2. Conceptos básicos.
2.1 Qué es IP Masquerade?
IP Masquerade es una capacidad de red de Linux en desarrollo. Si un servidor Linux está conectado a Internet con IP Masquerade habilitado, los ordenadores conectados a él (bien en la misma red local, bien por módem) también pueden conectarse a Internet, incluso aunque no tengan una dirección IP oficial asignada.
Esto permite a un conjunto de máquinas acceder transparentemente a Internet ocultas tras la máquina pasarela, la cual aparece como el único sistema que está usando Internet. Romper la seguridad de un sistema configurado de forma correcta con IP Masquerade es considerablemente más difícil que romper un buen filtro de paquetes basado en cortafuegos (suponiendo que no existan fallos en ninguno).
2.2 Estado actual
IP Masquerade está todavía en etapa experimental. De todas formas, los
núcleos a partir del 1.3.x tienen ya soporte interno incorporado.
Muchos particulares y empresas lo están usando, con resultados
satisfactorios.
Se ha comprobado que los Navegadores de páginas web y telnet funcionan
bien sobre ip_masq. FTP, IRC y Real Audio funcionan con ciertos
módulos cargados. Otras variedades de audio por red como True Speech e
Internet Wave también funcionan. Algunos usuarios de la lista de correo
incluso lo intentaron con software de vídeo-conferencia. Incluso ping
funciona ahora, con el nuevo parche ICMP.
Por favor diríjase a la sección soportados para ver la lista completa de programas soportados.
IP Masquerade funciona bien con 'máquinas clientes' con diferentes sistemas operativos y plataformas. Ha habido éxito con sistemas usando Unix, Windows 95, Windows NT, Windows para Trabajo en Grupo (con el paquete TCP/IP), OS/2, Sistemas Macintosh OS con Mac TCP, Mac Open Transport, DOS con el paquete NCSA Telnet, VAX, Alpha con Linux, e incluso Amiga con AmiTCP o AS225-stack.
2.3 Quién puede beneficiarse de IP Masquerade?
- Si tiene un servidor Linux conectado a Internet, y
- si tiene algunos ordenadores con TCP/IP conectados con esa máquina Linux en una subred local (LAN) , y/o
- si su servidor Linux tiene más de un módem y actúa como un servidor PPP o SLIP conectando a otros,
- los cuales no tienen asignada una dirección IP oficial. (Estas máquinas son representadas por OTRAS máquinas presentes).
- Y por supuesto, si quiere que esas OTRAS máquinas estén en Internet sin gastar dinero extra :)
2.4 Quién NO necesita IP Masquerade?
- Si su máquina es un servidor Linux aislado conectado a Internet,
entonces es inútil usar
ip_masq, o - si ya tiene direcciones asignadas a sus OTRAS máquinas, entonces no necesita IP Masquerade,
- y por supuesto, si no le gusta la idea de una salida gratuita a Internet.
2.5 Cómo funciona IP Masquerade ?
De la PUF de IP Masquerade por Ken Eves:
Representación de la configuración más simple :
SLIP/PPP +------------+ +------------+
al proveedor | Linux | SLIP/PPP | OTRA |
<---------- modem1| |modem2 <---------- modem | |
111.222.333.444 | | 192.168.1.100 | |
+------------+ +------------+
En el dibujo de arriba un servidor Linux con ip_masquerading instalado y
funcionando está conectado a Internet vía SLIP o PPP usando el
modem1. Tiene asignada la dirección IP 111.222.333.444. En esta
configuración ese modem2 permite a las personas que llaman entrar e
iniciar una conexión SLIP/PPP.
El segundo sistema (el cual no tiene porqué usar Linux) llama al servidor Linux e inicia una conexión SLIP o PPP. No tiene asignada una dirección IP en Internet así que usa 192.168.1.100 (ver abajo).
Con ip_masquerade y el rutado configurado adecuadamente la máquina OTRA puede interactuar con Internet como si estuviera realmente conectada (con unas pocas excepciones).
Citando a Pauline Middelink:
No olvide mencionar que OTRA debería tener al servidor Linux como su pasarela (si es la ruta por defecto o sólo una subred no importa). Si la OTRA no puede hacer esto, la máquina Linux debería hacer un proxy arp para todas las direcciones de rutado, pero la configuración del proxy arp va más allá del alcance del documento.
Lo siguiente es un extracto de un correo de
comp.os.linux.networking
que se ha editado para corresponder los nombres usados en el ejemplo de
arriba:
- Le digo a la máquina OTRA que mi servidor Linux es su pasarela.
- Cuando un paquete llega a la máquina Linux desde OTRA, le asignará un nuevo número de puerto origen, y pega su propia dirección IP en la cabecera del paquete, guardando los originales. Entonces mandará el paquete modificado a Internet sobre el interfaz PPP/SLIP.
- Cuando un paquete viene desde Internet para la máquina Linux, si el número de puerto es uno de esos asignados arriba, obtendrá el puerto original y la dirección ip, repondrá la cabecera del paquete y lo enviará a OTRA.
- El servidor que envía el paquete nunca notará la diferencia.
Un ejemplo de IP Masquerading
el ejemplo típico se muestra en la siguiente figura:
+----------+
| | Ethernet
| ordenador|::::::
| A |2 :192.168.1.x
+----------+ :
: +----------+ enlace
+----------+ : 1| Linux | ppp
| | ::::| masq-gate|:::::::::// Internet
| ordenador|:::::: | |
| B |3 : +----------+
+----------+ :
:
+----------+ :
| | :
| ordenador|::::::
| C |4
+----------+
<- Red Interna ->
En este ejemplo hay 4 ordenadores que centran este documento. También hay algo al otro lado de su conexión IP que le suministra la información de Internet y además otros sistemas con los que está interesado en intercambiar información.
El sistema Linux masq-gate es la pasarela enmascarada para la red
interna de los ordenadores A, B y C que permite el acceso a Internet. La
red interna usa una de las direcciones de red privadas, en este caso la
red de clase C 192.168.1.0, donde la máquina Linux
Mejor dicho, el interfaz ethernet de la máquina Linux
Las tres máquinas A, B y C (que pueden estar usando cualquier sistema
operativo, siempre que pueda "hablar IP", como Windows 95, Macintosh
MacTCP o incluso otro Linux) pueden conectarse a otras máquinas de
Internet, ya que el sistema masquerade masq-gate enmascara todas
sus conexiones de tal forma que parezcan originadas en masq-gate,
y se encarga de que los datos que le devuelven en una conexión enmascarada
sean retransmitidos al sistema original. Así los sistemas de la red
interna ven una ruta directa a Internet y son incapaces de darse cuenta
que sus datos están siendo enmascarados.
2.6 Requerimientos para usar IP Masquerade en Linux 2.x
Por favor diríjase a
http://ipmasq.home.ml.org/ para información más actualizada,
es difícil actualizar este COMO con frecuencia.
- Fuentes del núcleo
2.0.x, disponibles enftp://ftp.kernel.org/pub/linux/kernel/v2.0/(Sí, tendrá que compilar su núcleo con ciertos soportes... Se recomienda el último núcleo estable) - Módulos cargables del núcleo, preferiblemente
2.0.0o superior disponibles en
http://www.pi.se/blox/modules/modules-2.0.0.tar.gz(modules-1.3.57es lo mínimo requerido) - Montar una red TCP/IP bien configurada, tema tratado en
http://www.caldera.com/LDP/HOWTO/NET-2-HOWTOy enhttp://linuxwww.db.erau.edu/NAG/, disponible en castellano enhttp://www.infor.es/LuCAScomo GARL, o Guía del Administrador de Redes Linux. - Conexión a Internet para su servidor Linux.
Tratado en
http://www.caldera.com/LDP/HOWTO/ISP-Hookup-HOWTO, PPP-Como, disponible enhttp://www.insflug.orgyhttp://www.caldera.com/LDP/HOWTO/mini/PPP-over-ISDN, así como para los que dispongan de Infovía, el Infobia-Como,http://www.insflug.org - Ipfwadm 2.3 o más reciente, disponible en
ftp://ftp.xos.nl/pub/linux/ipfwadm/ipfwadm-2.3.tar.gzmás información sobre requerimientos de versiones enhttp://www.xos.nl/linux/ipfwadm/ - Puede opcionalmente aplicar parches de IP Masquerade para habilitar
otras funcionalidades. Dispone de más información acerca de esto en
http://ipmasq.home.ml.org/(estos parches aplicados a todos los núcleos2.0.x)
Anterior Siguiente Índice
