Anónimo
Proxy firewall
Quiero securizar mi red mediante un proxy (Squid s/Ubuntu 10.4) y Shorewall cada uno en un equipo diferente.
En este momento toda la lan, el proxy y router están unidops por un switch (cisco 2400).
LAN : 172.20.100.n (255.255.0.0)
Router : 172.20.1.2 (Cisco 1800)
Proxy: 172.20.2.210 (255.255.0.0)
Preguntas
¿1ª Es correcta la elección de Squid y Shorewall en equipos diferentes?
2ª Voy poner una 2ª tarjeta al proxy con IP 172.20.2.211 para conectar ahí el router y hacer que toda la LAN este obligada a salir por el proxy, ¿correcto?, ¿Me valen las ips?, ¿El gateway del proxy seguiría siendo la del router en ambas tarjetas?
3ª Donde tengo que poner el firewall, ¿entre el poxy y router?
4ª Cómo quedan las ips de proxy, firewall y router
Espero no haber abusado.
Muchas gracias de antemano
En este momento toda la lan, el proxy y router están unidops por un switch (cisco 2400).
LAN : 172.20.100.n (255.255.0.0)
Router : 172.20.1.2 (Cisco 1800)
Proxy: 172.20.2.210 (255.255.0.0)
Preguntas
¿1ª Es correcta la elección de Squid y Shorewall en equipos diferentes?
2ª Voy poner una 2ª tarjeta al proxy con IP 172.20.2.211 para conectar ahí el router y hacer que toda la LAN este obligada a salir por el proxy, ¿correcto?, ¿Me valen las ips?, ¿El gateway del proxy seguiría siendo la del router en ambas tarjetas?
3ª Donde tengo que poner el firewall, ¿entre el poxy y router?
4ª Cómo quedan las ips de proxy, firewall y router
Espero no haber abusado.
Muchas gracias de antemano
Respuesta de julgoor
1
1º En seguridad normalmente se recomienda que cada sistema/equipo tenga instalado 1/2 servicios a lo sumo para que si un equipo se ve comprometido no afecte al resto de servicios de la red. En este caso es totalmente correcto que estén separados ya que cada uno se encarga de tareas diferentes.
2º No. En la 2ª tarjeta tendrías que poner una IP de la red en la que esté el router. Al final te pongo las tablas de rutas de los 3 dispositivos.
3º Sí, yo lo pondría ahí. Así te aseguras de que todo el tráfico para por él.
4º Pues la tabla del firewall será algo parecida a la anterior (cambiando las redes 2.0, 1.0 por las que correspondan).
La tabla del proxy, será la anterior cambiando la IP del Gateway por la del firewall y las redes por las que correspondan.
La tabla del router es simple. Sólo tiene una entrada para la LAN y luego tiene la configuración de Internet.
Tienes que tener en cuenta que la LAN (donde están los equipos), la red proxy-firewall y la red firewall-router son diferentes. Pongamos que se llaman 172.20.1.0, 2.0 y 3.0 respectivamente (a ver si esquemáticamente...):
Equipos (172.20.1.X) <------> 172.20.1.1 eth0 PROXY eth1 172.20.2.1 <--------> 172.20.2.2 eth0 FIREWALL eth1 172.20.3.2 <-------> 172.20.3.1 eth0 ROUTER (INTERNET)
Entonces las tablas serían:
PROXY: eth0 172.20.1.1 ; eth1 172.20.2.1
Destino Gateway Netmask Interfaz
172.20.1.0 0.0.0.0 255.255.255.0 eth0
172.20.2.0 0.0.0.0 255.255.255.0 eth1
0.0.0.0 172.20.2.2 0.0.0.0 eth1
FIREWALL: eth0 172.20.2.2 ; eth1 172.20.3.2
Destino Gateway Netmask Interfaz
172.20.1.0 172.20.2.1 255.255.255.0 eth0
172.20.2.0 0.0.0.0 255.255.255.0 eth0
172.20.3.0 0.0.0.0 255.255.255.0 eth1
0.0.0.0 172.20.3.1 0.0.0.0 eth1
ROUTER: eth0 172.20.3.1
Destino Gateway Netmask Interfaz
172.20.1.0 172.20.3.2 255.255.255.0 eth0
172.20.2.0 172.20.3.2 255.255.255.0 eth0
172.20.3.0 0.0.0.0 255.255.255.0 eth0
0.0.0.0 .......... dependiendo de tu configuración de Internet
Espero que te sirva y que lo entiendas porque es difícil hacer tablas aquí...
2º No. En la 2ª tarjeta tendrías que poner una IP de la red en la que esté el router. Al final te pongo las tablas de rutas de los 3 dispositivos.
3º Sí, yo lo pondría ahí. Así te aseguras de que todo el tráfico para por él.
4º Pues la tabla del firewall será algo parecida a la anterior (cambiando las redes 2.0, 1.0 por las que correspondan).
La tabla del proxy, será la anterior cambiando la IP del Gateway por la del firewall y las redes por las que correspondan.
La tabla del router es simple. Sólo tiene una entrada para la LAN y luego tiene la configuración de Internet.
Tienes que tener en cuenta que la LAN (donde están los equipos), la red proxy-firewall y la red firewall-router son diferentes. Pongamos que se llaman 172.20.1.0, 2.0 y 3.0 respectivamente (a ver si esquemáticamente...):
Equipos (172.20.1.X) <------> 172.20.1.1 eth0 PROXY eth1 172.20.2.1 <--------> 172.20.2.2 eth0 FIREWALL eth1 172.20.3.2 <-------> 172.20.3.1 eth0 ROUTER (INTERNET)
Entonces las tablas serían:
PROXY: eth0 172.20.1.1 ; eth1 172.20.2.1
Destino Gateway Netmask Interfaz
172.20.1.0 0.0.0.0 255.255.255.0 eth0
172.20.2.0 0.0.0.0 255.255.255.0 eth1
0.0.0.0 172.20.2.2 0.0.0.0 eth1
FIREWALL: eth0 172.20.2.2 ; eth1 172.20.3.2
Destino Gateway Netmask Interfaz
172.20.1.0 172.20.2.1 255.255.255.0 eth0
172.20.2.0 0.0.0.0 255.255.255.0 eth0
172.20.3.0 0.0.0.0 255.255.255.0 eth1
0.0.0.0 172.20.3.1 0.0.0.0 eth1
ROUTER: eth0 172.20.3.1
Destino Gateway Netmask Interfaz
172.20.1.0 172.20.3.2 255.255.255.0 eth0
172.20.2.0 172.20.3.2 255.255.255.0 eth0
172.20.3.0 0.0.0.0 255.255.255.0 eth0
0.0.0.0 .......... dependiendo de tu configuración de Internet
Espero que te sirva y que lo entiendas porque es difícil hacer tablas aquí...
Gracias por tu contestación. Espero que me entere. Intentaré cambiar las ips y la tabla de rutas para adecuarlas a mi red.
No se que saldrá.
Té mantendré informado.
Muchas gracias
No se que saldrá.
Té mantendré informado.
Muchas gracias