Optimizacion de firewall en iptables
Horst von Brand
vonbrand en inf.utfsm.cl
Jue Ene 13 09:36:49 CLST 2005
Luis Sandoval <zerox en systat.cl> dijo:
> Esto era otro tema y de otra lista, pero quede con la duda. (pero
> pensando que el fw es un obsd y no linux va aca)
Aca es un Linux.
> El jue, 06-01-2005 a las 09:29 -0300, Horst von Brand escribió:
> > [...]
> > (ademas hace de DHCP para las redes conectadas, y un par de cosillas
> > mas). Es el cruce de 6 redes que suman unas 300 maquinas. Y solo en
> > caso de usuarios _demasiado_ creativos con la configuracion de red de
> > los PCs (ponerle la direccion de red o de broadcast, ...) nos ha dado
> > problemas.
> El DHCP corre en el mismo firewall?
Yep.
> No deberia ir separado?
Idealmente, tal vez si; en la practica, como es el punto de encuentro de
las "redes interesantes", y si no esta igual la red no sirve de nada, es el
lugar logico (no, no me puedo dar el lujo de 5 o 6 PCs adicionales solo
para DHCP). Por lo demas, las redes mas criticas (Labs) estan en un
segmento, a su vez c/u NATeada tras su propio cortafuegos (que a su vez
hace de DHCP para su red).
> Que otras "cosillas mas" corre ahi?
Servidor ssh, corre sendmail para poder enviar correo. Tiene lo suficiente
para montar el area de updates via FTP para actualizacion directa (aunque
probablemente saque eso y derechamente use up2date de Red Hat para eso).
> Las redes se ven entre si? Cuantas tarjetas de red usa? (5 y una
> virtual?)
Activas, una 1x y una 4x. La tarjeta virtual conecta a una red privada (nos
quedamos cortos de IPs, en la red privada (sobre el mismo cable que el
tramo de profes/staff) hay asignacion dinamica unicamente (para notebooks),
se PATea en el FW). Las redes se ven entre si (parcialmente, es
cortafuegos).
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria +56 32 654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 797513
Más información sobre la lista de distribución BSD