Ayuda iptables: ruteo+NAT+firewall+VPN

Horst von Brand vonbrand en inf.utfsm.cl
Lun Feb 7 22:27:28 CLST 2005 

mramirez en iciuchile.cl dijo:
> Uds me han ayudado mucho y se los agradezco. He leido bastate al respecto
> pero me aun me quedan dudas y por ello, una vez mas me dirijo a uds para
> molestarlos con los sgte. Estoy preparando un laboratorio de redes. La
> idea es llegar a tener 2 gateways mirandose frente a frente simulando
> como si estuvieran en Internet, ambos haciendo NAT+firewall+VPN y 2 LANs
> pequeñas tras ellos:

> PCa - GW1 --- GW2 - PCb


Digamos:

 PCa --- 192.168.1.1 GW1 192.168.2.1 -- 192.168.2.1 GW2 192.168.3.1 --- PCb

> Por ahora me interesa implementar que los gateways por lo menos ruteen es
> decir, que un equipo tras el gateway 1 haga ping exitoso a otro PC tras
> otro equipo tras el gateway 2 (PCa --> PCb).  Ya tengo los 2 gateways y
> ambos tienen woody y 2 NICs funcionando perfectamente. Me parece que para
> hacerlo basta con un solo comando y un sript al inicio para que se rutee
> etre ambas NICs de los gateways y se pueda haber ruteo. Alguien me podria
> indicar como o donde buscar info.

sysctl.conf(5), en particular 

  net.ipv4.ip_forward = 1

Las rutas debieran configurarse solas, solo a los PCa y PCb debes darle
rutas a la red por omision (por 192.168.1.1 y 192.168.3.1, respectivamente).
ip(8) o route(8) para configurar/ver que pasa

> Tambien agradecere me indiquen donde encontrar info para armar un gateway
> que haga NAT, firewall y VPN, ojala lo mas claro posible porque he leido
> bastante, pero me marean con reglas de iptables poco claras.

> La idea es hacer algo gradual, por etapas, es decir, algo como:
> 
> 1.- Aplicar reglas de ruteo --> testear que esta todo OK --> seguir con 2

Ver arriba.

> 2.- Aplicar reglas de NAT --> testear que esta todo OK --> seguir con 3

iptables(8), tabla nat. <http://www.netfilter.org>, <http://www.tldp.org>
tiene guias y HOWTOs (tambien traducidos).

> 3.- Aplicar reglas de firewall --> testear que esta todo OK --> seguir
> con 4

Primer define que quieres lograr: Que dejaras pasar, y parar _todo_ lo
demas. Eso no resulta a la primera, por lo que hay que ajustar
iterativamente.

> 4.- Aplicar VPN --> testear que esta todo OK: ruteo+NAT+firewall+VPN con
> site remoto

Eso es absurdo. VPN es crear un enlace directo virtual entre dos maquinas,
lo que obvia la mayor parte de eso.
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                     Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria              +56 32 654239
Casilla 110-V, Valparaiso, Chile                Fax:  +56 32 797513

Más información sobre la lista de distribución Linux