Flashcards: 212.1 - Configuracion De Router
39 tarjetas de repaso. Usa el sistema de repeticion espaciada para memorizar.
P: ¿Qué archivo se debe modificar para habilitar el reenvío de paquetes IPv4 de forma permanente en Linux?
R: b) /etc/sysctl.conf. Se debe establecer net.ipv4.ip_forward = 1 en /etc/sysctl.conf (o en un archivo dentro de /etc/sysctl.d/) para que el reenvío de paquetes persista tras un reinicio. Después se aplica con sysctl -p.
P: ¿Qué tabla de iptables se utiliza por defecto cuando no se especifica la opción -t?
R: d) filter. La tabla filter es la tabla por defecto de iptables. Contiene las cadenas INPUT, OUTPUT y FORWARD, y se usa para el filtrado básico de paquetes.
P: Un administrador necesita redirigir el tráfico entrante en el puerto 443 hacia un servidor interno 10.0.0.5 en el puerto 8443. ¿Qué regla de iptables es correcta?
R: c) iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 10.0.0.5:8443. DNAT (Destination NAT) se configura en la cadena PREROUTING de la tabla nat, ya que la traducción de la dirección de destino debe ocurrir antes de la decisión de enrutamiento.
P: ¿Cuál es la diferencia principal entre los objetivos MASQUERADE y SNAT en iptables?
R: c) MASQUERADE determina la IP de origen dinámicamente, SNAT usa una IP fija. MASQUERADE consulta la IP actual de la interfaz de salida para cada paquete, lo que lo hace adecuado para conexiones con IP dinámica. SNAT es más eficiente cuando la IP de salida es estática porque no necesita esta consulta.
P: ¿Qué comando de nftables lista todas las reglas activas del sistema?
R: b) nft list ruleset. El comando nft list ruleset muestra todas las tablas, cadenas y reglas configuradas actualmente en nftables.
P: En firewalld, ¿qué ocurre si se ejecuta firewall-cmd --add-service=http sin la opción --permanent?
R: c) El cambio se aplica inmediatamente pero se pierde al reiniciar. Sin --permanent, los cambios se aplican en la configuración en ejecución (runtime) de forma inmediata, pero no se guardan en la configuración persistente. Al reiniciar firewalld o el sistema, estos cambios se pierden.
P: ¿Qué cadena de iptables se usa para filtrar paquetes que atraviesan el router Linux hacia otra red?
R: c) FORWARD. La cadena FORWARD de la tabla filter se encarga de los paquetes que no son para el propio host ni generados por él, sino que están siendo reenviados entre interfaces de red.
P: ¿Qué comando guarda las reglas actuales de iptables para restaurarlas en el futuro?
R: b) iptables-save > /etc/iptables/rules.v4. El comando iptables-save volcará todas las reglas actuales en formato que puede ser leído por iptables-restore. La opción -S de iptables lista las reglas en formato de comandos, pero no es el método estándar de persistencia.
P: ¿Qué ventaja ofrece la familia inet en nftables?
R: c) Permite crear reglas que aplican tanto a IPv4 como a IPv6 simultáneamente. La familia inet en nftables unifica el manejo de IPv4 e IPv6 en una sola tabla, evitando la necesidad de mantener reglas duplicadas como ocurre con iptables (iptables + ip6tables).
P: Un administrador ejecuta iptables -I INPUT 1 -s 10.0.0.50 -j ACCEPT. ¿Qué efecto tiene este comando?
R: b) Inserta la regla en la primera posición de la cadena INPUT. La opción -I (insert) con el número 1 coloca la regla en la primera posición de la cadena, con lo cual será evaluada antes que cualquier otra regla existente. Esto es diferente de -A (append), que añade al final.
P: ¿Qué parámetro del kernel se debe configurar a 1 para proteger contra ataques de IP spoofing mediante validación de ruta inversa?
R: b) net.ipv4.conf.all.rp_filter. El parámetro rp_filter (Reverse Path Filtering) verifica que los paquetes entrantes provengan de la interfaz esperada según la tabla de rutas. Cuando se establece a 1, descarta paquetes con direcciones de origen sospechosas, previniendo ataques de IP spoofing.
P: ¿Qué comando aplica los cambios realizados en /etc/sysctl.conf sin necesidad de reiniciar el sistema?
R: b) sysctl -p. El comando sysctl -p lee y aplica los parámetros del archivo /etc/sysctl.conf (o del archivo especificado) inmediatamente, sin necesidad de reiniciar. También se puede usar sysctl -p /etc/sysctl.d/archivo.conf para un archivo específico.
P: ¿En qué cadena y tabla de iptables se configura SNAT para traducir la dirección de origen de paquetes salientes?
R: b) POSTROUTING de la tabla nat. SNAT se configura en la cadena POSTROUTING de la tabla nat porque la traducción de la dirección de origen debe realizarse después de la decisión de enrutamiento, justo antes de que el paquete salga por la interfaz de red.
P: ¿Qué zona de firewalld tiene habilitado NAT/masquerading por defecto?
R: c) external. La zona external de firewalld está diseñada para interfaces que se conectan a redes externas y tiene el masquerading habilitado por defecto. Es la zona apropiada para interfaces WAN en un router Linux gestionado con firewalld.
P: ¿Qué opción de iptables establece la política por defecto para una cadena?
R: c) -P. La opción -P (Policy) establece la política por defecto de una cadena. Por ejemplo, iptables -P INPUT DROP hace que todos los paquetes que no coincidan con ninguna regla de la cadena INPUT sean descartados. Las políticas solo pueden ser ACCEPT o DROP.
P: ¿Qué comando de nftables crea una tabla para reglas que aplican tanto a IPv4 como a IPv6?
R: c) nft add table inet mi_tabla. La familia inet en nftables permite crear tablas con reglas que aplican simultáneamente a IPv4 e IPv6, evitando la necesidad de duplicar reglas. Las familias ip e ip6 solo aplican a IPv4 o IPv6 respectivamente.
P: ¿Qué objetivo de iptables descarta un paquete silenciosamente sin enviar respuesta al origen?
R: b) DROP. El objetivo DROP descarta el paquete sin enviar ninguna respuesta al emisor. En cambio, REJECT descarta el paquete pero envía un mensaje ICMP de error al origen (por defecto, icmp-port-unreachable). DENY y BLOCK no son objetivos válidos de iptables.
P: ¿Qué parámetro de sysctl se activa para proteger contra ataques SYN flood?
R: c) net.ipv4.tcp_syncookies. El parámetro net.ipv4.tcp_syncookies = 1 activa la protección contra ataques SYN flood. Cuando la cola de conexiones pendientes se llena, el kernel responde con SYN cookies en lugar de descartar conexiones legítimas, permitiendo al sistema seguir operando bajo un ataque.
P: ¿Qué módulo de iptables se utiliza para el seguimiento de estado de conexiones, permitiendo aceptar paquetes ESTABLISHED y RELATED?
R: b) -m state. El módulo -m state (o su versión más reciente -m conntrack) permite filtrar paquetes según el estado de la conexión. La regla iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT acepta paquetes de conexiones ya establecidas o relacionadas, fundamental en cualquier firewall con política DROP por defecto.
P: ¿Qué comando de firewalld añade un servicio de forma permanente y recarga la configuración para aplicar el cambio?
R: b) firewall-cmd --permanent --add-service=http && firewall-cmd --reload. Los cambios con --permanent se guardan en la configuración persistente pero no se aplican inmediatamente. Es necesario ejecutar firewall-cmd --reload para que los cambios permanentes surtan efecto en la configuración en ejecución.
P: ¿Qué comando habilita temporalmente el reenvío de paquetes IPv4 en el kernel de Linux?
R: sysctl -w net.ipv4.ip_forward=1. El comando sysctl -w net.ipv4.ip_forward=1 activa el reenvío de paquetes IPv4 de forma inmediata pero temporal (se pierde al reiniciar). Equivale a echo 1 > /proc/sys/net/ipv4/ip_forward. Para hacerlo permanente, se añade a /etc/sysctl.conf.
P: ¿Qué comando de iptables configura masquerading para la red 192.168.1.0/24 que sale por la interfaz eth0?
R: iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE. Este comando añade una regla en la cadena POSTROUTING de la tabla nat que aplica MASQUERADE a todos los paquetes con origen en la red 192.168.1.0/24 que salen por la interfaz eth0. La IP de origen se reemplaza dinámicamente con la IP de la interfaz de salida.
P: ¿Qué comando restaura las reglas de iptables desde un archivo guardado previamente?
R: iptables-restore < /etc/iptables/rules.v4. El comando iptables-restore lee reglas en el formato generado por iptables-save y las carga en el kernel. Es el método estándar para restaurar las reglas de firewall al inicio del sistema o después de un cambio.
P: ¿Qué comando de nftables lista todas las reglas, tablas y cadenas configuradas actualmente?
R: nft list ruleset. El comando nft list ruleset muestra la configuración completa de nftables, incluyendo todas las tablas, cadenas y reglas activas. Es el equivalente funcional de iptables-save para nftables.
P: ¿Qué comando de firewalld muestra las zonas activas y las interfaces asignadas a cada una?
R: firewall-cmd —get-active-zones. El comando firewall-cmd --get-active-zones lista las zonas que tienen interfaces o fuentes asignadas, mostrando qué interfaz de red pertenece a cada zona. Es fundamental para verificar la configuración actual del firewall.
P: Tip de examen: Es fundamental saber que sin ip_forward=1 el sistema Linux no reenviará paquet…
R: Es fundamental saber que sin ip_forward=1 el sistema Linux no reenviará paquetes entre interfaces, aunque las reglas de iptables estén correctamente configuradas.
P: Tip de examen: MASQUERADE se usa cuando la IP pública es dinámica (conexiones PPPoE, DHCP). SNA…
R: MASQUERADE se usa cuando la IP pública es dinámica (conexiones PPPoE, DHCP). SNAT es más eficiente cuando la IP es estática.
P: Tip de examen: nftables usa la familia inet para reglas que aplican tanto a IPv4 como a IPv6 …
R: nftables usa la familia inet para reglas que aplican tanto a IPv4 como a IPv6 simultáneamente.
P: Tip de examen: Los cambios con --permanent requieren --reload para aplicarse. Sin `—perman…
R: Los cambios con --permanent requieren --reload para aplicarse. Sin --permanent, los cambios se aplican inmediatamente pero se pierden al reiniciar.
P: Que hace el comando -A?
R: Añadir regla al final de la cadena (append)
P: Que hace el comando -I?
R: Insertar regla en posición específica (insert)
P: Que hace el comando -F?
R: Vaciar todas las reglas (flush)
P: Que hace el comando -P?
R: Establecer política por defecto
P: Que es/son Introducción al enrutamiento en Linux?
R: Linux puede funcionar como un router completo, reenviando paquetes entre interfaces de red. Para ello se requiere habilitar el reenvío de paquetes (IP forwarding) y configurar reglas de filtrado y trad
P: Que es/son Habilitación del reenvío IP (IP Forwarding)?
R: El reenvío de paquetes está deshabilitado por defecto en Linux. Para activarlo:
P: Que es/son nftables: el sucesor de iptables?
R: nftables reemplaza a iptables, ip6tables, arptables y ebtables con una sintaxis unificada.
P: Que es/son firewalld: gestión dinámica de firewall?
R: firewalld es un frontend para iptables/nftables que usa el concepto de zonas.
P: Que es/son Archivo /etc/sysctl.conf?
R: Parámetros relevantes para enrutamiento y seguridad de red:
P: Que es/son Trampas del examen?
R: > Errores comunes y distinciones criticas que LPI suele evaluar en este subtema: