Re: Dudas y problemas con firewall y ruteos

[José Miguel (sio2) <sio2.sio2+lista.debian@gmail.com>]

El Sat, 08 de Nov de 2014, a las 11:57:17AM -0300, tq dijo:

> Lo extraño es que si tiro un nmap desde afuera (osea la wan) puedo llegar a
> ver los puertos abiertos en uno de los host de la LAN, siempre y cuando en
> el host de la LAN haya agregado el ruteo estático hacia la WAN.
> 
> Esto es correcto?

Para que veas los puertos abiertos en el host de la LAN es necesario que
se pueda pasar a través del router. Si el router corta las
comunicaciones, no.

> Es correcto tener que agregar un ruteo estático en un host de la LAN para
> que pueda ser accesible de la WAN?

Para que puedas acceder al host de la LAN desde la WAN se deben cumplir
dos cosas:

1. Que el host de la LAN sepa cuál es su puerta de enlace.
2. Que el host de la WAN sepa que detrás de ese router esta esa LAN, o bien
   que ese router sea su única puerta de enlace con lo cual cualquier
   paquete cuyo destino no sea su red lo enviará a ese router.

Cuando no se controla la WAN (por ejemplo, la WAN es internet), y se
quiere hacer accesible el servicio de un host de la LAN, lo que se hace
es lo que vulgarmente se llama "redireccionar puertos en el router", o
sea, un DNAT en la cadena PREROUTING del router hacia el host cuyo
servicio que quiere hacer accesible.

Un saludo.

-- 
   Vine a desembuchar y desembucho.
                  --- Muñoz Seca ---