3. Configuración
3.1 Requerimentos de Hardware
Para o noso exemplo, o ordenador é un 486-DX66 con 8 Megas de RAM,
unha partición para Linux de 500 Megas, e unha conexión PPP
a un proveedor de Internet a traveso dun módem de 14.400 bps . Ese
é o noso Linux básico. Para convertilo nun cortalumes
engadímoslle unha tarxeta Ethernet NE2000. Con ela queda conectado
a tres PCs con Güindous 3.1 e Trumpet Winsock, e a duos Sun's
con SunOs. A razón de elexir este escenario é que son as
dúas plataformas coas que estou familiarizado. Imaxino que gran
parte do que conto aquí é factible con Mac's mais, dado que
non uso Mac's con suficiente asiduidade, o certo é que non o sei.
3.2 Configurando o Software
Así que agora temos un LiNUX conectado a Internet por unha liña
PPP de 14.400 . Ademais temos unha rede Ethernet que conecta o LiNUX e
o resto dos ordenadores. O primeiro, debemos recompilar o núcleo
coas opcións axeitadas. Neste intre eu botaría unha ollada
ao
Kernel-HOWTO, ao Ethernet-HOWTO, e ao
NET-3-HOWTO.
Logo teclearía "make config":
As opcións requeridas son:
-
Habilitar o Soporte de Rede
-
Habilitar a opción de rede TCP/IP (TCP/IP Networking)
-
Deshabilitar o reenvío de paquetes IP (CONFIG_IP_FORWARD)
-
Habilitar a opción de Cortalumes IP (IP Firewalling)
-
Probablemente, habilitar as contas IP (IP Accounting). Parece razoable,
dado que estamos configurando un dispositivo de seguridade
-
Habilitar o Soporte de Dispositivos de Rede (Networking Device Support)
-
Habilitar o soporte de PPP e Ethernet, aínda que esto depende do
tipo de interfaces que se teñan en cada caso
Agora, recompilamos e reinstalamos o núcleo e rearrancamos a máquina.
As interfaces deberían ser recoñecidas na secuencia de arranque
para que todo estivera bien. Se non, habería que repasar os Howtos
antes mencionados e voltalo a intentar ata que funcionase.
3.3 As Direccións de Rede
Esta é a parte interesante. Dado que non queremos que a Internet
teña acceso ás nosas máquinas, non necesitamos usar
direccións reais. Unha boa elección é o rango de direccións
de clase C 192.168.2.xxx, que está designado como rango
para probas. E dicir, ninguén o usa, e non entrará en conflicto
con ningunha petición ao exterior. De modo que, nesta configuración,
só se necesita unha dirección IP real. As outras pódense
elexir libremente e de ningunha maneira afectarán á rede.
Asignamos a dirección IP real ao porto serie do cortalumes
que usamos para a conexión PPP. Asignamos 192.168.2.1 á
tarxeta Ethernet do cortalumes. Asignamos as outras máquinas
da rede protexida calquer dirección do rango anterior.
3.4 Probas
O primeiro é facer ping a internet dende o cortalumes.
Eu antes usaba nic.ddn.mil como punto de proba. Non deixa de ser
un bo sitio, mais demostrou ser menos fiable do que esperaba. Se non funciona
á primeira, probaremos a facer pings a outro par de sitios
que non estén conectados á nosa rede local. Se non funciona
é que o PPP está mal configurado. Teríamos que voltar
a ler o Net-3-HOWTO e a probar.
Agora probaremos a facer pings entre as máquinas da rede protexida.
Todas deben ser capaces de facer ping as demáis. Se non
fora así, habería que ler de novo o Net-3-HOWTO e
traballar na rede un pouco máis.
Agora, todas as máquinas da rede protexida deben ser capaces
de facer pings ao cortalumes. Se non, volta atrás. Lembra:
deberían ser capaces de facer ping a 192.168.2.1,
non á dirección PPP.
Entón probaremos a facer ping á dirección PPP do
cortalumes
dende dentro da rede protexida. Non debe funcionar. Se funciona
é que non deshabilitamos o Reenvio dos Paquetes IP e haberá
que recompilar o núcleo. Ou asignar á rede protexida a dirección
192.168.2.0
ningún paquete será encamiñado a ela pola Internet,
mais, en calquer caso, é máis seguro ter o reenvío
de paquetes IP deshabilitado. Isto deixa o control nas nosas mans, non
nas mans do noso proveedor de PPP.
Finalmente, faremos ping a todas as máquinas da rede
protexida dende o
cortalumes. Chegados a este punto, non debería
haber problemas.
Xa temos unha disposición de cortalumes básica.
3.5 Seguridade para o Cortalumes
O cortalumes non serve se o deixamos vulnerable aos ataques. Primeiro botaremos
un vistazo ao /etc/inetd.conf. Este é o ficheiro de configuración
do así chamado "superservidor" (inetd), que arranca un bo número
de demos servidores cando lles chega unha petición.
Entre eles:
Debese desactivar todo o que non se precise. Non dubidaremos en desactivar
netstat,
systat, tftp, bootp, e finger. Seguramente quereremos
desactivar telnet, e deixar só rlogin, ou viceversa.
Para desactivar un servicio basta con poñer un # ao comezo da
liña que se refira a él. Despois hai que mandar un sinal
SIG-HUP ao proceso inetd tecleando "kill -HUP <pid>", onde
<pid>
é o número de proceso de inetd. Isto fará que inetd
relea o seu ficheiro de configuración (inetd.conf) e se
reinicie. Comprobaremo-lo facendo un telnet ao porto 15
do cortalumes, o porto de netstat. Se aparece a resposta
de netstatd, non reiniciamos inetd correctamente.