ndice de contenidos
1. 2. 3. 4. 5. 6. 7. 8. 9.
Qu es un gateway? Configuracin tpica de un gateway en una LAN Gateway frente a Proxy Configuracin, paso 1 de 3: Habilitar el forwarding Configuracin, paso 2 de 3: Configurar el forwarding Configuracin, paso 3 de 3: Asegurar el gateway Configuracin de un cliente Linux para trabajar con nuestro gateway Configuracin de un cliente Windows para trabajar con nuestro gateway Prueba de funcionamiento
1. Qu es un gateway?
Un gateway o puerta de enlace es normalmente un equipo informtico configurado para dotar a las mquinas de una red local (LAN) conectadas a l de un acceso hacia una red exterior, generalmente realizando para ello operaciones de traduccin de direcciones IP (NAT: Network Address Translation). Esta capacidad de traduccin de direcciones permite aplicar una tcnica llamada IP Masquerading, usada muy a menudo para dar acceso a Internet a los equipos de una LAN compartiendo una nica conexin a Internet, y por tanto, una nica direccin IP externa.
Esta tcnica se denomina IP Masquerading (Enmascaramiento de IPs). Su funcionamiento bsico, simplificado, podemos verlo en el siguiente diagrama, en el que se ejemplifica una transmisin desde A (una mquina de la red privada) hacia Z (una mquina en Internet), siendo G el gateway de la red:
C a r a c t e r
P R O X Y
G A T E W A Y
s t i c a P e t i c i o n e s h a c i a e l e x t e r i o r L o s c l i e n t e s r e a l i z a n l a s p e t i c i o n e s d e c o n e x i n c o n l a r L o s c l i e n t e s r e a l i z a n l a s p e t i c i o n e s d i r e c t a m e n t e a l e x t
e d e x t e r n a a l p r o x y ( t a n t o a n i v e l d e r e d
e r i o r a n i v e l t r a n s p o r t e , p e r o a n i v e l d e r e d
c o m s o e d e t r a n s p o r t e ) .
l a s e n t r e g a a l g a t e
w a y ( l o u t i l i z a n c o m o s a l t o e n l a t r a n s m i s i n ) . P r o t o c o l o s E l p r o x y d e b e A l g a t e w a y n o l
e e n t e n d e r e l p r o t o c o l o d e n i v e l d e a p l i c a c i n a l q u e p e r t e n e c e i n t e r e s a e l p r o t o c o l o a l q u e p e r t e n e c e n l a s p e t i c i o n e s , n i i n t e n t a
n l a s p e t i c i o n e s ( p . e j : H T T P ) y p u e d e h a c e r c a c h d e l o s r e s u l
i n t e r p r e t a r l a s . S i m p l e m e n t e l a s r e e n v a h a c i a s u d e s t i n o .
t a d o s o b t e n i d o s p a r a c a d a p e t i c i n ( h a c i e n d o l a n a v e g a c i n m s
r p i d a ) . S e g u r i d a d E l p r o x y p e r m i t e u n m a y o r n i v e l d e s e g u r i d a d , y a q u e a E l g a t e w a y o f r e c e u n m e n o r n i v e l d e s e g u r i d a d , y a q u e e l a i
s l a
s l a m i m e n s t o e f e i n c t i r e e n t r e e m d e e n s t e n o ( h e a s s t t a a n e l g r n a i n v d e e l , y d e r e a s p u l l i t c a a c a i c o n n ) s e l j a a b r l e e d a i c n o t m
e r n a d e l a e x t e r n a .
p a a r l o d e u n f i r e w a l l c o r r e c t a m e n t e c o n f i g u r a d o p a r a e v i t a r p r o b l e
m a s d e s e g u r i d a d .
Funcionalemente, la ms directa diferencia entre proxy y gateway viene dada por lo que se puede ver en la caracterstica protocolos de la tabla: el hecho de que el proxy necesite entender el protocolo de nivel de aplicacin de las peticiones que pasen por l provoca que necesitemos obligatoriamente tener un proxy preparado para todos los protocolos que deseemos usar desde nuestros equipos de la red interna. Desgraciadamente, la gran parte de los proxies disponibles hoy en da se centran en realizar cach de peticiones HTTP y HTTPS (as como las de resolucin de nombres DNS). Con uno de estos proxies, no podremos usar desde nuestros clientes, por ejemplo, un lector de correo estilo Outlook, Eudora o Evolution (ya que usan los protocolos SMTP y POP3) para leer nuestro correo. Sin embargo, s podremos hacer esto con un gateway (aunque puedan existir ciertos protocolos que necesiten mdulos especiales para trabajar a travs de un gateway, por ejemplo los que usan cierto juegos).
TE RF AZ _IN TE RN ET ] -j MA SQ UE RA DE
Donde [INTERFAZ_INTERNET] podra ser ppp0 si nos conectamos a travs de un mdem telefnico, eth1 si lo hacemos por el segundo interfaz ethernet... Esta regla indica a NetFilter que debe hacer IP Masquerading con los paquetes de los que haga forward hacia internet, esto es, que realice sobre ellos los cambios de IP adecuados.
El lugar o fichero donde configurar esto difiere segn la distribucin Linux que estemos usando. En muchas distribuciones existen herramientas grficas de administracin para llevar a cabo estas tareas, y en otras tendremos que realizar dicho cambio en un fichero de configuracin. Como ejemplo, veamos los pasos a dar en dos distribuciones: Red Hat y Debian. Red Hat En Red Hat, podremos configurar la puerta de enlace de nuestro interfaz de red de tres maneras: La primera sera aadiendo las siguientes lnea al fichero /etc/sysconfig/network:
Debian Para configurar la puerta de enlace por defecto en Debian, tendremos que acudir al fichero /etc/network/interfaces, donde cada interfaz de red tiene una entrada con varios parmetros
de configuracin, y aadir el parmetro gateway de manera que la entrada de nuestro interfaz de red interna podra quedar algo similar a:
2. 16 8. 0. 10
Y despus reiniciar los servicios de red con el script de /etc/init.d adecuado.
Windows XP En Windows XP, esta operacin es ligeramente diferente. Para configurar la puerta de enlace, debemos dirigirnos a Panel de Control -> Conexiones de Red y hacer click con el botn derecho sobre la conexin de red de la LAN. Del men desplegable elegiremos Propiedades y seleccionaremos Protocolo Internet (TCP/IP), pulsando de nuevo Propiedades. En la ventana de propiedades que obtendremos, podremos introducir la direccin IP de nuestro gateway en el apartado Puerta de Enlace predeterminada:
9. Prueba de funcionamiento
Una vez relizada toda la configuracin del gateway, podremos probar su funcionamiento desde cualquiera de las mquinas de la red interna.
Sin embargo, antes de intentar navegar por Internet desde alguna de las mquinas de la LAN para comprobar si el gateway funciona, es ms aconsejable probar con un simple ping hacia una mquina cualquiera de Internet (por ejemplo, www.google.com):