Re: routed ? iptables ?

To: debian-user-spanish@lists.debian.org
Subject: Re: routed ? iptables ?
From: Christoph Simon <ciccio@kiosknet.com.br>
Date: Thu, 25 Sep 2003 16:45:09 -0300
Message-id: <[🔎] 20030925164509.66748341.ciccio@kiosknet.com.br>
In-reply-to: <[🔎] 20030923151158.CED5C1F457@murphy.debian.org>
References: <[🔎] 20030923151158.CED5C1F457@murphy.debian.org>

On Tue, 23 Sep 2003 09:10:27 -0300
marcelo Debian User <mveselich@gmx.net> wrote:

> les cuento un poco como esta mi red
> tengo una red con windoz$  (clientes) y un linux (servidor con squid,
> dns de cacheo, firewall y servidor dhcp) con dos placas de red: eth0 con
> 192.168.1.1 y eth1 con una ip publica.
> Algunas de los windoz$ tienen ip dinámicas y otras un rango de ip
> publicas.

Si tienes clientes con IP público, entonces tu firewall no sirve para
nada. Es como colocar una puerta en el campo. Si el IP de aqueles que
son dinámico es público, lo mismo. Si no lo es, me pregunto porque. El
IP dinámico sirve para poder operar una red que tiene más ordenadores
que IPs disponibles y estos ordenadores no están siempre conectados,
como por ejemplo un ISP o una BBS. Parece que el manual del Windows NT
que recomienda esta tontería ya ha llegado al mundo Linux.

> Todos los windoz$ tienen como  servidor de DNS y gateway  el
> linux: si tienen ip 192.168.1.x gateway Y DNS a 192.168.1.1 del linux, y
> los windoz$ con ip publica tienen el gateway y DNS a la ip publica de
> llinux.

Esto quiere decir que puedo llegar hasta tu firewall desde aqui
mismo. Talvez no puedo atravesarlo, pero puedo llegar hasta la red
interna que se supone que protege, sólo usando una de estas máquinas
windows. Si el usuario de Windows tiene la idea gloriosa de activar el
forwarding e masquerading con algunos clicks aburridos en el panel de
control, o si alguien le envia un email con un VB que lo hace para él,
ya tengo acceso a toda tu red, incluso si tu iptables no tiene más que
DROP. Talvez tienes suerte y quien hace esto te formatea los windows y
coloca debian.

> el linux es el único que tiene default gateway  la ip del router
> del ISP.

Si "único" incluye los que tienen IP público, con esto consigue sólo
que ellos salgan a través del linux, pero no que yo entre sin
necesidad de pasar por el firewall.

>  es decir que físicamente el linux NO esta entre "el afuera" y mi red.

Este es tu problema. Cada cable que conecta la red interna con la
Internet necesita un firewall, y es más fácil que sólo haya uno y que
físicamente no haya alternativas.

> pero con las otras que tienen ip publicas se "ven" desde afuera si
> alguien las busca con la ip publica. (tan fácil como poner la ip publica
> en "buscar PC" desde otro windoz$ que esta afuera !!!) 
> es decir que desde afuera llegan a los windoz$ sin pasar por el linux.
> probando, me di cuenta que haciendo un traceroute desde afuera la ultima

Parece que estás aprendiendo por la vía difícil. ¿Por qué no te estudias
un buen libro sobre redes? Elimina los IPs públicos dentro de una red
interna. Al final, ¿es una red interna o es una red pública?

> dirección ip antes de uno de los windoz$ NO ES la ip del router que
> tengo en la red:

Claro. Si hay un camino directo, el router estaría mal si me envia por
un camino indirecto.

> entonces la pregunta es:
> si le digo a los de mi ISP que configuren el router para que direccione
> TODO  a la ip publica del linux, ¿soluciono el problema de que desde
> afuera puedan llegar a los windoz$ sin pasar por el linux ?

No. Siempre puede haber una manera de spoofing que te fastidia. Entre
la Internet y el firewall no puede haber más que un cable. Y entre el
firewall y la red interna igual. Colocando el firewall y la red
interna en el mismo hub/switch te engañas a ti mismo.

> o esto solo
> es posible si fisicamente el linux esta entre el router y los swich y
> por ende de los windoz$ ??

Obviamente es posible lo que haces, pero es todo menos seguro.

> ¿y en cualquier caso   si  todo el trafico pasa por el linux (sea por
> que el router del isp lo direcciona  o por que físicamente el linux esta
> en el medio) tengo que usar routed, o con agregar rutas desde el comando
> route add etc, alcanza o si se puede hacer con iptables (deep magic)
> DNAT o FORGUAD POSTROUTING ... o algo asi de ....

¿iptables es deep magic? ¿Dónde hemos dejado el gorro de brujo todos
los que usamos iptables diariamente?

Manda el Cisco de vuelta al ISP, coloca un cable de Internet en una
tarjeta de red del firewall y un cable de la segunda tarjeta al
hub/switch. Todos tendrán el firewall como gateway y no necesitas nada
especial para las rutas. Tu situación es tan simple que no vale la
pena ningún routed.

> (obviamente los windoz$ con ip publica tienen que salir con su ip y no
> con la del linux)

No has dicho porque algunos windows tienen ip pública. Si es porque el
usuario es el jefe, desconéctale de la red interna (como no sabe
usarla no lo notará). Si es que no te gusta el apache y quieres un
distribuidor de vírus porque cuesta mucho dinero, lo mismo:
desconéctalo de la red interna. En el segundo caso necesitas construir
una DMZ.

-- 
Christoph Simon
ciccio@kiosknet.com.br
---
^X^C
q
quit
:q
^C
end
x
exit
ZZ
^D
?
help
.

Reply to:

References:
- routed ? iptables ?
  - From: marcelo Debian User <mveselich@gmx.net>

Prev by Date: Re: Problemas con libreria
Next by Date: Re: una facil
Previous by thread: routed ? iptables ?
Next by thread: Re: routed ? iptables ?
Index(es):
- Date
- Thread