On Wed, 14 Aug 2013 17:28:01 +0200, Yoandy Melero wrote:
Hola lista. les envio este mensaje que estaba en un hilo no adecuado
para que me puedan sugerir el como de la cuestion.
Técnicamente no hay mucho más que aportar a lo que he dicho antes, pero
lee un poco más abajo, pues aclararé algunas cosas.
Se que existe una manera mejor que no hay que tocar el dns, ni el
dhcp, ni el navegador. solo el firewall de tu puerta de enlace
(gateway)
Si, se comporta básicamente como un enrutamiento común y corriente.
Como bien saben la navegacion es a travez de nombres. les pondre un
ejemplo de mi red y me ayuden a encontrar esa maravillosa forma. La
pc
cliente cuadno navega un sitio determinado como www.yahoo.com sin
configurar el navegador, le hace la consulta al servidor dns que
tengas configurado en la tarjeta de red para saber que ip es el host
www de yahoo.com y este le responde un ip para luego la pc cliente
conectarse directamente a esa ip a traves de la puerta de enlace
configurada previamente por el puerto 80 y ver dicho sitio web. (esa
es la teoria basica del dns) El procedimiento se basa en engañar esto
y cuadno el server dns le responda la peticion X al cliente le
devuelve la ip donde estará el proxy escuchando por el puerto 80 y
bummmm!!!! ya esta navegando el cliente y no sabe que esta pasando
por
un proxy al menos que le deniegues alguna pagina o haga algo no
permitido.
Aqui hay un error de concepto. Al declarar una puerta de enlace en el
cliente, en realidad estás diciendo que los paquetes cuyo destino no
esté en tu red, sean reenviados a través del equipo que hace de
pasarela. No hay proxy alguno, y de haberlo no se utiliza, puesto que no
lo has declarado en tu navegador o tu sistema. En otras palabras, el
cliente tiene salida hacia el exterior sin restricción alguna, a menos
que te des a la trabajosa tarea de crear un montón de reglas para cada
una de las direcciones ip que tienen los diferentes nombres de dominio,
lo cual te aseguro que será innecesariamente desgastante.
Señores creo que esto se logra con 1 o 2 lineas en iptables (en la ip
que hara como puerta de enlace). Espero me ayuden con este tema.
llevo
meses tratando de lograr esto pero no logro dar con el iptables.
Bueno, básicamente en la tabla nat creas una regla para el
enmascaramiento de las direcciones locales autorizadas en direcciones ip
externas (mediante SNAT, o MASQUERADE en el caso de que tus direcciones
externas te sean asignadas dinámicamente), y otra regla en la tabla
filter (la predeterminada) para hacer un FORWARD de los paquetes
provenientes de esas máquinas hacia el exterior, utilizando la interfaz
WAN del servidor. Creo que aqui mismo en la lista se han dado ejemplos,
realmente no es complicado.
Hugo: Si puediras ayudarme un poco con este tema, me dices que trae
como consigo no pder controlorar lo que se navega?? al final hay un
proxy en la red lo que el usuario no tiene porque saberlo.
He ahi el problema, como dije antes: no hay tal proxy, de modo que el
control que puedes lograr es muy pobre.
Permíteme ilustrártelo con un ejemplo: ahora mismo estoy en el trabajo
después de horario laboral para trabajar con Squid sin afectar los
servicios; necesito hacer unas reglas para que por defecto el acceso a
facebook y youtube esté denegado la mayor parte del día, y se habilite
solo para los usuarios autorizados a navegar, y en el horario entre las
4 y las 6 de la tarde (lo cual pretende no afectar los servicios el
resto del día, y tiene el efecto colateral de animar a que los
trabajadores permanezcan en su puesto hasta el final de la jornada).
Esto sería difícil o quizás imposible de lograr con el método que
pretendes.
Otra cosa: supongamos que algunas de las PCs de tu red utilizan
Windows, cuya vulnerabilidad es reconocida: fácilmente podrías
convertirte involuntariamente en parte de una red botnet y participar de
un ataque de denegación de servicios sin saberlo (solo notarías que tu
conectividad efectiva se reduciría increíblemente rápido sin motivo
aparente), o los sistemas podrían comenzar a propagar virus, o la
información sensible podría quedar expuesta, etc.
Utilizando un proxy con autenticación, eliminas muchos de estos
problemas, por esto es preferible y recomendable.
Espero haber aclarado mejor las cosas.
Saludos, Hugo
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
