On Tue, 23 Sep 2003 09:10:27 -0300 marcelo Debian User <[EMAIL PROTECTED]> wrote:
> les cuento un poco como esta mi red > tengo una red con windoz$ (clientes) y un linux (servidor con squid, > dns de cacheo, firewall y servidor dhcp) con dos placas de red: eth0 con > 192.168.1.1 y eth1 con una ip publica. > Algunas de los windoz$ tienen ip din�micas y otras un rango de ip > publicas. Si tienes clientes con IP p�blico, entonces tu firewall no sirve para nada. Es como colocar una puerta en el campo. Si el IP de aqueles que son din�mico es p�blico, lo mismo. Si no lo es, me pregunto porque. El IP din�mico sirve para poder operar una red que tiene m�s ordenadores que IPs disponibles y estos ordenadores no est�n siempre conectados, como por ejemplo un ISP o una BBS. Parece que el manual del Windows NT que recomienda esta tonter�a ya ha llegado al mundo Linux. > Todos los windoz$ tienen como servidor de DNS y gateway el > linux: si tienen ip 192.168.1.x gateway Y DNS a 192.168.1.1 del linux, y > los windoz$ con ip publica tienen el gateway y DNS a la ip publica de > llinux. Esto quiere decir que puedo llegar hasta tu firewall desde aqui mismo. Talvez no puedo atravesarlo, pero puedo llegar hasta la red interna que se supone que protege, s�lo usando una de estas m�quinas windows. Si el usuario de Windows tiene la idea gloriosa de activar el forwarding e masquerading con algunos clicks aburridos en el panel de control, o si alguien le envia un email con un VB que lo hace para �l, ya tengo acceso a toda tu red, incluso si tu iptables no tiene m�s que DROP. Talvez tienes suerte y quien hace esto te formatea los windows y coloca debian. > el linux es el �nico que tiene default gateway la ip del router > del ISP. Si "�nico" incluye los que tienen IP p�blico, con esto consigue s�lo que ellos salgan a trav�s del linux, pero no que yo entre sin necesidad de pasar por el firewall. > es decir que f�sicamente el linux NO esta entre "el afuera" y mi red. Este es tu problema. Cada cable que conecta la red interna con la Internet necesita un firewall, y es m�s f�cil que s�lo haya uno y que f�sicamente no haya alternativas. > pero con las otras que tienen ip publicas se "ven" desde afuera si > alguien las busca con la ip publica. (tan f�cil como poner la ip publica > en "buscar PC" desde otro windoz$ que esta afuera !!!) > es decir que desde afuera llegan a los windoz$ sin pasar por el linux. > probando, me di cuenta que haciendo un traceroute desde afuera la ultima Parece que est�s aprendiendo por la v�a dif�cil. �Por qu� no te estudias un buen libro sobre redes? Elimina los IPs p�blicos dentro de una red interna. Al final, �es una red interna o es una red p�blica? > direcci�n ip antes de uno de los windoz$ NO ES la ip del router que > tengo en la red: Claro. Si hay un camino directo, el router estar�a mal si me envia por un camino indirecto. > entonces la pregunta es: > si le digo a los de mi ISP que configuren el router para que direccione > TODO a la ip publica del linux, �soluciono el problema de que desde > afuera puedan llegar a los windoz$ sin pasar por el linux ? No. Siempre puede haber una manera de spoofing que te fastidia. Entre la Internet y el firewall no puede haber m�s que un cable. Y entre el firewall y la red interna igual. Colocando el firewall y la red interna en el mismo hub/switch te enga�as a ti mismo. > o esto solo > es posible si fisicamente el linux esta entre el router y los swich y > por ende de los windoz$ ?? Obviamente es posible lo que haces, pero es todo menos seguro. > �y en cualquier caso si todo el trafico pasa por el linux (sea por > que el router del isp lo direcciona o por que f�sicamente el linux esta > en el medio) tengo que usar routed, o con agregar rutas desde el comando > route add etc, alcanza o si se puede hacer con iptables (deep magic) > DNAT o FORGUAD POSTROUTING ... o algo asi de .... �iptables es deep magic? �D�nde hemos dejado el gorro de brujo todos los que usamos iptables diariamente? Manda el Cisco de vuelta al ISP, coloca un cable de Internet en una tarjeta de red del firewall y un cable de la segunda tarjeta al hub/switch. Todos tendr�n el firewall como gateway y no necesitas nada especial para las rutas. Tu situaci�n es tan simple que no vale la pena ning�n routed. > (obviamente los windoz$ con ip publica tienen que salir con su ip y no > con la del linux) No has dicho porque algunos windows tienen ip p�blica. Si es porque el usuario es el jefe, descon�ctale de la red interna (como no sabe usarla no lo notar�). Si es que no te gusta el apache y quieres un distribuidor de v�rus porque cuesta mucho dinero, lo mismo: descon�ctalo de la red interna. En el segundo caso necesitas construir una DMZ. -- Christoph Simon [EMAIL PROTECTED] --- ^X^C q quit :q ^C end x exit ZZ ^D ? help .
