On Thu, 18 Sep 2008 22:04:58 -0400, "Horst H. von Brand" <[EMAIL PROTECTED]> wrote: > Jorge Luis Rodriguez <[EMAIL PROTECTED]> wrote: > > les cuento mi problema, resulta que tenemos una red clase A con el rango > de ip 10.0.0.xxx, con salida a internet y algunos servicios para la red > interna, dentro de esta red instales un servidor con debian, ese > servidor > tiene la eth0 con ip 10.0.0.150, y una eth1 con ip 192.168.1.1. >
> Resulta que con el scrips que posteso mas abajo funciona > perfecto, pero no logro evitar que desde la red interna se pueda mapear > la red de clase A (10.0.0.xxx), probe con nmap, languard, y en ambos > caso > si mapeo el rango de ip 10.0.0.1-10.0.0.250 estando en la red de clase C > (192.168.1.1) puedo ver todas las pc que estan en la red 10.0.0.xxx. Eh > buscado y leido mucho, quizas la solucion sea una tontera, pero bueno, > lo cierto es que no logro ver la socucion entre todo lo que ley y busque. > > basicamente lo que deseo es que desde la red 192.168.1.xxx no se puedan > hacer scaneos de red hacia la red 10.0.0.xxx [Resumen] Amigo aunque medio off-topic, supongo que si tiene una red de ese tipo , también tendra switch's administrables que soporten VLAN. Yo dejaría a la red 10.0.0.0/8 en una VLAN y la 192.168.1.0/24 en otra. Se supone que el servidor tendría 2 interfaces de red por lo que fisicamente la puedes conectar en puertos diferentes y asignarles una VLAN a cada uno. Con eso te evitas los scaneos a esa red e incluso ahorras el trafico tipo broadcast que le pueda llegar de la red clase C. En definitiva nunca se verían excepto por el equipo conectado a las 2 VLAN (que en el fondo hace de router ya que esta directamente conectado a las vlan pero que en este caso puedes borrar la ruta desde la red clase C hacia la red 10.0.0.0/8). Sinceramente no veo mucho el sentido de aplicar más reglas o considerar appliance's. (Eso si tienes los switch que necesitas). Saludos. -- Informatica Bio-Bio Comunicaciones S.A Administrador de Redes Fono : 09-1523359
