[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Ayuda para conectar un firewall (iptables) a un router cisco.



El Jueves, 3 de Febrero de 2005 16:34, Pablo Braulio escribió:
> Hola a todos.
> Necesito bastante ayuda en esto, pues estoy totalmente atascado.
>
> Tengo una red con un router cisco 1700 conectado a un switch cisco
> catatlyst 2950. Mi intención es poner un equipo con Debian, iptables, squid
> y dos tarjetas de red, para que haga de firewall y proxy. Pues por
> desgracia el router tiene todos los puertos abiertos. En su día lo
> compraron y no tienen quien lo administre. Por lo que la seguridad brilla
> por su ausencia.
>
> Esquema:
>
>        LAN ----->
> ROUTER ----------------- SWITCH ------------------------------- SERVIDOR
> DHCP 192.168.1.9               192.168.1.1
>
> Quiero que quede así:
>
>                 LAN ------>
> ROUTER --------FIREWALL (eth0-eth1)    ----- SWITCH -------- SERVIDOR DHCP
> 192.168.1.9   eth0 192.168.1.x          192.168.1.1
>         eth1 dhcpclient
>

Creo que te fallan algunos conceptos básicos del mundo de las redes. No 
entiendo muy bien eso de:   LAN---router---switch----servidor, yo creo que lo 
que quieres decir es:  internet-----router-----switch----servidor. Es decir, 
el router une internet con la LAN (maquinas tras el router, incluido el 
switch y el servidor).

Topologías aparte, además partes de una situación donde tras el router 
(consideramos delante del router "el mundo internet" y detrás la LAN del 
cliente) sólo tienes una red IP, a saber: 192.168.1.0 supongo que tipo C 
(máscara 255.255.255.0). Si metes un firewall entre el router y el resto de 
las máquinas de la LAN:   internet----router----firewall---LAN, lo lógico es 
que no trocees/partas  tu red 192.168.1.0 actual ya que el firewall se 
"volverá loco" si ve que tiene la misma red en dos patas distintas. Es por 
esto por lo que te funciona tu portatil contra el router y no cuando pones el 
firewall, ya que este último recibe una IP del DHCP perteneciente a la misma 
red que tiene en la puerta del router, esto, hasta donde yo sé no es muy 
coherente.

Además el router estará haciendo NAT (traducción de direcciones), y 
probablemente estático contra las actuales direcciones tipo 192.168.1.0, por 
lo que esta red es candidata a quedarse detrás del router.... supongo que 
tendrías que cambiar todas las IPs de la LAN y hacer nat en el firewall, de 
tal forma que alguien situado tras de si con dirección, por ejemplo, 
192.168.2.7 sea convertido a la dirección 192.168.1.7 para que a su vez el 
router lo traduzca a su dirección pública...

En fin, no entiendo que quieres hacer pero considerando que estás en una red 
privada, no creo que nadie de internet sea capaz de alcanzar tus máquinas si, 
previamente, no revienta el router.

Sólo pretendía darte una idea de la complejidad teórica del problema.

Un saludo.



Reply to: