On Fri, 9 Mar 2001, Jordi Roman Mejias wrote: > Buenas, estoy intentando configurar una maquina que haga de > Bridge/Firewall, y de momento no acabo de conseguirlo. > > El bridge me funciona, aunque me estoy planteando el utilizarlo, pues me > da la impresi�n de que se saturan las interfaces del mismo (por lo de > estar en modo promiscuo).
Todo depende del tr�fico de las redes que est�s intentando conectar, ten en cuenta que cualquier trama que se env�e en uno de los segmentos de la red "m�s grande" que has creado con tu bridge debe ser analizada por el puente para saber si va o no al otro segmento. (Esto en el supuesto de que s�lo sean dos segmentos los que est�s intentando unir). > Pero lo que no he conseguido es que me funcionen las reglas de firewall. > > - necesito algun parche especial? > - contra que dispositivo tengo que poner las reglas de ipchains? Vamos a hacer una definici�n/diferenciaci�n de lo que es cada cosa y "donde" trabaja ex�ctamente: 1.- Bridge: Normalmente utilizado para unir varios segmentos de red DISTINTOS para que se comporten como si de una sola red se tratase, es decir, varios interfaces de IO conectados a distintos segmentos y la uni�n de los segmentos para tratarlos como una �nica red se hace por software (en tu caso). Al tratarse de uni�n de redes distintas (cables independientes), la uni�n por software se realiza a nivel de enlace (la capa de enlace del modelo OSI), y no a nivel de red. 2.- Firewall: Seguridad en redes. Trabaja a nivel de red, imposibilita las conexiones a nivel de red entre dos equipos en concreto. Insisto, trabaja a nivel de RED. Por tanto, y sabiendo que ambos trabajan en niveles distintos, si lo que quieres es poner un firewall para que no se puedan hacer conexiones al puerto 80 entre los dos segmentos de red (por ejemplo), la soluci�n radica en poner como origen y destino el identificador de red de los segmentos que quieres cerrar (al estar unidos por un puente, el identificador de red es el mismo para todos los segmentos unidos por el puente), pero por distintos interfaces. Es decir, que si quieres que la red 192.168.1.0 por el segmento 0 (eth0, por ejemplo) pueda hacer peticiones al puerto 80 de la red 192.168.1.0 en el segmento 1 (eth1 del bridge/firewall), las reglas del firewall deben hacer referencia a los distintos interfaces de entrada/salida del bridge/firewall, nunca al interfaz del puente. En fin, que no se yo si ha quedado claro del todo (ni siquiera lo tengo yo claro del todo, pero me aventuro a decir que es as�). Si he metido la gamba, pido disculpas y explicaci�n del gambazo. Gracias. > - Cambio mejor a un kernel superior (2.4.2) ? No tienes por qu�, pero si te hace ilusi�n... > Se admiten sugerencias :-) > Muchas gracias a todos Saludos. --------------------------------------------------------------------- --- Rafael �ngel S�nchez Gim�nez ==== http://www.uco.es/~i72sagir --- -------------------- E-mail: [EMAIL PROTECTED] ----------------------- ---------------------------------------------------------------------
