En primer lugar, se va a hablar de las interaces de red mquina por mquina, que

han sido aadidas modificando el fichero /etc/network/interfaces.

En debian1, se van a tener 4 interaces de red:
Mediante eth0 (con ip 10.0.2.15), debian1 se va a conectar a internet a
travs de la NAT en virtualbox (10.0.2.0/); mediante eth1 (con ip 192.168.56.3),
debian1 se va a conectar a Host a travs de Only-Host-Network 192.168.56.0/24;
mediante eth2 (con ip 192.168.57.1), debian1 se va a conectar a debian2 a travs de
la red interna 1 (192.168.57.0/24); y mediante eth3 (con ip 192.168.58.1), debian1
se va a conectar a debian3, debian4 y debian6 a travs de la red interna 2
(192.168.58.0/24), y a su vez se conecta a debian5 a travs de la red interna 3
mediante debian6.
En debian2, se va a tener una interfaz de red:
Mediante eth0 (con ip 192.168.57.2), debian2 se va a conectar a debian1 a
traves de la red interna 1.
En debian3, se va a tener una interfaz de red:
Mediante eth0 (con ip 192.168.58.X (10-20)), debian3 se va a conectar a
debian1, debian4, debian5 y debian6 a travs de la red interna 2.
En debian4, se va a tener una interfaz de red:
Mediante eth0 (con ip 192.168.58.X (10-20)), debian3 se va a conectar a
debian1, debian4, debian5 y debian6 a travs de la red interna 2.
En debian6, se van tener dos interfaces de red:
Mediante eth0 (con ip 192.168.58.2), debian3 se va a conectar a debian1,
debian3 y debian4 a travs de la red interna 2; y mediante eth1 (con ip con ip
192.168.59.1), debian3 se va a conectar con debian5 a travs de la red interna 3
(192.168.59.0/24).
Por ltimo, en debian5, se va a tener una interfaz de red:
Mediante eth0 (con ip 192.168.59.2), debian5 se va a conectar con debian6
mediante la red interna 3.

Tanto en debian1 como en debian5 se pone a uno la variable net.ipv4.ip_forward

(en /etc/sysctl.conf) para perminir el encaminamiento de paquetes entre interaces
(actuando como router).

Es necesario, en el fichero /etc/network/interfaces de debian1, aadir las reglas

"up route add -net 192.168.59.0 netmask 255.255.255.0 gw 192.168.58.2" y "down
route del -net 192.168.59.0 netmask 255.255.255.0 gw 192.168.58.2".
As se aade, al levantarse la interfaz eth3 de debian1, una ruta esttica
indicando que todos los paquetes dirigidos al la red interna 3 (192.168.59.0/24)
pasando por el gateway 192.168.58.2 (debian6).

A continuacin se pasa a hablar de la configuracin de debian1 como servidor DHCP:

en primer lugar, se ha instalado el servidor mediante la instalacin del paquete
"isc-dhcp-server"; luego, se ha modificado la opcin INTERACES de /etc/deault/isc-
dhcp-server, aadiendo eth3 (interfaz de red mediante la cual se va a ofrecer el
servicio dhcp); tras esto, se ha modificado el fichero dhcpd.conf: aadiendo option
domain-name "example.org" (nombre de dominio), option domain-name-server 8.8.8.8
8.8.4.4 (se han puesto los de google) y crendose una subnet en la ip 192.168.58.0
donde se asignan rangos (10-20) con "range 192.168.58.10 192.168.58.20" y se
especifica el router por defecto con "option routers 192.168.58.1, 192.158.58.2".
En un principio, esta ltima opcin estaba como "option routers 192.168.58.1",
necesitando aadir la regla "up rute add -net 192.168.59.0/24 gw 192.168.58.2" en
debian3 y debian4 (adems de en debian1, donde se mantiene); pero se descubri que
al aadir varios routers por defecto se modificaba las tablas de routing de los
clientes y se podan aadir ms subredes en estos concatenndose estas a la red
interna 3, con lo que se opt por esta opcin.

Por otra parte, se ha instalado el servidor web nginx en la mquina debian2, y el

servidor ssh opensshserver.
En cuanto a la configuracin del firewall en debian1 se ha ejecutad el siguiente
script:

#!/bin/bash
#Flush
iptables -F // Se vacan toas las cadenas del firewall
iptables -X // Se eliminan todas las cadenas vacas
iptables -Z // Se ponen los contadores de las reglas a cero
iptables -t nat -F // Se borran todas las reglas de todas las cadenas de la
tabla nat.

# base policy //Se borra todo el trfico menos el de

salida.
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# ACCEPT LO
iptables -A INPUT -i lo -j ACCEPT // Se permite que todos los paquetes
entrantes con destino a la interface localhost sean aceptados.
iptables -A OUTPUT -o lo -j ACCEPT // Se permite que todos los paquetes
salientes desde la interface localhost sean aceptados.

# Connected States
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# Invalid States
iptables -A INPUT -m conntrack --ctstate INVALID -j DROP
iptables -A FORWARD -m conntrack --ctstate INVALID -j DROP

# POSTROUTING MASQUERADE (DHCP)

//Se enmascara la direccin IP privada de un nodo con la direccin IP del

cortafuegos/puerta de enlace (obtejivo MASQUERADE) de los paquetes a medida que
dejan eth0 (hacia internet) y eth3 (hacia la red interna 2).

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -t nat -A POSTROUTING -o eth3 -j MASQUERADE

# Trafico de intra

//Se acepta entrada y salida de la red interna 1 (eth2) y la red interna 2

(eth3)

iptables -A FORWARD -i eth2 -m conntrack --ctstate NEW -j ACCEPT

iptables -A FORWARD -i eth3 -m conntrack --ctstate NEW -j ACCEPT
iptables -A INPUT -i eth2 -j ACCEPT
iptables -A INPUT -i eth3 -j ACCEPT

# Trafico de la extranet
# Servidor red

// Al entrar el paquete (PREROUTING) por el puerto 80 de eth1 (trfico de red

de internet), se dirige a eth2 (conectada con debian2) con destino al puerto 80 de
debian2 (con lo que tiene servicio de red).

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-

destination 192.168.57.2:80
iptables -A FORWARD -i eth1 -p tcp --dport 80 -o eth2 -d 192.168.57.2 -m
conntrack --ctstate NEW -j ACCEPT
# ssh

// Al entrar el paquete (PREROUTING) por el puerto 22 de eth1 (trfico ssh de

internet), se dirige a eth3 (conectada con debian5) con destino al puerto 22 de
debian5 (con lo que tiene servicio de ssh).

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 22 -j DNAT --to-

destination 192.168.59.2:22
iptables -A FORWARD -i eth1 -p tcp --dport 22 -o eth3 -d 192.168.59.2 -m
conntrack --ctstate NEW -j ACCEPT

Con el objetivo de que las iptables sean persistentes se ha instalao un software

apropiado (apt-get install iptables-persistent) y se han salvado las iptables en el
fichero "/etc/iptables/rules.v4" pra que sean crgadas automticamente al iniciar el
sistema mediante el comando: iptables-save > /etc/iptables/rules.v4.