Logo de AulaDigital

IP Masquerade Como 2

Mini-COMO de Linux IP Masquerade, en ESPAÑOL.: Conceptos básicos. Anterior Siguiente Indice

2. Conceptos básicos.

2.1 ¿Qué es IP Masquerade?

IP Masquerade es una capacidad de red de Linux en desarrollo. Si un servidor Linux está conectado a Internet con IP Masquerade habilitado, los ordenadores conectados a él (bien en la misma red local, bien por módem) también pueden conectarse a Internet, incluso aunque no tengan una dirección IP oficial asignada.

Esto permite a un conjunto de máquinas acceder transparentemente a Internet ocultas tras la máquina pasarela, la cual aparece como el único sistema que está usando Internet. Romper la seguridad de un sistema configurado de forma correcta con IP Masquerade es considerablemente más difícil que romper un buen filtro de paquetes basado en cortafuegos (suponiendo que no existan fallos en ninguno).

2.2 Estado actual

IP Masquerade está todavía en etapa experimental. De todas formas, los núcleos a partir del 1.3.x tienen ya soporte interno incorporado. Muchos particulares y empresas lo están usando, con resultados satisfactorios.

Se ha comprobado que los Navegadores de páginas web y telnet funcionan bien sobre ip_masq. FTP, IRC y Real Audio funcionan con ciertos módulos cargados. Otras variedades de audio por red como True Speech e Internet Wave también funcionan. Algunos usuarios de la lista de correo incluso lo intentaron con software de vídeo-conferencia. Incluso ping funciona ahora, con el nuevo parche ICMP.

Por favor diríjase a la sección soportados para ver la lista completa de programas soportados.

IP Masquerade funciona bien con 'máquinas clientes' con diferentes sistemas operativos y plataformas. Ha habido éxito con sistemas usando Unix, Windows 95, Windows NT, Windows para Trabajo en Grupo (con el paquete TCP/IP), OS/2, Sistemas Macintosh OS con Mac TCP, Mac Open Transport, DOS con el paquete NCSA Telnet, VAX, Alpha con Linux, e incluso Amiga con AmiTCP o AS225-stack.

2.3 ¿Quién puede beneficiarse de IP Masquerade?

  • Si tiene un servidor Linux conectado a Internet, y
  • si tiene algunos ordenadores con TCP/IP conectados con esa máquina Linux en una subred local (LAN) , y/o
  • si su servidor Linux tiene más de un módem y actúa como un servidor PPP o SLIP conectando a otros,
  • los cuales no tienen asignada una dirección IP oficial. (Estas máquinas son representadas por OTRAS máquinas presentes).
  • Y por supuesto, si quiere que esas OTRAS máquinas estén en Internet sin gastar dinero extra :)

2.4 ¿Quién NO necesita IP Masquerade?

  • Si su máquina es un servidor Linux aislado conectado a Internet, entonces es inútil usar ip_masq, o
  • si ya tiene direcciones asignadas a sus OTRAS máquinas, entonces no necesita IP Masquerade,
  • y por supuesto, si no le gusta la idea de una salida gratuita a Internet.

2.5 ¿Cómo funciona IP Masquerade ?

De la PUF de IP Masquerade por Ken Eves:

Representación de la configuración más simple :

     SLIP/PPP         +------------+                         +------------+
     al proveedor     |  Linux     |       SLIP/PPP          | OTRA       |
    <---------- modem1|            |modem2 <---------- modem |            |
      111.222.333.444 |            |           192.168.1.100 |            |
                      +------------+                         +------------+

En el dibujo de arriba un servidor Linux con ip_masquerading instalado y funcionando está conectado a Internet vía SLIP o PPP usando el modem1. Tiene asignada la dirección IP 111.222.333.444. En esta configuración ese modem2 permite a las personas que llaman entrar e iniciar una conexión SLIP/PPP.

El segundo sistema (el cual no tiene porqué usar Linux) llama al servidor Linux e inicia una conexión SLIP o PPP. No tiene asignada una dirección IP en Internet así que usa 192.168.1.100 (ver abajo).

Con ip_masquerade y el rutado configurado adecuadamente la máquina OTRA puede interactuar con Internet como si estuviera realmente conectada (con unas pocas excepciones).

Citando a Pauline Middelink:

No olvide mencionar que OTRA debería tener al servidor Linux como su pasarela (si es la ruta por defecto o sólo una subred no importa). Si la OTRA no puede hacer esto, la máquina Linux debería hacer un proxy arp para todas las direcciones de rutado, pero la configuración del proxy arp va más allá del alcance del documento.

Lo siguiente es un extracto de un correo de comp.os.linux.networking que se ha editado para corresponder los nombres usados en el ejemplo de arriba:

  • Le digo a la máquina OTRA que mi servidor Linux es su pasarela.
  • Cuando un paquete llega a la máquina Linux desde OTRA, le asignará un nuevo número de puerto origen, y pega su propia dirección IP en la cabecera del paquete, guardando los originales. Entonces mandará el paquete modificado a Internet sobre el interfaz PPP/SLIP.
  • Cuando un paquete viene desde Internet para la máquina Linux, si el número de puerto es uno de esos asignados arriba, obtendrá el puerto original y la dirección ip, repondrá la cabecera del paquete y lo enviará a OTRA.
  • El servidor que envía el paquete nunca notará la diferencia.







Un ejemplo de IP Masquerading

el ejemplo típico se muestra en la siguiente figura:

      +----------+
      |          |  Ethernet
      | ordenador|::::::
      |    A     |2    :192.168.1.x
      +----------+     :
                       :   +----------+   enlace
      +----------+     :  1|  Linux   |   ppp
      |          |     ::::| masq-gate|:::::::::// Internet
      | ordenador|::::::   |          |
      |    B     |3    :   +----------+
      +----------+     :
                       :
      +----------+     :
      |          |     :
      | ordenador|::::::
      |    C     |4
      +----------+

      <- Red  Interna ->

En este ejemplo hay 4 ordenadores que centran este documento. También hay algo al otro lado de su conexión IP que le suministra la información de Internet y además otros sistemas con los que está interesado en intercambiar información.

El sistema Linux masq-gate es la pasarela enmascarada para la red interna de los ordenadores A, B y C que permite el acceso a Internet. La red interna usa una de las direcciones de red privadas, en este caso la red de clase C 192.168.1.0, donde la máquina Linux N. del T.
Mejor dicho, el interfaz ethernet de la máquina Linux
tiene la dirección 192.168.1.1 y los demás tienen direcciones de esa misma red.

Las tres máquinas A, B y C (que pueden estar usando cualquier sistema operativo, siempre que pueda "hablar IP", como Windows 95, Macintosh MacTCP o incluso otro Linux) pueden conectarse a otras máquinas de Internet, ya que el sistema masquerade masq-gate enmascara todas sus conexiones de tal forma que parezcan originadas en masq-gate, y se encarga de que los datos que le devuelven en una conexión enmascarada sean retransmitidos al sistema original. Así los sistemas de la red interna ven una ruta directa a Internet y son incapaces de darse cuenta que sus datos están siendo enmascarados.

2.6 Requerimientos para usar IP Masquerade en Linux 2.x

Por favor diríjase a http://ipmasq.home.ml.org/ para información más actualizada, es difícil actualizar este COMO con frecuencia.


Anterior Siguiente Indice