March 2009 Archives

Introducción

| 3 Comments
A lo largo del presente blog se pretende explicar los pasos a seguir para configurar una LAN de lo que podría ser una pequeña empresa. Todas las máquinas utilizadas a lo largo de este blog serán siempre Máquinas Virtuales creadas con el programa VMWare de Microsoft.

En esas explicaciones no se dará información exacta de la configuración particular del caso a tratar, aunque si se adjuntarán enlaces desde los que se pueden ver configuraciones de ejemplo, y se explicarán las peculiaridades de dichos ejemplos.

El escenario de red, según se plantea por las necesidades del cliente, debe cumplir con una serie de funcionalidades que se describen a continuación:

  • Servicios de encaminamiento, filtrado de paquetes y NAT, que serán proporcionados por el encaminador.
  • Servicio DHCP para configuración automática de las máquinas de la red corporativa.
  • Servicio de DNS para un dominio propiedad de la empresa, con un servidor primario y al  menos un secundario externo a la red corporativa.
  • Servicio de cache de DNS para las máquinas de la red corporativa.
  • Acceso mediante SSH a algunos de los servidores FreeBSD de la empresa, tanto desde dentro como desde fuera de la red corporativa, con autenticación a base de contraseña o de clave pública.
  • Un servidor de ficheros accesible mediante NFS y CIFS para compartir información entre los puestos de trabajo corporativos.
  • Un servicio de información de red (NIS) para compartir cuentas de usuario entre los puestos de trabajo corporativos. Deberá contar con un servidor maestro y al menos un servidor esclavo. Las cuentas de usuario de NIS almacenarán sus directorios personales en el servidor NFS corporativo.
  • Un servicio de FTP anónimo para que cualquier persona externa a la empresa pueda descargarse ficheros públicos.
  • Un servicio de correo electrónico para el dominio de la empresa, accesible tanto dentro como fuera de la red corporativa, con servidor Postfix y buzones POP/IMAP.
  • Un servidor web Apache accesible tanto dentro como fuera de la red corporativa, con al menos 2 sitios virtuales diferentes.
  • Un dominio de Directorio Activo bajo Microsoft Windows SErver 2003 con ciertas características que se comentarán posteriormente.

Según todas estas especificaciones del cliente, se muestra el escenario de red que se montará para su realización. Como este es el primer post y su fin es puramente introductorio, no se asociará ninguna funcionalidad a una máquina en particular exceptuando las de la máquina que actuará como encaminador entre la red local y el exterior (una red de laboratorio ya configurada).


Esquema.JPG

1. DHCP

| 57 Comments
Empezaremos por configurar el más básico de los servicios para que la red pueda funcionar: el servidor DHCP, que proveerá de direcciones IP al resto de máquinas de la LAN.

Como se mostró en el post anterior, será la máquina encaminadora la encargada de albergar este servicio. Dicha máquina tiene la peculiaridad de ser la única que necesita 2 interfaces de red para conectarse por un lado a la red local, y por el otro lado dar salida a Internet (una red de laboratorio en realidad). La tarjeta de red que se conecta con la red de laboratorio se configura automáticamente, al igual que haría el proveedor de la empresa con la que se tenga contratado el servicio de internet.

El primer problema que se nos plantea es el más lógico: ¿cómo obtendrá una dirección IP el servidor de direcciones IP? La respuesta es evidente: se deberá hacer manualmente con el comando ifconfig. Para conocer el nombre de la interfaz a configurar, se utilizará el mismo comando sin parámetros. Otra opción es modificar manualmente el fichero /etc/rc.conf

Para crear un servidor DHCP en una máquina FreeBSD es necesario instalar el paquete isc-dhcp3-server. Este paquete no aparece precompilado en la página www.FreeBSD.org, asi que tendrán que instalarse los ports y compilar el paquete que deseamos usar. La forma en que se realizan estas acciones no se explicará en este blog.

El siguiente paso es crear el fichero de configuración del demonio /usr/local/sbin/dhcpd. Este fichero de configuración se encuentra en /usr/local/etc/dhcpd.conf.

Con la instalación del paquete se ha generado un fichero de configuración a modo de ejemplo, en la misma carpeta que en la que tiene que ir el original, y con nombre dhcpd.conf.sample. En este ficheo se comentan opciones más que suficientes para implementar el nuestro.
Otros ejemplos de configuración de este fichero se encuentran en los siguientes enlaces:
http://www.freebsd.org/doc/es_ES.ISO8859-1/books/handbook/network-dhcp.html
http://www.linuxparatodos.net/portal/staticpages/index.php?page=como-dhcp-lan

En rasgos generales, nuestro fichero configuración deberá especificar que la dirección de red a configurar es del tipo 192.168.1.1/24; también se escribirá el nombre del dominio, adquirido previo pago de su importe; y otra serie de información opcional que puede dar información del servidor DNS (cuando exista), servidor NIS, dirección de broadcast, rango de valores IP que se asignarán de forma dinámica, etc.

Con sólo esta funcionalidad en la red, su esquema será el siguiente:
Esquema DHCP.jpg

2. NAT

| 12 Comments
El servicio de NAT (Network Address Translation) debe estar obligatoriamente en la máquina Encaminadora. Para entender el porqué, se explicará brevemente en que consiste esta Traducción de Direcciones de Red.

Debido a la gran cantidad de máquinas con acceso a internet que existen en la actualidad, el rango de direcciones IPv4 es insuficiente para poder asignar una de estas direcciones a cada máquina. Para poder dar conectividad a todas esas máquinas, se han agrupado en redes locales que tienen acceso a internet a través de una única máquina que proporciona servicio NAT. Ese servidor asigna su dirección IP y un número de puerto a cada una de las máquinas de la red local, de tal forma que cuando un ordenador con una dirección privada quiere enviar información por internet, lo hace usando la única dirección pública que conoce y el número de puerto asignado.

Para configurar un servidor NAT en una máquina con sistema operativo FreeBSD tan sólo hay que añadir ciertas líneas al fichero /etc/rc.conf. Una de esas líneas permite la redirección de puertos hacia máquinas internas.

Una de esas líneas de redirección permitirán que desde el exterior se pueda acceder al servidor DNS primario de la red interna, redireccionando el puerto udp 53.

Aprovechando que por esta máquina servidora transitará todo el tráfico exterior, se utilizará también como cortafuegos.

Las instrucciones para realizar estas acciones se encuentran en:
http://www.freebsd.org/doc/en/books/handbook/network-natd.html


El servicio SSH viene configurado por defecto sin necesidad de hacer ninguna modificación.


El esquema de la red hasta este momento quedará de la siguiente forma:

esquema NAT.jpg

3. DNS

| 38 Comments
DNS es el servicio que traduce nombres en direcciones IP.

Por las especificaciones de la red de empresa, se necesita un servidor principal, un servidor secundario en otra red y un servidor caché. Además se actuará como servidor DNS secundario de otra red.

El servidor DNS primario se configurará en una máquina distinta a la Encaminadora. No es bueno cargar de funciones a un sólo ordenador, porque en caso de fallo, se perderían todas las funcionalidades de la red.

Por parte del cliente, se debe configurar el fichero /etc/resolv.conf para que busque el servidor DNS en la dirección IP de la máquina donde se vaya a instalar el DNS caché, esto se hace fácil y automáticamente con un pequeño agregado en la configuración del servidor DHCP.

Es importante remarcar que cualquier máquina cliente realizará consultas únicamente a los servidores caché DNS que haya en la red, y serán estos los encargados de proporcionar la traducción en función de la información que tenga en memoria, o llamando al servidor DNS raiz.

Por parte del servidor, se debe activar el demonio del servidor de nombres en el fichero de configuración /etc/rc.conf. La aplicación utilizada para crear el servidor DNS viene preinstalada con el sistema operativo, así que sólo hay que modificar los ficheros de configuración que encontramos en /etc/namedb. Llegados a este punto, hay que hacer diferencias entre los tipos de servidores DNS que podemos tener.

Primario:
Es el primer servidor DNS al cual el servidor DNS caché realizará la consulta a la hora de resolver una dirección de la red local. Su archivo de configuración named.conf debe indicar las direcciones IP de los servidores secundarios, la dirección IP de escucha y los ficheros de traducción y de traducción inversa de las máquinas del dominio. Estos ficheros a su vez contienen información sobre algunos parámetros del dominio y, especialmente, la relación entre los nombres de máquina y su traducción a direcciones IP.
En nuestro caso, este servidor sólo traducirá los nombres de máquinas locales, así que el fichero named.root se puede obviar.
También cabe añadir que debido al servicio NAT del encaminador, las direcciones IP privadas sólo serán visibles para las máquinas de la red. Mediante el uso de "vistas" se configura el servidor para que desde el exterior sólo se reciba la dirección IP pública del encaminador.

Secundario:
Cuando el servidor primario se encuentra inactivo, y siempre y cuando la configuración lo permita, el servidor secundario se encargará de realizar la conversión de nombres a direcciones IP. Este servicio debe encontrarse forzosamente en otra máquina, en esta situación, en otra red.
El servidor secundario informará a ordenadores externos sobre las direcciones de nuestra red interna, pero recordamos que desde el exterior sólo se identifican las máquinas a través de las IPs públicas disponibles. Por este motivo, el servidor primario de nuestra red debe actualizar la información del servidor secundario con el archivo usado para la vista externa.


Caché:
Será el que almacene la traducción de cualquier dirección IP que se haya solicitado desde una máquina de la red, tanto direcciones privadas como públicas. Para lograr este objetivo, se deben configurar las direcciones IP a las cuales se les permitirá utilizar este servicio caché (nuestras direcciones privadas); y se modificará el fichero named.root que viene por defecto para indicar que nuestro servidor DNS raiz estará en arsenico.ars.local.

Forwarder:
El proposito de un servidor DNS forwarder es solicitar la petición de traducción a otro servidor DNS. No se ha juzgado necesario la implantación de un servidor de este tipo en nuestro caso particular.


Cabe destacar la peculiaridad de que el servicio caché y el DNS principal se alojarán en la misma máquina por facilitar la configuración. Esto será así porque el DNS caché debe realizar sus preguntas siempre al servidor raiz, y éste se encargará de buscar el DNS de menor nivel que guarde la información de las máquinas de la red local. El servidor caché no puede preguntar directamente a nuestro DNS primario porque cualquier mensaje DNS se dirige hacia el encaminador, y éste tendría que discriminar los mensajes dirigidos a uno u otro servidor DNS primario.


El esquema de configuración actual se refleja de la siguiente forma:

DNS.JPG



About this Archive

This page is an archive of entries from March 2009 listed from newest to oldest.

April 2009 is the next archive.

Find recent content on the main index or look in the archives to find all content.

Categories

Pages

Powered by Movable Type 4.23-en