evitar mapeos de red

Hector Gatica hgatica en laradio.cl
Sab Sep 20 06:09:58 CLT 2008


On Thu, 18 Sep 2008 22:04:58 -0400, "Horst H. von Brand"
<vonbrand en inf.utfsm.cl> wrote:
> Jorge Luis Rodriguez <ricardocanavide en gmail.com> wrote:
> 
> les cuento mi problema, resulta que tenemos una red clase A con el rango
> de ip 10.0.0.xxx, con salida a internet y algunos servicios para la red
> interna, dentro de esta red instales un servidor con debian, ese
> servidor
> tiene la eth0 con ip 10.0.0.150, y una eth1 con ip 192.168.1.1.
> 

> Resulta que con el scrips que posteso mas abajo funciona
> perfecto, pero no logro evitar que desde la red interna se pueda mapear
> la red de clase A (10.0.0.xxx), probe con nmap, languard, y en ambos
> caso
> si mapeo el rango de ip 10.0.0.1-10.0.0.250 estando en la red de clase C
> (192.168.1.1) puedo ver todas las pc que estan en la red 10.0.0.xxx. Eh
> buscado y leido mucho, quizas la solucion sea una tontera, pero bueno,
> lo cierto es que no logro ver la socucion entre todo lo que ley y busque.
> 
> basicamente lo que deseo es que desde la red 192.168.1.xxx no se puedan
> hacer scaneos de red hacia la red 10.0.0.xxx
[Resumen]

Amigo aunque medio off-topic, supongo que si tiene una red de ese tipo ,
también tendra switch's administrables que soporten VLAN.

Yo dejaría a la red 10.0.0.0/8 en una VLAN y la 192.168.1.0/24 en otra. Se
supone que el servidor tendría 2 interfaces de red por lo que fisicamente
la puedes conectar en puertos diferentes y asignarles una VLAN a cada uno.
Con eso te evitas los scaneos a esa red e incluso ahorras el trafico tipo
broadcast que le pueda llegar de la red clase C. En definitiva nunca se
verían excepto por el equipo conectado a las 2 VLAN (que en el fondo hace
de router ya que esta directamente conectado a las vlan pero que en este
caso puedes borrar la ruta desde la red clase C hacia la red 10.0.0.0/8). 

Sinceramente no veo mucho el sentido de aplicar más reglas o considerar
appliance's. (Eso si tienes los switch que necesitas).

Saludos.

-- 
Informatica Bio-Bio Comunicaciones S.A
Administrador de Redes
Fono : 09-1523359



Más información sobre la lista de distribución Linux