Re: routed ? iptables ?
El mar, 23-09-2003 a las 09:10, marcelo Debian User escribió:
> hola lista !!
> les cuento un poco como esta mi red
> tengo una red con windoz$ (clientes) y un linux (servidor con squid, dns de
> cacheo, firewall y servidor dhcp) con dos placas de red: eth0 con 192.168.1.1
> y eth1 con una ip publica.
> Algunas de los windoz$ tienen ip dinámicas y otras un rango de ip publicas.
> Todos los windoz$ tienen como servidor de DNS y gateway el linux: si tienen
> ip 192.168.1.x gateway Y DNS a 192.168.1.1 del linux, y los windoz$ con ip
> publica tienen el gateway y DNS a la ip publica de llinux.
> el linux es el único que tiene default gateway la ip del router del ISP.
> físicamente la red es: el cable del ISP termina en un router (cisco1600) ahí
> comienza para mi el "afuera". de ese router pasa a un swich1 y de este a un
> swich2. y por ultimo todas las maquinas incluso el linux con las dos placas
> están conectadas a los swich
> _____ _____ ____
> / \ / \ / \
> Router ISP---------->[SWICH]-------------[SWICH]
> \CISCO/ [ 1 ] [ 2 ]
> 1600 / | | | \ / | | | |
> / | | | \ / | | |
>
>
> es decir que físicamente el linux NO esta entre "el afuera" y mi red.
> el problema es el siguiente:
> las maquinas windouz$ que enmascaro (192.168.1.X) no hay problema : acepto
> las establecidas acepto todo lo que envían y drop todo lo que llega sin ser
> pedido.
> pero con las otras que tienen ip publicas se "ven" desde afuera si alguien
> las busca con la ip publica. (tan fácil como poner la ip publica en "buscar
> PC" desde otro windoz$ que esta afuera !!!)
> es decir que desde afuera llegan a los windoz$ sin pasar por el linux.
> probando, me di cuenta que haciendo un traceroute desde afuera la ultima
> dirección ip antes de uno de los windoz$ NO ES la ip del router que tengo en
> la red:
> entonces la pregunta es:
> si le digo a los de mi ISP que configuren el router para que direccione TODO
> a la ip publica del linux, ¿soluciono el problema de que desde afuera puedan
> llegar a los windoz$ sin pasar por el linux ? o esto solo es posible si
> fisicamente el linux esta entre el router y los swich y por ende de los
> windoz$ ??
> ¿y en cualquier caso si todo el trafico pasa por el linux (sea por que el
> router del isp lo direcciona o por que físicamente el linux esta en el
> medio) tengo que usar routed, o con agregar rutas desde el comando route add
> etc, alcanza o si se puede hacer con iptables (deep magic) DNAT o FORGUAD
> POSTROUTING ... o algo asi de ....
> (obviamente los windoz$ con ip publica tienen que salir con su ip y no con la
> del linux)
> bueno, ante todo gracias y espero que se entienda y que el grafiquito en
> ASCII llegue bien : )
>
Resumiendo:
DEBES tener todas las maquinas con IPs internas para protegerlas con el
FW
Si queres que algunas maquinas se "vean" con IP publica tenes que hacer
NAT con iptables
saludos
--
Angel Claudio Alvarez
Reply to: