separar subredes usando iptables

Miguel Angel Amador L jokercl en gmail.com
Mar Oct 25 01:25:12 CLST 2005


On 10/25/05, kazabe <kazabe en gmail.com> wrote:
> Hola a todos
>
> Por fin he logrado conseguir mi primer empleo y ya tengo una tarea que
> me esta desvelando!!!!!!   debo reestructurar una red de aprox 40
> maquinas.  Cuando se establecio el cableado, se hizo para que todas
> las maquinas estuvieran en una misma subred;  ahora, por politicas de
> la empresa, debo segmentar esa red en cuatro subredes (ventas,
> administrativo, depto tecnico y servidores ), pero usando el mismo
> cableado que ya estaba).
>
> La forma como lo hice fue la siguiente:  primero configure cada una de
> las maquinas de cada grupo, con ip fija y subredes distintas:
>
> ventas ------> 192.168.0.X
> admin -------> 192.168.1.X
> tecnico ------> 192.168.2.X
> servidores---> 192.168.3.X
>
> Asi todas las maquinas siguen usando las mismas conexiones, pero estan
> separadas por subredes distintas.
>
> Luego, a una maquina con linux le pongo 5 tarjetas de red (la salida a
> internet, y una tarjeta por cada subred).  Ya para terminar,   Del
> rack al que llegan todas las maquinas, saco cuatro cables para
> conectarlos a las cuatro tarjetas que tengo para cada subred en el
> equipo linux.
>
> Con esta configuracion, he logrado dividir la red en 4 subredes sin
> tocar el cableado tal como me lo pidieron;  pero lo que no he podido
> hacer es que la unica red visible para todas, sea la de servidores.
> Necesito las otras tres subredes puedan salir a internet sin
> problemas, asi como conectarse a la subred de servidores, pero sin que
> se puedan ver entre ellas (ventas, admin y tecnico deben ser
> invisibles entre ellas),  pero no he podido lograr que esto suceda.
>
> Como me recomiendan lograr esto?  he estado dandole vueltas desde hace
> varios dias y no he podido encontrar como hacerlo.
>
>
> Gracias por su ayuda!
>
> --
> "Imagination is more important than knowlege"
> A.E.
>
>
MMMMmmm....
 Iptables ?
# Regla por defecto para forward
iptables -P FORWARD DROP
# Solo las que aceptaras las autorizas:

# de ventas a servidores Ida y regreso
iptables -A FORWARD  -s 192.168.0.0/24 -d 192.168.3.0/24 -j ACCEPT
iptables -A FORWARD  -s  192.168.3.0/24 -d 192.168.0.0/24 -j ACCEPT
# de admin a servidores y regreso
iptables -A FORWARD  -s 192.168.1.0/24 -d 192.168.3.0/24 -j ACCEPT
iptables -A FORWARD  -s  192.168.3.0/24 -d 192.168.1.0/24 -j ACCEPT
# De tecnico a servidores y regreso
iptables -A FORWARD  -s 192.168.2.0/24 -d 192.168.3.0/24 -j ACCEPT
iptables -A FORWARD  -s  192.168.3.0/24 -d 192.168.2.0/24 -j ACCEPT


ventas ------> 192.168.0.0/24  --> eth0
admin -------> 192.168.1.0/24  --> eth1
tecnico ------> 192.168.2.0/24  --> eth2
servidores---> 192.168.3.0/24  --> eth3
Internet --> 0.0.0.0  --> eth4

O puede ser , mas seguro asi:

# Permites el paso de paquetes entre dispositivos de red.
# (net.ipv4.ip_forward = 1 en el archivo /etc/sysctl.conf)
echo 1>/proc/sys/net/ipv4/ip_forward

# Regla por defecto para forward
iptables -P FORWARD DROP
# Solo las que aceptaras las autorizas:

# Permites paso de paquetes de ventas a servidores Ida y regreso
iptables -A FORWARD  -i eth0 -o eth3 -j ACCEPT
iptables -A FORWARD  -i eth3 -o eth0 -j ACCEPT

#  Permites paso de paquetes de admin a servidores y regreso
iptables -A FORWARD  -i eth1 -o eth3 -j ACCEPT
iptables -A FORWARD  -i eth3 -o eth1 -j ACCEPT

#  Permites paso de paquetes de tecnico a servidores y regreso
iptables -A FORWARD  -i eth2 -o eth3 -j ACCEPT
iptables -A FORWARD  -i eth3 -o eth2 -j ACCEPT

#Salida a internet (tu aqui controlas que servivcios y desde donde
quieres que se accedan)
iptables -A FORWARD -o eth4 --m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth4 --m state --state RELATED,ESTABLISHED -j ACCEPT

Si quieres algo mas restrictivo frente a ataques, deberas averiguar
estos y ver como aplicas la regla para que sea mas restrictiva, por el
momento esto te da una idea de como restringir el paso de paquetes
entre interfacez, segun de donde provengan, denegando ciertas
combinaciones de pares entrada-salida (lo ideal seria que amarraras la
subred a la interfaz para este tipo de bloqueo de trafico, asi evitas
spoofing, smurf, y filtros para paquetes invalidos, entre otros)

Saludos
--
Miguel Angel Amador L.
[ jokercl at gmail dot com |  User #297569 counter.li.org ]
[ http://www.fotolog.net/kush ]



Más información sobre la lista de distribución Linux