separar subredes usando iptables

[Horst von Brand]

kazabe <kazabe en gmail.com> wrote:

[...]

> La forma como lo hice fue la siguiente:  primero configure cada una de
> las maquinas de cada grupo, con ip fija y subredes distintas:
> 
> ventas ------> 192.168.0.X
> admin -------> 192.168.1.X
> tecnico ------> 192.168.2.X
> servidores---> 192.168.3.X

[...]

> Con esta configuracion, he logrado dividir la red en 4 subredes sin
> tocar el cableado tal como me lo pidieron;  pero lo que no he podido
> hacer es que la unica red visible para todas, sea la de servidores. 
> Necesito las otras tres subredes puedan salir a internet sin
> problemas, asi como conectarse a la subred de servidores, pero sin que
> se puedan ver entre ellas (ventas, admin y tecnico deben ser
> invisibles entre ellas),  pero no he podido lograr que esto suceda.

Es bastante simple: No permitas trafico de ventas a admin, etc. O sea, para
simplificar: Explicitamente para cada area X permites trafico de X de/a
servidores y de X de/a Internet (NAT y demas reside alli), y niegas todo lo
demas.

La forma tradicional es crear un par de cadenas para cada X e Y: X --> Y y
Y --> X. Claro, es un desastre si tienes 200 areas, pero... Aca debiera
simplificarse bastante porque los requerimientos son iguales en cada caso,
solo es asunto de determinar si corresponde llamar a la cadena (comun) que
determina en detalle que permitir a servidores e Internet, y rechazar lo
demas.
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                     Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria              +56 32 654239
Casilla 110-V, Valparaiso, Chile                Fax:  +56 32 797513