernillo de lectoescritura para niños de básica
cuadernillo de lectoescritura para niños de básica
 
Instrucciones para la aplicacion de la PAA-2024b - (Mayo 2024)
Instrucciones para la aplicacion de la PAA-2024b - (Mayo 2024)Instrucciones para la aplicacion de la PAA-2024b - (Mayo 2024)
Instrucciones para la aplicacion de la PAA-2024b - (Mayo 2024)
 
Estrategia de Enseñanza y Aprendizaje.pdf
Estrategia de Enseñanza y Aprendizaje.pdfEstrategia de Enseñanza y Aprendizaje.pdf
Estrategia de Enseñanza y Aprendizaje.pdf
 
Monitoreo a los coordinadores de las IIEE JEC_28.02.2024.vf.pptx
Monitoreo a los coordinadores de las IIEE JEC_28.02.2024.vf.pptxMonitoreo a los coordinadores de las IIEE JEC_28.02.2024.vf.pptx
Monitoreo a los coordinadores de las IIEE JEC_28.02.2024.vf.pptx
 

Firewall y nat

  • 1. septiembre de 2006 1 Configuración de firewall y NAT CC50P Sebastián Castro A. Primavera 2006
  • 2. septiembre de 2006 2 Firewall Cómo funcionan Filtros de paquetes ACL Para que se usan Seguridad Control de uso de recursos (traffic shapping) Configuración típica
  • 3. septiembre de 2006 3 Firewall Cómo funcionan Es una función que puede estar albergada en un switch L3, Router, Host o equipo especializado. Mediante el análisis de los paquetes IP que pasan a través de él, se determina si cada paquete debe pasar, devolverse o simplemente descartarse. En las versiones preliminares el análisis de los paquetes era uno a uno y no se generaban asociaciones entre paquetes: stateless. Actualmente se ofrecen diferentes niveles de asociación entre paquetes, esquema llamado stateful. Existen además esquemas más avanzados que entienden protocolos de capas superiores a la IP: full inspection.
  • 4. septiembre de 2006 4 Firewall Cómo funcionan Los paquetes se analizan y se verifican contra un conjunto de reglas, conocidas como ACL: Access Control List. Las reglas más básicas permiten verificar por las direcciones de origen/destino, los puertos de origen/destino, protocolo, flags específicos de cada protocolo. En la actualidad éstos aparatos pueden reconocer protocolos de nivel mayor. A cada regla se asocia una acción, que pueden ser: Permitir (ALLOW, ACCEPT), Rechazar (REJECT), Descartar (DROP).
  • 5. septiembre de 2006 5 Firewall Para que se usan Seguridad Restringir tráfico Indeseable Innecesario No permitido Control de uso de recursos Limitando la tasa de tráfico Limitando el tipo de tráfico
  • 6. septiembre de 2006 6 Firewall Configuración Típica Tres interfaces de red: una para Internet, una para la DMZ y otra para la red interna. Internet DMZ Red Interna
  • 7. septiembre de 2006 7 Firewall Configuración Típica Tres o más interfaces de red, para separar áreas que tienen políticas de seguridad diferentes. ¿Se puede implementar algo parecido usando otro método? Administración y Finanzas Producción Desarrollo
  • 8. septiembre de 2006 8 NAT Qué es Cómo funciona Para que sirve Tipos: NAT y NAPT Usos típicos
  • 9. septiembre de 2006 9 NAT Qué es Network Address Translation Consiste en cambiar la dirección de origen y/o destino de un datagrama IP, al pasar por un elemento de red (router, firewall, switch, host, etc). La motivación para el cambio viene de diversas fuentes: necesidad, diseño y/o seguridad.
  • 10. septiembre de 2006 10 NAT Cómo funciona Existen tres tipos de NAT, dependiendo del mecanismo para decidir la dirección a usar para el cambio: Estático, una dirección tiene asociada otra dirección fija que siempre se usará al cambiar. Dinámica, una dirección no tiene asociación fija, por tanto será reemplazada por otra elegida dinámicamente. Masquerading, también conocido como NAPT, se asigna dinámicamente una dirección y puerto para realizar el cambio.
  • 11. septiembre de 2006 11 NAT Cómo funciona NAT Estático Internet 10.0.0.1 171.69.58.1 Inside Outside
  • 12. septiembre de 2006 12 NAT Cómo funciona NAT Dinámico Internet 10.0.0.1 171.69.58.20 Inside Outside 10.0.0.130 171.69.58.21
  • 13. septiembre de 2006 13 NAT Cómo funciona NAPT o Masquerading Internet 10.0.0.1,4578 171.69.58.20,63221 I nside Outside 10.0.0.130,6699 171.69.58.20,63222
  • 14. septiembre de 2006 14 NAT Para qué sirve Necesidad: Se tiene un número insuficiente de direcciones IP públicas, por lo que se deben asociar un varias direcciones privadas a unas pocas direcciones públicas. Diseño: Se quiere ocultar la topología local de una red, enmascarándola a través de NAT. Seguridad: Mediante el uso de NAT se puede tener un control implícito de que tráfico de “entrada” está permitido.
  • 15. septiembre de 2006 15 NAT Cómo funciona Dependiendo de los campos que se cambien, NAT se divide en SNAT (cambia el origen) o DNAT (cambia el destino). La diferencia es muy sútil y depende del punto de vista. Según los ejemplos anteriores, se hace DNAT, pero cuando los paquetes de “respuesta” vienen de vuelta, se hace SNAT. En otros casos se produce el fenómeno inverso.
  • 16. septiembre de 2006 16 Statefull Firewall Descripción Nueva generación de firewalls que permiten controlar aspectos que las primeras generaciones no podían Tasa de entrada/salida de datos (por flujo/conexión o global) Número de conexiones entrantes/salientes (por unidad de tiempo). Incluso algunos entienden capas superiores a la 3, pudiendo analizar el “contenido” a nivel de aplicación de un paquete de datos.
  • 17. septiembre de 2006 17 Experiencia en laboratorio Vamos a experimentar en el laboratorio los diversos conceptos asociados a firewall, utilizando IPTables en Linux. Revisaremos Filtros de entrada Filtros de salida Control de uso de recursos NAT, DNAT, SNAT.
  • 18. septiembre de 2006 18 IPTables Definición Según lo publicado en la página Web http://www.netfilter.org IPTables es una estructura genérica de tabla para la definición de reglas. Cada regla dentro de una tabla IP consiste de un número de clasificadores (matches) y una acción (objetivo) Características Filtro de paquetes tipo stateless para IPv4 e IPv6 Filtro de paquetes tipo stateful para IPv4 Todo tipo de NAT y NAPT Infraestructura flexible y extensible Etc.
  • 19. septiembre de 2006 19 IPTables La definición de reglas para iptables está definida usando comandos. Estructura general de cada comando: Tabla Comando Cadena Regla
  • 20. septiembre de 2006 20 IPTables Tablas: Filter INPUT, OUTPUT, FORWARD. NAT PREROUTING, OUTPUT, POSTROUTING. Mangle PREROUTING, OUTPUT (2.4.17). INPUT, FORWARD, POSTROUTING (2.4.18)
  • 21. septiembre de 2006 21 IPTables Cómo se examinan las cadenas [Tabla Filter] Routing Decision Forward Input OutputLocal Process Incoming Outgoing
  • 22. septiembre de 2006 22 IPTables Cómo se examinan las cadenas [Tabla NAT] Routing Decision Prerouting DNAT Local Process Incoming Outgoing Postrouting SNAT
  • 23. septiembre de 2006 23 IPTables Comandos: -A, append -D, delete -I, insert -L, list -F, flush
  • 24. septiembre de 2006 24 IPTables Reglas Algunas de las opciones para definir reglas son: !, negar una condición -p, protocol: verifica el campo “protocol” del datagrama. Puede ser udp, tcp, icmp o all. -s, source: Dirección origen del datagrama. -d, destination: Dirección de destino del datagrama. -i, in-interface: Nombre de la interface de entrada del datagrama. -o, out-interface: Nombre de la interface de salida del datagrama.
  • 25. septiembre de 2006 25 IPTables Sintaxis La sintaxis general (muy simplificada para nuestro ejemplo es) Iptables –t tabla comando cadena definicion_regla –j target Tabla puede ser nat, filter o mangle; comando puede ser –A, -D, -L, -F, -I; cadena puede ser INPUT, OUTPUT, FORWARD; target puede ser ACCEPT o DROP.
  • 26. septiembre de 2006 26 IPTables Ejemplos de ACL en un router # # Reglas que autoriza entrada de cualquier paquete que se origine # como repuestas a una comunicación interior # iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT # # Autorizo el ICMP a la red iptables -A FORWARD -d 200.27.115.0/24 -p icmp -j ACCEPT # Autorizo accesos a whois.nic.cl TCP (43) UDP (43) iptables -A FORWARD -d 200.1.123.2 -p tcp -m tcp --dport 43 -j ACCEPT # Autorizo accesos a www.nic.cl TCP (80,443,5555) iptables -A FORWARD -d 200.1.123.3 -p tcp -m tcp --dport 80 -j ACCEPT iptables -A FORWARD -d 200.1.123.3 -p tcp -m tcp --dport 443 -j ACCEPT iptables -A FORWARD -d 200.1.123.3 -p tcp -m tcp --dport 5555 -j ACCEPT # Rechazo algunos accesos iptables -A FORWARD -p tcp -m tcp --dport 1:21 -j DROP iptables -A FORWARD -p tcp -m tcp --dport 23:24 -j DROP iptables -A FORWARD -p tcp -m tcp --dport 26:42 -j DROP
  • 27. septiembre de 2006 27 IPTables Ejemplos en un host final # Evitamos que los mails salgan iptables -A OUTPUT -o eth0 -p tcp --dport 25 -j DROP # Aceptamos los ICMP iptables -A INPUT -p icmp --icmp-type any -j ACCEPT # Aceptamos los accesos al sitio Web iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT # Rechazamos todo el resto iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
  • 28. septiembre de 2006 28 IPTables Ejemplos de NAT # # Configuracion DNAT # iptables -t nat -A PREROUTING -d 200.4.121.6 -p tcp -m tcp --dport 6666 -j DNAT --to-destination 192.168.10.1 iptables -t nat -A PREROUTING -d 200.4.121.7 -p tcp -m tcp --dport 6667 -j DNAT --to-destination 192.168.10.11 # # Configuro SNAT para direcciones locales como 200.1.123.1 # iptables -t nat -A POSTROUTING -s 172.30.10.0/255.255.255.0 -d 200.27.2.2/255.255.255.255 -o eth1 -j SNAT --to-source 192.80.24.4 # eth0 iptables -t nat -A POSTROUTING -s 172.30.10.0/255.255.255.0 -d ! 172.30.12.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.80.23.3