Día 29: El primer muro - Firewall NAT

el
Diario de Guerra IT — Entrada
DIARIO DE GUERRA IT NODE: FIELD_TERMINAL_01 STATUS: CONNECTED 2025-05-07  |  07:30:42
ENTRY_LOG :: SECURED CHANNEL
> OPERADOR: SGT_TABLES  |  CLASIFICACIÓN: TÁCTICO  |  PROTOCOLO: IPTABLES
PRIMER MURO:FIREWALL_NAT
// DÍA 29 EN LAS TRINCHERAS DIGITALES //

Querido diario: Hoy es el vigesimo noveno día en las trincheras tecnológicas. La niebla digital cubre la frontera de nuestro campamento, y desde la muralla observo el flujo constante de paquetes que entran y salen como caravanas en territorio hostil.

El enemigo ya no intenta romper el muro frontal; ahora infiltra comunicaciones, se camufla en el tráfico saliente y manipula rutas internas como si fueran túneles secretos bajo la fortaleza.

—Soldado, no basta con defender. También debemos controlar lo que sale de nuestra fortaleza— dijo con voz firme. El Sargento Tables caminaba sobre la pasarela del firewall con las manos en la espalda, mirando el horizonte de logs como quien estudia el mapa de una guerra prolongada.
Controlar las Salidas y los Reenvíos

Durante la guardia nocturna, detectamos algo inquietante, los sistemas internos se comunicaban libremente con el exterior.

!! ALERTA TÁCTICA !!

Sin disciplina en el tráfico saliente, cualquier proceso comprometido podría enviar información sensible al enemigo sin resistencia.
Era un ataque silencioso. No un asalto frontal… sino una fuga de inteligencia.

Concepto Estratégico: ¿Qué es NAT?

NAT (Network Address Translation) es el sistema de camuflaje del ejército digital. Permite que múltiples máquinas internas salgan al exterior usando una sola identidad pública.
En el campo de batalla real:

  • Las IP privadas: tropas dentro del campamento. Las ip que se le dan a los dispositivos.
  • La IP pública: insignia oficial ante el mundo exterior. La ip que tiene el router para comunicarse en internet.
Puertos: Las Puertas de la Fortaleza

Un puerto es un punto final de comunicación identificado por un número que permite al sistema operativo saber a qué aplicación específica debe entregarle un paquete de datos. Imagina que la dirección IP es la calle del edificio, pero el puerto es el número de local o ventanilla dentro de ese edificio: sin el número de puerto, el cartero (los datos) llegaría a la recepción pero no sabría si el paquete es para la oficina de correos, la cafetería o el banco.
Cada puerto es una puerta de comunicación:

  • 80 → tráfico web
  • 443 → comunicaciones seguras
  • 22 → acceso SSH (puerta del comando)
━━━ OPERACIÓN EN CURSO ━━━
Control del Tráfico Saliente (OUTPUT)
TERMINAL :: REGLAS DE OUTPUT 
# Primero, permitimos únicamente el tráfico esencial hacia el exterior.              
$ sudo iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT

# Ahora, permitimos tráfico seguro cifrado:
$ sudo iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
# Esta regla autoriza a las tropas a comunicarse con servidores web
# Sin ella, los sistemas quedarían aislados como una base sitiada.
            
# Bloqueamos comunicaciones sospechosas hacia un destino específico:
$ sudo iptables -A OUTPUT -d 203.0.113.50 -j DROP
# Uso en misión: cuando una IP externa es identificada como host enemigo.
Reenvío de Tráfico

El FORWARD actúa como un puesto de control militar. Todo tráfico que pasa a través del servidor (como si fuera un router) debe ser inspeccionado.

TERMINAL :: REGLAS DE FORWARD 
# Permitimos que la red interna acceda a internet:              
$ sudo iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
# Esto autoriza a nuestra red local a cruzar el perímetro controlado.
# Ahora bloqueamos tráfico entre redes internas no autorizadas:
$ sudo iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.0.0/24 -j DROP
# Ejemplo táctico: evitar que una red comprometida se propague a otra zona del campamento.
NAT y MASQUERADE

El Sargento Tables ordenó activar la unidad de enmascaramiento.

TERMINAL :: REGLAS DE NAT 
# Primero habilitamos el reenvío de paquetes:              
$ echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward
# Luego aplicamos la regla de camuflaje en POSTROUTING:
$ sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  • -t nat: usamos la tabla de traducción
  • POSTROUTING: la modificación ocurre después de decidir la ruta
  • -o eth0: interfaz de salida hacia el exterior
  • MASQUERADE: oculta las IP internas bajo la IP pública
// REFLEXIÓN DESDE LA MURALLA //

Hoy aprendí que la defensa absoluta no consiste solo en levantar muros, sino en disciplinar cada comunicación que atraviesa la fortaleza. Un firewall que solo bloquea es un muro pasivo.


Un firewall que controla salidas y rutas… es un comandante estratégico.

> AVANCE DEL FRENTE — DÍA 30

Mañana la guerra escalará. Transformaremos el firewall en un verdadero router militar, con múltiples interfaces: WAN, LAN, WiFi restringido y red de sysadmin. El desafío será separar redes aliadas, aislar zonas sensibles y otorgar acceso total solo al alto mando técnico sin comprometer la seguridad del resto del campamento.


Será una batalla de arquitectura, segmentación y control absoluto del tráfico entre redes.

Reclutas, revisen sus reglas, analicen sus salidas y cuestionen cada conexión que abandona su sistema. El enemigo no siempre ataca… a veces espera que nosotros abramos la puerta. Dejen sus informes de campo en los comentarios y compartan qué reglas usarían para controlar su tráfico interno.


Dejen sus informes de campo en los comentarios.

""Aquí no hay errores,
solo lecciones aprendidas
por el camino díficil"
— SGT. TABLES :: DIARIO DE GUERRA IT
ENTRADA #01D :: ARCHIVADA CIFRADO: AES-256 EOF :: DIARIO DE GUERRA IT

Comentarios

Publicar un comentario