Hoy en día con la irrupción de embeddeds como la raspberry pi es muy útil usarlas para el control y gestión del tráfico, aparte de otras funciones como seguridad, domótica, etc..
Cuando la compañía telefónica nos instala un router, éste se encargará de controlar el firewall y gestionar todos los accesos a nuestra red. El problema es que el router equivale a una caja negra que desconocemos y el control del tráfico es demasiado importante como para darselo a algo que no podemos controlar y en el que no confiamos.
La técnica oficial para adquirir el control del tráfico, pero que solo se permite en algunos routers avanzados, es poner a éstos en modo bridge y instalar en el servidor el protocolo pppoe para que hable directamente con los gateways de la compañia telefónica. Esta opción aparte de no ser universal, es compleja ya que tendremos que instalar y configurar todo el software para el procesado del trafico ppp en el servidor.
La opción que os propongo es una alternativa no oficial, pero funciona en todos los routers que han pasado por mis manos durante muchos años, y es muy sencilla de realizar.
Se trata de robar la ip publica al router, y sustituirla por una ip publica falsa compatible. De esta manera contaremos con la ventaja de que todo el trabajo de realizar la comunicación pppoe la seguirá haciendo el router y nos irá pasando todas las tramas ethernet ya decodificadas,con lo que ahorramos ciclos de cpu y no tendremos que instalar ningun software en el servidor.
Ventajas
Tener una configuración como la que propongo tiene multiples ventajas:- Control total del trafico de entrada y salida a internet. Podremos ver todos los ataques y trafico no standard que venga por nuestra linea, y lo podremos filtrar de una manera global.
Por ejemplo podremos ejecutar en el servidor el script de procrastinación que publiqué hace un tiempo, y el programa afectará a todos los dispositivos de la red sin necesidad de ningún paso adicional. - Podremos implementar en el servidor políticas QoS en la red para dar prioridad a los dispositivos que elijamos.
- No hara falta tocar nunca más las tablas napt del router, todo el control se hará con el servidor.No importarán los filtros ni troyanos ni servicios que suelen venir instalados en el router. Por ejemplo se podrá poner un servidor web en el servidor sin importar que el router tenga su propia web, y la web del servidor será la visible en internet.
- El router será completamente inaccesible desde internet, ya que su ip ni siquiera existirá realmente en internet. Ningun hacker podrá acceder a él, ni siquiera la compañía telefonica, al menos con trafico ip.
Instrucciones (Ejemplo IP Pública: 213.97.57.33 Red local:192.168.0.0)
En el router:
En el menu WAN deshabilitaremos el NAPT ya que éste lo realizará el servidor.En este menu tambien deshabilitaremos la ip local y la ip remota y las dejaremos en blanco ya que el router solo tiene que pasar los paquetes sin procesarlos y como ip usará la del servidor.
En algunos routers no dejan poner una ip en blanco, y si funciona poner ip=0.0.0.0 o 1.1.1.1
El siguiente paso es ir al menu de LAN,
aquí meteremos 2 ip’s ya que internamente los routers establecen un bridge y en nuestro caso queremos añadir dos redes, la publica y la local.
Para ello pondremos una primera ip que es 213.97.57.34 que es para la red publica, y otra ip para la comunicación con la LAN que puede ser la 192.168.0.2.
El router ya lo tenemos listo
En el servidor:
Ponemos dos ip’s, la primera es la ip publica robada del router, en nuestro caso 213.97.57.33 con netmask 255.255.255.248 y gateway 213.97.57.34 (la falsa del router), y despues una segunda ip 192.168.0.1 netmask 255.255.255.0 que hará de gateway de toda la intranet.En todos los dispositivos de la intranet:
Ip automatica o fija y gateway=192.168.0.1 que será el servidor.Eso es todo, a partir de ahora absolutamente todo el trafico que viene de la operadora pasará por vuestro gadget.