Re: Ayuda para conectar un firewall (iptables) a un router cisco.
Creo que estas teniendo un fallo de conceptos pues le estas poniendo a
dos tarjetas de red que en principio estan en dos redes distintas) IP de
la misma red, por lo que el firewall no puede distinguir el trafico.
Lo normal seria algo como
Route ------- 192.168.1.2 eth0 firewall ----redinterna
192.168.1.1 gw 192.168.1.1 192.168.2.1 gw 192.168.2.1
cambiandole las ip o al router o a la red según puedas o sea mas facil
Esto es lo normal y lo que mejor funciona por seguridad, es posible
cambiar un poco usando "bridge", esto es que las dos tarjetas sean
trasparentes a la red, pero es mucho mas complicado y, mientras que para
el esquema normal hay paquetes como shorewall (con el webmin-shorewall
como interfaz) que te pueden hacer la viad mucho mas facil, en el caso
de usar puente no creo que encuentras mas que alguna receta algo parca y
en ingles, por lo que a no ser que nop tengas mas remedio (no tengas las
claves del router ni de algun servidor para poder cambiarle las ip) te
aconsejo que definas dos redes distintas y el firewall en medio.
El jue, 03-02-2005 a las 18:45 +0100, Pablo Braulio escribió:
> El Jueves, 3 de Febrero de 2005 18:20, velkrox@yahoo.com.ar escribió:
> > <quote pablo>
> > Tengo una red con un router cisco 1700 conectado a un switch cisco
> > catatlyst 2950. Mi intención es poner un equipo con Debian, iptables, squid
> > y dos tarjetas de red, para que haga de firewall y proxy. Pues por
> > desgracia el router tiene todos los puertos abiertos. En su día lo
> > compraron y no tienen quien lo administre. Por lo que la seguridad brilla
> > por su ausencia.
> >
> > Esquema:
> >
> > LAN ----->
> > ROUTER ----------------- SWITCH ------------------------------- SERVIDOR
> > DHCP
> > 192.168.1.9 192.168.1.1
> >
> > Quiero que quede así:
> >
> > LAN ------>
> > ROUTER --------FIREWALL (eth0-eth1) ----- SWITCH -------- SERVIDOR DHCP
> > 192.168.1.9 eth0 192.168.1.x 192.168.1.1
> > eth1 dhcpclient
> > </quote>
> >
> > confirmame lo siguiente:
> >
> > en el esquema actual)
> > - el router tiene la ip 192.168.1.9?
> Si
> > - el servidor dhcp tiene la ip 192.168.1.1?
> Si
> >
> > preguntas:
> >
> > en el esquema futuro)
> > - que ip tiene el router?
> La misma que tiene.
> > la eth0 del firewall?
> Es lo que me falta por definir. Estoy en duda si el servidor dhcp le pondrá
> una o si habrá que ponersela manualmente.
> > la eth1 del firewall?
> Segun hemos probado la pondrá el servidor dhcp
> > el servidor dhcp?
> La misma que tiene ahora.
> >
> >
> > <quote pablo>
> > Esta es la configuración del archivo interfaces:
> > --------------------------------------
> > # This file describes the network interfaces available on your system
> > # and how to activate them. For more information, see interfaces(5).
> >
> > # The loopback network interface
> > auto lo
> > iface lo inet loopback
> >
> > # The primary network interface
> > auto eth0
> > iface eth0 inet static
> > address 192.168.1.60
> > netmask 255.255.255.0
> > gateway 192.168.1.9
> > network 192.168.1.0
> > ---------------------------------------
> > </quote>
> >
> > si ese es tu archivo actual, te falta agregar la interface eth1. por
> > decirte un ejemplo:
> > # The primary network interface
> > auto eth1
> > iface eth1 inet static
> > address 192.168.2.60
> > netmask 255.255.255.0
> > gateway 192.168.2.9
> > network 192.168.2.0
>
> Pero la Lan tiene el rango 192.168.1.x. Tu le estás poniendo un "2". ¿O solo
> es el ejemplo?.
> >
> >
> > <quote pablo>
> > Los problemas que me he encontrado es al poner el firewall para que salga a
> > Internet. Después de varias pruebas no he conseguido ni siquiera que vea el
> > router. La interfaz interna funciona, ve el servidor dhcp y este le asigna
> > la
> > ip. Las reglas del firewall todavía no están aplicadas.
> > He empezado a mosquearme con el funcionamiento de la interfaz, y he
> > conectado
> > mi portatil al router. Si hago un ping al router, responde, pero no consigo
> > salir a internet. Creo que hay algo que no hago bien, pero ignoro de que se
> > trata. Es la primera vez que hago esto poniéndolo entre un router y un
> > switch.
> > Hasta ahora lo había hecho entre un modem cable y un switch, y no había
> > tenido problemas.
> > </quote>
> >
> > bueno, aca hay un par de cosas...
> > - que no veas al router: puede ser por no tener configurada correctamente
> > la interfaz.
> > - no tener internet, puede ser por no tener configurada el default gateway.
> > - no tener habilitado el forward.
> > - va, son varias...
> >
> >
> > hace una cosa:
> > contestame las preguntas de arriba y seguimos.
> >
> > saludos, velkro.
>
> Lo que no se si he dicho, es que todo esto es antes de iniciar el firewall. O
> sea, de momento intento que el equipo funcione (eth0 salga a internet y eth1
> a la Lan) y luego correr el script de iptables para que los demás equipos
> puedan salir a Internet.
>
> En otra red tengo este esquema:
>
> ( F I R E W A L L)
> internet ---> modem_cable ----->eth0-----> eth1----> ------> switch ----> Lan
>
> ...y esto en interfaces:
> -------------------------------------------
> # The loopback interface
> auto lo
> iface lo inet loopback
>
> # The first network card - this entry was created during the Debian
> installation
> auto eth0
> iface eth0 inet dhcp
>
> auto eth1
> iface eth1 inet static
> address 192.168.0.1
> netmask 255.255.255.0
> gateway 192.168.0.1
> network 192.168.0.0
> -----------------------------------------------
>
> ¿Que diferencia hay entre conectarlo a un router y conectarlo a un modem
> cable?.
>
> Me han comentado que pruebe bridge-utils, pero no se si será la solución.
>
> Gracias por la ayuda.
>
--
Antonio Trujillo Carmona <trujo@dti2.net>
Reply to: