[ Anterior ]
[ Indice ]
[ Seguinte ]

3. Configuración

3.1 Requerimentos de Hardware

Para o noso exemplo, o ordenador é un 486-DX66 con 8 Megas de RAM, unha partición para Linux de 500 Megas, e unha conexión PPP a un proveedor de Internet a traveso dun módem de 14.400 bps . Ese é o noso Linux básico. Para convertilo  nun cortalumes engadímoslle unha tarxeta Ethernet NE2000. Con ela queda conectado a tres PCs con Güindous 3.1 e Trumpet Winsock, e a duos Sun's con SunOs. A razón de elexir este escenario é que son as dúas plataformas coas que estou familiarizado. Imaxino que gran parte do que conto aquí é factible con Mac's mais, dado que non uso Mac's con suficiente asiduidade, o certo é que non o sei.

3.2 Configurando o Software

Así que agora temos un LiNUX conectado a Internet por unha liña PPP de 14.400 . Ademais temos unha rede Ethernet que conecta o LiNUX e o resto dos ordenadores. O primeiro, debemos recompilar o núcleo coas opcións axeitadas. Neste intre eu botaría unha ollada ao Kernel-HOWTO, ao Ethernet-HOWTO, e ao NET-3-HOWTO. Logo teclearía "make config":

As opcións requeridas son:

  1. Habilitar o Soporte de Rede
  2. Habilitar a opción de rede TCP/IP (TCP/IP Networking)
  3. Deshabilitar o reenvío de paquetes IP (CONFIG_IP_FORWARD)
  4. Habilitar a opción de Cortalumes IP (IP Firewalling)
  5. Probablemente, habilitar as contas IP (IP Accounting). Parece razoable, dado que estamos configurando un dispositivo de seguridade
  6. Habilitar o Soporte de Dispositivos de Rede (Networking Device Support)
  7. Habilitar o soporte de PPP e Ethernet, aínda que esto depende do tipo de interfaces que se teñan en cada caso
Agora, recompilamos e reinstalamos o núcleo e rearrancamos a máquina. As interfaces deberían ser recoñecidas na secuencia de arranque para que todo estivera bien. Se non, habería que repasar os Howtos antes mencionados e voltalo a intentar ata que funcionase.

3.3 As Direccións de Rede

Esta é a parte interesante. Dado que non queremos que a Internet teña acceso ás nosas máquinas, non necesitamos usar direccións reais. Unha boa elección é o rango de direccións de clase C 192.168.2.xxx, que está designado como rango para probas. E dicir, ninguén o usa, e non entrará en conflicto con ningunha petición ao exterior. De modo que, nesta configuración, só se necesita unha dirección IP real. As outras pódense elexir libremente e de ningunha maneira afectarán á rede.

Asignamos a dirección IP real ao porto serie do cortalumes que usamos para a conexión PPP. Asignamos 192.168.2.1 á tarxeta Ethernet do cortalumes. Asignamos as outras máquinas da rede protexida calquer dirección do rango anterior.

3.4 Probas

O primeiro é facer ping a internet dende o cortalumes. Eu antes usaba nic.ddn.mil como punto de proba. Non deixa de ser un bo sitio, mais demostrou ser menos fiable do que esperaba. Se non funciona á primeira, probaremos a facer pings a outro par de sitios que non estén conectados á nosa rede local. Se non funciona é que o PPP está mal configurado. Teríamos que voltar a ler o Net-3-HOWTO e a probar.

Agora probaremos a facer pings entre as máquinas da rede protexida. Todas deben ser capaces de facer ping as demáis. Se non fora así, habería que ler de novo o Net-3-HOWTO e traballar na rede un pouco máis.

Agora, todas as máquinas da rede protexida deben ser capaces de facer pings ao cortalumes. Se non, volta atrás. Lembra: deberían ser capaces de facer ping a 192.168.2.1, non á dirección PPP.

Entón probaremos a facer ping á dirección PPP do cortalumes dende dentro da rede protexida. Non debe funcionar. Se funciona é que non deshabilitamos o Reenvio dos Paquetes IP e haberá que recompilar o núcleo. Ou asignar á rede protexida a dirección 192.168.2.0 ningún paquete será encamiñado a ela pola Internet, mais, en calquer caso, é máis seguro ter o reenvío de paquetes IP deshabilitado. Isto deixa o control nas nosas mans, non nas mans do noso proveedor de PPP.

Finalmente, faremos ping a todas as máquinas da rede protexida dende o cortalumes. Chegados a este punto, non debería haber problemas.

Xa temos unha disposición de cortalumes básica.

3.5 Seguridade para o Cortalumes

O cortalumes non serve se o deixamos vulnerable aos ataques. Primeiro botaremos un vistazo ao /etc/inetd.conf. Este é o ficheiro de configuración do así chamado "superservidor" (inetd), que arranca un bo número de demos servidores cando lles chega unha petición.

Entre eles:

Debese desactivar todo o que non se precise. Non dubidaremos en desactivar netstat, systat, tftp, bootp, e finger. Seguramente quereremos desactivar telnet, e deixar só rlogin, ou viceversa.

Para desactivar un servicio basta con poñer un # ao comezo da liña que se refira a él. Despois hai que mandar un sinal SIG-HUP ao proceso inetd tecleando "kill -HUP <pid>", onde <pid> é o número de proceso de inetd. Isto fará que inetd relea o seu ficheiro de configuración (inetd.conf) e se reinicie. Comprobaremo-lo facendo un telnet ao porto 15 do cortalumes, o porto de netstat. Se aparece a resposta de netstatd, non reiniciamos inetd correctamente.

[ Anterior ]
[ Indice ]
[ Seguinte ]