control en cascada
wladimir en mpudahuel.cl
wladimir en mpudahuel.cl
Lun Ene 30 09:25:03 CLST 2006
> Hola listeros, en mi oficina tenemos la siguiente arquitectura de red:
> una oficina central y 3 sucursales, cada una de estas en un segmento
> de red y enlazadas mediante un router al router de la oficina central,
> la oficina central es la encargada de brindar las conexiones a
> Internet y enlaces externos, como muestro en la figura:
>
> RP
> 192.168.5.1
> LAN:192.168.5.0/24
> |
> ---------------------------------------
> | | |
> RA RB RC
> 192.168.10.1 192.168.20.1 192.168.30.1
> LAN:192.168.10.0/24 LAN:192.168.20.0/24 LAN:192.168.30.0/24
>
> Actualmente tropezamos con un problema, que los enlaces de las
> sucursales a la oficina central se saturan frecuentemente, debido a
> que los usuarios de cada una estas subredes intentan acceder a
> servicios no estan permitidos (aunque existe un control, pero este se
> encuentra en la oficina central), como veran aunque exista un control
> en la oficina central, el trafico ya se genero y saturo los enlaces en
> cada caso, por lo cual deseamos establecer un control en cada una de
> las oficinas (suponemos podria ser: squid e iptables), de tal forma
> que solo se deje pasar el trafico escencialmente necesario y de esta
> forma mejorar el rendimiento de los enlaces que se tiene.
>
> Es asi que recurro a uds. para solicitarles colaboracion y me orienten
> con una solucion adecuada. Escencialmente deseamos que exista
> comunicacion en ambos sentidos (desde y hacia la foficina central y
> sucursales), controlar que solo las aplicaciones permitidas tengan
> acceso.
> Un aspecto importante es que no queremos que las direcciones IP de los
> usuarios de cada segmento se transformen, ya que en las aplicaciones
> de algunos enlaces externos hacen un control por IP.
>
> Si alguno ha trabajo en algo parecido y me podria brindar alguna
> colaboracion u orientar en como hacer que eto funcione de forma
> adecuada, se lo agradecere mucho.
>
>
Yo pondria un tarrito chico que haga filtrado por sucursal, tal cual lo
mencionaste. No te produce para nada impacto en tus sucursales, si estan
al alcance...por que no. Por ultimo podrias probar.
Más información sobre la lista de distribución Linux