6. Configuración Avanzada
Hai unha configuración que me gustaría ensinar antes de dar
por rematado este documento. A que estiven agora a comentar chegará
seguramente para a maioría da xente. Nembargantes, penso que o próximo
exemplo mostrará unha máis avanzada que pode resolver algunhas
dúbidas. Se tes preguntas que trascenden o cuberto ata o de aquí,
ou simplemente estás interesado/a na versatilidade dos servidores
proxy e os cortalumes, segue lendo.
6.1 Unha grande rede con énfase na seguridad
Digamos, por exemplo, que es o líder da Vixésimo Terceira
Irmandade da Discordia de Milwaukee. Gustaríache poñer
unha rede. Tes 50 ordenadores e unha subrede de 32 (5 bites) direccións
IP (reais). Hai varios niveis de acceso. Dinse cousas distintas aos discípulos
según o nivel en que están. Obviamente, quererás protexer
certas partes da rede dos discípulos que non están nese nivel.
Renuncia de Responsabilidade: Non son membro da Irmandade da
Discordia. Non coñezo a súa terminoloxía, nin me importa.
So vos estou usando como exemplo. Por favor, mandade tódolos frutos
dos vosos arrebatos de ira a
Os niveis son:
-
O nivel externo. Éste é o nivel que se ensina a calquera.
Básicamente é un rollo sobre Eris, Diosa da Discordia, e
un montón de parvadas máis.
-
Iniciado. Este é o nivel para a xente que pasou do nivel
externo. Aquí é onde se lles di que a discordia e a estructura
son realmente unha, e que Eris é tamén Jehová.
-
Adepto. Aquí é onde se atopa o verdadeiro plan.
Neste nivel gardase toda a información de cómo a Sociedade
da Discordia vai a dominar o mundo gracias a un diabólico, ainda
que jocoso, plan que implica a Newt Gingrich, os Cereais Wheaties, O.J.
Simpson, e cincocentos cristais de cuarzo erróneamente etiquetados
como de 6,5 MHz.
Configuración da Red
As direccións IP dispoñense así:
-
Unha dirección é 192.168.2.255, que é a de difusión
e polo tanto non utilizable.
-
23 das 32 direccións IP asignanse as 23 máquinas accesibles
dende a Internet.
-
Unha dirección IP extra é para unha máquina LiNUX
nesa rede.
-
Unha dirección IP extra é para outra máquina LiNUX
nesa rede.
-
Duas direccións IP son para o router que vos conecta coa Internet.
-
Catro déixanse sen usar, mais asígnanselle os nomes Paul,
Ringo, John, e George, só para confundir as cousas un pouco.
-
As duas redes protexidas teñen direccións do tipo 192.168.2.xxx
.
Entón instalanse duas redes, cada unha nunha habitación separada.
Utilizanse Ethernets de infravermellos, de maneira que son completamente
invisibles dende a habitación exterior. Por sorte, a Ethernet de
infravermellos funciona como a normal (ou iso creo), de maneira que podemos
pensar nelas como si fosen Ethernets normais.
Cada unha desas redes conectanse a unha das máquinas LiNUX as
que se asignaron as direccións IP extras.
Hai un servidor de ficheiros que conecta as duas redes protexidas. Esto
debese a que os planes para dominar o mundo implican a algúns dos
iniciados de maior nivel. O servidor de ficheiros ten a dirección
192.168.2.17
para a rede de iniciados, e a 192.168.2.23 para a de adeptos.
Ten que ter duas direccións dado que ten duas tarxetas Ethernet.
Ten deshabilitado o reenvio de paquetes IP.
O reenvio de paquetes IP tamén está deshabilitado nos
dous LiNUXes. O router non encamiñará paquetes con destino
192.168.2.xxx
a menos que se lle diga explícitamente, así que a Internet
en ningún caso podería acceder ao interior. A razón
para deshabilitar o reenvio de paquetes IP aquí é para que
os paquetes da rede de adeptos non cheguen a de iniciados e viceversa.
O servidor de NFS pode ser configurado para ofrecer diferentes ficheiros
as diferentes redes. Esto pode vir ao pelo, e uns poucos trucos con enlaces
simbólicos poden facer que se compartan os ficheros comúns
entre todos. Con esta configuración e outra tarxeta Ethernet, o
mesmo servidor de ficheros pode dar servicio as tres redes.
O Servidor Proxy
Dado que os tres niveis queren rastrexar a Internet para os seus propios
e endiañados propósitos, os tres precisan ter acceso a ela.
A rede externa está conectada directamente a Internet, logo non
temos que facer nada. As redes de adeptos e iniciados están detrás
de sendos cortalumes, logo é preciso instalar servidores proxy para
elas.
As duas redes configuraranse de xeito moi parecido. Ambas tieñen
as mesmas direccións IP asignadas. Engadirei un par de requisitos
para facelo máis interesante:
-
Non se debe poder usar o servidor de ficheiros para acceder a Internet.
Isto exponlle ao virus e outras cousas desagradables, e é bastante
importante.
-
Non permitiremos aos Iniciados acceso ao World Wide Web. Están formándose,
e a adquisición de ese tipo de información podería
resultar dañina.
Así, o ficheiro sockd.conf no LiNUX dos iniciados terá
a seguinte líña:
deny 192.168.2.17 255.255.255.255
e na máquina dos adeptos:
deny 192.168.2.23 255.255.255.255
E, o LiNUX dos iniciados terá esta línea
deny 0.0.0.0 0.0.0.0 eq 80
Que di que non de acceso a tódalas máquinas ao porto igual
(eq) a 80, ao porto do http. Isto aínda
permitirá o acceso a outros servicios, só impedirá
o acceso ao Web.
Ademáis, ambos ficheiros conterán:
permit 192.168.2.0 255.255.255.0
para permitir a todolos ordenadores da rede 192.168.2.xxx usar
este servidor proxy, excepto aqueles que xa foi prohibido (isto é:
calquer acceso dende o servidor de ficheiros e o acceso ao Web dende a
rede de iniciados)
O ficheiro sockd.conf dos iniciados será máis
ou menos:
deny 192.168.2.17 255.255.255.255
deny 0.0.0.0 0.0.0.0 eq 80
permit 192.168.2.0 255.255.255.0
e dos adeptos será máis o menos:
deny 192.168.2.23 255.255.255.255
permit 192.168.2.0 255.255.255.0
Con isto todo debería estar configurado correctamente. Cada rede
está aillada como corresponde, co grao axeitado de interacción.
Todo o mundo debería estar contento. Agora, coidado cos cristais
de 6,5 MHz...