Bridge+Cortafuegos Mini-COMO <author>Peter Breuer, <tt><htmlurl url="mailto:ptb@it.uc3m.es" name="ptb@it.uc3m.es"></tt> <date>v1.2, 19 Diciembre 1997 <abstract> Configuración de un sistema en el que coexista un cortafuegos con <it>bridging</it> de interfaces de red </abstract> <toc> <sect>Introducción <LABEL ID="introduccion"> <p> Debería consultar el documento <it>Bridging mini-HOWTO</it>, <tt><htmlurl url="ftp://metalab.unc.edu/pub/Linux/docs/HOWTO/mini/Bridge" name="ftp://sunsite.unc.edu/pub/Linux/docs/HOWTO/mini/Bridge"></tt> por Chris Cole para obtener otra perspectiva de este TEMA. Su dirección es <tt><htmlurl url="mailto:chris@polymer.uakron.edu" name="chris@polymer.uakron.edu"></tt>. La versión de su COMO en la que he basado este documento es la 1.03, con fecha del 23 de Agosto de 1996. <sect>¿Qué y por qué (y cómo)? <LABEL ID="queyporque"> <p> <sect1>Qué <LABEL ID="que"> <p> Un puente es un cable inteligente que conecta dos tarjetas de red. Un cortafuegos es un aislante inteligente. <sect1>Por qué <LABEL ID="porque"> <p> Puede querer un puente cuando tenga varios ordenadores: <enum> <item> <LABEL ID="bridge1"> para ahorrar el precio de un nuevo concentrador si resulta tener una tarjeta ethernet de sobra. <item> <LABEL ID="bridge2"> para ahorrarse la molestia de aprender sobre reenvío IP y otros trucos similares cuando <bf>ya tiene</bf> dos tarjetas en su ordenador. <item> <LABEL ID="bridge3"> Para evitar el trabajo de mantenimiento cuando las cosas cambien en el futuro. </enum> «Varios ordenadores» pueden ser tan pocos como tres si están rutando o puenteando o simplemente moviéndose por la habitación con frecuencia. También puede querer un puente sólo por la diversión de averiguar qué es lo que hace. De hecho esto (<REF ID="bridge2" NAME="2">) es para lo que yo lo quería. Si realmente está interesado en el punto <REF ID="bridge1" NAME="1">, debe ser uno de los pocos. Lea los documentos Redes-En-Linux-Como, <tt><htmlurl url="http://www.insflug.org/documentos/Redes-En-Linux-Como/" name="http://www.insflug.org/documentos/Redes-En-Linux-Como/"></tt> y Serie-Como <tt><htmlurl url="http://www.insflug.org/documentos/Serie-Como/" name="http://www.insflug.org/documentos/Serie-Como/"></tt> en busca de trucos mejores. Querrá un cortafuegos si <enum> <item> <LABEL ID="firewall1">trata de proteger su red de accesos externos, o <item> <LABEL ID="firewall2">quiere denegar el acceso al mundo exterior desde su red. </enum> Curiosamente yo necesitaba el punto <REF ID="firewall2" NAME="2"> también aquí. La política de mi universidad es que no debemos actuar como proveedores de servicios internet a los pregraduados. <sect1>¿Cómo? <LABEL ID="como"> <p> Comencé haciendo puente entre las tarjetas de red de un cortafuegos, y acabé haciendo un cortafuegos sin quitar el puente. Parece funcionar y es más flexible que cualquiera de las configuraciones por sí solas. Puedo tirar el firewall y seguir haciendo puente o tirar el puente cuando quiero ser más prudente. Supongo que el código del puente está justo encima del código de la capa física y que el código del cortafuegos está una capa más arriba, así que el puente y el cortafuegos actúan como si estuvieran ejecutando juntos, «secuencialmente» y no «en paralelo» (¡vaya!). diagrama: <tscreen><verb> -> Entrada-puente -> Entrada-cortafuegos -> Kernel -> Salida-cortafuegos -> Salida-puente -> </verb></tscreen> No hay otra manera de explicar cómo una máquina puede ser «conductor» y «aislante» a la vez. Hay varias advertencias sobre esto, pero las detallaré mas tarde. Básicamente deberá rutar los paquetes que quiera sean considerados por el firewall. De cualquier manera, parece funcionar bien de manera conjunta. Esto es lo que hará... <sect><it>Bridging</it> <LABEL ID="bridging"> <p> <sect1>Software <LABEL ID="Software"> <p> Obtenga la utilidad de configuración de puentes <tt><htmlurl url="ftp://shadow.cabi.net/pub/Linux/BRCFG.tgz" name="ftp://shadow.cabi.net/pub/Linux/BRCFG.tgz"></tt> de las páginas personales de Alan Cox. Esta es la misma referencia que encuentra en el documento de Chris. No me había dado cuenta de que era una URL de un ftp y no de http ... <sect1>Lecturas previas. <LABEL ID="lecturasprevias"> <p> Lea el <it>Multiple Ethernet HOWTO</it>, <tt><htmlurl url="ftp://sunsite.unc.edu/pub/Linux/docs/HOWTO/mini/Multiple-Ethernet" name="ftp://sunsite.unc.edu/pub/Linux/docs/HOWTO/mini/Multiple-Ethernet"></tt> si quiere asesoramiento sobre cómo configurar más de una tarjeta de red en su máquina. En el <it>BootPrompt HOWTO</it> <tt><htmlurl url="ftp://sunsite.unc.edu/pub/Linux/docs/HOWTO/BootPrompt-HOWTO" name="ftp://sunsite.unc.edu/pub/Linux/docs/HOWTO/BootPrompt-HOWTO"></tt> podrá encontrar aún más detalles de la magia involucrada en el proceso de arranque. Puede escapar de la lectura del Redes-En-Linux-Como <tt><htmlurl url="http://www.insflug.org/documentos/Redes-En-Linux-Como/" name="http://www.insflug.org/documentos/Redes-En-Linux-Como/"></tt>. Es una lectura bien larga, y tendrá que seleccionar de ella los detalles que necesite. <sect1>Configuración del arranque <LABEL ID="configuracionarranque"> <p> El material de lectura anterior le enseñará lo que necesita para preparar el kernel para reconocer un segundo dispositivo ethernet en el arranque, por ejemplo añadiendo los siguiente a <tt>/etc/lilo.conf</tt>, y volviendo a ejecutar <tt>lilo</tt>: <tscreen><verb> append = "ether=0,0,eth1" </verb></tscreen> Observe el "eth1". "eth0" es la primera tarjeta. "eth1" es la segunda tarjeta. Puede añadir los parámetros de arranque que quiera a la línea que lilo le ofrece. Esto es para tres tarjetas: <tscreen><verb> linux ether=0,0,eth1 ether=0,0,eth2 </verb></tscreen> Yo uso <tt>loadlin</tt> para arrancar mi kernel desde DOS: <tscreen><verb> loadlin.exe c:\vmlinuz root=/dev/hda3 ro ether=0,0,eth1 ether=0,0,eth2 </verb></tscreen> Fíjese que este truco obliga al kernel a sondear direcciones en el arranque. Esto no ocurrirá si carga los controladores ethernet como <bf>módulos</bf> (por seguridad, ya que la orden de sondeo no puede ser determinada) así que si usa módulos tendrá que añadir los parámetros de IRQ y puerto apropiados para el controlador específicamente en su fichero <tt>/etc/conf.modules</tt>. Yo por lo menos tengo <tscreen> <verb> alias eth0 3c509 alias eth1 de620 options 3c509 irq=5 io=0x210 options de620 irq=7 bnc=1 </verb> </tscreen> Puede averiguar está usando módulos mediante <tt>ps -aux</tt> para ver si se está ejecutando <tt>kerneld</tt> y comprobando si hay archivos <tt>.o</tt> en algún subdirectorio del directorio <tt>/lib/modules</tt>. Necesita el que el directorio se llame como le diga <tt>uname -r</tt>. Si tiene <tt>kerneld</tt> y/o tiene algún archivo como <tt>loquesea.o</tt>, edite <tt>/etc/conf.modules</tt> y lea cuidadosamente la página del manual de <tt>depmod</tt>. Tenga en cuenta también que hasta hace poco (kernel <tt>2.0.25</tt>) el controlador <tt>3c509</tt> no podía ser usado para más de una tarjeta si era usado como módulo. He visto un parche por ahí que soluciona esto. Puede que esté integrado en el kernel cuando lea este documento. <sect1>Configuración del kernel <LABEL ID="configuracionkernel"> <p> Recompile el kernel con bridging activado. <tscreen><verb> CONFIG_BRIDGE=y </verb></tscreen> Yo compilé con el cortafuegos, reenvío IP, enmascaramiento y lo demás activado. Esto es sólo si quiere cortafuegos... <tscreen><verb> CONFIG_FIREWALL=y CONFIG_NET_ALIAS=y CONFIG_INET=y CONFIG_IP_FORWARD=y CONFIG_IP_MULTICAST=y CONFIG_IP_FIREWALL=y CONFIG_IP_FIREWALL_VERBOSE=y CONFIG_IP_MASQUERADE=y </verb></tscreen> En realidad no necesita todo esto. Lo que sí necesita, además de esto, es la configuación normal de la red: <tscreen><verb> CONFIG_NET=y </verb></tscreen> y no creo que necesite preocuparse de ninguna de las demás opciones de red. Yo tengo opciones sin compilar dentro del kernel disponibles como módulos que puedo añadir más tarde. Instale el nuevo kernel, vuelva a ejecutar <tt>lilo</tt> y rearranque con el kernel nuevo. ¡No debería haber cambios hasta ahora! <sect1>Direcciones de red <LABEL ID="direccionesred"> <p> Chris dice que un puente no debería tener dirección IP, pero esta no es la configuración que describo aquí. Seguro que querrá la máquina para conectarse a la red, así que va a necesitar una dirección y necesita asegurarse de que tiene el dispositivo de loopback activado de la manera normal, de tal forma que sus programas puedan hablar con los lugares que se supone deberían poder hablar. Si la dirección loopback no está activada, el servicio de resolución de nombres, y otros podrían no funcionar adecuadamente. Vea el Redes-En-Linux-Como (<tt><htmlurl url="http://www.insflug.org/documentos/Redes-En-Linux-Como/" name="http://www.insflug.org/documentos/Redes-En-Linux-Como/"></tt>), aunque la configuración estándard debería haber hecho esto: <tscreen><verb> ifconfig lo 127.0.0.1 route add -net 127.0.0.0 </verb></tscreen> Va a necesitar dar direcciones a sus tarjetas de red. He modificado el archivo <tt>/etc/rc.d/rc.inet1</tt> de mi slackware (<tt>3.x</tt>) para configurar dos tarjetas y usted debería buscar en su archivo de configuración la manera de doblar o triplicar el número de instrucciones. Suponga que usted tiene direcciones en <tscreen><verb> 192.168.2.100 </verb></tscreen> (esto es en el espacio de direcciones reservado para redes privadas, pero no se preocupe, no va a hacerle daño a nadie si usa esta dirección por error) así que probablemente ya tenga una línea como <tscreen><verb> ifconfig eth0 192.168.2.100 netmask 255.255.255.0 metric 1 </verb></tscreen> en su configuración. Lo primero que probablemente quiera hacer es limitar el espacio de direcciones que alcance esta tarjeta a la mitad, de tal forma que pueda en algún momento puentear o hacer cortafuegos con las dos mitades. Añada pues una línea que reduzca la máscara para direccionar un número menor de máquinas: <tscreen><verb> ifconfig eth0 netmask 255.255.255.128 </verb></tscreen> Intente esto también. Limita a la tarjeta a, como mucho, las direcciones entre <tt>.0</tt> y <tt>.127</tt>. Ahora puede configurar su segunda tarjeta en la otra mitad del espacio de direcciones local. Asegúrese que nadie está usando ya las direcciones. Por simetria, yo lo pongo en <it>228=128+100</it>. Cualquier dirección funcionará tan pronto como no esté en la máscara de la otra tarjeta. Bueno, seguramente. Evite direcciones especiales como <tt>.0</tt>, <tt>.1</tt>, <tt>.128</tt> etc. a no ser que de verdad sepa qué hace. <tscreen><verb> ifconfig eth1 192.168.2.228 netmask 255.255.255.128 metric 1 </verb></tscreen> Esto evita que la segunda tarjeta direccione entre .128 and .255. <sect1>Rutado de red <LABEL ID="rutadored"> <p> Aquí es donde tengo que anunciar las salvedades en el esquema de puenteado y cortafuegos: no puede hacer cortafuegos con paquetes que no se ruten. No hay rutas, no hay cortafuegos. Al menos esto es verdad en el kernel <tt>2.0.30</tt> y en kernel más recientes. Los filtros para el cortafuegos están estrechamente relacionados con el código de reenvío IP. Esto no significa que no pueda hacer puentes. Puede hacer un puente entre dos tarjetas y hacer cortafuegos con ellas desde una tercera. Puede tener dos tarjetas y hacer un cortafuegos con ellas contra una dirección IP externa como un router cercano, siempre y cuando el router sea rutado por usted hasta una de las tarjetas. En otras palabras, ya que voy a hacer un cortafuegos quiero controlar con precisión el destino físico de algunos paquetes. Tengo la pequeña red de máquinas conectadas a un concentrador que cuelga de eth0, por lo que configuro ahí una red: <tscreen><verb> route add -net 192.168.2.128 netmask 255.255.255.128 dev eth0 </verb></tscreen> El <tt>.128</tt> sería <tt>.0</tt> si tuviera una clase C completa allí. No la tengo, por definición, ya que he partido a la mitad el espacio de direcciones. El <tt>dev eth0</tt> es innecesario porque las direcciones de las tarjetas caen en la máscara, pero podría ser necesario en su caso. Uno puede necesitar más de una tarjeta en esta subred (127 máquinas en un segmento) pero estas tarjetas serían puenteadas bajo la misma máscara de red, de tal forma que aparecen como una ante el código de rutado. En la otra tarjeta tengo un cable directo a un router grande en el que confío. <#if output="latex2e">  &nl;   &nl;   &nl;</#if> <tscreen><verb> cliente 129 __ | __ cliente 1 \ .0 .128 | / red 1 cliente 2 --- Hub - eth0 - Kernel - eth1 - Hub - Router --- red 2 cliente 3 __/ .100 .228 .2 | \__ red 3 | cliente 254 </verb></tscreen> Yo pongo la dirección del router a la tarjeta como una ruta fija («estática») porque si no caería entre la máscara de las primeras tarjetas y el kernel se confundiría al mandar paquetes al router grande. Voy a hacer cortafuegos con estos paquetes, y esta es otra razón por la que rutarlos específicamente. <tscreen><verb> route add 192.168.2.2 dev eth1 </verb></tscreen> No los necesito, ya que no tengo más máquinas en esa mitad del espacio de direcciones, pero declaro una red también en la segunda tarjeta. Separar mis interfaces en dos grupos mediante el rutado me permitirá hacer unas reglas de cortafuegos muy estrictas si lo necesito, pero puede escapar con mucho menos rutado específico que el aquí expuesto. <tscreen><verb> route add -net 192.168.2.128 netmask 255.255.255.128 dev eth1 </verb></tscreen> Necesito también enviar todos los paquetes no locales al mundo, así que le diré al kernel que se los mande al router grande. <tscreen><verb> route add default gw 192.168.2.2 </verb></tscreen> <sect1>Configuración de la tarjeta <LABEL ID="configuraciontarjeta"> <p> La mayoría de lo que ha visto es configuración estándard de la red, pero estamos puenteando, así que también tenemos que escuchar paquetes en ambas tarjetas que no se dirijan a nosotros. Lo que sigue debe ir al fichero de configuración de red. <tscreen><verb> ifconfig promisc eth0 ifconfig promisc eth1 </verb></tscreen> La página del manual dice que <tt>allmulti</tt> equivale a <tt>promisc</tt>, pero a mi no me funcionó. <sect1>Rutado adicional <LABEL ID="rutadoadicional"> <p> Una cosa de la que me di cuenta era que tuve que poner al menos la segunda tarjeta en un modo en el que respondiera a las preguntas del router grande sobre qué máquinas escondía en mi red local.. <tscreen><verb> ifconfig arp eth1 </verb></tscreen> Por si acaso, le hice lo mismo a la otra tarjeta. <tscreen><verb> ifconfig arp eth0 </verb></tscreen> <sect1>Configuración del puente <LABEL ID="configuracionpuente"> <p> Active el puenteo, también en su archivo de configuración de la red: <tscreen><verb> brcfg -enable </verb></tscreen> Debe haber probado esto extensivamente en pruebas reales, por supuesto. El configurador del puente mostrará algunos números. Puede experimentar con conectando y desconectando los puertos uno cada vez. <tscreen><verb> brcfg -port 0 -disable/-enable brcfg -port 1 -disable/-enable </verb></tscreen> Para comprobar el estado en cualquier momento, ejecute <tscreen><verb> brcfg </verb></tscreen> sin parámetros. Verá cómo el puente escucha, aprende y hace el reenvío. (No entiendo por qué el código repite las mismas direcciones físicas en mis dos tarjetas, pero no importa, el HOWTO de Chris dice que es así) <sect1>Probarlo <LABEL ID="probarlo"> <p> Si todo funciona como es debido, pruebe su propio archivo de comandos de configuración tirando abajo ambas tarjetas y luego ejecutándolo: <tscreen><verb> ifconfig eth0 down ifconfig eth1 down /etc/rc.d/rc.inet1 </verb></tscreen> Con un poco de suerte los varios subsistemas (NFS, <tt>ypbind</tt>, etc.) ni se enterarán. <bf>¡No intente esto a no ser que esté delante del teclado!</bf> Si quiere ser aún más cuidadoso, mate tantos demonios primero como pueda, y desmonte los directorios nfs. Lo peor que puede pasar es que tenga que resetear en modo monousuario (pasando el parámetro <tt>single</tt> a <tt>lilo</tt> o <tt>loadlin</tt>), y deshacer los cambios antes de rearrancar con las cosas como estaban antes de que empezara. <sect1>Comprobaciones <label id ="comprobaciones"> <p> Verifique que hay tráfico distinto en cada interfaz: <tscreen> <verb>tcpdump -i eth0</verb> # (en una ventana) <verb>tcpdump -i eth1</verb> # (en otra ventana) </tscreen> Debe acostumbrarse a usar <tt>tcpdump</tt> para buscar cosas que no deberían estar pasando o que no pasan y deberían. Por ejemplo, busque los paquetes que pasan por el puente a la segunda tarjeta desde la red interna. Aquí busco paquetes de la máquina con dirección <tt>.22</tt>: <tscreen><verb> tcpdump -i eth1 -e host 192.168.2.22 </verb></tscreen> Ahora le mando un <tt>ping</tt> desde la máquina <tt>.22</tt> al router. Debería ver el paquete según informe de <tt>tcpdump</tt>. En esta fase tiene un puente listo que también tiene dos direcciones de red. Compruebe que puede hacer ping desde fuera y dentro de su red local, y que puede hacer telnet y ftp entre el exterior y el interior. <sect>Cortafuegos <LABEL ID="cortafuegos"> <p> <sect1>Software y lecturas <LABEL ID="softwareylecturas"> <p> Lea el <it>Cortafuegos-Como</it>, <tt><htmlurl url="http://www.insflug.org/documentos/Cortafuegos-Como/" name="http://www.insflug.org/documentos/Cortafuegos-Como/"></tt> Esto le dirá donde obtener <tt>ipfwadm</tt> si no lo tiene ya. Hay otras herramientas que puede obtener, pero no he hecho avances con ellas hasta que no probé <tt>ipfwadm</tt>. ¡Está muy bien, y es de bajo nivel! Puede ver exactamente lo que está pasando. <sect1>Comprobaciones preliminares <LABEL ID="comprobacionespreliminares"> <p> Ha compilado soporte de reenvío IP y enmascaramiento en el kernel, así que querrá comprobar que el cortafuegos está en su estado por defecto (aceptando) con <tscreen><verb> ipfwadm -I -l ipfwadm -O -l ipfwadm -F -l </verb></tscreen> Esto es respectivamente: mostrar las reglas que afecten entrantes o salientes o reenviando (enmascarando) hacia ambos lados del cortafuegos. El <tt>-l</tt> significa listar. Si también ha compilado soporte de informes (accounting): <tscreen><verb> ipfwadm -A -l </verb></tscreen> Debería ver que no hay reglas definidas y que por defecto se aceptan todos los paquetes. Puede volver a este estado en cualquier momento usando <tscreen><verb> ipfwadm -I -f ipfwadm -O -f ipfwadm -F -f </verb></tscreen> El <tt>-f</tt> significa «vaciar». Puede que necesite usarlo. <sect1>Reglas por defecto <LABEL ID="reglaspordefecto"> <p> Quiero evitar a mi red llegar al mundo, y nada más, por lo que por lo menos daré una regla última (por defecto) que diga que el cortafuegos debería ignorar aquellos paquetes que vengan de la red interna dirigidos al exterior. Pongo las reglas (en este orden) en <tt>/etc/rc.d/rc.firewall</tt>y lo ejecuto desde <tt>/etc/rc.d/rc.local</tt> en el arranque. <tscreen><verb> ipfwadm -I -a reject -S 192.168.2.0/255.255.255.128 -D 0.0.0.0/0.0.0.0 </verb></tscreen> El <tt>-S</tt> es la dirección/máscara origen. El <tt>-D</tt> es la dirección/máscara de destino. Este formato es demasiado largo. <tt>ipfwadm</tt> es suficientemente inteligente sobre temas de red y entiende algunas abreviaturas. Lea las páginas del manual. Posiblemente es más conveniente poner algunas o todas estas reglas en la parte saliente del cortafuegos usando <tt>-O</tt> en vez de <tt>-I</tt>, pero fijaré las reglas para la mitad entrante. <sect1>Huecos por dirección <LABEL ID="huecospordireccion"> <p> Antes de la regla por defecto, tengo que poner algunas reglas que me sirvan como excepciones a esta denegación de servicios externos general a los clientes internos. Quiero tratar las direcciones internas de los cortafuegos en especial. He de evitar que la gente entre en el firewall a no ser que tengan un permiso especial, pero una vez que entren deberían ser capaces de hablar con el resto del mundo. <tscreen><verb> ipfwadm -I -i accept -S 192.168.2.100/255.255.255.255 -D 0.0.0.0/0.0.0.0 </verb></tscreen> También quiero que los clientes puedan hablar con el cortafuegos. ¡A lo mejor le convencen de que les deje salir! <tscreen><verb> ipfwadm -I -i accept -S 192.168.2.0/255.255.255.128 -D 192.168.2.100/255.255.255.255 </verb></tscreen> Compruebe en este punto de que puede entrar en los clientes desde fuera del cortafuegos usando <tt>telnet</tt>, pero que no puede salir. Esto debería significar que puede hacer el primer contacto, pero los clientes no pueden enviarle la línea de comandos. Debe ser capaz de llegar hasta el final si usa la máquina cortafuegos como paso intermedio. Intente un <tt>rlogin</tt> y un <tt>ping</tt> también, con <tt>tcpdump</tt> ejecutándose en una tarjeta o en otra. Debe ser capaz de dar sentido a lo que ve. <sect1>Huecos por protocolo <LABEL ID="huecosporprotocolo"> <p> Seguí relajando las reglas protocolo por protocolo. Quiero permitir los <tt>ping</tt> desde el exterior al interior para obtener un eco de respuesta, por ejemplo, así que inserté la regla: <tscreen><verb> ipfwadm -I -i accept -P icmp -S 192.168.2.0/255.255.255.128 -D 0.0.0.0/0.0.0.0 </verb></tscreen> El parámetro <TT>-P icmp</TT> realiza la magia necesaria a nivel del protocolo. Hasta que use un proxy <tt>ftp</tt> voy a permitir los ftp salientes con permisos específicos de puerto. Esto se dirige a los puertos <tt>20</tt> <tt>21</tt> y <tt>115</tt> de las máquinas exteriores. <tscreen><verb> ipfwadm -I -i accept -P tcp -S 192.168.2.0/255.255.255.128 \ -D 0.0.0.0/0.0.0.0 20 21 115 </verb></tscreen> No puedo hacer que <tt>sendmail</> funcione entre los clientes locales sin un servidor de nombres. En vez de instalar un servidor de nombres en el cortafuegos, lo levanto para las peticiones de servicio en el dominio tcp que se dirijan al servidor de nombres más cercano, poniendo esta dirección en los archivos <tt>/etc/resolv.conf</tt> de los clientes.(<TT>nameserver 123.456.789.31</TT> en una línea aparte). <tscreen><verb> ipfwadm -I -i accept -P tcp -S 192.168.2.0/255.255.255.128 \ -D 123.456.789.31/255.255.255.255 54 </verb></tscreen> Puede encontrar el puerto y protocolo usado por un servicio con <tt>tcpdump</tt>. Lance el servicio con un <tt>ftp</tt> o un <tt>telnet</tt> o lo que sea a o desde la máquina interna y mire lo que ocurre en los puertos de entrada y salida del cortafuegos con <tt>tcpdump</tt>: <tscreen><verb> tcpdump -i eth1 -e host client04 </verb></tscreen> por ejemplo: El archivo <tt>/etc/services</tt> es otra fuente importante de pistas. Para permitir <tt>telnet</tt> y <tt>ftp</tt> entrantes al cortafuegos desde el exterior, debe permitir a los clientes locales llamadas salientes en un puerto específico. Entiendo por qué es necesario esto para para <tt>ftp</tt> (es el servidor el que establece el flujo de datos al final) pero no sé por qué <tt>telnet</tt> también lo necesita. <tscreen><verb> ipfwadm -I -i accept -P tcp -S 192.168.2.0/255.255.255.128 ftp telnet \ -D 0.0.0.0/0.0.0.0 </verb></tscreen> Hay un problema específico con algunos demonios que buscan el nombre del cortafuegos para buscar su dirección de red. <tt>Rpc.yppasswdd</tt> es uno con el que tuve problemas. Insiste en transmitir información que diga que está fuera del cortafuegos (en la segunda tarjeta). Esto significa que los clientes de dentro no pueden contactar con él. En vez de empezar a hacer IP aliasing o cambiar el código del demonio, he correspondido el nombre a la dirección de la tarjeta interna en los clientes, en el archivo <tt>/etc/hosts</tt>. <sect1>Comprobaciones <p> Querrá comprobar que puede hacer <tt>telnet</tt>, <tt>rlogin </tt> y <tt>ping</tt> desde el exterior. Desde el interior debería poder hacer <tt>ping</tt> hacia fuera. Debería ser capaz también de hacer telnet a la máquina cortafuegos desde el interior, y la última debería ser incapaz de hacer nada. Y ya está. En este momento probablemente quiera aprender cosas sobre <tt>rpc</tt> y NIS/NYS (<it>Páginas amarillas</it>) y la interacción con el archivo de contraseñas. La red con cortafuegos debe funcionar sin que los usuarios normales tengan capacidad de entrar al cortafuegos y, consiguientemente, salir al exterior. ¡A lo mejor esto es otro COMO! <sect>Anexo: El INSFLUG <label id="Insflug"> <p> El <it/INSFLUG/ forma parte del grupo internacional <it>Linux Documentation Project</it>, encargándose de las traducciones al castellano de los Howtos, así como de la producción de documentos originales en aquellos casos en los que no existe análogo en inglés, centrándose, preferentemente, en documentos breves, como los <em/COMOs/ y <em/PUFs/ (<bf/P/reguntas de <bf/U/so <bf/F/recuente, las <it/FAQs/. <tt/:)/ ), etc. Diríjase a la sede del Insflug para más información al respecto. En ella encontrará siempre las <bf/últimas/ versiones de las traducciones «oficiales»: <tt><htmlurl url="http://www.insflug.org" name="http://www.insflug.org"></tt>. Asegúrese de comprobar cuál es la última versión disponible en el Insflug antes de bajar un documento de un servidor réplica. Además, cuenta con un sistema interactivo de gestión de fe de erratas y sugerencias en línea, motor de búsqueda específico, y más servicios en los que estamos trabajando incesantemente. Se proporciona también una lista de los servidores réplica (<it/mirror/) del Insflug más cercanos a Vd., e información relativa a otros recursos en castellano. En <tt><htmlurl url="http://www.insflug.org/insflug/creditos.php3" name="http://www.insflug.org/insflug/creditos.php3"></tt> cuenta con una detallada relación de las personas que hacen posible tanto esto como las traducciones. ¡Diríjase a <tt><htmlurl url="http://www.insflug.org/colaboracion/index.php3" name="http://www.insflug.org/colaboracion/index.php3"></tt> si desea unirse a nosotros!. «Cartel» Insflug, <tt><htmlurl url="mailto:cartel@insflug.org" name="cartel@insflug.org"></tt>. </article>