El mar, 23-09-2003 a las 09:10, marcelo Debian User escribió: > hola lista !! > les cuento un poco como esta mi red > tengo una red con windoz$ (clientes) y un linux (servidor con squid, dns de > cacheo, firewall y servidor dhcp) con dos placas de red: eth0 con 192.168.1.1 > y eth1 con una ip publica. > Algunas de los windoz$ tienen ip dinámicas y otras un rango de ip publicas. > Todos los windoz$ tienen como servidor de DNS y gateway el linux: si tienen > ip 192.168.1.x gateway Y DNS a 192.168.1.1 del linux, y los windoz$ con ip > publica tienen el gateway y DNS a la ip publica de llinux. > el linux es el único que tiene default gateway la ip del router del ISP. > físicamente la red es: el cable del ISP termina en un router (cisco1600) ahí > comienza para mi el "afuera". de ese router pasa a un swich1 y de este a un > swich2. y por ultimo todas las maquinas incluso el linux con las dos placas > están conectadas a los swich > _____ _____ ____ > / \ / \ / \ > Router ISP---------->[SWICH]-------------[SWICH] > \CISCO/ [ 1 ] [ 2 ] > 1600 / | | | \ / | | | | > / | | | \ / | | | > > > es decir que físicamente el linux NO esta entre "el afuera" y mi red. > el problema es el siguiente: > las maquinas windouz$ que enmascaro (192.168.1.X) no hay problema : acepto > las establecidas acepto todo lo que envían y drop todo lo que llega sin ser > pedido. > pero con las otras que tienen ip publicas se "ven" desde afuera si alguien > las busca con la ip publica. (tan fácil como poner la ip publica en "buscar > PC" desde otro windoz$ que esta afuera !!!) > es decir que desde afuera llegan a los windoz$ sin pasar por el linux. > probando, me di cuenta que haciendo un traceroute desde afuera la ultima > dirección ip antes de uno de los windoz$ NO ES la ip del router que tengo en > la red: > entonces la pregunta es: > si le digo a los de mi ISP que configuren el router para que direccione TODO > a la ip publica del linux, ¿soluciono el problema de que desde afuera puedan > llegar a los windoz$ sin pasar por el linux ? o esto solo es posible si > fisicamente el linux esta entre el router y los swich y por ende de los > windoz$ ?? > ¿y en cualquier caso si todo el trafico pasa por el linux (sea por que el > router del isp lo direcciona o por que físicamente el linux esta en el > medio) tengo que usar routed, o con agregar rutas desde el comando route add > etc, alcanza o si se puede hacer con iptables (deep magic) DNAT o FORGUAD > POSTROUTING ... o algo asi de .... > (obviamente los windoz$ con ip publica tienen que salir con su ip y no con la > del linux) > bueno, ante todo gracias y espero que se entienda y que el grafiquito en > ASCII llegue bien : ) >
Resumiendo: DEBES tener todas las maquinas con IPs internas para protegerlas con el FW Si queres que algunas maquinas se "vean" con IP publica tenes que hacer NAT con iptables saludos -- Angel Claudio Alvarez
