[ Anterior ]
[ Indice ]
[ Seguinte ]


6. Configuración Avanzada

Hai unha configuración que me gustaría ensinar antes de dar por rematado este documento. A que estiven agora a comentar chegará seguramente para a maioría da xente. Nembargantes, penso que o próximo exemplo mostrará unha máis avanzada que pode resolver algunhas dúbidas. Se tes preguntas que trascenden o cuberto ata o de aquí, ou simplemente estás interesado/a na versatilidade dos servidores proxy e os cortalumes, segue lendo.

6.1 Unha grande rede con énfase na seguridad

Digamos, por exemplo, que es o líder da Vixésimo Terceira Irmandade da Discordia de Milwaukee. Gustaríache poñer unha rede. Tes 50 ordenadores e unha subrede de 32 (5 bites) direccións IP (reais). Hai varios niveis de acceso. Dinse cousas distintas aos discípulos según o nivel en que están. Obviamente, quererás protexer certas partes da rede dos discípulos que non están nese nivel.

Renuncia de Responsabilidade: Non son membro da Irmandade da Discordia. Non coñezo a súa terminoloxía, nin me importa. So vos estou usando como exemplo. Por favor, mandade tódolos frutos dos vosos arrebatos de ira a

Os niveis son:

  1. O nivel externo. Éste é o nivel que se ensina a calquera. Básicamente é un rollo sobre Eris, Diosa da Discordia, e un montón de parvadas máis.
  2. Iniciado. Este é o nivel para a xente que pasou do nivel externo. Aquí é onde se lles di que a discordia e a estructura son realmente unha, e que Eris é tamén Jehová.
  3. Adepto. Aquí é onde se atopa o verdadeiro plan. Neste nivel gardase toda a información de cómo a Sociedade da Discordia vai a dominar o mundo gracias a un diabólico, ainda que jocoso, plan que implica a Newt Gingrich, os Cereais Wheaties, O.J. Simpson, e cincocentos cristais de cuarzo erróneamente etiquetados como de 6,5 MHz.

Configuración da Red

As direccións IP dispoñense así: Entón instalanse duas redes, cada unha nunha habitación separada. Utilizanse Ethernets de infravermellos, de maneira que son completamente invisibles dende a habitación exterior. Por sorte, a Ethernet de infravermellos funciona como a normal (ou iso creo), de maneira que podemos pensar nelas como si fosen Ethernets normais.

Cada unha desas redes conectanse a unha das máquinas LiNUX as que se asignaron as direccións IP extras.

Hai un servidor de ficheiros que conecta as duas redes protexidas. Esto debese a que os planes para dominar o mundo implican a algúns dos iniciados de maior nivel. O servidor de ficheiros ten a dirección 192.168.2.17 para a rede de iniciados, e a 192.168.2.23 para a de adeptos. Ten que ter duas direccións dado que ten duas tarxetas Ethernet. Ten deshabilitado o reenvio de paquetes IP.

O reenvio de paquetes IP tamén está deshabilitado nos dous LiNUXes. O router non encamiñará paquetes con destino 192.168.2.xxx a menos que se lle diga explícitamente, así que a Internet en ningún caso podería acceder ao interior. A razón para deshabilitar o reenvio de paquetes IP aquí é para que os paquetes da rede de adeptos non cheguen a de iniciados e viceversa.

O servidor de NFS pode ser configurado para ofrecer diferentes ficheiros as diferentes redes. Esto pode vir ao pelo, e uns poucos trucos con enlaces simbólicos poden facer que se compartan os ficheros comúns entre todos. Con esta configuración e outra tarxeta Ethernet, o mesmo servidor de ficheros pode dar servicio as tres redes.

O Servidor Proxy

Dado que os tres niveis queren rastrexar a Internet para os seus propios e endiañados propósitos, os tres precisan ter acceso a ela. A rede externa está conectada directamente a Internet, logo non temos que facer nada. As redes de adeptos e iniciados están detrás de sendos cortalumes, logo é preciso instalar servidores proxy para elas.

As duas redes configuraranse de xeito moi parecido. Ambas tieñen as mesmas direccións IP asignadas. Engadirei un par de requisitos para facelo máis interesante:

  1. Non se debe poder usar o servidor de ficheiros para acceder a Internet. Isto exponlle ao virus e outras cousas desagradables, e é bastante importante.
  2. Non permitiremos aos Iniciados acceso ao World Wide Web. Están formándose, e a adquisición de ese tipo de información podería resultar dañina.
Así, o ficheiro sockd.conf no LiNUX dos iniciados terá a seguinte líña:
deny 192.168.2.17 255.255.255.255
e na máquina dos adeptos:
deny 192.168.2.23 255.255.255.255
E, o LiNUX dos iniciados terá esta línea
deny 0.0.0.0 0.0.0.0 eq 80
Que di que non de acceso a tódalas máquinas ao porto igual (eq) a 80, ao porto do http. Isto aínda permitirá o acceso a outros servicios, só impedirá o acceso ao Web.

Ademáis, ambos ficheiros conterán:

permit 192.168.2.0 255.255.255.0
para permitir a todolos ordenadores da rede 192.168.2.xxx usar este servidor proxy, excepto aqueles que xa foi prohibido (isto é: calquer acceso dende o servidor de ficheiros e o acceso ao Web dende a rede de iniciados)

O ficheiro sockd.conf dos iniciados será máis ou menos:

deny 192.168.2.17 255.255.255.255
deny 0.0.0.0 0.0.0.0 eq 80
permit 192.168.2.0 255.255.255.0
e  dos adeptos será máis o menos:
deny 192.168.2.23 255.255.255.255
permit 192.168.2.0 255.255.255.0
Con isto todo debería estar configurado correctamente. Cada rede está aillada como corresponde, co grao axeitado de interacción. Todo o mundo debería estar contento. Agora, coidado cos cristais de 6,5 MHz...


[ Anterior ]
[ Indice ]
[ Seguinte ]