control en cascada

Miguel Angel Amador L jokercl en gmail.com
Dom Ene 29 16:32:12 CLST 2006


On 1/29/06, Cristian Rodriguez <judas.iscariote en gmail.com> wrote:
> El 29/01/06, Percy Gonzales<pergonzales en gmail.com> escribió:
> > Hola listeros, en mi oficina tenemos la siguiente arquitectura de red:
> > una oficina central y 3 sucursales, cada una de estas en un segmento
> > de red y enlazadas mediante un router al router de la oficina central,
> > la oficina central es la encargada de brindar las conexiones a
> > Internet y enlaces externos, como muestro en la figura:
> >
> >                                   RP
> >                               192.168.5.1
> >                           LAN:192.168.5.0/24
> >                                   |
> >                 ---------------------------------------
> >                 |                 |                   |
> >                 RA                RB                  RC
> >           192.168.10.1        192.168.20.1         192.168.30.1
> >       LAN:192.168.10.0/24 LAN:192.168.20.0/24  LAN:192.168.30.0/24
> >
> > Actualmente tropezamos con un problema, que los enlaces de las
> > sucursales a la oficina central se saturan frecuentemente,  debido a
> > que los usuarios de cada una estas subredes intentan acceder a
> > servicios no estan permitidos (aunque existe un control, pero este se
> > encuentra en la oficina central), como veran aunque exista un control
> > en la oficina central, el trafico ya se genero y saturo los enlaces en
> > cada caso, por lo cual deseamos establecer un control en cada una de
> > las oficinas (suponemos podria ser: squid e iptables), de tal forma
> > que solo se deje pasar el trafico escencialmente necesario y de esta
> > forma mejorar el rendimiento de los enlaces que se tiene.
> >
> > Es asi que recurro a uds. para solicitarles colaboracion y me orienten
> > con una solucion adecuada. Escencialmente deseamos que exista
> > comunicacion en ambos sentidos (desde y hacia la foficina central y
> > sucursales), controlar que solo las aplicaciones permitidas tengan
> > acceso.
> > Un aspecto importante es que no queremos que las direcciones IP de los
> > usuarios de cada segmento se transformen, ya que en las aplicaciones
> > de algunos enlaces externos hacen un control por IP.
> >
> > Si alguno ha trabajo en algo parecido y me podria brindar alguna
> > colaboracion u orientar en como hacer que eto funcione de forma
> > adecuada, se lo agradecere mucho.
> >
> >
> necesitas un BRIDGE:
>
> http://www.shorewall.net/bridge.html
>
La idea seria que cada firewall bridge, deberias colocarlo entre el
switch de la sucursal y el router de la sucursal, asumiendo que tus
router no los puedes cambiar por maquinas linux.
 De esta forma el bridge filtra el trafico que te sea necesario, pero
es transparente para la segmentacion ip.

Saludos
--
Miguel Angel Amador L.
[ jokercl at gmail dot com |  User #297569 counter.li.org ]
[ http://www.fotolog.net/kush ]



Más información sobre la lista de distribución Linux