hola lista !!
les cuento un poco como esta mi red
tengo una red con windoz$ (clientes) y un linux (servidor con squid, dns de
cacheo, firewall y servidor dhcp) con dos placas de red: eth0 con 192.168.1.1
y eth1 con una ip publica.
Algunas de los windoz$ tienen ip dinámicas y otras un rango de ip publicas.
Todos los windoz$ tienen como servidor de DNS y gateway el linux: si tienen
ip 192.168.1.x gateway Y DNS a 192.168.1.1 del linux, y los windoz$ con ip
publica tienen el gateway y DNS a la ip publica de llinux.
el linux es el único que tiene default gateway la ip del router del ISP.
físicamente la red es: el cable del ISP termina en un router (cisco1600) ahí
comienza para mi el "afuera". de ese router pasa a un swich1 y de este a un
swich2. y por ultimo todas las maquinas incluso el linux con las dos placas
están conectadas a los swich
_____ _____ ____
/ \ / \ / \
Router ISP---------->[SWICH]-------------[SWICH]
\CISCO/ [ 1 ] [ 2 ]
1600 / | | | \ / | | | |
/ | | | \ / | | |
es decir que físicamente el linux NO esta entre "el afuera" y mi red.
el problema es el siguiente:
las maquinas windouz$ que enmascaro (192.168.1.X) no hay problema : acepto
las establecidas acepto todo lo que envían y drop todo lo que llega sin ser
pedido.
pero con las otras que tienen ip publicas se "ven" desde afuera si alguien
las busca con la ip publica. (tan fácil como poner la ip publica en "buscar
PC" desde otro windoz$ que esta afuera !!!)
es decir que desde afuera llegan a los windoz$ sin pasar por el linux.
probando, me di cuenta que haciendo un traceroute desde afuera la ultima
dirección ip antes de uno de los windoz$ NO ES la ip del router que tengo en
la red:
entonces la pregunta es:
si le digo a los de mi ISP que configuren el router para que direccione TODO
a la ip publica del linux, ¿soluciono el problema de que desde afuera puedan
llegar a los windoz$ sin pasar por el linux ? o esto solo es posible si
fisicamente el linux esta entre el router y los swich y por ende de los
windoz$ ??
¿y en cualquier caso si todo el trafico pasa por el linux (sea por que el
router del isp lo direcciona o por que físicamente el linux esta en el
medio) tengo que usar routed, o con agregar rutas desde el comando route add
etc, alcanza o si se puede hacer con iptables (deep magic) DNAT o FORGUAD
POSTROUTING ... o algo asi de ....
(obviamente los windoz$ con ip publica tienen que salir con su ip y no con la
del linux)
bueno, ante todo gracias y espero que se entienda y que el grafiquito en
ASCII llegue bien : )
