Guía de referencia Debian
Capítulo 10 - Construyendo una puerta de enlace en Debian

Debian permite tener una puerta de enlace (gateway) multipropósito, con NAT, mail, DHCP, caché DNS, caché proxy HTTP, CVS, NFS y servicios Samba para una red local doméstica. Véase Netfilter donde se explican diversos temas sobre la configuración de redes.

10.1 Configuración de la red

10.1.1 Configuración de la puerta de enlace

Una LAN utiliza direcciones IP dentro de los rangos que se detallan para evitar interferencias con las direcciones IP de Internet.

     Clase A: 10.0.0.0                    con máscara 255.0.0.0
     Clase B: 172.16.0.0 - 172.31.0.0     con máscara 255.255.0.0
     Clase C: 192.168.0.0 - 192.168.255.0 con máscara 255.255.255.0

Para la configuración IP, Debian utiliza el archivo /etc/network/interfaces.

Por ejemplo, si eth0 se conecta a Internet con una dirección IP proporcionada por DHCP y eth1 se conecta a una LAN, el archivo /etc/network/interfaces se configura de la siguiente manera (para Woody o una versión posterior):

     auto lo
     iface lo inet loopback
     
     auto eth0
     iface eth0 inet dhcp
     
     auto eth1
     iface eth1 inet static
     address 192.168.1.1
     network 192.168.1.0
     netmask 255.255.255.0
     broadcast 192.168.1.255

Ejecute el siguiente comando para actualizar la configuración de red teniendo en cuenta el archivo /etc/network/interfaces nuevo:

     # /etc/init.d/networking restart

Recordar: el archivo /etc/network/interfaces en Woody y versiones posteriores no es compatible con la de Potato (lo mismo ocurre entre Sarge y Woody)

En Potato si se utiliza una tarjeta de red PCMCIA es necesario configurar la red mediante /etc/pcmcia/network.opts. En Woody el problema ya ha sido solucionado.

En caso de duda, analice la salida de los siguientes comandos:

     # ifconfig
     # cat /proc/pci
     # cat /proc/interrupts
     # dmesg|more

A veces, las conexiones DSL (PPPoE) poseen problemas de MTU. Consulte el DSL-HOWTO del LDP. Si tiene problemas con determinados sitios web, consulte Problemas extraños al acceder a ciertos sitios de Internet, Sección 3.7.5.

10.1.2 Puntos principales de la configuración de red

Conjunto de programas típicos:

     # apt-get install nfs samba dhcpd dhcp-client bind squid procmail fetchmail 
     # apt-get install ssh cvs

A continuación consulte los siguientes archivos:

     /etc/init.d/dhcpd       (editar para servir sólo a LAN = eth1)
     /etc/host.allow         (ALL: 192.168.0.0/16 127.0.0.0/8) para NFS
     /etc/exports            (Necesario para NFS)
     /etc/bind/db.192.168.1  (añadir)
     /etc/bind/db.lan        (añadir)
     /etc/bind/named.conf    (editar)
     /etc/resolve.conf       (editar)
     /etc/hosts
     /etc/dhcpd.conf         (editar para LAN = eth1)
     /etc/dhclient.conf      (editar para forzar DNS local)
     /etc/samba/smb.conf
     /etc/exim/exim.conf
     /etc/mailname
     /etc/aliases
     /etc/squid.conf         (añadir las direcciones IP de todas las máquinas de la
     LAN)

bind crea un caché DNS local y transforma la máquina local en servidor DNS. Consulte el archivo /etc/resolve.conf:

     nameserver 127.0.0.1
     search lan.aokiconsulting.com

10.2 Configuración de netfilter

El proyecto netfilter/iptables es un sistema de firewall para Linux 2.4 y posteriores. Véase Netfilter donde se explican diversos temas sobre la configuración de redes.

10.2.1 Pricipios básicos de netfilter

Netfilter procesa los paquetes mediante 5 cadenas incorporadas: PREROUTING, INPUT, FORWARD, OUTPUT, y POSTROUTING.

                     decisión de
     interfaz        enrutado                                     interfaz
     IN ------> PRE ---> ------> FORWARD -----> ----> POST -----> OUT
                ROUTING  \       filter       /       ROUTING     
                DNAT     |       tracking     ^       SNAT
                REDIRECT |                    |       MASQUERADE
                         v                    |
                       INPUT                OUTPUT
                         | filtro             ^ filtro,DNAT 
                         v                    |
                         \--> Proceso Local --/
                                 programas del espacio de usuario

10.2.2 Tabla netfilter

Los paquetes son procesados por cada cadena según la siguiente tabla.

• filter (filtro de paquetes, predeterminado)
  • INPUT (para los paquetes que llegan a la máquina)
  • FORWARD (para los paquetes encaminados por la máquina)
  • OUTPUT (para los paquetes generados localmente).
• nat (Network Address Translation o Traducción de Direcciones de Red)
  • PREROUTING (para modificar los paquetes tan pronto lleguen)
  • OUTPUT (para modificar los paquetes generados localmente antes de encaminarlos)
  • POSTROUTING (para modificar los paquetes a punto de salir)
• mangle (mutilación de direcciones de red, efectiva a partir de la versión 2.4.18)
  • las 5 cadenas incluidas.

10.2.3 Objetivos de Netfilter

Las reglas de firewall poseen diversos objetivos:

• los 4 objetivos básicos:
  • ACCEPT significa dejar pasar el paquete.
  • DROP significa descartar el paquete.
  • QUEUE significa pasar al paquete al espacio de usuario (si es soportado por el kernel).
  • RETURN significa detener el paso en la cadena y continuar con la regla siguiente de la cadena anterior.
• otros objetivos:
  • LOG activa los registros del kernel.
  • REJECT reenvía un paquete con error y descarta el paquete.
  • SNAT modifica la dirección de origen del paquete y se usa únicamente en la cadena POSTROUTING (tabla nat únicamente)

         --to-source  ipaddr[-ipaddr][:port-port]
    

  • MASQUERADE es lo mismo que SNAT pero para direcciones IP asignadas en forma dinámica (conexión telefónica). (tabla nat únicamente)

         --to-ports port[-port]
    

  • DNAT modifica la dirección de destino del paquete y se usa en las cadenas PREROUTING, OUTPUT y las cadenas definidas por el usuario que se llaman únicamente desde dichas cadenas (tabla nat únicamente)

         --to-destination ipaddr[-ipaddr][:port-port]
    

  • REDIRECT modifica la dirección IP de destino para enviar el paquete a la propia máquina.

         --to-ports port[-port]
    

10.2.4 Los comandos netfilter

Los comandos básicos de iptables son:

     iptables -N cadena                   # crear una cadena
     
     iptables -A cadena \                 # añadir regla a la cadena
              -t tabla \                  # usar tabla (filtro, nat, mangle)
              -p protocolo \              # tcp, udp, icmp, or all,
              -s dirección-fuente[/mask] \
              --sport puerto[:port] \     # puerto de origen si -p es tcp o udp
              -d dirección-destino[/mask] \
              --dport puerto[:port] \     # puerto de destino si -p es tcp o udp
              -j objetivo \               # qué hacer si coincide
              -i nombre-interfaz-entrada \# para INPUT,  FORWARD, PREROUTING
              -o nombre-interfaz-salida   # para FORWARD, OUTPUT, POSTROUTING

10.2.5 Enmascaramiento IP

Las máquinas de una LAN pueden acceder a los recursos de Internet a través de una puerta de enlace que utiliza enmascaramiento IP (NAT) compartiendo una única dirección IP accesible desde el exterior

     # apt-get install ipmasq

Aplique las reglas de ejemplo para mejorar la protección ipmasq. Consulte /usr/share/doc/ipmasq/examples/stronger/README. Para el paquete kernel-image-2.4 de Debian asegúrese de cargar los módulos adecuados. Véase Funciones de Red, Sección 7.2.3 para efectuar la correspondiente configuración.

Para el paquete kernel-image-2.2 de Debian, edite de la siguiente manera Z92timeouts.rul en /etc/masq/rules para asegurar una conexión más duradera con sitios distantes (conveniente para mensajes de correo grandes, etc.):

     # tcp, tcp-fin, udp
     # 2hr, 10 seg, 160 seg - predeterminado
     # 1 día, 10 min, 10 min - modificación
     $IPCHAINS -M -S 86400 600 600

Asimismo, si se accede a la red mediante una tarjeta de red PCMCIA, ipmasq necesita iniciarce desde /etc/pcmcia/network.opts. Consulte /usr/share/doc/ipmasq/ipmasq.txt.gz.

10.2.6 Network configuration and PCMCIA

[DUMMY section needed to build source until this entire chapter get updated]

10.2.7 Redireccionar una conexión SMTP (2.4)

Supongamos que tiene una PC portátil configurada para otro entorno de red y que desea usar su programa de correo sin tener que reconfigurarla.

Añadiendo las siguientes reglas mediante el comando iptables en la puerta de enlace, la conexión SMTP será redirigida hacia ella.

     # iptables -t nat -A PREROUTING -s 192.168.1.0/24 -j REDIRECT \
                -p tcp --dport smtp --to-port 25 # smtp=25, INPUT se encuentra abierta

Para el redireccionamiento de un conjunto de reglas más complejo considere instalar el paquete ipmasq y agregue M30redirect.def en el directorio /etc/ipmasq/rules/.

10.3 Administrando múltiples conexiones de red

[FIXME] Política de encaminamiento (por Phil Brutsche pbrutsch@tux.creighton.edu): Ver el iproute manual para más detalles. El control de tráfico (tc) puede ser también interesante.

Entorno:

     eth0: 192.168.1.2/24; gateway 192.168.1.1
     eth1: 10.0.0.2/24; gateway 10.0.0.1
     Sin enmascaramiento en esta máquina.

Algo de magia:

1. ip rule add from 192.168.1.2 lookup 1
2. ip rule add from 10.0.0.2 lookup 2
3. ip route add to default via 10.0.0.1 metric 0
4. ip route add to default via 192.168.1.1 metric 1
5. ip route add table 1 to 192.168.1.0/24 via eth0
6. ip route add table 1 to 10.0.0.2/24 via eth1
7. ip route add table 1 to default via 192.168.1.1
8. ip route add table 2 to 192.168.1.0/24 via eth0
9. ip route add table 2 to 10.0.0.2/24 via eth1
10. ip route add table 2 to default via 10.0.0.2

[FIXME] Nunca hice esto. ¿Cómo configurar una conexión telefónica como respaldo de una conexión rápida y automática? Por favor, envíenme un parche :)

Guía de referencia Debian