<HTML> <HEAD> <TITLE>Cortafuegos COMO: Configuración Avanzada</TITLE> </HEAD> <BODY> <A HREF="Cortafuegos-Como-5.html">Anterior</A> <A HREF="Cortafuegos-Como-7.html">Siguiente</A> <A HREF="Cortafuegos-Como.html#toc6">Indice</A> <HR> <H2><A NAME="s6">6. Configuración Avanzada</A></H2> <P>Hay una configuración que me gustaría mostrar antes de dar por terminado este documento. La que acabo de comentar bastará seguramente para la mayoría de la gente. Sin embargo, pienso que el próximo ejemplo mostrará una más avanzada que puede resolver algunas dudas. Si tienes preguntas que trascienden lo cubierto hasta aquí, o simplemente estás interesado/a en la versatilidad de los servidores proxy y los cortafuegos, sigue leyendo. </P> <H2><A NAME="ss6.1">6.1 Una gran red con énfasis en la seguridad</A></H2> <P>Digamos, por ejemplo, que eres el líder de la <EM>Vigésimo Tercera Hermandad de la Discordia de Milwaukee</EM>. Te gustaría poner una red. Tienes 50 ordenadores y una subred de 32 (5 bites) direcciones IP (reales). Hay varios niveles de acceso. Se dicen cosas distintas a los discípulos según el nivel en que están. Obviamente, querrás proteger ciertas partes de la red de los discípulos que no están en ese nivel. </P> <P><EM>Renuncia de Responsabilidad:</EM> No soy miembro de la Hermandad de la Discordia. No conozco su terminología, ni me importa. Solo los estoy usando como ejemplo. Por favor, mandad todos los frutos de vuestros arrebatos de ira a</P> <P>Los niveles son:</P> <P> <OL> <LI><B>El nivel externo</B>. Éste es el nivel que se enseña a cualquiera. Básicamente es un rollo patatero sobre Eris, Diosa de la Discordia, y un montón de chorradas más. </LI> <LI><B>Iniciado</B>. Este es el nivel para la gente que ha pasado del nivel externo. Aquí es donde se les dice que la discordia y la estructura son realmente una, y que Eris es también Jehová. </LI> <LI><B>Adepto</B>. Aquí es donde se encuentra el <EM>verdadero</EM> plan. En este nivel se guarda toda la información de cómo la Sociedad de la Discordia va a dominar el mundo gracias a un diabólico, aunque jocoso, plan que implica a Newt Gingrich, los Cereales Wheaties, O.J. Simpson, y quinientos cristales de cuarzo erróneamente etiquetados como de 6,5 MHz. </LI> </OL> </P> <H3>Configuración de la Red</H3> <P>Las direcciones IP se disponen así:</P> <P> <UL> <LI>Una dirección es 192.168.2.255, que es la de difusión y por lo tanto no utilizable. </LI> <LI>23 de las 32 direcciones IP se asignan a las 23 máquinas accesibles desde la Internet. </LI> <LI>Una dirección IP extra es para una máquina LiNUX en esa red.</LI> <LI>Una dirección IP extra es para otra máquina LiNUX en esa red.</LI> <LI>Dos direcciones IP son para el router que los conecta con la Internet.</LI> <LI>Cuatro se dejan sin usar, pero se les asignan los nombres paul, ringo, john, y george, sólo para confundir las cosas un poco. </LI> <LI>Las dos redes protegidas tienen direcciones del tipo 192.168.2.xxx .</LI> </UL> </P> <P>Entonces se instalan dos redes, cada una en una habitación separada. Se utilizan Ethernets de infrarrojos, de tal manera que son completamente invisibles desde la habitación exterior. Por suerte, la Ethernet de infrarrojos funciona como la normal (o eso creo), de modo que podemos pensar en ellas como si fueran Ethernets normales. </P> <P>Cada una de esas redes se conecta a una de las máquinas LiNUX a las que se asignaron las direcciones IP extras. </P> <P>Hay un servidor de ficheros que conecta las dos redes protegidas. Esto se debe a que los planes para dominar el mundo implican a algunos de los iniciados de mayor nivel. El servidor de ficheros tiene la dirección <CODE>192.168.2.17</CODE> para la red de iniciados, y la <CODE>192.168.2.23</CODE> para la de adeptos. Tiene que tener dos direcciones dado que tiene dos tarjetas Ethernet. Tiene <B>deshabilitado</B> el reenvio de paquetes IP. </P> <P>El reenvio de paquetes IP también está deshabilitado en los dos LiNUXes. El router no encaminará paquetes con destino 192.168.2.xxx a menos que se le diga explícitamente, así que la Internet en ningún caso podría acceder al interior. La razón para deshabilitar el reenvio de paquetes IP aquí es para que los paquetes de la red de adeptos no lleguen a la de iniciados y viceversa. </P> <P>El servidor de NFS puede ser configurado para ofrecer diferentes ficheros a las diferentes redes. Esto puede venir al pelo, y unos pocos trucos con enlaces simbólicos pueden hacer que se compartan los ficheros comunes entre todos. Con esta configuración y otra tarjeta Ethernet, el mismo servidor de ficheros puede dar servicio a las tres redes. </P> <H3>El Servidor Proxy</H3> <P> </P> <P>Dado que los tres niveles quieren rastrear la Internet para sus propios y diabólicos propósitos, los tres necesitan tener acceso a ella. La red externa está conectada directamente a la Internet, luego no tenemos que hacer nada. Las redes de adeptos e iniciados están detrás de sendos cortafuegos, luego es necesario instalar servidores proxy para ellas. </P> <P>Las dos redes se configurarán de forma muy parecida. Ambas tienen las mismas direcciones IP asignadas. Añadiré un par de requisitos para hacerlo más interesante: </P> <P> <OL> <LI>No se debe poder usar el servidor de ficheros para acceder a la Internet Esto le expone a virus y otras cosas desagradables, y es bastante importante. </LI> <LI>No permitiremos a los Iniciados acceso al World Wide Web. Están formándose, y la adquisición de ese tipo de información podría resultar dañina. </LI> </OL> </P> <P>Así, el fichero <CODE>sockd.conf</CODE> en el LiNUX de los iniciados tendrá esta línea:</P> <P> <BLOCKQUOTE><CODE> <PRE> deny 192.168.2.17 255.255.255.255 </PRE> </CODE></BLOCKQUOTE> </P> <P>y en la máquina de los adeptos:</P> <P> <BLOCKQUOTE><CODE> <PRE> deny 192.168.2.23 255.255.255.255 </PRE> </CODE></BLOCKQUOTE> </P> <P>Y, el LiNUX de los iniciados tendrá esta línea</P> <P> <BLOCKQUOTE><CODE> <PRE> deny 0.0.0.0 0.0.0.0 eq 80 </PRE> </CODE></BLOCKQUOTE> </P> <P>Que dice que se deniegue a todas las máquinas el acceso al puerto igual (<EM>eq</EM>) a 80, el puerto del http. Esto aún permitirá el acceso a otros servicios, sólo impedirá el acceso al Web. </P> <P>Además, ambos ficheros contendrán:</P> <P> <BLOCKQUOTE><CODE> <PRE> permit 192.168.2.0 255.255.255.0 </PRE> </CODE></BLOCKQUOTE> </P> <P>para permitir a todos los ordenadores de la red 192.168.2.xxx usar este servidor proxy, excepto aquello que ya ha sido prohibido (esto es: cualquier acceso desde el servidor de ficheros y el acceso al Web desde la red de iniciados) </P> <P>El fichero <CODE>sockd.conf</CODE> de los iniciados será más o menos:</P> <P> <BLOCKQUOTE><CODE> <PRE> deny 192.168.2.17 255.255.255.255 deny 0.0.0.0 0.0.0.0 eq 80 permit 192.168.2.0 255.255.255.0 </PRE> </CODE></BLOCKQUOTE> </P> <P>y el de los adeptos será más o menos:</P> <P> <BLOCKQUOTE><CODE> <PRE> deny 192.168.2.23 255.255.255.255 permit 192.168.2.0 255.255.255.0 </PRE> </CODE></BLOCKQUOTE> </P> <P>Con esto todo debería estar configurado correctamente. Cada red está aislada como corresponde, con el grado apropiado de interacción. Todo el mundo debería estar contento. Ahora, <EM>cuidado con los cristales de 6,5 MHz...</EM></P> <HR> <A HREF="Cortafuegos-Como-5.html">Anterior</A> <A HREF="Cortafuegos-Como-7.html">Siguiente</A> <A HREF="Cortafuegos-Como.html#toc6">Indice</A> </BODY> </HTML>
