Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
38 lecturas y 3 respuestas
  • Cerrado

    6

    ALGUIEN LO ENTIENDE ????

    Hola a todos?

    Os explico mi problema:

    Dispongo en la oficina de adsl de 2Mbs cuyo isp es comunitel.
    me montaron un router cisco 827 adaptado a la voz sobre ip, de ese router y a traves de un switch surecom estan colgando 6 ordenadores. La ip es fija y como no tengo las contraseñas de acceso al router todo te lo hacen ellos asique les pedi que direccionasen el puerto 21 ssh y el 1723 vpn hacia un equipo que trabaja bajo linux que es el servidor donde tenemos alojada la base de datos con la que trabajamos.

    Desde hace unos dias vengo viendo que nos quedamos sin servicio y cuando les llamas lo unico que nos dicen es que tenemos saturada con 5000 peticiones (el limite del citado router) la tabla nat y que por eso nos quedamos sin servicio. Y claro ellos ven la oportunidad para ganar mas perras y nos dicen que seria interesante instalar un firewall para filtar el trafico que entre. En un post anterior pedi ayuda y me recomendaron instalar el coyote linux que es una buena solucion sobre todo en lo que se refiere a precio.

    Ahora viene lo gordo del problema: Probe en mi casa el coyote y funciono perfectamente, en mi casa tengo telecable con ip dinamica y realmente fue enchufar reiniciar y funcionar asique pense que ya estaba que solo tenia que tirar un nuevo disquete con los datos de la ip fija de la oficina y que tiraria sin problemas...pero.... llevo 2 dias y no consigo hacerlo andar pero en la pantalla de info del administador via web me dice que tanto la red locl como la de internet estan UP. Nuevamente llamo a comunitel y me dicen que en ese momento no ven ningun equipo conectado, que lo unico que perciben no es una ip sino que no resuelve bien una direccion mac.

    El equipo que hace de firewal es un p200 mmx con 32MB de ram y dos tarjetas 3com identicas, tarjetas que ahora no recuerdo si ya estuvieron conectadas en estos ordenadores o no.

    ¿alguien me puede ayudar? personalmente creo que puede que tenga que spoofear (se dice asi??) las tarjetas para cambiarles la direccion mac, pero si es asi que nueva direccion mac tengo que asignarle??

    Gracias de antemano y un saludo!!!

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
    • Cerrado

      Lo primero, 5000 entradas NAT es dificil llenarlas, teniendo…

      Lo primero, 5000 entradas NAT es dificil llenarlas, teniendo en cuenta que conozco empresas sin problemas que usan Zyxel ADSL que tienen 512 entradas solamente. ¿Estáis ofreciendo un servicio al exterior que tiene más de 5000 conexiones simultáneas? Espero que no tengáis algún eMule instalado dentro dando por culo. No sé cuál es el tiempo de expiración de una entrada NAT en el Cisco 827, pero es posible que sea modificable en el IOS.

      Es que depende un poco de cómo te hayan configurado el router y de cómo esté funcionando ese cortafuegos. Si el router hace NAT hacia adentro y metes un cortafuegos en medio, o bien cambias de nuevo el direccionamiento y por lo tanto las tablas de rutas, o bien esa máquina Linux tiene forzosamente que actuar como proxy ARP ante el router.

      Eso significa hacer creer al router que la MAC de la tarjeta externa del cortafuegos, está asociada a todas las IPs de la red. Por lo tanto los paquetes son siempre enviados a la misma NIC y ya es el software del cortafuegos el que debería enrutar adecuadamente el paquete a su destino, tras validar las reglas con éxito.

      Saludos.

      • Cerrado

        6

        Lo primero gracias por contestar, tengo una rucadura de tarro…

        Lo primero gracias por contestar, tengo una rucadura de tarro muy gorda.

        Veamos:

        Entonces una cosa que valdria sea falsear en la configuracion del firewall la direccion mac de la makina a la que estan dirigidos los puertos o directamente spoofearla suponiendo que no choquen 2 tarjetas de red con la misma direccion mac no??

        • Cerrado

          No hace falta spoofing, para eso está la función de Proxy…

          No hace falta spoofing, para eso está la función de Proxy ARP. No toco Linux desde el siglo pasado (hablando con propiedad) pero tal vez alguna página como ésta pueda servirte.

          http://www.espaciolinux.com/artitecid-24.html