Me decidí por motivos varios a adquirir un módem+router y un punto de acceso inalámbrico (aunque esto último no tiene en principio relación con el Servidor Exterior)
Bueno, aquí he tenido problemas al no tener yo claro en un principio todo esto. Y al no aclararlo los fabricantes, claro.
Para conectarnos a Internet mediante ADSL necesitamos siempre un módem, y lo que muchos proveedores de acceso nos regalan al decirnos "router" es un módem+router, incluso un módem+router+punto de acceso inalámbrico.
Pero cuando vamos a comprarnos un router, nos encontramos ahora con lo que ahora se llama un "router neutro": éste no tiene un módem interno y, por tanto, entre la línea telefónica y el router debe colocarse un módem. Las posibilidades son varias; aquí tenemos dos:
En ésta segunda el PC que está entre el módem y el router comparte la conexión a Internet. Bueno, aquí tendríamos la posibilidad de usar el propio pc que comparte la conexión como router.
Pero cuanto más simple, mejor. Cuantos más complejidad, más problemas y más dificultad en encontrar dónde está ese problema. ¿Te imaginas que hay algo que falla en la conexión? ¿Dónde está el fallo? ¿En el módem, en el Servidor, en el Cortafuegos, en el pc enrutador?
Teminamos: un módem+router al que van conectados los dos Servidores: el interno y el externo.
El Servicio Técnico de Telefónica no fue ni Servicio ni Técnico. Unos a otros fueron pasándose las pelotas hasta que consiguieron el efecto deseado: que yo me cansara de perder tiempo y me buscara las habichuelas. Yo pedía los datos de conexión para configurar el router, pero no pasaban de darme la ip pública.
Tuve que ir una vez más a adslayuda o adslzone para encontrar los datos. Aquí nos juntamos muchos usuarios que nos echamos una mano, siguiendo el espíritu de colaboración que caracteriza al software libre. No puedo dejar de agradecer a todos aquellos que contestan en los foros y cuentan cómo lo han conseguido la ayuda prestada. Aquí recabé todos los datos que yo necesitaba:
Hoy en día casi todos los routers pueden configurarse a través de interfaz web. Así lo primero configurar el pc para que esté en la misma red privada que el router. Por ejemplo, si el fabricante te dice que el router tiene como dirección 192.168.1.1, tu debes configurar la red en tu pc de modo asignándole ip=192.168.1.x (x distinto de cero, uno y 255) y máscara de red 255.255.255.0 con puerta de enlace 192.168.1.1 (el router). Después, si nos conviene, cambiamos la ip del router en la red y volvemos ahora a reconfigurar el pc adecuadamente.
Por supuesto, deshabilitamos DHCP: no queremos que los servidores tengan una ip asignada dinámicamente por el router. Queremos una red donde cada puesto tenga su ip asignada por el administrador.
Ahora vamos a la configuración y ahí colocamos los datos que conseguimos antes. En posteriores revisiones podría entrar más en detalle. Lo que sí es muy importante es tomar estas precauciones: cambiar el nombre de usuario y la clave de acceso al router.
Si además es un punto de acceso inalámbrico pues habilitar el filtrado por mac, cambiar la identidad de la red inalámbrica (ssid) y deshabilitar su emisión en abierto y proceder a la encriptación de datos: como mínimo wep de 128 bits y si se puede wpa. En este caso la seguridad se potencia si los datos no viajan por la red inalámbrica en claro, por ejemplo, cifrando todas las conexiones a través de ssh. Puedes buscar información sobre cómo configurar una VPN usando un router inalámbrico, yo no he llegado a esto.
Bien, tenemos en mente la minired: router (192.168.0.1) + Servidor Interno (192.168.0.2) + Servidor Externo (192.168.0.3).
Cuando conectemos nuestro Servidor Externo al exterior estará escondido detrás del router. Éste tiene un firewall que lo protegerá. Ha llegado la hora de abrir puertos en el router. Podemos hacerlo de dos formas: exponiéndolo directamente a Internet o abriendo sólo determinados puertos. La primera opción es lo que se denomina colocar el host en una DMZ o zona desprotegida (también llamada desmilitarizada o expuesta). Se recurre a ella cuando hay problemas con la conexión causados por el cortafuegos interno del router. Ésta no es la opción elegida.
Nosotros vamos a abrir sólo algunos puertos: servidor web (http=80), servidor web seguro (https=443), servidor de correo (smtp=25) y servidor para acceso a una shell segura (ssh=22). Véase la tabla siguiente:
| ip privada | protocolo | puerto público | puerto privado |
|---|---|---|---|
| 192.168.0.3 | tcp | 80 | 80 |
| 192.168.0.3 | tcp | 443 | 443 |
| 192.168.0.3 | tcp | 25 | 25 |
| 192.168.0.3 | tcp | 22 | 22 |
Expliquemos el primer caso: tú abres tu navegador y escribes en él www.iesdelgadohernandez.es. Los servidores DNS traducen eso a la ip pública: 80.33.124.154. Esa petición llega hacia el puerto http=80 del router, que la dirigirá ahora hacia el puerto 80 del host que tiene en la red la ip 192.168.0.3.
Obsérvese que puede colocarse el servidor web en el 192.168.0.3 y el servidor de correo en el 192.168.0.2. Y, además, no tienen por qué coincidir siempre el puerto público y el privado. Puedo elegir que mi servidor web esté a la escucha en el puerto 8080. Así el puerto público es el 80 y el privado el 8080. O no elegir el puerto público 22 y colocar ahí otro para esconderlo de indeseables, indicando el administrador a los potenciales clientes cómo tienen que configurar sus clientes ssh, para que no dirijan sus peticiones al puerto 22.
Vaya, me he extendido más de lo que pensaba.