Hola a todos.

Antes de empezar, me gustaría pedir disculpas pues el asunto quizá no tenga
demasiado que ver con Debian, pero creo que lo toca lo suficiente como para
no etiquetarlo como OT.

Una vez pedidas las disculpas oportunas, explicaré un poco la situación en
la que me encuentro a ver si alguien me puede guiar un poco o echar un cable
y encontramos la mejor solución posible. Actualmente en el domicilio de mis
padres coexisten un total de 4 equipos: 2 portátiles, un sobremesa y un
servidor. El servidor hasta hace poco, simplemente servía correo, web
dinámica (LAMP) y poco más.

Hace unos meses recibí una carta postal de mi ISP comentándome de que tenían
varios avisos de SPAM procedentes de mi IP, y que o tomaba cartas en el
asunto o que estudiarían dar de baja mi línea. Es evidente que a este aviso
le dí la importancia que merece, pues ni me adjuntaron logs ni ningún otro
tipo de prueba que pudiera certificar la veracidad de esas acusaciones... de
hecho, dejé todo un día mi portátil con whireshark snifeando el tráfico de
red en busca de algún envío de correo con resultado negativo.

Dejando a un lado este aviso, me he quedado digamos incómodo por lo
desprotegida que está la red y me estoy planteando ponerle una capa de
seguridad adicional con un firewall casero.

La estructura actual es la siguiente:

router*
|                Portátil A
|             /
|------ AP
|             \
|                Portátil B
|
|------ workstation A
|
|------ server
|
|------ boca vacía

* Zyxel Prestige 643

Este firewall iría justo detrás del router y había pensado en ponerle 3
tarjetas de red para poder hacer una diferenciación entre una DMZ y la red
privada.

Después de todo este ladrillo, mi propuesta y mi duda sería la siguiente:

Por supuesto instalar una Debian rama stable con las 3 tarjetas de red
mencionadas, y enrutar el tráfico dependiendo de su tipo hacia la DMZ o
hacia la red privada. Esto es, que si se recibe una petición al puerto 80,
25, 22, 443, 110, etc... vaya a la tarjeta de la DMZ, y si se necesitase
algún puerto de entrada abierto para la red privada pues que lo encaminase
por la otra tarjeta.

La política por defecto que quería implementar sería obviamente la de DROP,
y por descontado que había pensando en utilizar scripts IPTABLES...
digamos... hechos a mano.

La problemática que me encuentro (aparte de no haber trabajado
*demasiado*con IPTABLES) es que en la mayoría de los tutoriales que
hay para hacer algo
similar, nunca se contempla mi configuración, ya que el firewall iría detrás
del router que es quien hace NAT. En la mayoría de tutoriales y manuales se
contempla la opción de que sea el propio PC el que haga de router y gestione
la conexión, o bien que el router no haga NAT...

Aquí es dónde espero vuestras proposiciones, pidiendo por favor que se
descarte la opción de que el router no haga NAT.

Como colofón, estaba pensando en adquirir un Linksys WRT54GL por si sonase
la flauta y tuviera alguna implementación similar, para hacer de firewall ya
en el propio router y ahorrarme una máquina.

Muchísimas gracias por vuestra atención y disculpas por el tremendo chorizo
de mail que ha quedado al final.

Un saludo,
Abraham Pérez Prado

P.D.: al ir en formato HTML el dibujo puede que no se vea demasiado bien...
en ese caso avisarme que lo envío como texto plano.

Responder a