Re: [OT] Ip-aliasing + Ip- Masquerading: ¿Es conveniente?

To: Rubén Gómez Antolí <mixtolobo@jazzfree.com>
Cc: Debian user Spanish <debian-user-spanish@lists.debian.org>
Subject: Re: [OT] Ip-aliasing + Ip- Masquerading: ¿Es conveniente?
From: andres <andres@nodo50.org>
Date: Mon, 25 Nov 2002 12:05:48 +0100
Message-id: <[🔎] 3DE2040C.6C8CC6CF@nodo50.org>
References: <[🔎] 3DE1F05D.704@jazzfree.com>
Hola:

Este mirate este mail que te pego aquí, se lo pase a otro compañero de la
lista... supongo que te servirá en algo. Leélo y luego me contás. Si no podés
despegar con el. Te contáctas nuevamente y vemos que pasa.

Suerte

andrés

-----------------------------------------------------------------------------

> Hola:
>
> Bueno no están díficil lo que intentas hacer, lo que pasa es que estás
mezclando
> algunas cosas...
>
> Por otra parte si tuvieras que configurar un kernel tampoco es tan grave, no
> tengas miedo, la primera vez asusta está claro, pero seguro te podemos ayudar
así
> como otros compañeros nos han ayudado a nosotros a lograr armar un kernel a
> medida por primera vez.
>
> Te cuento, yo también tengo ipchains en mi maquina, está da salida al Mundo
> (Internet) a otros dos PC con güindos =)
>
> Está maquina que tiene configurada determinadas reglas de ipchains y que
permite
> a las otras salir hacia Internet, es a la vez un servidor web.
>
> Yo en principio cuando instale debian en ella, deje el kernel que trae por
> defecto la instalación (2.2.19) que no está mal en principio.
>
> Ya incluye dentro del mismo a ipchains (whereis ipchains, y la salida te da
esto
> /sbin/ipchains), para que funcione prolijo, debes hacer ciertos retoques como
por
> ejemplo:
>
> orvux# less /etc/network/options
>
> ip_forward=yes
> spoofprotect=yes
> syncookies=yes
>
> ------------------------------------------
>
> Y poner como valor en yes a ip_forward, necesario para poder utilizar
> enmascaramiento de IP, spoofprotect ya evitar el spoofing y syncookies, para
> proteger el kernel ante ataques.
>
> Si esto lo tenés así, perfecto lo único que te queda es definir las reglas de
> filtrado:
>
> Yo te pongo algunos ejemplos y vos lo vez y vas probando, pero eso sí tene en
> cuenta que si en alguna reglas para quienes están enla Intranet es decir en la
> LAN interna vos pones un final como REJECT es seguro que ni descarga el correo
y
> ni siquiera sale al Mundo... es decir le será imposible navegar por Internet,
> porque le estás denegando un servicio.
>
> Las reglas están comentadas, está fácil... una vez que estes práctico seguro te

> haces las tuyas a medida
>
>
-------------------------------------------------------------------------------------------------------------------------------------

>
> Te aclaro que la IP (180.26.4.11 es de ejemplo y esta sería la que está
conectada
> a router que
> te da conexión a Internet... router o lo que fuera! y la 192.168.0.100 es la
> segunda IP de la otra tarjeta
> de red, que es la que está conectada a la Intranet o LAN interna ok!)
>
> Fíjate y experimenta un poco con las reglas...
>
> # Comenzamos haciendo un flush. Esto limpia todas las reglas que
> # pudiéramos haber introducido previamente
>
> /sbin/ipchains -F
>
> # Después aplicamos por defecto tres reglas que dicen que:
> # Se cierran las conexiones de entrada por defecto
>
> /sbin/ipchains -P input DENY
>
> # Se cierran las conexiones de forward por defecto
>
> /sbin/ipchains -P forward DENY
>
> # Se abren las conexiones de salida por defecto
>
> /sbin/ipchains ?P output ACCEPT
>
> # Después de las reglas de política por defecto,
> # aplicamos reglas que hagan referencia a conexiones a
> # dispositivos o puertos concretos
> # Aceptamos las conexiones de entrada desde procesos locales
> # (por el interfaz .lo.)
>
> /sbin/ipchains -A input -i lo -j ACCEPT
>
> # Aceptamos las conexiones de entrada provenientes de IPs
> # de la red local (o sea, que entren por cualquier
> # interfaz excepto eth0)
>
> /sbin/ipchains -A input -s 180.26.4.11 ?i! 192.168.0.100 -j ACCEPT
>
> # Rechazamos los fragmentos de paquetes ICMP
>
> /sbin/ipchains -A input -p icmp -f -d 180.26.4.11 -i 192.168.0.100 -j DENY
>
> # Pero aceptamos los paquetes ICMP normales, para que
> # nuestro equipo responda a pings, por ejemplo.
>
> /sbin/ipchains -A input-p icmp -d 180.26.4.11 -i 192.168.0.100 -j ACCEPT
>
> # Rechazamos en todo caso las conexiones TCP y también las UDP
> # a algunos puertos típicos de troyanos como BackOrifice o SubSeven.
>
> /sbin/ipchains -A input -p udp -d 180.26.4.11 12345:12346 -i 192.168.0.100 ?j
> DENY
>
> /sbin/ipchains -A input -p tcp -d 180.26.4.11 12345:12346 -i 192.168.0.100 -j
> DENY
>
> /sbin/ipchains -A input -p udp -d 180.26.4.11 31337 ?i 192.168.0.100 ?j DENY
>
> /sbin/ipchains -A input ?p tcp ?d 180.26.4.11 31337 -i 192.168.0.100 ?j DENY
>
> /sbin/ipchains -A input -p udp -d 180.26.4.11 5999:6010 -i 192.168.0.100 -j
DENY
>
> /sbin/ipchains -Ai~ut -p tcp -d 180.26.4.11 5999:6010 -i 192.168.0.100 -j DENY
>
> # Rechazamos también las conexiones al puerto de MYSQL
>
> /sbin/ipchains -A input -p udp ?d 180.26.4.11 3306 -i 192.168.0.100 -j DENY
>
> /sbin/ipchains -A input -p tcp -d 180.26.4.11 3306 -i 192.168.0.100 -j DENY
>
> # Rechazamos todas las conexiones que no sean las anteriores claro, de entrada
> # al puerto 1024 y a cualquiera por encima de él (por eso los ?:? que equivalen

> # aquí a 1024:65535)
>
> /sbin/ipchains -A input ?p udp -d 180.26.4.11 l024: -i 192.168.0.100 -j DENY
>
> /sbin/ipchains -A input ?p tcp -d 180.26.4.11 l024: -i 192.168.0.100 -j DENY
>
> # Enmascaramos las conexiones de forward desde direcciones IP de la red local
> # hacia el exterior (o sea, salientes por el interfaz eth0)
>
> /sbin/ipchains -A forward -s 192.168.0.0/24 -d 0/0 -j MASQ
>
>
-------------------------------------------------------------------------------------------------------------------

>
> Otra cosa si querés dar entrada a la gente de la LAN interna para descargar el
> correo,
> supongo que tendrás que habilitar un conexión al puerto por ejemplo 110 del
pop,
> no sé
> anda probando vale, es lo mejor...
>
> mucha suerte
>
> andrés

=?ISO-8859-15?Q?Rub=E9n_G=F3mez_Antol=ED?= ha escrito:

> Hola a todos,
>
> Hace unos dias que me han puesto el ADSL, y por motivos que ya comente
> en otro correo a la lista, necesitaba que el servidor que tenemos
> funcionando utilizara dos redes:
>
> 192.168.0.0
> 129.100.1.100
>
> La respuesta que se me dio a no utilizar dos tarjetas de red, fue
> utilizar ip-aliasing.
>
> Bien, despues de documentarme, he leido por algún lado que no es muy
> conveniente, concretamente en el ip-masquerading howto:
> [Ip-masquerade howto]
>
>   ( IP Aliasing ) - Can IP Masquerade work with only ONE Ethernet
>   network card?
>
> Yes and no. With the "IP Alias" kernel feature, users can setup multiple
> aliased interfaces such as eth0:1, eth0:2, etc but its is NOT
> recommended to use aliased interfaces for IP Masquerading. Why?
> Providing a secure firewall becomes very difficult with a single NIC
> card. In addition to this, you will experience an abnormal amount of
> errors on this link since incoming packets will almost simultaneously be
> sent out at the same time. Because of all this and NIC cards now costs
> less than $10, I highly recommend to just get a NIC card for each MASQed
> network segment.
>
> Users should also understand that IP Masquerading will only work with a
> physical interface such as eth0, eth1, etc. MASQing out an aliased
> interface such as "eth0:1, eth1:1, etc" will NOT work. In other words,
> the following WILL NOT WORK:
>
>     *
>
>       /sbin/ipfwadm -F -a m -W eth0:1 -S 192.168.0.0/24 -D 0.0.0.0/0
>
>     *
>
>       /sbin/ipchains -A forward -i eth0:1 -s 192.168.0.0/24 -j MASQ"
>
> If you are still interested in using aliased interfaces, you need to
> enable the "IP Alias" feature in the kernel. You will then need to
> re-compile and reboot. Once running the new kernel, you need to
> configure Linux to use the new interface (i.e. /dev/eth0:1, etc.). After
> that, you can treat it as a normal Ethernet interface with some
> restrictions like the one above.
>
> ------------------------------------------------------------------------
> [/Ip-masquerade howto]
>
> El caso, es que aparte de los errores que me tira las reglas del
> cortafuegos, que es otro cantar, me gustaría preguntar, si no me
> conviene mas comprar otra segunda tarjeta de red, que total vale cuatro
> duros, o por el contrario puede funcionar bien el asunto con una sola
> tarjeta de red.
>
> Si se puede hacer funcionar bien el asunto con una sola tarjeta de red,
> ¿donde puedo encontrar información para configurarla? ¿Algún howto o
> tutorial? Me he encontrado que el asunto no es tan trivial como podia
> parecer al principio.
>
> Aunque, vuelvo a hacer hincapie en esto, me resulta mas interesante
> saber que solución es mas conveniente.
>
> Muchas gracias por vuestra atención, y por las respuestas que seguro que
> dais.
>
> Salud y Revolución.
>
> Lobo.
>
> Pd.: Releyendo el «adjunto» me parece que me autocontestare, el
> masquerading no funciona con una sola tarjeta de red. De todas formas,
> os lo mando a ver que os parece.
>
> --
> Libertad es poder elegir en cualquier momento. Ahora yo eligo GNU/Linux,
> para no atar mis manos con las cadenas del soft propietario.
> ---------
> Desde El Ejido, en Almeria, usuario registrado linux #294013
> http://www.counter.li.org
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to:
Follow-Ups:
- Re: [OT] Ip-aliasing + Ip- Masquerading: ¿Es conveniente?
  - From: Rubén Gómez Antolí <mixtolobo@jazzfree.com>
References:
- [OT] Ip-aliasing + Ip- Masquerading: ¿Es conveniente?
  - From: Rubén Gómez Antolí <mixtolobo@jazzfree.com>
Prev by Date: Re: problemas con el path en apt-get install.
Next by Date: Re: Pine
Previous by thread: [OT] Ip-aliasing + Ip- Masquerading: ¿Es conveniente?
Next by thread: Re: [OT] Ip-aliasing + Ip- Masquerading: ¿Es conveniente?
Index(es):
- Date
- Thread