El Jueves, 3 de Febrero de 2005 16:34, Pablo Braulio escribi�: > Hola a todos. > Necesito bastante ayuda en esto, pues estoy totalmente atascado. > > Tengo una red con un router cisco 1700 conectado a un switch cisco > catatlyst 2950. Mi intenci�n es poner un equipo con Debian, iptables, squid > y dos tarjetas de red, para que haga de firewall y proxy. Pues por > desgracia el router tiene todos los puertos abiertos. En su d�a lo > compraron y no tienen quien lo administre. Por lo que la seguridad brilla > por su ausencia. > > Esquema: > > LAN -----> > ROUTER ----------------- SWITCH ------------------------------- SERVIDOR > DHCP 192.168.1.9 192.168.1.1 > > Quiero que quede as�: > > LAN ------> > ROUTER --------FIREWALL (eth0-eth1) ----- SWITCH -------- SERVIDOR DHCP > 192.168.1.9 eth0 192.168.1.x 192.168.1.1 > eth1 dhcpclient >
Creo que te fallan algunos conceptos b�sicos del mundo de las redes. No entiendo muy bien eso de: LAN---router---switch----servidor, yo creo que lo que quieres decir es: internet-----router-----switch----servidor. Es decir, el router une internet con la LAN (maquinas tras el router, incluido el switch y el servidor). Topolog�as aparte, adem�s partes de una situaci�n donde tras el router (consideramos delante del router "el mundo internet" y detr�s la LAN del cliente) s�lo tienes una red IP, a saber: 192.168.1.0 supongo que tipo C (m�scara 255.255.255.0). Si metes un firewall entre el router y el resto de las m�quinas de la LAN: internet----router----firewall---LAN, lo l�gico es que no trocees/partas tu red 192.168.1.0 actual ya que el firewall se "volver� loco" si ve que tiene la misma red en dos patas distintas. Es por esto por lo que te funciona tu portatil contra el router y no cuando pones el firewall, ya que este �ltimo recibe una IP del DHCP perteneciente a la misma red que tiene en la puerta del router, esto, hasta donde yo s� no es muy coherente. Adem�s el router estar� haciendo NAT (traducci�n de direcciones), y probablemente est�tico contra las actuales direcciones tipo 192.168.1.0, por lo que esta red es candidata a quedarse detr�s del router.... supongo que tendr�as que cambiar todas las IPs de la LAN y hacer nat en el firewall, de tal forma que alguien situado tras de si con direcci�n, por ejemplo, 192.168.2.7 sea convertido a la direcci�n 192.168.1.7 para que a su vez el router lo traduzca a su direcci�n p�blica... En fin, no entiendo que quieres hacer pero considerando que est�s en una red privada, no creo que nadie de internet sea capaz de alcanzar tus m�quinas si, previamente, no revienta el router. S�lo pretend�a darte una idea de la complejidad te�rica del problema. Un saludo.
