On Tue, 23 Sep 2003 09:10:27 -0300 marcelo Debian User <[EMAIL PROTECTED]> wrote:
> les cuento un poco como esta mi red > tengo una red con windoz$ (clientes) y un linux (servidor con squid, > dns de cacheo, firewall y servidor dhcp) con dos placas de red: eth0 con > 192.168.1.1 y eth1 con una ip publica. > Algunas de los windoz$ tienen ip dinámicas y otras un rango de ip > publicas. Si tienes clientes con IP público, entonces tu firewall no sirve para nada. Es como colocar una puerta en el campo. Si el IP de aqueles que son dinámico es público, lo mismo. Si no lo es, me pregunto porque. El IP dinámico sirve para poder operar una red que tiene más ordenadores que IPs disponibles y estos ordenadores no están siempre conectados, como por ejemplo un ISP o una BBS. Parece que el manual del Windows NT que recomienda esta tontería ya ha llegado al mundo Linux. > Todos los windoz$ tienen como servidor de DNS y gateway el > linux: si tienen ip 192.168.1.x gateway Y DNS a 192.168.1.1 del linux, y > los windoz$ con ip publica tienen el gateway y DNS a la ip publica de > llinux. Esto quiere decir que puedo llegar hasta tu firewall desde aqui mismo. Talvez no puedo atravesarlo, pero puedo llegar hasta la red interna que se supone que protege, sólo usando una de estas máquinas windows. Si el usuario de Windows tiene la idea gloriosa de activar el forwarding e masquerading con algunos clicks aburridos en el panel de control, o si alguien le envia un email con un VB que lo hace para él, ya tengo acceso a toda tu red, incluso si tu iptables no tiene más que DROP. Talvez tienes suerte y quien hace esto te formatea los windows y coloca debian. > el linux es el único que tiene default gateway la ip del router > del ISP. Si "único" incluye los que tienen IP público, con esto consigue sólo que ellos salgan a través del linux, pero no que yo entre sin necesidad de pasar por el firewall. > es decir que físicamente el linux NO esta entre "el afuera" y mi red. Este es tu problema. Cada cable que conecta la red interna con la Internet necesita un firewall, y es más fácil que sólo haya uno y que físicamente no haya alternativas. > pero con las otras que tienen ip publicas se "ven" desde afuera si > alguien las busca con la ip publica. (tan fácil como poner la ip publica > en "buscar PC" desde otro windoz$ que esta afuera !!!) > es decir que desde afuera llegan a los windoz$ sin pasar por el linux. > probando, me di cuenta que haciendo un traceroute desde afuera la ultima Parece que estás aprendiendo por la vía difícil. ¿Por qué no te estudias un buen libro sobre redes? Elimina los IPs públicos dentro de una red interna. Al final, ¿es una red interna o es una red pública? > dirección ip antes de uno de los windoz$ NO ES la ip del router que > tengo en la red: Claro. Si hay un camino directo, el router estaría mal si me envia por un camino indirecto. > entonces la pregunta es: > si le digo a los de mi ISP que configuren el router para que direccione > TODO a la ip publica del linux, ¿soluciono el problema de que desde > afuera puedan llegar a los windoz$ sin pasar por el linux ? No. Siempre puede haber una manera de spoofing que te fastidia. Entre la Internet y el firewall no puede haber más que un cable. Y entre el firewall y la red interna igual. Colocando el firewall y la red interna en el mismo hub/switch te engañas a ti mismo. > o esto solo > es posible si fisicamente el linux esta entre el router y los swich y > por ende de los windoz$ ?? Obviamente es posible lo que haces, pero es todo menos seguro. > ¿y en cualquier caso si todo el trafico pasa por el linux (sea por > que el router del isp lo direcciona o por que físicamente el linux esta > en el medio) tengo que usar routed, o con agregar rutas desde el comando > route add etc, alcanza o si se puede hacer con iptables (deep magic) > DNAT o FORGUAD POSTROUTING ... o algo asi de .... ¿iptables es deep magic? ¿Dónde hemos dejado el gorro de brujo todos los que usamos iptables diariamente? Manda el Cisco de vuelta al ISP, coloca un cable de Internet en una tarjeta de red del firewall y un cable de la segunda tarjeta al hub/switch. Todos tendrán el firewall como gateway y no necesitas nada especial para las rutas. Tu situación es tan simple que no vale la pena ningún routed. > (obviamente los windoz$ con ip publica tienen que salir con su ip y no > con la del linux) No has dicho porque algunos windows tienen ip pública. Si es porque el usuario es el jefe, desconéctale de la red interna (como no sabe usarla no lo notará). Si es que no te gusta el apache y quieres un distribuidor de vírus porque cuesta mucho dinero, lo mismo: desconéctalo de la red interna. En el segundo caso necesitas construir una DMZ. -- Christoph Simon [EMAIL PROTECTED] --- ^X^C q quit :q ^C end x exit ZZ ^D ? help .
