Soy novato en el mundo de linux asi que en primer lugar quisiera disculparme si la duda que planteo es trivial.
Tengo una pequeña LAN y he montado un FW con debian etch 4.0 para protegerla. El firewall tiene dos ethernets, una que enlaza con el router y otra que va al switch que conecta con la LAN. El esquema es el siguiente.
Según he leido para el firewall el NAT que hace el router es transparente pero no estoy muy seguro de haberlo entendido bien. Si es asi:
Si seguimos la ruta de una peticion Web desde la LAN a internet de por ejemplo la maquina 192.168.5.2, Ésta máquina hace la peticion, el firewall hace MASQUERADE para el paquete saliente, el router tambien, llega el paquete a su destino, éste contesta y envia el paquete al router que lo "desenmascara" y se lo envía al firewall que hace lo mismo para entregarselo finalmente a la máquina origen. ¿Es correcto?
Y otra pregunta.
Tengo habilitado NAT en el router para que las peticiones a la IP publica se redireccionen a 192.168.5.3 (Antes el router tenia IP interna 192.168.5.1). Con la nueva configuracion (firewall) debería cambiar las tablas NAT del router?
en el firewall (con politica DROP por defecto) he hecho lo siguiente:
Estoy un poco confuso, he buscado informacion sobre el tema pero no me acabo de aclarar.
Creo que con las antiguas tablas de NAT del router a éste le llegaría un paquete de por ejemplo origen 200.200.200.200 y el router enviaria un el paquete hacia el FW con origen 192.168.0.1(la IP privada del router) y destino 192.168.5.3 ¿Es asi? Si el paquete que le llega al firewall tiene en origen 192.168.0.1.. ¿como puedo hacer que solo determinada ip publica pueda ver la web?
A ver si alguien me puede echar una mano por favor, estoy hecho un lio.
Siento haber expuesto la duda de manera un tanto liosa.
Hola a todos,
Soy novato en el mundo de linux asi que en primer lugar quisiera disculparme si la duda que planteo es trivial.
Tengo una pequeña LAN y he montado un FW con debian etch 4.0 para protegerla. El firewall tiene dos ethernets, una que enlaza con el router y otra que va al switch que conecta con la LAN. El esquema es el siguiente.
Router(192.168.0.1)<->FW.Eth0(192.168.0.2)-FW.Eth1(192.168.5.1)<->LAN(192.168.5.0/24)
Según he leido para el firewall el NAT que hace el router es transparente pero no estoy muy seguro de haberlo entendido bien. Si es asi:
Si seguimos la ruta de una peticion Web desde la LAN a internet de por ejemplo la maquina 192.168.5.2, Ésta máquina hace la peticion, el firewall hace MASQUERADE para el paquete saliente, el router tambien, llega el paquete a su destino, éste contesta y envia el paquete al router que lo "desenmascara" y se lo envía al firewall que hace lo mismo para entregarselo finalmente a la máquina origen. ¿Es correcto?
Y otra pregunta.
Tengo habilitado NAT en el router para que las peticiones a la IP publica se redireccionen a 192.168.5.3 (Antes el router tenia IP interna 192.168.5.1). Con la nueva configuracion (firewall) debería cambiar las tablas NAT del router?
en el firewall (con politica DROP por defecto) he hecho lo siguiente:
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.5.3:80/sbin/iptables -A FORWARD -p tcp -i eth0 -o eth1 --dport 80 -d 192.168.5.3 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -i eth1 -o eth0 --sport 80 -s 192.168.5.3 -j ACCEPT
Estoy un poco confuso, he buscado informacion sobre el tema pero no me acabo de aclarar.
Creo que con las antiguas tablas de NAT del router a éste le llegaría un paquete de por ejemplo origen 200.200.200.200 y el router enviaria un el paquete hacia el FW con origen 192.168.0.1(la IP privada del router) y destino 192.168.5.3 ¿Es asi? Si el paquete que le llega al firewall tiene en origen 192.168.0.1.. ¿como puedo hacer que solo determinada ip publica pueda ver la web?
A ver si alguien me puede echar una mano por favor, estoy hecho un lio.
Siento haber expuesto la duda de manera un tanto liosa.
Un saludo y muchas gracias desde ya.