PDF de programación - Bridge+Cortafuegos Mini Como

Imágen de pdf Bridge+Cortafuegos Mini Como

Bridge+Cortafuegos Mini Comográfica de visualizaciones

Actualizado el 29 de Enero del 2020 (Publicado el 14 de Enero del 2017)
446 visualizaciones desde el 14 de Enero del 2017
56,9 KB
10 paginas
Creado hace 22a (19/12/1997)
Bridge+Cortafuegos Mini-COMO

Peter Breuer, ptb@it.uc3m.es

v1.2, 19 Diciembre 1997

Configuración de un sistema en el que coexista un cortafuegos con bridging de interfaces de red

Índice General

1

2

Introducción

¿Qué y por qué (y cómo)?

2.1 Qué .

.

.

2.2 Por qué .

2.3

¿Cómo? .

.

.

.

.

.

.

.

.

.

.

.

.

3 Bridging

3.1 Software

.

.

.

.

3.2 Lecturas previas.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

3.3 Configuración del arranque .

3.4 Configuración del kernel

3.5 Direcciones de red .

3.6 Rutado de red .

.

.

.

.

.

.

.

.

.

.

.

.

.

3.7 Configuración de la tarjeta .

3.8 Rutado adicional

.

.

.

.

.

3.9 Configuración del puente .

3.10 Probarlo .

.

.

.

.

3.11 Comprobaciones

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. .

. .

.

. .

. .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. . .

.

.

.

.

.

.

.

.

.

.

.

. . .

. .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. .

.

.

.

.

.

.

.

.

. .

.

.

.

.

. .

.

.

.

.

.

.

.

.

.

.

.

.

.

. .

. .

4 Cortafuegos

4.1 Software y lecturas .

.

.

.

.

.

4.2 Comprobaciones preliminares

4.3 Reglas por defecto .

.

4.4 Huecos por dirección .

4.5 Huecos por protocolo .

4.6 Comprobaciones

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

5 Anexo: El INSFLUG

.

.

.

. . .

.

.

.

. . .

. . .

.

.

.

.

.

. .

.

.

. .

.

.

. .

. .

.

.

.

. .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. .

. .

. .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

2

2

2

2

2

3

3

3

3

4

4

5

6

6

7

7

7

8

8

8

8

9

9

. .

. .

. .

. .

. .

. .

. .

. .

. .

. .

. .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. .

. .

.

.

.

.

.

.

.

.

.

. .

. .

. .

. .

. .

. .

. .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. .

.

.

.

.

. .

.

.

.

.

.

.

.

.

.

. .

. . . . .

. . . .

. .

.

.

.

.

. .

. . . .

. .

. .

. .

. .

.

.

.

.

.

.

.

.

.

.

.

. .

.

.

.

.

.

.

.

.

.

. .

. .

.

.

. .

. . . .

. .

. .

. .

. .

. .

. .

. .

. . .

.

.

.

.

.

.

. .

.

.

.

.

.

. .

.

.

.

.

.

.

.

.

.

.

. .

.

.

. .

.

.

.

.

.

.

.

.

.

.

.

. .

. . . .

.

.

. .

.

.

. .

. .

. .

. .

. .

. .

. .

. .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

. .

. .

. .

. .

. . .

10

10

1. Introducción

1

Introducción

2

Debería consultar el documento Bridging mini-HOWTO, ftp://sunsite.unc.edu/pub/Linux/docs/HOWTO/mini/Bridge
por Chris Cole para obtener otra perspectiva de este TEMA. Su dirección es chris@polymer.uakron.edu. La
versión de su COMO en la que he basado este documento es la 1.03, con fecha del 23 de Agosto de 1996.

2

¿Qué y por qué (y cómo)?

2.1 Qué

Un puente es un cable inteligente que conecta dos tarjetas de red. Un cortafuegos es un aislante inteligente.

2.2 Por qué

Puede querer un puente cuando tenga varios ordenadores:

1. para ahorrar el precio de un nuevo concentrador si resulta tener una tarjeta ethernet de sobra.

2. para ahorrarse la molestia de aprender sobre reenvío IP y otros trucos similares cuando ya tiene dos tarjetas en

su ordenador.

3. Para evitar el trabajo de mantenimiento cuando las cosas cambien en el futuro.

Varios ordenadores pueden ser tan pocos como tres si están rutando o puenteando o simplemente moviéndose por
la habitación con frecuencia. También puede querer un puente sólo por la diversión de averiguar qué es lo que hace.
De hecho esto (2 (2)) es para lo que yo lo quería.

Si realmente está interesado en el punto 1 (1), debe ser uno de los pocos.
Lea los documentos Redes-
En-Linux-Como, http://www.insflug.org/documentos/Redes-En-Linux-Como/ y Serie-Como
http://www.insflug.org/documentos/Serie-Como/ en busca de trucos mejores.

Querrá un cortafuegos si

1. trata de proteger su red de accesos externos, o

2. quiere denegar el acceso al mundo exterior desde su red.

Curiosamente yo necesitaba el punto 2 (2) también aquí. La política de mi universidad es que no debemos actuar como
proveedores de servicios internet a los pregraduados.

2.3 ¿Cómo?

Comencé haciendo puente entre las tarjetas de red de un cortafuegos, y acabé haciendo un cortafuegos sin quitar el
puente. Parece funcionar y es más flexible que cualquiera de las configuraciones por sí solas. Puedo tirar el firewall y
seguir haciendo puente o tirar el puente cuando quiero ser más prudente.

Supongo que el código del puente está justo encima del código de la capa física y que el código del cortafuegos está una
capa más arriba, así que el puente y el cortafuegos actúan como si estuvieran ejecutando juntos, secuencialmente y
no en paralelo (¡vaya!). diagrama:

-> Entrada-puente -> Entrada-cortafuegos -> Kernel -> Salida-cortafuegos -> Sali-
da-puente ->

3. Bridging

3

No hay otra manera de explicar cómo una máquina puede ser conductor y aislante a la vez. Hay varias adver-
tencias sobre esto, pero las detallaré mas tarde. Básicamente deberá rutar los paquetes que quiera sean considerados
por el firewall. De cualquier manera, parece funcionar bien de manera conjunta. Esto es lo que hará...

3 Bridging

3.1 Software

Obtenga la utilidad de configuración de puentes ftp://shadow.cabi.net/pub/Linux/BRCFG.tgz de las
páginas personales de Alan Cox. Esta es la misma referencia que encuentra en el documento de Chris. No me había
dado cuenta de que era una URL de un ftp y no de http ...

3.2 Lecturas previas.

Lea el Multiple Ethernet HOWTO, ftp://sunsite.unc.edu/pub/Linux/docs/HOWTO/mini/Multiple-
Ethernet si quiere asesoramiento sobre cómo configurar más de una tarjeta de red en su máquina.

En el BootPrompt HOWTO ftp://sunsite.unc.edu/pub/Linux/docs/HOWTO/BootPrompt-HOWTO
podrá encontrar aún más detalles de la magia involucrada en el proceso de arranque.

Puede escapar de la lectura del Redes-En-Linux-Como http://www.insflug.org/documentos/Redes-
En-Linux-Como/. Es una lectura bien larga, y tendrá que seleccionar de ella los detalles que necesite.

3.3 Configuración del arranque

El material de lectura anterior le enseñará lo que necesita para preparar el kernel para reconocer un segundo dispositivo
ethernet en el arranque, por ejemplo añadiendo los siguiente a /etc/lilo.conf, y volviendo a ejecutar lilo:

append = "ether=0,0,eth1"

Observe el "eth1". "eth0" es la primera tarjeta. "eth1" es la segunda tarjeta. Puede añadir los parámetros de arranque
que quiera a la línea que lilo le ofrece. Esto es para tres tarjetas:

linux ether=0,0,eth1 ether=0,0,eth2

Yo uso loadlin para arrancar mi kernel desde DOS:

loadlin.exe c:\vmlinuz root=/dev/hda3 ro ether=0,0,eth1 ether=0,0,eth2

Fíjese que este truco obliga al kernel a sondear direcciones en el arranque. Esto no ocurrirá si carga los controla-
dores ethernet como módulos (por seguridad, ya que la orden de sondeo no puede ser determinada) así que si usa
módulos tendrá que añadir los parámetros de IRQ y puerto apropiados para el controlador específicamente en su
fichero /etc/conf.modules. Yo por lo menos tengo

alias eth0 3c509
alias eth1 de620
options 3c509 irq=5 io=0x210
options de620 irq=7 bnc=1

3. Bridging

4

Puede averiguar está usando módulos mediante ps -aux para ver si se está ejecutando kerneld y comprobando si
hay archivos .o en algún subdirectorio del directorio /lib/modules. Necesita el que el directorio se llame como
le diga uname -r. Si tiene kerneld y/o tiene algún archivo como loquesea.o, edite /etc/conf.modules
y lea cuidadosamente la página del manual de depmod.

Tenga en cuenta también que hasta hace poco (kernel 2.0.25) el controlador 3c509 no podía ser usado para más de
una tarjeta si era usado como módulo. He visto un parche por ahí que soluciona esto. Puede que esté integrado en el
kernel cuando lea este documento.

3.4 Configuración del kernel

Recompile el kernel con bridging activado.

CONFIG_BRIDGE=y

Yo compilé con el cortafuegos, reenvío IP, enmascaramiento y lo demás activado. Esto es sólo si quiere cortafuegos...

CONFIG_FIREWALL=y
CONFIG_NET_ALIAS=y
CONFIG_INET=y
CONFIG_IP_FORWARD=y
CONFIG_IP_MULTICAST=y
CONFIG_IP_FIREWALL=y
CONFIG_IP_FIREWALL_VERBOSE=y
CONFIG_IP_MASQUERADE=y

En realidad no necesita todo esto. Lo que sí necesita, además de esto, es la configuación normal de la red:

CONFIG_NET=y

y no creo que necesite preocuparse de ninguna de las demás opciones de red. Yo tengo opciones sin compilar dentro
del kernel disponibles como módulos que puedo añadir más tarde.

Instale el nuevo kernel, vuelva a ejecutar lilo y rearranque con el kernel nuevo. ¡No debería haber cambios hasta
ahora!

3.5 Direcciones de red

Chris dice que un puente no debería tener dirección IP, pero esta no es la configuración que describo aquí.

Seguro que querrá la máquina para conectarse a la red, así que va a necesitar una direcci
  • Links de descarga
http://lwp-l.com/pdf1429

Comentarios de: Bridge+Cortafuegos Mini Como (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios
Es necesario revisar y aceptar las políticas de privacidad