Este manual lo cree pensando en todos los que quieren tener una red casera leyendo algo corto y no solo el masquerade tipico (ojo que la base de esto es lo mismo que utilizaran en el trabajo).
Lo primero es que se debe tener instalado IPTABLES, DHCPD y 2 tarjetas de red (un switch opcional).
Habilitar el forwarding:
echo 1 > /proc/sys/net/ipv4/ip_forward
aunque este metodo no me gusta mucho, ya que al reiniciar se pierde la
configuracion, asi que se hara lo siguiente:
con un editor de texto se abrira el archivo:
sysctl.conf el cual se ubica en /etc/
y a la linea:
net.ipv4.ip_forward = 0
se le cambiara el valor por 1:
net.ipv4.ip_forward = 1
Y graban el cambio.
--------------------------------------------------------------------------------------------------------
Ahora viene la configuracion de sus 2 tarjetas de red.
En este ejemplo vamos a suponer con eth0 (ip fija para la lan 192.168.1.1) y
eth1 (con la ip publica 200.x.x.x o la que obtenga del proveedor de
internet)
eth0 192.168.1.1
eth1 asignada por proveedor de internet
una vez asignadas las ip aplican:
ifdown eth0
ifup eth0
[En caso que no tengan ethx, y tengan pppx lo hacen con pppx ]
---------------------------------------------------------------------------------------------------------------
Ahora el paso con iptables, para esto primero se hara lo siguiente:
iptables-save >> /etc/sysconfig/iptables
eso guardara lo que se tiene en iptables por defecto en el archivo iptables
(se puede guardar en cualquier parte, pero lo haremos de esa forma para el
ejemplo), y se procedera a abrir ese archivo, del cual obtendremos algo asi:
# Generated by iptables-save v1.2.5 on Mon Sep 8 23:48:50 2003
*mangle
:PREROUTING ACCEPT [11296700:3045791464]
:INPUT ACCEPT [191788:37176850]
:FORWARD ACCEPT [11039695:3001324458]
:OUTPUT ACCEPT [196509:18992369]
:POSTROUTING ACCEPT [11234819:3020200722]
COMMIT
# Completed on Mon Sep 8 23:48:50 2003
# Generated by iptables-save v1.2.5 on Mon Sep 8 23:48:50 2003
*nat
:PREROUTING ACCEPT [82834:23562773]
:POSTROUTING ACCEPT [1584:74474]
:OUTPUT ACCEPT [7842:358366]
COMMIT
# Completed on Mon Sep 8 23:48:50 2003
# Generated by iptables-save v1.2.5 on Mon Sep 8 23:48:50 2003
*filter
:OUTPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
COMMIT
Como se puede ver una maneja mangle, otra nat y la ultima filtrado (no
entrare en detalles como he dicho anteriormente para esto dios GOOGLE, solo
ire al grano de como lograr el objetivo, y si ponen atencion en nat y filter
todo esta permisivo)
en la linea de nat y filter agregaremos lo siguiente
# Generated by iptables-save v1.2.5 on Mon Sep 8 23:48:50 2003
*mangle
:PREROUTING ACCEPT [11296700:3045791464]
:INPUT ACCEPT [191788:37176850]
:FORWARD ACCEPT [11039695:3001324458]
:OUTPUT ACCEPT [196509:18992369]
:POSTROUTING ACCEPT [11234819:3020200722]
COMMIT
# Completed on Mon Sep 8 23:48:50 2003
# Generated by iptables-save v1.2.5 on Mon Sep 8 23:48:50 2003
*nat
:PREROUTING ACCEPT [82834:23562773]
:POSTROUTING ACCEPT [1584:74474]
:OUTPUT ACCEPT [7842:358366]
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Mon Sep 8 23:48:50 2003
# Generated by iptables-save v1.2.5 on Mon Sep 8 23:48:50 2003
*filter
:OUTPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp --dport 137 -j DROP
-A INPUT -p tcp -m tcp --dport 138 -j DROP
-A INPUT -p tcp -m tcp --dport 139 -j DROP
COMMIT
------
Con eso grabamos y guardamos el archivo, y se debe reiniciar iptables
Pero no!!!, eso no resolverá sus problemas aun, ya que se debe configurar dhcpd
Y si!!, la generación de ese ejemplo la hice el 2003..
--------------------------------------------------------------------------------------------------------
Ahora lo ultimo DHCP
se editara el archivo: dhcpd.conf ubicado en /etc
El cual se debe ver asi:
ddns-update-style interim;
ignore client-updates;
subnet 192.168.1.0 netmask 255.255.255.0 {
option routers 192.168.1.1;
option subnet-mask 255.255.255.0;
option domain-name-servers 200.74.121.12, 200.83.1.5, 190.160.0.11;
option ip-forwarding off;
range dynamic-bootp 192.168.1.100 192.168.1.254;
default-lease-time 21600;
max-lease-time 43200;
Graban, Guardan y reinician el servidor dhcp, OJO que deben tener bien configurada la tarjeta la cual tiene la ip 192.168.1.1 (Debe estar activa), si no el dhcpd al reiniciar dara fallo.
En option routers esta la ip de la tarjeta que ira hacia el switch de la lan.
Option domain-name-servers los sacan del archivo resolv.conf (yo puse los de vtr y son los que seran asignados a los computadores de la red),
En range dynamic-bootp el rango que sera asignado a los pc de la red.
los lease son los tiempos de arriendo.
Y el resto lo ven en google si quieren saber mas detalles.