Enrique Morfin wrote:
Hola:
Tengo una LAN con unas cuantas maquinas (S.O.
variados), el GW es debian.
Necesito restringir la salida de paquetes, de tal
manera que solo maquinas autorizadas puedan salir.
Creo que eso se logra mediante MAC.
En la cadena FORWARD pongo todas las direcciones MAC
de mis maquinas, si son, las mando a otra cadena mia
(firewall) para que se filtren por ip, como se esta
haciendo normalmente (mi firewall actual). Al final de
FORWARD "tiro" los paquetes que no coinciden con mis
maquinas autorizadas
Ejemplo:
iptables -I FORWARD -i eth0 -m mac --mac-source
XX:XX:XX:XX:XX:XX -j mifirewall
iptables -A FORWARD -j DROP
Es correcto esto? Necesito hacer lo mismo en INPUT?
Necesitas hacerlo en input sólo si vas a controlar cosas que vayan al
propio FW.
Que tanto se degrada el rendimiento conforme aumenta
el numero de maquinas?
Alguien tiene idea del "trougput"?
Que tanto mejora si meto iptables al kernel, en lugar
de tenerlo como modulo? (Es una ganancia subsatncial o
ni vale la pena recompilar el kernel)
Por el momento solo hay unas 10 maquinas en la red,
pero puedo llegar a necesitarlo para otras redes mas
grandes (unas 200 o 220 maquinas) y que tengan que
pasar por 220 cadenas antes de siquiera llegar al
firewall creo que podria afectar el desempe?o de la
red.
Yo tengo un pentium III a 800 con 6500 reglas de cortafuegos, con dos
dmzs y 1200 usuarios, enchufado a una línea de 34 mbps con inet y la
pérdida de rendimiento es mínima. Eso sí, si metes más servicios en el
FW (IDS, squid, VPN) la cosa se desmadra... pero simplemente de fw con
stateful inspection no consume demasiado (ojo que hay que poner ram
suficiente que en connection tracking son cerca de 300 bytes por
conexión, con 512 megas deberías poder aguantar 300-400 usuarios si
sólos haces fw con una línea no demasiado bruta (10 mbps o menos)
Ya nos cuentas
Saludos
es mínima
O existe otra forma mas rapida y eficiente para
controlar por medio de MAC?
Si son muchas maquinas (o mucho trafico), que tanto se
degrada la calidad de servicio?
Oviamente esto depende de la cantidad de trafico y de
las capacidades del GW, pero alguien tiene una idea de
las proporciones de degradacion de servicio, cantidad
de trafico y capacidades del GW?
Gracias.
__________________________________
Do you Yahoo!?
Free Pop-Up Blocker - Get it now
http://companion.yahoo.com/
