Router WiFi basado en Linux 1

A continuación tenemos que garantizar la seguridad de la pasarela que se¬para nuestro punto de acceso o puente o VLAN con conexión inalámbrica del la zona de cable. Como ya hemos mencionado, este tipo de pasarelas no son ni más ni menos que un cortafuego flexible intermedio o completo que trata la interfaz conectada a la WLAN como una interfaz que conecta la red LAN a una red pública insegura. El único requisito específico para la pasarela es disponer de la capacidad de redirigir tráfico VPN si en la WLAN se han implementado redes VPN. Como alternativa, la pasarela puede ser un concentrador VPN si se desea ahorrar en coste en la seguridad de red (lo que no suele ser una buena idea). Si la VPN se basa en la red de transporte (por ejemplo, cIPe), la redirección de tráfico es muy simple: se abren los puertos utilizados por el protocolo VPN y ya está. La redirección de tráfico IPSec es algo más complicada. Tendrá que permitir el uso de los puertos 50 ó 51 así abrir también el puerto UDP 500 para permitir los intercambios IKE. A conti¬nuación mostramos un ejemplo procedente del guión Netfilter de Linux que permite que pase el tráfico IPSec:

iptables -A INPUT -i $EXT -p 50 -j ACCEPT iptables  -A INPUT  -i  $EXT  -p 51   -j  ACCEPT
iptables  -A INPUT -i  $EXT  -p udp  --sport  500  --dport  500  -j  ACCEPT 

Es una buena idea establecer entradas estáticas en la tabla ARP para todos los puntos de acceso y servidores críticos conectados a la pasarela. Añada las siguientes líneas a su archivo /etc/re . local si es posible:

arp -s <IP del AP1> <MAC del AP1> arp -s <IP del AP2> <MAC del AP2>
arp -s <IP del concentrador VPN> <MAC del concentrador VPN>
arp -s <IP del servidor RADIUS> <MAC del servidor RADIUS>
arp -s <IP de la pasarela a Internet> <MAC de la pasarela a Internet>
 

También puede utilizar la pasarela como servidor DHCP. Modifique el   * archivo /etc/dhcpcd. conf para que contenga unas líneas similares a las siguientes:

#    dhcpd.conf #
#    Configuration file for ISC dhcpd  (see  'man dhcpd.conf') #
deny unknown-elients; one-lease-per-client true; authoritative; default-lease-time 604800; max-lease-time 604800;
option subnet-mask 255.255.255.192; option domain-name "dominio.nombre";
subnet 192.168.1.0 netmask 255.255.255.192   { option broadcast-address 192.168.1.63; option routers 192.168.1.2;
option domain-name-servers 192.168.1.2,   192.168.1.3;
option smtp-server 192.168.1.2;
option pop-server 192.168.1.2;
option netbios-name-servers 192.168.1.3;
#Portátiles del departamento de ventas
host sapol  { hardware ethernet <MAC>;    fixed-address 192.168.1.1;
option host-name " sapol";   }
host sapo2  { hardware ethernet <MAC>;    fixed-address 192.168.1.2;
option host-name " sapo2";   }
host sapo3  { hardware ethernet <MAC>;    fixed-address 192.168.1.3;
option host-name  "  sapo3";   }
host sapo4  { hardware ethernet <MAC>;    fixed-address 192.168.1.10;
option host-name  "sapo4";   }
#Portátiles del departamento de cuentas host gebrill  { hardware ethernet <MAC>;  fixed-address 192.168.1.11;  option host-name  "gebrill";   } host gebril2  { hardware ethernet <MAC>;  fixed-address 192.168.1.12;  option host-name  "gebril2";   }
#Portátiles del departamento de acciones host tsetsel  { hardware ethernet <MAC>;  fixed-address 192.168.1.15;  option host-name  "tsetsel";   } host tsetse2  { hardware ethernet <MAC>;  fixed-address 192.168.1.16;  option host-name  "tsetse2";   } host tsetse3  { hardware ethernet <MAC>;  fixed-address 192.168.1.17;  option host-name  "tsetse3";   }