Hay un configuración que me gustaría repasar antes de concluir este documento. La que acabo de esbozar posiblemente será suficiente para la mayoría de la gente; sin embargo, creo que el siguiente ejemplo mostrará una configuración más avanzada que puede aclarar algunas cuestiones. Si tiene duda sobre cualquier otro aspecto no tratado, o simplemente está interesado en la versatilidad de los servidores proxy y cortafuegos, siga leyendo.
Digamos, por ejemplo, que usted es el líder del clan millisha y quiere poner su sitio web. Dispone de 50 computadores y una subnet de 32 (5 bits) direccions IP. Necesita varios niveles de acceso dentro de su red porque comunica cosas diferentes a sus discípulos; por consiguiente, necesitará proteger ciertas partes de la red del resto.
Los niveles son:
El nivel externo. Este es nivel que se enseña a todo el mundo. Aquí es donde hecha una perorata para conseguir adeptos.
Nivel iniciado Este es el nivel de la gente que ha superado el nivel externo. Es el lugar en el que les enseñan sobre el maldito gobierno y sobre cómo fabricar bombas.
Nivel adepto Aquí es donde se guardan los auténticos planes. En este nivel se almacena toda la información sobre cómo el gobierno del tercer mundo va a hacerse con el poder mundial, subplanes que involucran a Newt Gingrich, Oklahoma City, productos de escasa garantía y lo que realmente se almacena en ese hangar del área 51.
Los números IP están dispuestos de la siguiente forma:
un número es 192.168.1.255, que es la difusión y no es utilizable.
23 de las 32 direcciones IP se asignan a las 23 máquinas que serán accesibles a Internet.
una dirección IP extra es para una máquina Linux en esa red
una dirección IP extra es para otra máquina Linux en esa red
dos números de direcciones IP son para el encaminador
sobran cuatro, pero se les da los nombres de paul, ringo, john, y george, sólo para confundir las cosas un poco.
Las dos redes protegidas tienen direcciones del tipo 192.168.1.xxx
Entonces, se crean dos redes diferentes, cada una en espacios diferentes. Son enviadas por medio de Ethernet infrarrojo, de manera que sean completamente invisibles al espacio exterior.
Cada una de estas redes está conectada a una máquina Linux con una dirección IP extra.
Existe un servidor de ficheros que conecta a las dos redes protegidas. Esto se debe a que los planes para hacerse con el poder mundial implica a algunos de los iniciados más aventajados. El servidor de ficheros presenta la dirección 192.168.1.17 para la red de iniciados y la 192.168.1.23 para los adeptos. Tiene que tener asociadas diferentes direcciones IP ya que tiene dos tarjetas Ethernet. El reenvío de paquetes IP está desconectado.
El reenvío de paquetes IP también está conectado en ambas máquinas Linux. El encaminador no enviará paquetes destinados a 192.168.1.xxx a menos que se le indique explícitamente lo contrario, así que Internet no podrá entrar. La razón para desconectar el reenvío de paquetes IP aquí es para que los paquetes de la red de adeptos no llegue a la de iniciados, y viceversa.
El servidor NFS también se puede utilizar para ofrecer diferentes ficheros a las diferentes redes. Esto puede venir muy bien, y el empleo de algunos trucos con enlaces simbólicos puede hacer que se compartan ficheros comunes a todos. Con esta instalación y otra tarjeta Ethernet, el mismo servidor de ficheros puede dar servicio al conjunto de las tres redes.
Ahora, dado que los tres niveles quieren navegar por Internet en beneficio de sus propios intereses, los tres necesitan tener acceso a ella. La red externa está conectada directamente a Internet, así que aquí no tenemos que modificar los servidores proxy. Las redes de adeptos e iniciados están detrás del cortafuegos, así que es necesario instalar aquí los servidores proxy.
Ambas redes se instalarán de forma muy parecida. Ambas tienen asignadas las mismas direcciones IP. Expondré un par de requisitos, sólo para añadir mayor interés.
Nadie puede usar el servidor de ficheros para acceder a Internet. Esto expone al servidor de ficheros a virus y a otras cosas desagradables, y es muy importante, por lo que queda prohibido.
No se permitirá a los iniciados acceso a la World Wide Web. Están en pruebas y la adquisición de este tipo de información podría resultar perjudicial.
Así que, el fichero sockd.conf en el Linux de los iniciados presentará esta línea:
deny 192.168.1.17 255.255.255.255 |
y en la máquina de los adeptos:
deny 192.168.1.23 255.255.255.255 |
Y, la máquina Linux de los iniciados tendrá estea línea
deny 0.0.0.0 0.0.0.0 eq 80 |
Esto significa denegar el acceso a todas las máquinas que traten de acceder al puerto igualr (eq) a 80, el puerto http. Aunque esto aún permita el acceso al resto de los servicios, deniega el acceso a la Web.
A continuación, ambos ficheros tendrán:
permit 192.168.1.0 255.255.255.0 |
para permitir a todos los computadores de la red 192.168.1.xxx usar este servidor proxy, exceptuando aquéllos a los que ya se le ha denegado (por ejemplo, cualquier acceso desde el servidor de ficheros y el acceso a la Web desde la red iniciados)
El fichero sockd.conf de los iniciados será:
deny 192.168.1.17 255.255.255.255 deny 0.0.0.0 0.0.0.0 eq 80 permit 192.168.1.0 255.255.255.0 |
y el de los adeptos:
deny 192.168.1.23 255.255.255.255 permit 192.168.1.0 255.255.255.0 |
Con esto, todo debería quedar configurado correctamente. Cada red se encuentra aislada como corresponde, con el grado de interaccón adecuado. Todos deberíamos estar satisfechos.