|
Hay una configuración que me gustaría mostrar antes de dar por terminado este documento. La que acabo de comentar bastará seguramente para la mayoría de la gente. Sin embargo, pienso que el próximo ejemplo mostrará una más avanzada que puede resolver algunas dudas. Si tienes preguntas que trascienden lo cubierto hasta aquí, o simplemente estás interesado/a en la versatilidad de los servidores proxy y los cortafuegos, sigue leyendo.
Digamos, por ejemplo, que eres el líder de la Vigésimo Tercera Hermandad de la Discordia de Milwaukee. Te gustaría poner una red. Tienes 50 ordenadores y una subred de 32 (5 bites) direcciones IP (reales). Hay varios niveles de acceso. Se dicen cosas distintas a los discípulos según el nivel en que están. Obviamente, querrás proteger ciertas partes de la red de los discípulos que no están en ese nivel.
Renuncia de Responsabilidad: No soy miembro de la Hermandad de la Discordia. No conozco su terminología, ni me importa. Solo los estoy usando como ejemplo. Por favor, mandad todos los frutos de vuestros arrebatos de ira a
Los niveles son:
Las direcciones IP se disponen así:
Entonces se instalan dos redes, cada una en una habitación separada. Se utilizan Ethernets de infrarrojos, de tal manera que son completamente invisibles desde la habitación exterior. Por suerte, la Ethernet de infrarrojos funciona como la normal (o eso creo), de modo que podemos pensar en ellas como si fueran Ethernets normales.
Cada una de esas redes se conecta a una de las máquinas LiNUX a las que se asignaron las direcciones IP extras.
Hay un servidor de ficheros que conecta las dos redes protegidas. Esto se
debe a que los planes para dominar el mundo implican a algunos de los
iniciados de mayor nivel. El servidor de ficheros tiene la dirección
192.168.2.17
para la red de iniciados, y la 192.168.2.23
para la de adeptos. Tiene que tener dos direcciones dado que tiene dos
tarjetas Ethernet. Tiene deshabilitado el reenvio de paquetes IP.
El reenvio de paquetes IP también está deshabilitado en los dos LiNUXes. El router no encaminará paquetes con destino 192.168.2.xxx a menos que se le diga explícitamente, así que la Internet en ningún caso podría acceder al interior. La razón para deshabilitar el reenvio de paquetes IP aquí es para que los paquetes de la red de adeptos no lleguen a la de iniciados y viceversa.
El servidor de NFS puede ser configurado para ofrecer diferentes ficheros a las diferentes redes. Esto puede venir al pelo, y unos pocos trucos con enlaces simbólicos pueden hacer que se compartan los ficheros comunes entre todos. Con esta configuración y otra tarjeta Ethernet, el mismo servidor de ficheros puede dar servicio a las tres redes.
Dado que los tres niveles quieren rastrear la Internet para sus propios y diabólicos propósitos, los tres necesitan tener acceso a ella. La red externa está conectada directamente a la Internet, luego no tenemos que hacer nada. Las redes de adeptos e iniciados están detrás de sendos cortafuegos, luego es necesario instalar servidores proxy para ellas.
Las dos redes se configurarán de forma muy parecida. Ambas tienen las mismas direcciones IP asignadas. Añadiré un par de requisitos para hacerlo más interesante:
Así, el fichero sockd.conf
en el LiNUX de los iniciados tendrá esta
línea:
deny 192.168.2.17 255.255.255.255
y en la máquina de los adeptos:
deny 192.168.2.23 255.255.255.255
Y, el LiNUX de los iniciados tendrá esta línea
deny 0.0.0.0 0.0.0.0 eq 80
Que dice que se deniegue a todas las máquinas el acceso al puerto igual (eq) a 80, el puerto del http. Esto aún permitirá el acceso a otros servicios, sólo impedirá el acceso al Web.
Además, ambos ficheros contendrán:
permit 192.168.2.0 255.255.255.0
para permitir a todos los ordenadores de la red 192.168.2.xxx usar este servidor proxy, excepto aquello que ya ha sido prohibido (esto es: cualquier acceso desde el servidor de ficheros y el acceso al Web desde la red de iniciados)
El fichero sockd.conf
de los iniciados será más o menos:
deny 192.168.2.17 255.255.255.255
deny 0.0.0.0 0.0.0.0 eq 80
permit 192.168.2.0 255.255.255.0
y el de los adeptos será más o menos:
deny 192.168.2.23 255.255.255.255
permit 192.168.2.0 255.255.255.0
Con esto todo debería estar configurado correctamente. Cada red está aislada como corresponde, con el grado apropiado de interacción. Todo el mundo debería estar contento. Ahora, cuidado con los cristales de 6,5 MHz...
Hosting by: hurra.com
Generated: 2007-01-26 18:00:34