de 1997. Mini-COMO de Linux IP Masquerade, en ESPA�OL.

de 1997. Mini-COMO de Linux IP Masquerade, en ESPA�OL.
Original de Ambrose Au, [email protected]
Original v1.2, 10 de noviembre de 1997; traducci�n, 20 de
noviembre

Este documento describe c�mo activar la funci�n IP Masquerade en un
servidor Linux, permitiendo conectar a Internet, mediante su m�quina
Linux, ordenadores que no tienen registrada una direcci�n IP de Inter�
net.
______________________________________________________________________

�ndice General:

1. Introducci�n.

1.1. Introducci�n.

1.2. Pr�logo, retrospectiva y cr�ditos.

1.3. Copyright & Disclaimer.

2. Conceptos b�sicos.

2.1. �Qu� es IP Masquerade?

2.2. Estado actual

2.3. �Qui�n puede beneficiarse de IP Masquerade?

2.4. �Qui�n NO necesita IP Masquerade?

2.5. �C�mo funciona IP Masquerade ?

2.6. Requerimientos para usar IP Masquerade en Linux 2.x

3. Configuraci�n de IP Masquerade.

3.1. C�mo compilar el n�cleo para dar soporte IP Masquerade.

3.2. Asignaci�n de direcciones IP en la red privada

3.3. Configuraci�n de las OTRAS m�quinas.

3.3.1. Configuraci�n de Windows 95.

3.3.2. Configuraci�n de Windows para Trabajo en Grupo (3.11).

3.3.3. Configuraci�n de Windows NT.

3.3.4. Configuraci�n de sistemas basados en UNIX.

3.3.5. Configuraci�n DOS usando el paquete NCSA Telnet.

3.3.6. Configuraci�n de sistemas basados en MacOS usando MacTCP

3.3.7. Configuraci�n de sistemas basados en MacOS usando Open
Transport.

3.3.8. Configuraci�n de red Novell usando DNS.

3.3.9. Configuraci�n de OS/2 Warp.

3.3.10. Configuraci�n de otros sistemas.

3.4. Configuraci�n de la pol�tica de IP Forwarding.

3.5. Comprobaci�n de IP Masquerade.

4. Otras caracter�sticas de IP Masquerade y soporte de programas.

4.1. Problemas con IP Masquerade.

4.2. Servicios de entrada.

4.3. Programas cliente soportados y otras notas de configuraci�n.

4.3.1. Clientes que funcionan

4.3.2. Clientes que NO funcionan

4.3.3. Plataformas/SO testeados como las OTRAS m�quinas.

4.4. Administraci�n de cortafuegos IP con ipfwadm .

4.5. IP Masquerade y llamada bajo demanda ( Dial On Demand ).

4.6. Reenv�o de paquetes ipautofw .

5. Varios.

5.1. Obtenci�n de ayuda.

5.2. Agradecimientos.

5.3. Referencias.

6. Anexo de la traducci�n.

6.1. Traducci�n.

6.2. Anexo: El INSFLUG

6.3. Fuentes de informaci�n en espa�ol

6.4. Recursos de Linux y distribuciones.

6.5. C�mo colaborar

7. Anexo: El INSFLUG
______________________________________________________________________

1. Introducci�n.

1.1. Introducci�n.

Este documento describe c�mo activar la funci�n IP masquerade en un
servidor Linux, permitiendo conectar a Internet, mediante su m�quina
Linux, ordenadores que no tengan registrada una direcci�n IP de
Internet. Es posible conectar sus m�quinas con el servidor Linux,
tanto con ethernet como con otro tipo de conexiones, con un enlace
ppp. Este documento har� �nfasis en las conexiones ethernet, ya que
este es el caso m�s usual.

Este documento est� pensado para usuarios de n�cleos 2.0.x. Los
n�cleos en desarrollo 2.1.x no son tratados.

1.2. Pr�logo, retrospectiva y cr�ditos.

Encuentro muy confuso, como nuevo usuario, configurar IP masquerade en
los n�cleos nuevos, esto es, 2.x. Aunque hay PUF (-- Preguntas de Uso
Frecuente--) s y listas de correo, no hay documentos dedicados a esto;
y como hay algunas peticiones en las listas de correo solicitando un
COMO que lo cubra, decid� escribirlo como punto de partida para nuevos
usuarios, y posiblemente como secci�n b�sica para que usuarios
experimentados puedan crear m�s documentaci�n. Si piensa que no estoy
haciendo un buen trabajo, si�ntase libre de dec�rmelo para que pueda
hacerlo mejor.

Este documento est� fuertemente basado en la PUF original de Ken Eves,
y numerosos mensajes de ayuda de la lista de correo de IP MASQUERADE.
Gracias especiales a Mr. Matthew Driver, cuyos mensajes a la lista de
correo me inspiraron para configurar ip_masq y eventualmente para
escribir esto.

Por favor si�ntase libre de enviarme cualquier cr�tica o comentario a
[email protected] si algo de lo aqu� explicado le parece err�neo, o
si echa algo de menos. �Su inestimable comentario podr� influenciar el
futuro de este COMO!

Este COMO est� pensado para ser una gu�a r�pida a fin conseguir que el
IP Masquerade funcione en el plazo de tiempo m�s corto posible.

Podr� encontar las �ltimas novedades, as� como mayor informaci�n en
las p�ginas web de IP Masquerade Resource http://ipmasq.home.ml.org/
que mantengo. Si tiene alguna pregunta t�cnica sobre IP Masquerade,
por favor entre en la Lista de Correo de IP Masquerade en lugar de
enviarme correo electr�nico, mi tiempo es limitado, y los
desarrolladores de IP_Masq est�n m�s capacitados para responder a sus
preguntas.

La �ltima versi�n de este documento se puede encontrar en IP
Masquerade Resource, el cual tambi�n contiene las versiones HTML y
PostScript:

� http://ipmasq.home.ml.org/

� Por favor consulte http://ipmasq.home.ml.org/index.html#mirror,
r�plica de estas p�ginas.

1.3. Copyright & Disclaimer.

** Nota del traductor ** : Aunque se traducen los t�rminos de la
licencia s�lo se hace con car�cter informativo. Se deja intacta la
licencia original.

===========================================================================

This document is copyright(c) 1996 Ambrose Au, and it's a free
document. You can redistribute it under the terms of the GNU General
Public License.

The information and other contents in this document are to the best
of my knowledge. However, ip_masq is experimental, and there is
chance that I make mistakes as well; so you should determine if you
want to follow the information in this document.

Nobody is responsible for any damage on your computers and any other
losses by using the information on this document. i.e.
THE AUTHOR IS NOT RESPONSIBLE FOR ANY DAMAGES INCURRED DUE
TO ACTIONS TAKEN BASED ON THE INFORMATION IN THIS DOCUMENT.

===========================================================================

-- Propiedad intelectual y renuncia de responsabilidad --

Este documento es copyright � 1996 Ambrose Au, y es un documento
gratuito. Puede redistribuirlo bajo los t�rminos de la GNU General
Public License.

La informaci�n y el resto de los contenidos de este documento son lo
mejor de mis conocimientos. Tenga en cuenta que IP Masquerade es
experimental, y hay posibilidad de que cometa errores; por eso deber�a
determinar si quiere seguir la informaci�n de este documento.

Nadie ser� responsable de da�o alguno sufrido por sus ordenadores y
cualesquiera otras p�rdidas ocasionadas por el uso de la informaci�n
contenida en este documento. Esto es:

EL AUTOR (y el TRADUCTOR) NO SE RESPONSABILIZA DE NING�N
DA�O SUFRIDO DEBIDO A LAS ACCIONES REALIZADAS BASADAS EN
ESTE DOCUMENTO.

2. Conceptos b�sicos.

2.1. �Qu� es IP Masquerade?

IP Masquerade es una capacidad de red de Linux en desarrollo. Si un
servidor Linux est� conectado a Internet con IP Masquerade habilitado,
los ordenadores conectados a �l (bien en la misma red local, bien por
m�dem) tambi�n pueden conectarse a Internet, incluso aunque no tengan
una direcci�n IP oficial asignada.

Esto permite a un conjunto de m�quinas acceder transparentemente a
Internet ocultas tras la m�quina pasarela, la cual aparece como el
�nico sistema que est� usando Internet. Romper la seguridad de un
sistema configurado de forma correcta con IP Masquerade es
considerablemente m�s dif�cil que romper un buen filtro de paquetes
basado en cortafuegos (suponiendo que no existan fallos en ninguno).

2.2. Estado actual

IP Masquerade est� todav�a en etapa experimental. De todas formas, los
n�cleos a partir del 1.3.x tienen ya soporte interno incorporado.
Muchos particulares y empresas lo est�n usando, con resultados
satisfactorios.

Se ha comprobado que los Navegadores de p�ginas web y telnet funcionan
bien sobre ip_masq. FTP, IRC y Real Audio funcionan con ciertos
m�dulos cargados. Otras variedades de audio por red como True Speech e
Internet Wave tambi�n funcionan. Algunos usuarios de la lista de
correo incluso lo intentaron con software de v�deo-conferencia.
Incluso ping funciona ahora, con el nuevo parche ICMP.

Por favor dir�jase a la secci�n ``'' para ver la lista completa de
programas soportados.
IP Masquerade funciona bien con 'm�quinas clientes' con diferentes
sistemas operativos y plataformas. Ha habido �xito con sistemas usando
Unix, Windows 95, Windows NT, Windows para Trabajo en Grupo (con el
paquete TCP/IP), OS/2, Sistemas Macintosh OS con Mac TCP, Mac Open
Transport, DOS con el paquete NCSA Telnet, VAX, Alpha con Linux, e
incluso Amiga con AmiTCP o AS225-stack.

2.3. �Qui�n puede beneficiarse de IP Masquerade?

� Si tiene un servidor Linux conectado a Internet, y

� si tiene algunos ordenadores con TCP/IP conectados con esa m�quina
Linux en una subred local (LAN) , y/o

� si su servidor Linux tiene m�s de un m�dem y act�a como un servidor
PPP o SLIP conectando a otros,

� los cuales no tienen asignada una direcci�n IP oficial. (Estas
m�quinas son representadas por OTRAS m�quinas presentes).

� Y por supuesto, si quiere que esas OTRAS m�quinas est�n en Internet
sin gastar dinero extra :)

2.4. �Qui�n NO necesita IP Masquerade?

� Si su m�quina es un servidor Linux aislado conectado a Internet,
entonces es in�til usar ip_masq, o

� si ya tiene direcciones asignadas a sus OTRAS m�quinas, entonces no
necesita IP Masquerade,

� y por supuesto, si no le gusta la idea de una salida gratuita a
Internet.

2.5. �C�mo funciona IP Masquerade ?

De la PUF de IP Masquerade por Ken Eves:

Representaci�n de la configuraci�n m�s simple :

SLIP/PPP +------------+ +------------+
al proveedor | Linux | SLIP/PPP | OTRA |
<---------- modem1| |modem2 <---------- modem | |
111.222.333.444 | | 192.168.1.100 | |
+------------+ +------------+

En el dibujo de arriba un servidor Linux con ip_masquerading instalado
y funcionando est� conectado a Internet v�a SLIP o PPP usando el
modem1. Tiene asignada la direcci�n IP 111.222.333.444. En esta
configuraci�n ese modem2 permite a las personas que llaman entrar e
iniciar una conexi�n SLIP/PPP.

El segundo sistema (el cual no tiene porqu� usar Linux) llama al
servidor Linux e inicia una conexi�n SLIP o PPP. No tiene asignada una
direcci�n IP en Internet as� que usa 192.168.1.100 (ver abajo).

Con ip_masquerade y el rutado configurado adecuadamente la m�quina
OTRA puede interactuar con Internet como si estuviera realmente
conectada (con unas pocas excepciones).

Citando a Pauline Middelink:

No olvide mencionar que OTRA deber�a tener al servidor Linux como su
pasarela (si es la ruta por defecto o s�lo una subred no importa). Si
la OTRA no puede hacer esto, la m�quina Linux deber�a hacer un proxy
arp para todas las direcciones de rutado, pero la configuraci�n del
proxy arp va m�s all� del alcance del documento.

Lo siguiente es un extracto de un correo de comp.os.linux.networking
que se ha editado para corresponder los nombres usados en el ejemplo
de arriba:

� Le digo a la m�quina OTRA que mi servidor Linux es su pasarela.

� Cuando un paquete llega a la m�quina Linux desde OTRA, le asignar�
un nuevo n�mero de puerto origen, y pega su propia direcci�n IP en
la cabecera del paquete, guardando los originales. Entonces mandar�
el paquete modificado a Internet sobre el interfaz PPP/SLIP.

� Cuando un paquete viene desde Internet para la m�quina Linux, si el
n�mero de puerto es uno de esos asignados arriba, obtendr� el
puerto original y la direcci�n ip, repondr� la cabecera del paquete
y lo enviar� a OTRA.

� El servidor que env�a el paquete nunca notar� la diferencia.

Un ejemplo de IP Masquerading

el ejemplo t�pico se muestra en la siguiente figura:

+----------+
| | Ethernet
| ordenador|::::::
| A |2 :192.168.1.x
+----------+ :
: +----------+ enlace
+----------+ : 1| Linux | ppp
| | ::::| masq-gate|:::::::::// Internet
| ordenador|:::::: | |
| B |3 : +----------+
+----------+ :
:
+----------+ :
| | :
| ordenador|::::::
| C |4
+----------+

<- Red Interna ->

En este ejemplo hay 4 ordenadores que centran este documento. Tambi�n
hay algo al otro lado de su conexi�n IP que le suministra la
informaci�n de Internet y adem�s otros sistemas con los que est�
interesado en intercambiar informaci�n.

El sistema Linux masq-gate es la pasarela enmascarada para la red
interna de los ordenadores A, B y C que permite el acceso a Internet.
La red interna usa una de las direcciones de red privadas, en este
caso la red de clase C 192.168.1.0, donde la m�quina Linux (-- N. del
T.
Mejor dicho, el interfaz ethernet de la m�quina Linux--) tiene la
direcci�n 192.168.1.1 y los dem�s tienen direcciones de esa misma red.

Las tres m�quinas A, B y C (que pueden estar usando cualquier sistema
operativo, siempre que pueda "hablar IP", como Windows 95, Macintosh
MacTCP o incluso otro Linux) pueden conectarse a otras m�quinas de
Internet, ya que el sistema masquerade masq-gate enmascara todas sus
conexiones de tal forma que parezcan originadas en masq-gate, y se
encarga de que los datos que le devuelven en una conexi�n enmascarada
sean retransmitidos al sistema original. As� los sistemas de la red
interna ven una ruta directa a Internet y son incapaces de darse
cuenta que sus datos est�n siendo enmascarados.

2.6. Requerimientos para usar IP Masquerade en Linux 2.x

Por favor dir�jase a http://ipmasq.home.ml.org/ para informaci�n m�s
actualizada, es dif�cil actualizar este COMO con frecuencia.

� Fuentes del n�cleo 2.0.x, disponibles en
ftp://ftp.kernel.org/pub/linux/kernel/v2.0/

(S�, tendr� que compilar su n�cleo con ciertos soportes... Se
recomienda el �ltimo n�cleo estable)

� M�dulos cargables del n�cleo, preferiblemente 2.0.0 o superior
disponibles en

(modules-1.3.57 es lo m�nimo requerido)

� Montar una red TCP/IP bien configurada, tema tratado en
http://www.caldera.com/LDP/HOWTO/NET-2-HOWTO.html y en
http://linuxwww.db.erau.edu/NAG/, disponible en castellano en
http://www.infor.es/LuCAS como GARL, o Gu�a del Administrador de
Redes Linux.

� Conexi�n a Internet para su servidor Linux.

Tratado en
PPP-Como, disponible en http://www.insflug.org y
http://www.caldera.com/LDP/HOWTO/mini/PPP-over-ISDN, as� como para
los que dispongan de Infov�a, el Infobia-Como,
http://www.insflug.org

� Ipfwadm 2.3 o m�s reciente, disponible en
informaci�n sobre requerimientos de versiones en
http://www.xos.nl/linux/ipfwadm/

� Puede opcionalmente aplicar parches de IP Masquerade para habilitar
otras funcionalidades. Dispone de m�s informaci�n acerca de esto en
http://ipmasq.home.ml.org/ (estos parches aplicados a todos los
n�cleos 2.0.x)

3. Configuraci�n de IP Masquerade.

Si su red privada contiene informaci�n vital, pi�nselo dos veces antes
de usar IP Masquerade. Esto puede ser una PASARELA para que salga a
Internet, y viceversa, para que alguien de otra parte del mundo entre
en su red.

3.1. C�mo compilar el n�cleo para dar soporte IP Masquerade.

Por favor, dir�jase a http://ipmasq.home.ml.org/ para informaci�n m�s
actualizada, es dif�cil actualizar este COMO frecuentemente.

� Lo primero de todo, necesita las fuentes del n�cleo
(preferiblemente la �ltima versi�n estable, 2.0.0 o superior).

� Si es la primera vez que compila el n�cleo, no se asuste. De hecho
es bastante f�cil y est� perfectamente documentado en el Kernel-
Como http://www.insflug.org.

� Descomprima las fuentes del n�cleo en /usr/src/ con el comando:

tar xvzf linux-2.0.x.tar.gz -C /usr/src

donde x es el nivel del parche sobre el n�cleo 2.0.x (aseg�rese de que
hay un directorio o un enlace simb�lico llamado linux).

� Aplique los parches apropiados. Desde que est�n saliendo parches
nuevos, los detalles no ser�n incluidos aqu�. Por favor busque en
IP Masquerade Resources para informaci�n m�s actualizada.

� Consulte el Kernel-Como y el fichero README de los fuentes del
n�cleo para m�s instrucciones sobre la compilaci�n.

� Aqu� est�n las opciones que necesita para compilar:

Diga SI a lo siguiente:

* Prompt for development and/or incomplete code/drivers
CONFIG_EXPERIMENTAL

esto permite seleccionar el c�digo experimental ip_masq compilado en
el n�cleo.

* Enable loadable module support
CONFIG_MODULES

le permitir� cargar m�dulos.

* Networking support
CONFIG_NET

* Network firewalls
CONFIG_FIREWALL

* TCP/IP networking
CONFIG_INET

* IP: forwarding/gatewaying
CONFIG_IP_FORWARD

* IP: firewalling
CONFIG_IP_FIREWALL

* IP: masquerading (EXPERIMENTAL)
CONFIG_IP_MASQUERADE

aunque es experimental, es *INDISPENSABLE*

* IP: ipautofw masquerade support (EXPERIMENTAL) [SOLO nucleos 2.0.30 y superiores]
CONFIG_IP_MASQUERADE_IPAUTOFW

recomendado.

* IP: ICMP masquerading [SOLO nucleos 2.0.30 y superiores]
CONFIG_IP_MASQUERADE_ICMP

soporte para enmascarar paquetes ICMP, opcional.

* IP: always defragment
CONFIG_IP_ALWAYS_DEFRAG

altamente recomendado

* Dummy net driver support
CONFIG_DUMMY

recomendado.

NOTA:
Estos son los componentes que necesita para ip_masq, seleccione
cualquier otra opci�n que necesite para su configuraci�n
espec�fica.

� Despu�s de compilar el n�cleo, deber�a de compilar e instalar los
m�dulos:

make modules; make modules_install

� Luego debe a�adir unas pocas l�neas al fichero /etc/rc.d/rc.local
(o en el apropiado) para cargar los m�dulos requeridos, que residen
en /lib/modules/2.0.x/ipv4/, autom�ticamente durante el arranque:

.
.
.
/sbin/depmod -a
/sbin/modprobe ip_masq_ftp
/sbin/modprobe ip_masq_raudio
/sbin/modprobe ip_masq_irc

(u otros m�dulos como ip_masq_cuseeme, o ip_masq_vdolive si ha apli�
cado parches)

Nota:
Tambi�n puede cargar los m�dulos manualmente antes de usar
ip_masq, pero no use kerneld para esto, NO funcionar�.

3.2. Asignaci�n de direcciones IP en la red privada

Como todas las OTRAS m�quinas no tienen direcci�n oficial asignada,
debe haber una forma correcta de adjudicar direcciones para esas
m�quinas.

De la FAQ IP Masquerade:

Hay un RFC (#1597) en el cual est�n las direcciones IP para ser usadas
en una red no conectada a Internet. Hay 3 bloques de n�meros
reservados espec�ficamente para este fin. El que yo uso es una subred
de clase C 255 desde 192.168.1.n hasta 192.168.255.n .

Del RFC 1597: Secci�n 3: Espacio para Direcciones Privadas

El Internet Assigned Numbers Authority (IANA) tiene reservado los
siguientes 3 bloques de direcciones IP para redes privadas:

10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

Nos referiremos al primer bloque como "bloque de 24-bit", al segundo
como "bloque de 20-bit", y al tercero como "bloque de 16-bit". Observe
que el primer bloque no es m�s que un simple n�mero de red de clase A,
mientras que el segundo bloque es un conjunto de 16 n�meros de red de
clase B contiguos y el tercer bloque un conjunto de 255 n�meros de red
de clase C contiguos.

As�, si est� usando una red de clase C, deber�a de nombrar a sus
m�quinas como 192.168.1.1, 1.92.168.1.2, 1.92.168.1.3, ...,
192.168.1.x

192.168.1.1 es normalmente la m�quina pasarela, la cual es su servidor
Linux conectado a Internet. Observe que 192.168.1.0 y 192.168.1.255
son las direcciones de RED (Network) y la direcci�n de EMISI�N
(Broadcast) respectivamente, las cuales est�n reservadas. Evite usar
estas direcciones en sus m�quinas.

3.3. Configuraci�n de las OTRAS m�quinas.

Adem�s de asignar una direcci�n IP apropiada a las m�quinas, tambi�n
deber�a de poner la apropiada de la pasarela (gateway). En general,
esto es coser y cantar. Simplemente introduzca la direcci�n de su
servidor Linux (usualmente 192.168.1.1) como la direcci�n de la
m�quina pasarela.

Como Servidor de Nombres, puede a�adir alg�n DNS disponible. El m�s
obvio deber�a ser el que est� usando su m�quina Linux. Tambi�n puede
a�adir opcionalmente alg�n sufijo de dominio de b�squeda.

Despu�s de que haya reconfigurado esas direcciones, recuerde reiniciar
los servicios apropiados o reiniciar su sistema.

Las siguientes instrucciones de configuraci�n suponen que est� usando
una red de clase C con 192.168.1.1 como direcci�n de su servidor
Linux. Por favor, tenga en cuenta que 192.168.1.0 y 192.168.1.255
est�n reservadas.
3.3.1. Configuraci�n de Windows 95.

1. Si no ha instalado todav�a la tarjeta de red y el correspondiente
controlador de dispositivo (driver), h�galo ahora.

2. Vaya a 'Panel de Control'/'Red'.

3. A�ada 'Protocolo'/'Microsoft'/'TCP/IP' si no lo tiene.

4. En 'Propiedades'/'TCP/IP', vaya a 'Direcci�n IP' y ponga la
direcci�n IP 192.168.1.x, (1 < x < 255), y como m�scara de subred
255.255.255.0.

5. A�ada 192.168.1.1 como su pasarela en 'Puerta de enlace (Gateway)'.

6. En 'Configuraci�n DNS'/'Orden de b�squeda del servidor DNS' a�ada
el DNS que usa su servidor Linux (usualmente est� en
/etc/resolv.conf). Opcionalmente, puede a�adir el apropiado sufijo
de b�squeda de dominio.

7. Deje las otras opciones como est�n, salvo que sepa lo que est�
haciendo.

8. Pulse 'Aceptar' en todas las cajas de di�logo y reinicialice el
sistema.

9. Haga un Ping a la m�quina Linux para comprobar la red:

(Esto s�lo comprueba la conexi�n local, todav�a no puede hacer ping
al exterior.)

10.
Opcionalmente puede crear un fichero HOSTS en el directorio de
windows as� puede usar los nombres de las m�quinas de su red local.
Hay un ejemplo llamado HOSTS.SAM en el directorio c:\windows.

3.3.2. Configuraci�n de Windows para Trabajo en Grupo (3.11).

1. Si no ha instalado la tarjeta de red y el controlador, h�galo
ahora.

2. Instale el paquete TCP/IP 32b si todav�a no lo tiene.

3. En 'Principal'/'Configuraci�n de Windows'/'Configuraci�n de la
Red', pulse en 'Controladores'.

4. Marque 'Microsoft TCP/IP-32 3.11b' en la secci�n

5. Ponga la direcci�n IP 192.168.1.x (1 < x < 255), y la m�scara de
subred 255.255.255.0 y como Default Gateway 192.168.1.1

6. No habilite 'Automatic DHCP Configuration' y no ponga nada en esas
�reas de entrada 'WINS Server' a menos que est� bajo un dominio de
Windows NT y sepa lo que est� haciendo.

7. Pulse 'DNS', a�ada la informaci�n mencionada en el PASO 6 de la
secci�n ``'', luego pulse 'Aceptar' cuando est� listo.

8. Pulse 'Advanced', active 'Enable DNS for Windows Name Resolution' y
'Enable LMHOSTS lookup' si est� usando un fichero de b�squeda de
servidores, similar al mencionado en el PASO 10 de la secci�n ``''
9. Pulse 'OK' en todas las cuadros de di�logo y reinicialice el
sistema.

10.
Haga un Ping a la m�quina Linux para comprobar la conexi�n de red:
'Archivo/Ejecutar', ponga: ping 192.168.1.1

(Con esto s�lo comprueba la conexi�n de la red local, todav�a no
puede hacer un ping al resto del mundo.)

3.3.3. Configuraci�n de Windows NT.

1. Si no ha instalado su tarjeta de red y el controlador, h�galo
ahora.

2. Vaya a 'Inicio'/'Panel de Control'/'Red'

3. A�ada 'Protocolo TCP/IP y Componentes Relacionados' desde el men�
'Protocolos' mediante el bot�n 'Agregar' si no tiene todav�a el
servicio TCP/IP instalado.

4. En el �rea bajo 'Protocolos de red', seleccione

5. En 'Configuraci�n TCP/IP', seleccione el adaptador de los
instalados adecuado, por ejemplo: [1]Novell NE2000 Adapter. Luego
ponga la Direcci�n IP 192.168.1.x (1 < x < 255), como M�scara de
Subred 255.255.255.0 y como Pasarela 192.168.1.1.

6. No use la 'Configuraci�n DHCP Autom�tica' y no ponga nada en 'WINS
Server' a menos que est� bajo un domino de Windows NT y sepa lo que
est� haciendo.

7. Pinche en 'DNS', y rellene con la informaci�n apropiada mencionada
en el PASO 6 de la secci�n ``''. Haga click en

8. Vaya a la secci�n 'Direcci�n WINS', y active las opciones b�squeda
de LMHOSTS' si est� usando un fichero de b�squeda de servidores,
similar al mencionado en el PASO 10 de la secci�n ``''

9. Pulse 'Aceptar' en todos los cuadros de di�logo y reinicialice el
sistema.

10.
Haga un Ping a la m�quina Linux para comprobar la conexi�n de red:
('Inicio/Ejecutar'), ponga: ping 192.168.1.1.

(Esto s�lo comprueba la conexi�n de la red local, todav�a no puede
hacer un ping al mundo exterior.)

3.3.4. Configuraci�n de sistemas basados en UNIX.

1. Si no ha instalado la tarjeta de red y recompilado su n�cleo con el
controlador adecuado, h�galo ahora.

2. Instale la red TCP/IP, as� como el paquete de herramientas de red,
si no lo ha hecho todav�a.

3. Ponga en la DIRECCI�N IP(IPADDR) 192.168.1.x (1 < x < 255), y luego
ponga 255.255.255.0 en NETMASK, GATEWAY 192.168.1.1, y en BROADCAST
192.168.1.255.
Por ejemplo, puede editar el fichero /etc/sysconfig/network-
scripts/ifcfg-eth0 en sistemas Red Hat Linux, o simplemente hacerlo
mediante el Control Panel.

(Es diferente en SunOS, BSDi, Linux Slackware, etc...)

4. A�ada su DNS y b�squeda de sufijo de dominio en /etc/resolv.conf

5. Puede querer actualizar su fichero /etc/networks dependiendo de sus
configuraciones.

6. Reinicialice los servicios apropiados, o simplemente reinicialice
el sistema.

7. Use un ping (comando: ping 192.168.1.1) para comprobar la conexi�n
con la m�quina pasarela.

(Esto s�lo comprueba la conexi�n de la red local, todav�a no puede
hacer un ping al mundo exterior.)

3.3.5. Configuraci�n DOS usando el paquete NCSA Telnet.

1. Si no ha instalado la tarjeta de red, h�galo ahora.

2. Cargue el controlador adecuado. Para una tarjeta NE2000 , use nwpd
0x60 10 0x300, con su tarjeta de red en el IRQ 10 y la direcci�n
hardware en 0x300 (Su configuraci�n puede ser distinta).

3. Cree un nuevo directorio, y desempaquete el NCSA Telnet:

pkunzip tel2308b.zip

4. Use un editor de texto para abrir el fichero config.tel

5. Ponga myip=192.168.1.x (1 < x < 255), y netmask=255.255.255.0

6. En este ejemplo, deber�a de poner hardware=packet, interrupt=10,
ioaddr=60

7. Deber�a de tener al menos especificada una m�quina individual como
pasarela, por ejemplo, el servidor Linux :

name=default
host=Nombre_del_servidor_Linux
hostip=192.168.1.1
gateway=1

8. Tiene otra especificaci�n para el servicio de nombre de dominio:

name=dns.dominio.com ; hostip=123.123.123.123; nameserver=1

Nota: sustituya la informaci�n sobre el DNS por la que use en su
servidor Linux.

9. Salve su fichero config.tel

10.
Haga un telnet a la m�quina Linux para comprobar la conexi�n de
red: telnet 192.168.1.1

3.3.6. Configuraci�n de sistemas basados en MacOS usando MacTCP

1. Si no ha instalado en controlador de su tarjeta ethernet, ahora
podr�a ser un buen momento para hacerlo.

2. Abra el MacTCP control panel. Seleccione el controlador de red
adecuado (Ethernet, NO EtherTalk) y pulse el bot�n 'More...'.

3. Bajo 'Obtain Address:', pulse 'Manually'.

4. Bajo 'IP Address:', seleccione class C del men� desplegable. Ignore
el resto de esta secci�n de la caja de di�logo.

5. Rellene con la informaci�n adecuada, la 'Domain Name Server
Information:'.

6. Bajo 'Gateway Address:', introduzca 192.168.1.1

7. Pulse 'OK' y s�lvelo. En la ventana principal en MacTCP control
panel, introduzca la direcci�n IP de su Mac (192.168.1.x, 1 < x <
255) en la caja 'IP Address:'.

8. Cierre el MacTCP control panel. Si aparece un cuadro de di�logo
indicando que reinicie el sistema, h�galo.

9. Puede hacer un ping a la m�quina Linux para comprobar la conexi�n
de red. Si tiene el programa freeware MacTCP Watcher, pulse en el
bot�n Linux(192.168.1.1) en la caja de di�logo que se despliega.
(Esto solamente comprueba la conexi�n de la red local, y todav�a no
puede hacer un ping al exterior.)

10.
Opcionalmente puede crear un archivo Hosts en su System Folder de
forma que pueda usar los nombres de la m�quinas de su red local.
Este archivo podr�a existir ya en su System Folder, y podr�a
contener algunas entradas de ejemplo (comentadas) que puede
modificar de acuerdo a sus necesidades.

3.3.7. Configuraci�n de sistemas basados en MacOS usando Open Trans�
port.

1. Si no ha instalado el controlador adecuado de la tarjeta ethernet,
ahora ser�a un buen momento para hacerlo.

2. Abra el TCP/IP Control Panel y elija 'User Mode

3. Elija 'Configurations...' del men� File. Seleccione su
configuraci�n 'Default' y pulse el bot�n es una configuraci�n
especial) en el di�logo 'Duplicate Configuration', �ste
probablemente contendr� algo como 'Default copy'. Luego pulse el
bot�n 'OK', y el bot�n 'Make Active'

4. Seleccione 'Ethernet' del desplegable 'Connect via:'.

5. Seleccione el elemento apropiado del desplegable de reselecionar su
configuraci�n 'Default' y salir. Yo uso

6. Introduzca la direcci�n IP de su Mac (192.168.1.x, 1 < x < 255) en
la caja 'IP Address:'.

7. Ponga 255.255.255.0 en la caja de 'Subnet mask:' .

8. Ponga 192.168.1.1 en la caja de 'Router address:'.

9. Introduzca la direcci�n IP de su DNS en la caja 'Name server addr.:

10.
Introduzca el nombre de su dominio de Internet (por ejemplo:

11.
Los siguientes procesos son opcionales. La introducci�n de valores
incorrectos puede dar lugar a comportamientos err�neos. Si no est�
seguro, lo mejor es que los deje en blanco, sin marcar o sin
seleccionar. Borre la informaci�n de esos campos, si es necesario.
Hasta donde s�, no hay forma de decirle al sistema, a trav�s de los
di�logos TCP/IP, que no use un archivo de Hosts alternativo
previamente seleccionado. Si Vd sabe c�mo, me interesar�a. Marque
'802.3' si su red requiere tramas del tipo 802.3.

12.
Pulse el bot�n 'Options...' para estar seguro de que el TCP/IP est�
activo. Yo uso la opci�n 'Load only when needed'. Si usa y quita
aplicaciones TCP/IP con frecuencia sin reiniciar su m�quina, puede
que al deshabilitar esta �ltima opci�n prevenga/reduzca los efectos
de la administraci�n de memoria. Con esta opci�n deshabilitada las
pilas del protocolo TCP/IP est�n siempre cargadas y disponibles
para su uso. Si est� habilitada, las pilas TCP/IP se cargar�n
autom�ticamente cuando se necesiten y se descargar�n cuando no.
Estos procesos de carga y descarga hacen que la memoria de su
m�quina se fragmente.

13.
Puede hacer un ping a su servidor Linux para comprobar la conexi�n
de red. Si tiene el programa freeware MacTCP Watcher, pulse el
bot�n 'Ping' , e introduzca la direcci�n de su servidor Linux
(192.168.1.1) en la caja de di�logo que aparece. (Esto s�lo
comprueba su conexi�n de la red local, todav�a no puede hacer un
ping al mundo exterior.)

14.
Puede crear un fichero Hosts en System Folder y as� podr� usar los
nombres de las m�quinas de su red local. Este fichero puede ya
existir o no en la System Folder. Si es as�, deber�a de contener
alguna entrada (como comentario) de ejemplo, la cual puede
modificar dependiendo de sus necesidades. Si no, puede obtener una
copia del fichero de un sistema que use MacTCP, o crearlo Vd. mismo
(sigue un subconjunto del formato de ficheros de Unix /etc/hosts,
descrito en la p�gina 33 de RFC 1035). Una vez haya creado el
fichero, abra el TCP/IP control panel, pulse el bot�n 'Select Hosts
File...', y abra el archivo Hosts.
15.
Pulse la caja cerrar o elija 'Close' o 'Quit' del men� File, y
luego pulse el bot�n 'Save' pasa salvar los cambios que ha hecho.

16.
Los cambios tendr�n efecto inmediatamente, pero reinicializando el
sistema no pierde nada.

3.3.8. Configuraci�n de red Novell usando DNS.

1. Si no tiene instalado el controlador apropiado de su tarjeta
ethernet, ahora ser�a un buen momento para hacerlo.

2. Descargue el fichero tcpip16.exe de
ftp.novell.com/pub/updates/unixconn/lwp5

3. edite

c:\nwclient\startnet.bat

del m�o)

SET NWLANGUAGE=ENGLISH
LH LSL.COM
LH KTC2000.COM
LH IPXODI.COM
LH tcpip
LH VLM.EXE
F:

4. edite

c:\nwclient\net.cfg

controlador por el suyo; por ejemplo : NE2000)

Link Driver KTC2000
Protocol IPX 0 ETHERNET_802.3
Frame ETHERNET_802.3
Frame Ethernet_II
FRAME Ethernet_802.2

NetWare DOS Requester
FIRST NETWORK DRIVE = F
USE DEFAULTS = OFF
VLM = CONN.VLM
VLM = IPXNCP.VLM
VLM = TRAN.VLM
VLM = SECURITY.VLM
VLM = NDS.VLM
VLM = BIND.VLM
VLM = NWP.VLM
VLM = FIO.VLM
VLM = GENERAL.VLM
VLM = REDIR.VLM
VLM = PRINT.VLM
VLM = NETX.VLM

Link Support
Buffers 8 1500
MemPool 4096

Protocol TCPIP
PATH SCRIPT C:\NET\SCRIPT
PATH PROFILE C:\NET\PROFILE
PATH LWP_CFG C:\NET\HSTACC
PATH TCP_CFG C:\NET\TCP
ip_address xxx.xxx.xxx.xxx
ip_router xxx.xxx.xxx.xxx

5. finalmente, cree el

c:\bin\resolv.cfg

SEARCH DNS HOSTS SEQUENTIAL
NAMESERVER 207.103.0.2
NAMESERVER 207.103.11.9

6. Espero que esto ayude a alguien para conseguir poner su red Novell
en l�nea. Esto se puede hacer usando Netware 3.1x o 4.x

3.3.9. Configuraci�n de OS/2 Warp.

1. Si no tiene instalado el controlador de su tarjeta Ethernet, ahora
ser�a un buen momento para hacerlo.

2. Instale el protocolo TCP/IP, si todav�a no lo tiene.

3. Dir�jase a Programms/ TCP/IP (LAN) / TCP/IP Settings.

4. En 'Network' a�ada su direcci�n TCP/IP y ponga como m�scara de red
(Netmask) 255.255.255.0

5. En 'Routing' presione 'Add'. Ponga el Type en 'default' y teclee la
direcci�n IP de su servidor Linux en el campo 'Router Address'.
(192.168.1.1).

6. Ponga la misma direcci�n DNS (Servidor de nombres) que usa su
servidor Linux en 'Hosts'.

7. Cierre el panel de control de TCP/IP. Y responda SI a la
siguiente(s) pregunta(s).

8. Reinicialice la m�quina.

9. Debe de hacer un ping al servidor Linux para comprobar la
configuraci�n de red. Teclee 'ping 192.168.1.1' en una 'Ventana de
comandos de OS/2'. Si los paquetes ping son recibidos es que todo
est� bien.

3.3.10. Configuraci�n de otros sistemas.

Se deber�an de seguir los mismos pasos para otras configuraciones. Lea
las secciones anteriores. Si est� interesado en escribir sobre alguno
de estos sistemas, o algunas variantes de sistemas basados en UNIX,
por favor mande las instrucciones detalladas de configuraci�n a
[email protected].

3.4. Configuraci�n de la pol�tica de IP Forwarding.

Llegados a este punto ya deber�a de tener instalados el n�cleo y dem�s
paquetes requeridos, as� como los m�dulos cargados. Tambi�n, la
direcci�n IP, la pasarela, y el DNS deber�an estar configurados en
todas las OTRAS m�quinas.

Ahora, la �nica cosa que queda por hacer es usar ipfwadm para reenviar
los paquetes apropiados a la m�quina apropiada:

Esto puede ser de realizado de diferentes formas. Las siguientes
sugerencias y ejemplos a m� me funcionan, pero usted puede tener
diferentes ideas, por favor mire la secci�n ``'' y las p�ginas man de
ipfwadm para m�s detalles.

ipfwadm -F -p deny
ipfwadm -F -a m -S yyy.yyy.yyy.yyy/x -D 0.0.0.0/0

donde x es uno de los siguientes n�meros dependiendo del tipo de su
subred, e yyy.yyy.yyy.yyy es su direcci�n de red.

mascara de red | x | Subred
~~~~~~~~~~~~~~~~|~~~~|~~~~~~~~~~~~~~~
255.0.0.0 | 8 | Clase A
255.255.0.0 | 16 | Clase B
255.255.255.0 | 24 | Clase C
255.255.255.255 | 32 | Punto-a-punto

Por ejemplo, si estuviera en una subred de clase C , tendr�a que haber
puesto:

ipfwadm -F -p deny
ipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0

Al segundo comando podr�a a�adir bien -V 192.168.1.1 o bien -W eth0
para asegurar que los paquetes enmascarados vienen a trav�s del
interfaz del sistema apropiado. Si quiere estar seguro a conciencia
(tambi�n conocido como paranoia justificable) entonces querr� hacer
esto.

Puesto que bootp solicita paquetes que vienen sin una direcci�n IP
v�lida el cliente no sabe nada sobre ello, para gente con un servidor
bootp en la m�quina masquerade/cortafuegos es necesario usar lo
siguiente antes del comando deny:

ipfwadm -I -a accept -S 0/0 68 -D 0/0 67 -W bootp_clients_net_if_name -P udp

Tambi�n puede hacerlo m�quina por m�quina. Por ejemplo, si quiere que
la 192.168.1.2 y la 192.168.1.8 tengan acceso a Internet, pero no las
otras m�quinas, deber�a de poner:

ipfwadm -F -p deny
ipfwadm -F -a m -S 192.168.1.2/32 -D 0.0.0.0/0
ipfwadm -F -a m -S 192.168.1.8/32 -D 0.0.0.0/0

Alternativamente, puede poner la m�scara de red en lugar del valor,
por ejemplo: 192.168.1.0/255.255.255.0

Lo que parece ser un ERROR com�n es poner como primer comando :

ipfwadm -F -p masquerade

NO haga que su pol�tica por defecto sea masquerading de esta forma
alguien puede manipular su ruta y ser� capaz de entrar a trav�s su
pasarela, ��us�ndola para enmascarar su identidad!!

De nuevo, puede a�adir estas l�neas al fichero /etc/rc.local, o al
fichero rc que prefiera, o h�galo manualmente cada vez que necesite
ip_masq.

Por favor lea la secci�n ``'' para una gu�a detallada de ipfwadm.

3.5. Comprobaci�n de IP Masquerade.

Despu�s de todo este duro trabajo, es la hora hacer un intento.
Aseg�rese de que la conexi�n a Internet del servidor Linux est� bien.

Puede intentar navegar por alg�n sitio web de '��INTERNET!!!' en sus
OTRAS m�quinas, y ver si lo consigue. En su primer intento le
recomiendo usar una direcci�n IP en vez de un nombre de m�quina,
porque la configuraci�n del DNS puede no ser correcta.

Por ejemplo, puede acceder al servidor Linux Documentation Project
http://sunsite.unc.edu/mdw/linux.html con el valor de
http://152.2.254.81/mdw/linux.html.

Si ve la p�gina del LDP, �felicidades!, �funciona! Luego puede
intentarlo con el nombre del servidor, y luego un telnet, ftp, Real
Audio, True Speech, ... o todo aquello soportado por IP
Masquerade.....

Hasta ahora no he tenido problemas con las configuraciones anteriores,
y est�n totalmente acreditadas por la gente que invierte su tiempo en
hacer que esta maravillosa prestaci�n funcione.

4. Otras caracter�sticas de IP Masquerade y soporte de programas.

4.1. Problemas con IP Masquerade.

Algunos protocolos no funcionar�n adecuadamente con masquerading
porque presuponen cosas sobre n�meros de puerto; --o lo impiden datos
cifrados en sus cadenas de informaci�n sobre direcciones y puertos--
estos �ltimos protocolos necesitan un proxy espec�fico en el c�digo
masquerading para que funcionen.

4.2. Servicios de entrada.

El Masquerading no puede manejar todos los servicios de entrada.
Existen formas de permitirlos, pero son completamente independientes
de masquerading, y son realmente parte de la pr�ctica est�ndar de
cortafuegos.

Si no requiere altos niveles de seguridad simplemente puede
redireccionar los puertos. Hay varias formas para hacer esto --Yo uso
un programa modificado llamado redir (espero que este disponible en
sunsite y r�plicas)--. Si desea tener alg�n nivel de autorizaci�n en
conexiones entrantes puede usar TCP wrappers o Xinetd sobre redir (0.7
o superior) para permitir s�lo direcciones IP espec�ficas, o usar
alguna otra herramienta. El TIS Firewall Toolkit es un buen lugar para
buscar herramientas e informaci�n.

Se puede encontrar m�s detalles en http://ipmasq.home.ml.org.

4.3. Programas cliente soportados y otras notas de configuraci�n.

La siguiente lista no ser� mantenida durante m�s tiempo.
rem�tase a http://masqapps.home.ml.org para saber qu� aplicaciones
funcionan a trav�s de un servidor Linux con IP masquerading y a
http://ipmasq.home.ml.org/ para m�s detalles.

Generalmente, las aplicaciones que usan TCP y UDP deber�an de
funcionar. Si tiene alguna sugerencia sobre aplicaciones que no son
compatibles con IP Masquerade, por favor env�eme correo electr�nico
con el nombre del cliente y una breve descripci�n.

4.3.1. Clientes que funcionan

Clientes Generales

HTTP
todas las plataformas soportadas, navegadores web.

POP & SMTP
todas las plataformas soportadas, clientes de correo
electr�nico.

Telnet
todas las plataformas soportadas, sesi�n remota.

FTP
todas las plataformas soportadas, con el m�dulo ip_masq_ftp.o
(no todos los servidores funcionan con ciertos clientes; por
ejemplo alg�n sitio puede no ser alcanzado usando ws_ftp32, pero
s� con Netscape)

Archie
todas las plataformas soportadas, buscador de archivos (no todos
los clientes archie son soportados).

NNTP (USENET)
todas las plataformas soportadas, cliente de noticias USENET.

VRML
Windows (posiblemente soportado en todas las plataformas),
navegaci�n con realidad virtual.

traceroute
principalmente las plataformas basadas en UNIX, algunas
variantes pueden no funcionar.

ping
todas las plataformas, con el parche ICMP.

todo lo basado en IRC
todas las plataformas soportadas, con el m�dulo ip_masq_irc.o

Clientes Gopher
todas las plataformas soportadas.

clientes WAIS
todas las plataformas soportadas.

Clientes Multimedia

Real Audio Player
Windows, env�o de audio por red, con el m�dulo ip_masq_raudio
cargado.

True Speech Player 1.1b
Windows, env�o de audio por red.

Internet Wave Player
Windows, env�o de audio por red.

Worlds Chat 0.9a
Windows, programa Cliente-Servidor 3D de conversaci�n.

Alpha Worlds
Windows, programa Cliente-Servidor 3D de conversaci�n.

Internet Phone 3.2
Windows, comunicaciones de audio de Igual-a-igual (Peer-to-
peer), la gente puede ponerse en contacto con Vd. si inicia Vd.
la conexi�n, pero no le pueden llamar.

Powwow
Windows, comunicaciones tipo pizarra de audio texto de Igual-a-
igual, la gente puede ponerse en contacto con Vd. si Vd. inicia
la llamada, pero ellos no pueden llamarle.

CU-SeeMe
todas las plataformas soportadas, con el m�dulo cuseeme cargado,
por favor mire en http://ipmasq.home.ml.org/ para los detalles.

VDOLive
Windows, con el parche vdolive.

Nota: Algunos clientes como IPhone y Powwow pueden funcionar incluso
si Vd. no es el que inicia la llamada, si usa el paquete ipautofw
(mire la secci�n ``'')

Otros Clientes

NCSA Telnet 2.3.08
DOS, un paquete que contiene telnet, ftp, ping, etc.
PC-anywhere para windows 2.0
MS-Windows, control remoto de PCs sobre TCP/IP, s�lo funciona si
es cliente pero no servidor.

Socket Watch
usa ntp - protocolo de tiempo por red.

Linux net-acct package
Linux, paquete de administraci�n de cuentas de red.

4.3.2. Clientes que NO funcionan

Intel Internet Phone Beta 2
Conecta pero la voz viaja en una direcci�n (sale) s�lo.

Intel Streaming Media Viewer Beta 1
No puede conectar con el servidor.

Netscape CoolTalk
No puede conectar con el lado opuesto.

talk, ntalk
no funcionar�n - requieren que sea escrito un proxy en el
n�cleo.

WebPhone
No puede funcionar por el momento (asume direcciones no
v�lidas).

X Sin probar, pero creo que no podr� funcionar a menos que alguien
construya un X proxy, el cual probablemente es un programa
externo al c�digo de masquerading. Una forma de hacer que esto
funcione es usar un ssh como el enlace y usar un X proxy interno
�que haga funcionar las cosas!

4.3.3. Plataformas/SO testeados como las OTRAS m�quinas.

� Linux

� Solaris

� Windows 95

� Windows NT (ambos, workstation y server)

� Windows para Trabajo En Grupo 3.11 (con el paquete TCP/IP)

� Windows 3.1 (con el paquete Chameleon)

� Novel 4.01 Server

� OS/2 (incluido Warp v3)

� Macintosh OS (con MacTCP u Open Transport)

� DOS (con el paquete NCSA Telnet, el DOS Trumpet trabaja
parcialmente)

� Amiga (con AmiTCP o AS225-stack)

� VAX Stations 3520 y 3100 con UCX (TCP/IP stack para VMS)

� Alpha/AXP con Linux/Redhat

� SCO Openserver (v3.2.4.2 y 5)

� IBM RS/6000 con AIX

� (�Alguien lo ha intentado con otras plataformas?)

4.4. Administraci�n de cortafuegos IP con ipfwadm .

Esta secci�n proporciona una gu�a m�s exhaustiva del uso de ipfwadm.

Esta es una configuraci�n para un sistema de cortafuegos/masquerade
detr�s de un enlace PPP con la siguiente direcci�n PPP est�tica. El
interfaz de confianza es 192.168.255.1, el interfaz PPP ha sido
cambiado para proteger al culpable :). List� cada interfaz de entrada
y salida individualmente para capturar IP spoofing tambi�n como ruta
relleno y/o masquerading. �Todo aquello no expl�citamente permitido
esta prohibido!

#!/bin/sh
#
# /etc/rc.d/rc.firewall, define la configuracion del cortafuegos, invocado
# desde rc.local.
#

PATH=/sbin:/bin:/usr/sbin:/usr/bin

# comprobacion, espera un bit luego limpia toda norma del cortafuegos.
# descomente las siguientes lineas si quiere que el cortafuegos se
# desconecte automaticamente pasados 10 minutos
#
# (sleep 600; \
# ipfwadm -I -f; \
# ipfwadm -I -p accept; \
# ipfwadm -O -f; \
# ipfwadm -O -p accept; \
# ipfwadm -F -f; \
# ipfwadm -F -p accept; \
# ) &

# Entrante, purga y establece la politica por defecto de denegar. La
# verdad es que la politica por defecto es irrelevante porque hay un
# cierre de toda norma con denegar y anotar

ipfwadm -I -f
ipfwadm -I -p deny

# interfaz local, maquinas locales, van a cualquier sitio valido
ipfwadm -I -a accept -V 192.168.255.1 -S 192.168.0.0/16 -D 0.0.0.0/0

# interfaz remota, reclamando ser maquinas locales, IP spoofing, perdido
ipfwadm -I -a deny -V su.direccion.ppp.estatica -S 192.168.0.0/16 -D 0.0.0.0/0 -o

# interfaz remota, cualquier origen, es valido ir a direcciones PPP permanentes
ipfwadm -I -a accept -V su.direccion.PPP.estatica -S 0.0.0.0/0 -D su.direccion.PPP.estatica/32

# el interfaz loopback es valido.
ipfwadm -I -a accept -V 127.0.0.1 -S 0.0.0.0/0 -D 0.0.0.0/0

# cierra toda norma, todas las otras entradas son denegadas y registradas.
# Lastima que no haya una opcion de registro, aunque esto hace el trabajo
# en su lugar

ipfwadm -I -a deny -S 0.0.0.0/0 -D 0.0.0.0/0 -o

# Saliente, purga y pone la politica por defecto de denegar. La verdad es
# que la politica por defecto es irrelevante porque hay un cierre de toda
# norma con denegar y anotar

ipfwadm -O -f
ipfwadm -O -p deny

# interfaz local, cualquier origen con destino a la red local es valido
ipfwadm -O -a accept -V 192.168.255.1 -S 0.0.0.0/0 -D 192.168.0.0/16

# saliente para la red local sobre el interfaz remoto , stuffed routing,
# denegado

ipfwadm -O -a deny -V su.direccion.PPP.estatica -S 0.0.0.0/0 -D 192.168.0.0/16 -o

# saliente desde la red local sobre el interfaz remoto, stuffed masquerading,
# denegado

ipfwadm -O -a deny -V su.direccion.PPP.estatica -S 192.168.0.0/16 -D 0.0.0.0/0 -o

# saliente desde la red local sobre el interfaz remoto, stuffed masquerading,
# denegado

ipfwadm -O -a deny -V su.direccion.PPP.estatica -S 0.0.0.0/0 -D 192.168.0.0/16 -o

# algo mas saliente sobre la interfaz remota es valido.

ipfwadm -O -a accept -V su.direccion.PPP.estatica -S su.direccion.PPP.estatica/32 -D 0.0.0.0/0

# el interfaz loopback es valido.

ipfwadm -O -a accept -V 127.0.0.1 -S 0.0.0.0/0 -D 0.0.0.0/0

# norma de capturar todo, todo lo otro saliente es denegado y anotado.
# Lastima que no hay una opcion de registro en la politica pero esto
# hace el trabajo en su lugar.

ipfwadm -O -a deny -S 0.0.0.0/0 -D 0.0.0.0/0 -o

# Envios, purga y pone la politica por defecto de denegar. La verdad es
# que la politica por defecto es irrelevante porque hay una cierre de toda
# norma con denegar y anotar.

ipfwadm -F -f
ipfwadm -F -p deny

# Enmascaramiento (Masquerade) desde la red local sobre el interfaz local
# hacia cualquier sitio.

ipfwadm -F -a masquerade -W ppp0 -S 192.168.0.0/16 -D 0.0.0.0/0

# norma de capturar todo, el resto de envios son denegados y anotados.
# Lastima que no hay una opcion de registro en la politica, pero esto hace
# el trabajo en su lugar.

ipfwadm -F -a deny -S 0.0.0.0/0 -D 0.0.0.0/0 -o

Puede bloquear el tr�fico para un sitio en particular usando -I, -O o
-F. Recuerde que el conjunto de las normas son examinadas desde arriba
hacia abajo y -a significa "a�adir" a los valores existententes de la
norma, as� cualquier restricci�n necesita venir antes de las normas
generales. Por ejemplo (sin probar):

Usando normas -I. Probablemente es la m�s r�pida pero s�lo detiene las
m�quinas locales, el cortafuegos puede todav�a acceder a sitios
"prohibidos". Por supuesto le puede interesar permitir esa
combinaci�n.

# rechaza y anota el interfaz local, las maquinas locales van a 204.50.10.13
ipfwadm -I -a reject -V 192.168.255.1 -S 192.168.0.0/16 -D 204.50.10.13/32 -o
# interfaz local, maquinas locales, ir a cualquier sitio es valido
ipfwadm -I -a accept -V 192.168.255.1 -S 192.168.0.0/16 -D 0.0.0.0/0

Usando la norma -O. M�s lento porque los paquetes van primero a trav�s
de masquerading pero esta norma incluso detiene los accesos del
cortafuegos a los sitios prohibidos.

# deniega y anota las salidas a 204.50.10.13
ipfwadm -O -a reject -V su.direccion.PPP.estatica -S su.direccion.PPP.estatica/32 -D 204.50.10.13/32 -o
# cualquier otra salida sobre el interfaz remoto es valida
ipfwadm -O -a accept -V su.direccion.PPP.estatica -S su.direccion.PPP.estatica/32 -D 0.0.0.0/0

Usando la norma -F. Probablemente m�s lento que -I y esto todav�a solo
detiene a las m�quinas enmascaradas (por ejemplo: las internas), el
cortafuegos puede todav�a acceder a sitios prohibidos

# deniega y anota desde la red local sobre el interfaz PPP hacia 204.50.10.13.
ipfwadm -F -a reject -W ppp0 -S 192.168.0.0/16 -D 204.50.10.13/32 -o
# Enmascara (Masquerade) desde la red local sobre interfaces locales hacia
# cualquier sitio.
ipfwadm -F -a masquerade -W ppp0 -S 192.168.0.0/16 -D 0.0.0.0/0

No es necesario una norma especial para permitir a 192.168.0.0/16 para
ir a 204.50.11.0, est� cubierto por la norma global.

Hay m�s de una forma de codificar el interfaz en las normas de arriba.
Por ejemplo en lugar de -V 192.168.255.1 puede poner -W eth0, en lugar
de -V su.direccion.PPP.estatica y puede usar -W ppp0. La elecci�n es
m�s que otra cosa personal y de documentaci�n.

4.5. IP Masquerade y llamada bajo demanda ( Dial On Demand ).

1. Si le gustar�a activar su red autom�ticamente para llamar a
Internet, el paquete de llamada bajo demanda diald le ser� de gran
utilidad.

2. Para configurar diald, por favor mire en
http://home.pacific.net.sg/~harish/diald.config.html

3. Una vez que diald e ip_masq hayan sido configurados, puede ir a
alguna de las m�quinas clientes e iniciar una sesi�n web, telnet o
ftp.

4. diald detectar� peticiones entrantes, luego llamar� a su ISP y
establecer� la conexi�n.

5. Hay un tiempo de espera que ocurrir� con la primera conexi�n. Esto
es inevitable si esta usando un m�dem anal�gico. El tiempo dado
para establecer el enlace entre el m�dem y la conexi�n PPP causar�
que su programa cliente termine. Esto puede ser evitado si esta
usando un conexi�n RDSI. Todo lo que necesita hacer es terminar el
proceso actual en el cliente y reiniciarlo.

4.6. Reenv�o de paquetes ipautofw .

ftp://ftp.netis.com/pub/members/rlynch/ipautofw.tar.gz es un
transportador gen�rico de TCP y UDP para masquerading de Linux.
Generalmente para utilizar un paquete que requiera UDP necesitar�
cargar un m�dulo espec�fico de ip_masq; ip_masq_raudio,
ip_masq_cuseeme, ... ipautofw act�a de una forma m�s gen�rica, enviar�
cualquier tipo de tr�fico inclu�do aquel que los m�dulos espec�ficos
no env�an. Esto puede crear un agujero de seguridad si no se
administra correctamente.

5. Varios.

5.1. Obtenci�n de ayuda.

Por favor NO INTENTE enviarme correo electr�nico para consultas o
problemas de IP Masquerade. Debido a mi intensa carga de trabajo
personal, no prometo responder a todas las cuestiones que no se
encuentren en la p�gina web. En su lugar, para enviar sus dudas
dir�jase a http://ipmasq.home.ml.org/index.html#mailinglist (creo que
es la mejor forma si no quiere recibir una respuesta pasadas semanas).

� http://ipmasq.home.ml.org/ deber�a de tener suficiente informaci�n
para montar IP Masquerade.

� Unirse a la lista de correo de IP masquerade (recomendado)

Para suscribirse, env�e un mensaje electr�nico con el tema
"subscribe" (sin comillas) a [email protected]

Para desubscribirse, env�e un correo electr�nico con tema
"unsubscribe" (sin comillas) a [email protected]

Para obtener ayuda en el uso de la lista de correo, mande un
mensaje con tema "archive help" o "archive dir" (sin comillas) a
[email protected]

� http://www.indyramp.com/masq/list/ contiene todos los mensajes
pasados enviados a la lista.

� Este documento: http://ipmasq.home.ml.org/ipmasq-HOWTO.html para
n�cleos 2.x (si est� usando un n�cleo 1.3.x � 2.x)

� http://ipmasq.home.ml.org/ipmasq-HOWTO-1.2.x.txt si est� usando un
n�cleo antiguo.

� http://www.indyramp.com/masq/ip_masquerade.txt contiene algo de
informaci�n general.

� http://www.xos.nl/linux/ipfwadm/ contiene las fuentes, binarios,
documentaci�n, y otra informaci�n sobre el paquete ipfwadm.

� Una pagina sobre http://masqapps.home.ml.org por Lee Nevo
proporciona trucos y consejos para que las aplicaciones funcionen
con IP Masquerade.

� http://linuxwww.db.erau.edu/NAG/ (Network Administrator Guide) (--
N del T:
indispensable para principiantes que intentan instalar una red.

� http://www.caldera.com/LDP/HOWTO/NET-2-HOWTO.html tambi�n tiene
mucha informaci�n �til sobre las redes en Linux.

� http://www.caldera.com/LDP/HOWTO/ISP-Hookup-HOWTO.html (-- N del T:
y
del T:
informaci�n de como conectar su servidor Linux a Internet.

� http://www.caldera.com/LDP/HOWTO/Ethernet-HOWTO.html es una buena
fuente de informaci�n sobre montar una LAN con ethernet.

� Tambi�n debe de estar interesado en
http://www.caldera.com/LDP/HOWTO/Firewall-HOWTO.html (-- N del T:

� http://www.caldera.com/LDP/HOWTO/Kernel-HOWTO.html (-- N del T:
le guiar� para el proceso de compilar el n�cleo.

� Otros http://www.caldera.com/LDP/HOWTO/HOWTO-INDEX-3.html

� Env�e correo al grupo de noticias de USENET:
comp.os.linux.networking

5.2. Agradecimientos.

� Gabriel Beitler, [email protected] contribuy� en la secci�n
``'' (Configuraci�n de Novell)

� Ed Doolittle, [email protected] sugiri� la opci�n -V en el
comando ipfwadm para mejorar la seguridad.

� Matthew Driver, [email protected] por la extensa ayuda en este
HOWTO, y mejora de la secci�n ``'' (Configuraci�n de Windows 95).

� Ken Eves, [email protected] por la PUF que proporcion� informaci�n
incalculable para este COMO.

� Ed. Lott, [email protected] por un larga lista de sistemas
comprobados y programas.

� Nigel Metheringham, [email protected] contribuy� con
su versi�n de IP Packet Filtering e IP Masquerading HOWTO, el cual
hace de este HOWTO un documento mejor y con m�s profundidad t�cnica
en las secciones ``'', ``'', y otras.

� Keith Owens, [email protected] proporcion� una excelente gu�a de
ipfwadm en la secci�n ``'' corrigi� la opci�n ipfwadm -deny que
evita un agujero de seguridad, y aclar� el estado de ping sobre
ip_masq.

� Rob Pelkey, [email protected] proporcion� las secciones ``''
y ``'' (configurci�n de MacTCP y Open Transport).

� Harish Pillay, [email protected] proporcion� la secci�n ``''
(llamada bajo demanda usando diald).

� Mark Purcell, [email protected] proporcion� la secci�n
``'' (ipautofw)

� John B. (Brent) Williams, [email protected] proporcion� la
secci�n ``'' (configuraci�n Open Transport)

� Enrique Pessoa Xavier, [email protected] en la sugerencia de
configuraci�n de bootp.

� A los desarrolladores de Masquerade por esta gran prestaci�n:

� Delian Delchev, [email protected]

� Nigel Metheringham, [email protected]

� Keith Owens, [email protected]

� Jeanette Pauline Middelink, [email protected]

� David A. Ranch, [email protected]

� Miquel van Smoorenburg, [email protected]

� Jos Vos, [email protected]

� Y a quien haya olvidado mencionar aqu� (por favor, h�gamelo saber)

� A todos los usuarios que enviaron cr�ticas y sugerencias a la lista
de correo, especialmente a los que informaron de errores en la
documentaci�n y los clientes que son soportados y los que no.

� Pido disculpas si no he incluido informaci�n que alg�n usuario me
haya enviado. Hay muchas sugerencias e ideas que me son enviadas,
pero no tengo suficiente tiempo para verificarlas o pierdo la pista
de ellas. Estoy intentando incorporar toda la informaci�n que me
env�an en el COMO. Le agradezco su esfuerzo, y espero que
comprenda mi situaci�n.

5.3. Referencias.

� PUF de IP masquerade por Ken Eves.

� Archivos de la lista de correo de IP masquerade por Indyramp
Consulting.

� P�gina de ipfwadm de X/OS.

� Diversos COMOs de Linux sobre redes.

6. Anexo de la traducci�n.

6.1. Traducci�n.

La traducci�n ha sido realizada por Xos� V�zquez, en el grupo INSFLUG.
Agradezco a Pablo F�brega [email protected] el repaso que le ha dado
a este documento en busca de errores. Le agradecer�a que me enviase
las imperfecciones que contenga este documento. Cr�ticas no
constructivas a > dev/null :-)

6.2. Anexo: El INSFLUG

El INSFLUG forma parte del grupo internacional Linux Documentation
Project, encarg�ndose de las traducciones al castellano de los Howtos
(Comos), as� como la producci�n de documentos originales en aquellos
casos en los que no existe an�logo en ingl�s.

En el INSFLUG se orienta preferentemente a la traducci�n de documentos
breves, como los COMOs y PUFs (Preguntas de Uso Frecuente, las FAQs.
:) ), etc.

Dir�jase a la sede del INSFLUG para m�s informaci�n al respecto.

En la sede del INSFLUG encontrar� siempre las �ltimas versiones de las
traducciones: www.insflug.org. Aseg�rese de comprobar cu�l es la
�ltima versi�n disponible en el Insflug antes de bajar un documento de
un servidor r�plica.

Se proporciona tambi�n una lista de los servidores r�plica (mirror)
del Insflug m�s cercanos a Vd., e informaci�n relativa a otros
recursos en castellano.

Francisco Jos� Montilla, [email protected].

6.3. Fuentes de informaci�n en espa�ol

� http://slug.ctv.es/SLUG, grupo de usuarios de Linux.

� http://www.infor.es/LuCAS LuCAS, las guides y otros documentos en
espa�ol.

� http://mercury.chem.pitt.edu/~angel/LinuxFocus/Castellano/ Revista
Linux Focus en castellano.

� Linux en M�xico: http://www.linux.org.mx/

� Linux en Argentina: http://www.linux.org.ar/

� Linux en Uruguay: Linux en Uruguay

� http://wagner.princeton.edu/~juan/manpages/, p�ginas del manual
(man) en espa�ol.

� es.comp.os.linux, grupo de noticias de linux en espa�ol.

� �rea R34.Linux de Fido.

� Multiples http://www.arrakis.es/~barreiro/menu_lista_es.shtml
listas de correo.

6.4. Recursos de Linux y distribuciones.

� Distribuci�n Debian: http://www.es.debian.org

ftp://ftp.de.debian.org/debian

� Distribuci�n RedHat http://www.redhat.com

ftp://ftp.redhat.com/pub/redhat

� Distribuci�n Caldera, http://www.caldera.com

ftp://ftp.caldera.com/pub/

� Distribuci�n Slackware http://www.slackware.org

Walnut Creek CDROM http://www.cdrom.com

ftp://ftp.cdrom.com/pub/linux
� El hogar del n�cleo, Kernel Org http://www.kernel.org y LinuxHQ
http://www.linuxhq.com (informaci�n de actualizaciones y parches).

ftp://ftp.kernel.org/pub/linux/kernel

� http://www.linux.org

� Linux Journal & Linux Gazette http://www.ssc.com

� Linux Documentation Project http://sunsite.unc.edu/LDP

� Sunsite http://sunsite.unc.edu/pub/Linux/welcome.html

ftp://sunsite.unc.edu/pub/Linux/

� GNU, http://www.gnu.org, GNUstep http://www.gnustep.org

ftp://prep.ai.mit.edu/pub/gnu y ftp://ftp.gnustep.org/pub/gnustep

� ftp://tsx-11.mit.edu/pub/linux/

6.5. C�mo colaborar

Existen diferentes proyectos de hispanohablantes relativos a la
traducci�n de documentaci�n y programas.

Si quiere colaborar en alg�n proyecto es *IMPRESCINDIBLE* que se ponga
en contacto, con su coordinador :

� INSFLUG, www.insflug.org, traducci�n de COMOs coordinado por
Francisco Jos� Montilla, [email protected].

� LuCAS, traducci�n de libros coordinado por Juan Jos� Amor
[email protected] o en fido 2:341/12.19

� P�ginas man, traducci�n de p�ginas del manual coordinado por Miguel
Angel Sep�lveda [email protected]

� G�U en espa�ol, http://slug.ctv.es/~emelero/, espa�olizaci�n de los
paquetes de GNU coordinado por Enrique Melero.

[email protected]

� Grupo de hispanizaci�n de Debian, traducci�n de documentaci�n y
programas, se organiza en la lista debian-l10n-
[email protected]

7. Anexo: El INSFLUG

El INSFLUG forma parte del grupo internacional Linux Documentation
Project, encarg�ndose de las traducciones al castellano de los Howtos
(Comos), as� como la producci�n de documentos originales en aquellos
casos en los que no existe an�logo en ingl�s.

En el INSFLUG se orienta preferentemente a la traducci�n de documentos
breves, como los COMOs y PUFs (Preguntas de Uso Frecuente, las FAQs.
:) ), etc.

Dir�jase a la sede del INSFLUG para m�s informaci�n al respecto.

En la sede del INSFLUG encontrar� siempre las �ltimas versiones de las
traducciones: www.insflug.org. Aseg�rese de comprobar cu�l es la
�ltima versi�n disponible en el Insflug antes de bajar un documento de
un servidor r�plica.

Se proporciona tambi�n una lista de los servidores r�plica (mirror)
del Insflug m�s cercanos a Vd., e informaci�n relativa a otros
recursos en castellano.

Francisco Jos� Montilla, [email protected].