Re: Bridge Firewall

To: Jordi Roman Mejias <jordi.roman@atilon.com>
Cc: Debian en Español <debian-user-spanish@lists.debian.org>
Subject: Re: Bridge Firewall
From: Rafa Sánchez <sagir@wanadoo.es>
Date: Fri, 9 Mar 2001 23:14:31 +0100 (CET)
Message-id: <[🔎] Pine.LNX.4.21.0103092138380.2610-100000@localhost>
In-reply-to: <[🔎] 3AA8E52F.75E8EF@atilon.com>

On Fri, 9 Mar 2001, Jordi Roman Mejias wrote:

> 	Buenas, estoy intentando configurar una maquina que haga de
> Bridge/Firewall, y de momento no acabo de conseguirlo.
> 
> El bridge me funciona, aunque me estoy planteando el utilizarlo, pues me
> da la impresión de que se saturan las interfaces del mismo (por lo de
> estar en modo promiscuo).

Todo depende del tráfico de las redes que estés intentando conectar, ten
en cuenta que cualquier trama que se envíe en uno de los segmentos de
la red "más grande" que has creado con tu bridge debe ser analizada por el
puente para saber si va o no al otro segmento. (Esto en el supuesto de que
sólo sean dos segmentos los que estás intentando unir).

> Pero lo que no he conseguido es que me funcionen las reglas de firewall.
> 
> - necesito algun parche especial?
> - contra que dispositivo tengo que poner las reglas de ipchains?

Vamos a hacer una definición/diferenciación de lo que es cada cosa y
"donde" trabaja exáctamente:

1.- Bridge: Normalmente utilizado para unir varios segmentos de red
DISTINTOS para que se comporten como si de una sola red se tratase, es
decir, varios interfaces de IO conectados a distintos segmentos y la unión
de los segmentos para tratarlos como una única red se hace por software
(en tu caso). Al tratarse de unión de redes distintas (cables
independientes), la unión por software se realiza a nivel de enlace (la
capa de enlace del modelo OSI), y no a nivel de red.

2.- Firewall: Seguridad en redes. Trabaja a nivel de red, imposibilita las
conexiones a nivel de red entre dos equipos en concreto. Insisto, trabaja
a nivel de RED.

Por tanto, y sabiendo que ambos trabajan en niveles distintos, si lo que
quieres es poner un firewall para que no se puedan hacer conexiones al
puerto 80 entre los dos segmentos de red (por ejemplo), la solución radica
en poner como origen y destino el identificador de red de los segmentos
que quieres cerrar (al estar unidos por un puente, el identificador de red
es el mismo para todos los segmentos unidos por el puente), pero por
distintos interfaces. Es decir, que si quieres que la red 192.168.1.0
por el segmento 0 (eth0, por ejemplo) pueda hacer peticiones al puerto 80
de la red 192.168.1.0 en el segmento 1 (eth1 del bridge/firewall), las
reglas del firewall deben hacer referencia a los distintos interfaces de
entrada/salida del bridge/firewall, nunca al interfaz del puente.

En fin, que no se yo si ha quedado claro del todo (ni siquiera lo tengo yo
claro del todo, pero me aventuro a decir que es así).

Si he metido la gamba, pido disculpas y explicación del gambazo. Gracias.

> - Cambio mejor a un kernel superior (2.4.2) ?

No tienes por qué, pero si te hace ilusión...

> Se admiten sugerencias

:-)

> Muchas gracias a todos

Saludos.
---------------------------------------------------------------------
--- Rafael Ángel Sánchez Giménez ==== http://www.uco.es/~i72sagir ---
-------------------- E-mail: sagir@wanadoo.es -----------------------
---------------------------------------------------------------------

Reply to:

References:
- Bridge Firewall
  - From: Jordi Roman Mejias <jordi.roman@atilon.com>

Prev by Date: Re: Tutorial para crear paquetes Debian
Next by Date: "Borrar" paquetes no instalados
Previous by thread: Bridge Firewall
Next by thread: Re: Bridge Firewall
Index(es):
- Date
- Thread