Re: Aislar dos subredes

To: debian-user-spanish@lists.debian.org
Subject: Re: Aislar dos subredes
From: Raúl Hernández <raulh@NOSPAMciccp.es>
Date: Sat, 18 Mar 2006 10:29:50 +0100
Message-id: <[🔎] 20060318092950.GA4446@ciccp.es>
Mail-followup-to: debian-user-spanish@lists.debian.org
In-reply-to: <[🔎] f05666f00603171053g6a1b20fbu@mail.gmail.com>
References: <[🔎] f05666f00603171053g6a1b20fbu@mail.gmail.com>

El vie, 17/mar/2006 a las 03:53:13 -0300, Roberto Pereyra comentaba:
> Date: Fri, 17 Mar 2006 15:53:13 -0300
> From: Roberto Pereyra <pereyra.roberto@gmail.com>
> Subject: Aislar dos subredes
> To: lista de correo Debian <debian-user-spanish@lists.debian.org>
> 
> Hola
> 
> 
> Les quiero dejar una consulta, para que me den una idea general de como
> resolverlo, nada más que eso.
> 
> Tengo que dividir una red en dos subredes que tengan ambas acceso a internet
> y que no se vean entre ellas.
> 
> La red esta conectada a un switch. Lo que tengo es una pc a la que le puede
> poner varias placas de red.
> 
> La red esta coenctada a un router con el que accede a internet.
> 
> Recuerden que todo esta en un mismo switch.
> 
> ¿ cual seria la mejor forma de aislar las dos redes solo por software (puedo
> agregar mas placas de red al servidor que seria el firewall)?
> 
> Lo mejor sería que si alguien cambia las ips de una subred a las ips de la
> otra siga sin tener acceso a la misma.

Hola,

hasta donde yo sé tendrás que disponer un Firewall con tres tarjetas
de red (reales o virtuales ;) aislando los segmentos de red en la
definición de las subredes.

Pongamos que usas el rango de IPs 192.168.0.0/255.255.255.0 para el
router/swicht, por tanto todas las IPs de la red deben estar en ese
rango. Entoces aislamos las subredes por segmentos (man ipcalc) con un
esquema lógico que podría ser:

                      inet
                        |
                      router
                        |ethX:192.168.0.1/29
                        |
                        |eth0:192.168.0.2/29
             _________firewall_______
             |                       |
       eth1:192.168.0.49/29     eth2:192.168.0.97/29
             |                       |
           subred1                 subred2
 
Cuando en realidad el esquema de cableado es:

                      inet
                        |
            subred1___router____subred2
                        |
                        |
                     firewall

No necesitas mas que un único interfaz de red en el firewall, ya que
puedes tener los tres interfaces necesarios mediante interfaces
virtuales (eth0:0, eth0:1, eth0:2) ¿iptables lo soporta?

Aunque la verdad, por el precio de una tarjeta ethernet, yo no me
complicaría (y de hecho no lo hago ;)

Para configurar iptables, Shorewall es una opción a tener en cuenta por
los tres interfaces:

    http://www.shorewall.net/three-interface.htm

Si necesitas más de 6 máquinas por segmento de red, cambia /29 por /28
(14 máquinas) o /27 (30 máquinas). man ipcalc
-- 
Un saludo.
Raúl Hernández <raulh@NOSPAMciccp.es>
                      ^^^^^^
¡¡¡Por favor, elimina NOSPAM del email para responder!!!

Reply to:

References:
- Aislar dos subredes
  - From: "Roberto Pereyra" <pereyra.roberto@gmail.com>

Prev by Date: Como asociarse a un ap.
Next by Date: Re: K3B no muestra el módulo de control
Previous by thread: Re: Aislar dos subredes
Next by thread: Re: Aislar dos subredes
Index(es):
- Date
- Thread