Hay una configuración que me gustaría mostrar antes de dar por terminado este documento. La que acabo de comentar bastará seguramente para la mayoría de la gente. Sin embargo, pienso que el próximo ejemplo mostrará una más avanzada que puede resolver algunas dudas. Si tienes preguntas que trascienden lo cubierto hasta aquí, o simplemente estás interesado/a en la versatilidad de los servidores proxi y los cortafuegos, sigue leyendo.
Digamos, por ejemplo, que eres el lider de la Vigésimo Tercera Hermandad de la Discordia de Milguoqui. Te gustaría poner una red. Tienes 50 ordenadores y una subred de 32 (5 bitios) direcciones IP (reales). Hay varios niveles de acceso. Se dicen cosas distintas a los discípulos según el nivel en que están. Obviamente, querrás proteger ciertas partes de la red de los discípulos que no están en ese nivel.
Descargo: No soy miembro de la Hermandad de la Discordia. No conozco su terminología ni me importa. Sólamente los estoy usando como ejemplo. Por favor, mandad todos los frutos de vuestros arrebatos de ira a
Los niveles son:
Las direcciones IP se disponen así:
Entonces se instalan dos redes, cada una en una habitación separada. Se utilizan Ethernetes de infrarrojos para que sean completamente invisibles desde la habitación exterior. Por suerte, la Ethernet de infrarrojos funciona como la normal (o eso creo), de modo que podemos pensar en ellas como si fueran Ethernetes normales.
Cada una de esas redes se conecta a una de las máquinas línux a las que se asignaron las direcciones IP extras.
Hay un servidor de ficheros que conecta las dos redes protegidas. Esto
se debe a que los planes para dominar el mundo implican a algunos de
los iniciados de mayor nivel. El servidor de ficheros tiene la
dirección 192.168.2.17
para la red de iniciados, y la 192.168.2.23
para la de adeptos. Tiene que tener dos direcciones dado que tiene
dos tarjetas Ethernet. Tiene deshabilitado el reenvio de paquetes IP.
El reenvio de paquetes IP también está deshabilitado en los dos Línuxes. El rúter no encaminará paquetes con destino 192.168.2.xxx a menos que se le diga explicitamente, así que la Internet en ningún caso podría acceder al interior. La razón para deshabilitar el reenvio de paquetes IP aquí es que los paquetes de la red de adeptos no lleguen a la de iniciados y viceversa.
El servidor de NFS puede ser configurado para ofrecer diferentes ficheros a las diferentes redes. Esto puede venir al pelo, y unos pocos trucos con enlaces simbólicos pueden hacer que se compartan los ficheros comunes entre todos. Con esta configuración y otra tarjeta Ethernet, el mismo servidor de ficheros puede dar servicio a las tres redes.
Dado que los tres niveles quieren rastrear la Internet para sus propios y diabólicos propósitos, los tres necesitan tener acceso a ella. La red externa está conectada directamente a la Internet, luego no tenemos que hacer nada. Las redes de adeptos e iniciados están detrás de sendos cortafuegos, luego es necesario instalar servidores proxi para ellas.
Las dos redes se configurarán de forma muy parecida. Ambas tienen las mismas direcciones IP asignadas. Añadiré un par de requisitos para hacerlo más interesante:
Así, el fichero sockd.conf en el línux de los iniciados tendrá esta línea:
deny 192.168.2.17 255.255.255.255
y en la máquina de los adeptos:
deny 192.168.2.23 255.255.255.255
Y, el línux de los iniciados tendrá esta línea
deny 0.0.0.0 0.0.0.0 eq 80
Que dice que se deniegue a todas las máquinas el acceso al puerto igual (eq) a 80, el puerto del http. Esto aún permitirá el acceso a otros servicios, sólo impedirá el acceso al Güeb.
Además, ambos ficheros contendrán:
permit 192.168.2.0 255.255.255.0
para permitir a todos los ordenadores de la red 192.168.2.xxx usar este servidor proxi, excepto aquello que ya ha sido prohibido (esto es: cualquier acceso desde el servidor de ficheros y el acceso al Güeb desde la red de iniciados)
El fichero sockd.conf de los iniciados será más o menos:
deny 192.168.2.17 255.255.255.255
deny 0.0.0.0 0.0.0.0 eq 80
permit 192.168.2.0 255.255.255.0
y el de los adeptos será más o menos:
deny 192.168.2.23 255.255.255.255
permit 192.168.2.0 255.255.255.0
Con esto todo debería estar configurado correctamente. Cada red está aislada como corresponde, con el grado apropiado de interacción. Todo el mundo debería estar contento. Ahora, cuidado con los cristales de 6,5 MHz...