  Bridge+Cortafuegos Mini-COMO
  Peter Breuer, ptb@it.uc3m.es
  v1.2, 19 Diciembre 1997

  Configuracin de un sistema en el que coexista un cortafuegos con
  bridging de interfaces de red
  ______________________________________________________________________

  ndice General:

  1.      Introduccin

  2.      Qu y por qu (y cmo)?

  2.1.    Qu

  2.2.    Por qu

  2.3.    Cmo?

  3.      Bridging

  3.1.    Software

  3.2.    Lecturas previas.

  3.3.    Configuracin del arranque

  3.4.    Configuracin del kernel

  3.5.    Direcciones de red

  3.6.    Rutado de red

  3.7.    Configuracin de la tarjeta

  3.8.    Rutado adicional

  3.9.    Configuracin del puente

  3.10.   Probarlo

  3.11.   Comprobaciones

  4.      Cortafuegos

  4.1.    Software y lecturas

  4.2.    Comprobaciones preliminares

  4.3.    Reglas por defecto

  4.4.    Huecos por direccin

  4.5.    Huecos por protocolo

  4.6.    Comprobaciones

  5.      Anexo: El INSFLUG
  ______________________________________________________________________

  1.  Introduccin

  Debera consultar el documento Bridging mini-HOWTO,
  ftp://sunsite.unc.edu/pub/Linux/docs/HOWTO/mini/Bridge por Chris Cole
  para obtener otra perspectiva de este TEMA. Su direccin es
  chris@polymer.uakron.edu.  La versin de su COMO en la que he basado
  este documento es la 1.03, con fecha del 23 de Agosto de 1996.

  2.  Qu y por qu (y cmo)?

  2.1.  Qu

  Un puente es un cable inteligente que conecta dos tarjetas de red. Un
  cortafuegos es un aislante inteligente.

  2.2.  Por qu

  Puede querer un puente cuando tenga varios ordenadores:

  1.  para ahorrar el precio de un nuevo concentrador si resulta tener
     una tarjeta ethernet de sobra.

  2.  para ahorrarse la molestia de aprender sobre reenvo IP y otros
     trucos similares cuando ya tiene dos tarjetas en su ordenador.

  3.  Para evitar el trabajo de mantenimiento cuando las cosas cambien
     en el futuro.

  Varios ordenadores pueden ser tan pocos como tres si estn rutando o
  puenteando o simplemente movindose por la habitacin con frecuencia.
  Tambin puede querer un puente slo por la diversin de averiguar qu
  es lo que hace.  De hecho esto (``2'') es para lo que yo lo quera.

  Si realmente est interesado en el punto ``1'', debe ser uno de los
  pocos.  Lea los documentos Redes-En-Linux-Como,
  http://www.insflug.org/documentos/Redes-En-Linux-Como/ y Serie-Como
  http://www.insflug.org/documentos/Serie-Como/ en busca de trucos
  mejores.

  Querr un cortafuegos si

  1. trata de proteger su red de accesos externos, o

  2. quiere denegar el acceso al mundo exterior desde su red.

  Curiosamente yo necesitaba el punto ``2'' tambin aqu.  La poltica
  de mi universidad es que no debemos actuar como proveedores de
  servicios internet a los pregraduados.

  2.3.  Cmo?

  Comenc haciendo puente entre las tarjetas de red de un cortafuegos, y
  acab haciendo un cortafuegos sin quitar el puente. Parece funcionar y
  es ms flexible que cualquiera de las configuraciones por s solas.
  Puedo tirar el firewall y seguir haciendo puente o tirar el puente
  cuando quiero ser ms prudente.

  Supongo que el cdigo del puente est justo encima del cdigo de la
  capa fsica y que el cdigo del cortafuegos est una capa ms arriba,
  as que el puente y el cortafuegos actan como si estuvieran
  ejecutando juntos, secuencialmente y no en paralelo (vaya!).
  diagrama:

       -> Entrada-puente -> Entrada-cortafuegos -> Kernel -> Salida-cortafuegos -> Salida-puente ->

  No hay otra manera de explicar cmo una mquina puede ser conductor
  y aislante a la vez. Hay varias advertencias sobre esto, pero las
  detallar mas tarde. Bsicamente deber rutar los paquetes que quiera
  sean considerados por el firewall. De cualquier manera, parece
  funcionar bien de manera conjunta.  Esto es lo que har...

  3.  Bridging

  3.1.  Software

  Obtenga la utilidad de configuracin de puentes
  ftp://shadow.cabi.net/pub/Linux/BRCFG.tgz de las pginas personales de
  Alan Cox. Esta es la misma referencia que encuentra en el documento de
  Chris. No me haba dado cuenta de que era una URL de un ftp y no de
  http ...

  3.2.  Lecturas previas.

  Lea el Multiple Ethernet HOWTO,
  ftp://sunsite.unc.edu/pub/Linux/docs/HOWTO/mini/Multiple-Ethernet si
  quiere asesoramiento sobre cmo configurar ms de una tarjeta de red
  en su mquina.

  En el BootPrompt HOWTO
  ftp://sunsite.unc.edu/pub/Linux/docs/HOWTO/BootPrompt-HOWTO podr
  encontrar an ms detalles de la magia involucrada en el proceso de
  arranque.

  Puede escapar de la lectura del Redes-En-Linux-Como
  http://www.insflug.org/documentos/Redes-En-Linux-Como/. Es una lectura
  bien larga, y tendr que seleccionar de ella los detalles que
  necesite.

  3.3.  Configuracin del arranque

  El material de lectura anterior le ensear lo que necesita para
  preparar el kernel para reconocer un segundo dispositivo ethernet en
  el arranque, por ejemplo aadiendo los siguiente a /etc/lilo.conf, y
  volviendo a ejecutar lilo:

       append = "ether=0,0,eth1"

  Observe el 'eth1'. 'eth0' es la primera tarjeta.  que quiera a la
  lnea que lilo le ofrece. Esto es para tres tarjetas:

       linux ether=0,0,eth1 ether=0,0,eth2

  Yo uso loadlin para arrancar mi kernel desde DOS:

       loadlin.exe c:\vmlinuz root=/dev/hda3 ro ether=0,0,eth1 ether=0,0,eth2

  Fjese que este truco obliga al kernel a sondear direcciones en el
  arranque.  Esto no ocurrir si carga los controladores ethernet como
  mdulos (por seguridad, ya que la orden de sondeo no puede ser
  determinada) as que si usa mdulos tendr que aadir los parmetros
  de IRQ y puerto apropiados para el controlador especficamente en su
  fichero /etc/conf.modules. Yo por lo menos tengo

       alias eth0 3c509
       alias eth1 de620
       options 3c509 irq=5 io=0x210
       options de620 irq=7 bnc=1

  Puede averiguar est usando mdulos mediante ps -aux para ver si se
  est ejecutando kerneld y comprobando si hay archivos .o en algn
  subdirectorio del directorio /lib/modules. Necesita el que el
  directorio se llame como le diga uname -r. Si tiene kerneld y/o tiene
  algn archivo como loquesea.o, edite /etc/conf.modules y lea
  cuidadosamente la pgina del manual de depmod.

  Tenga en cuenta tambin que hasta hace poco (kernel 2.0.25) el
  controlador 3c509 no poda ser usado para ms de una tarjeta si era
  usado como mdulo. He visto un parche por ah que soluciona esto.
  Puede que est integrado en el kernel cuando lea este documento.

  3.4.  Configuracin del kernel

  Recompile el kernel con bridging activado.

       CONFIG_BRIDGE=y

  Yo compil con el cortafuegos, reenvo IP, enmascaramiento y lo dems
  activado.  Esto es slo si quiere cortafuegos...

       CONFIG_FIREWALL=y
       CONFIG_NET_ALIAS=y
       CONFIG_INET=y
       CONFIG_IP_FORWARD=y
       CONFIG_IP_MULTICAST=y
       CONFIG_IP_FIREWALL=y
       CONFIG_IP_FIREWALL_VERBOSE=y
       CONFIG_IP_MASQUERADE=y

  En realidad no necesita todo esto. Lo que s necesita, adems de esto,
  es la configuacin normal de la red:

       CONFIG_NET=y

  y no creo que necesite preocuparse de ninguna de las dems opciones de
  red.  Yo tengo opciones sin compilar dentro del kernel disponibles
  como mdulos que puedo aadir ms tarde.

  Instale el nuevo kernel, vuelva a ejecutar lilo y rearranque con el
  kernel nuevo. No debera haber cambios hasta ahora!

  3.5.  Direcciones de red

  Chris dice que un puente no debera tener direccin IP, pero esta no
  es la configuracin que describo aqu.

  Seguro que querr la mquina para conectarse a la red, as que va a
  necesitar una direccin y necesita asegurarse de que tiene el
  dispositivo de loopback activado de la manera normal, de tal forma que
  sus programas puedan hablar con los lugares que se supone deberan
  poder hablar. Si la direccin loopback no est activada,  el servicio
  de resolucin de nombres, y otros podran no funcionar adecuadamente.
  Vea el Redes-En-Linux-Como (http://www.insflug.org/documentos/Redes-
  En-Linux-Como/), aunque la configuracin estndard debera haber hecho
  esto:

       ifconfig lo 127.0.0.1
       route add -net 127.0.0.0

  Va a necesitar dar direcciones a sus tarjetas de red. He modificado el
  archivo /etc/rc.d/rc.inet1 de mi slackware (3.x) para configurar dos
  tarjetas y usted debera buscar en su archivo de configuracin la
  manera de doblar o triplicar el nmero de instrucciones. Suponga que
  usted tiene direcciones en

       192.168.2.100

  (esto es en el espacio de direcciones reservado para redes privadas,
  pero no se preocupe, no va a hacerle dao a nadie si usa esta
  direccin por error) as que probablemente ya tenga una lnea como

       ifconfig eth0 192.168.2.100 netmask 255.255.255.0 metric 1

  en su configuracin. Lo primero que probablemente quiera hacer es
  limitar el espacio de direcciones que alcance esta tarjeta a la mitad,
  de tal forma que pueda en algn momento puentear o hacer cortafuegos
  con las dos mitades. Aada pues una lnea que reduzca la mscara para
  direccionar un nmero menor de mquinas:

       ifconfig eth0 netmask 255.255.255.128

  Intente esto tambin. Limita a la tarjeta a, como mucho, las
  direcciones entre

  Ahora puede configurar su segunda tarjeta en la otra mitad del espacio
  de direcciones local. Asegrese que nadie est usando ya las
  direcciones. Por simetria, yo lo pongo en 228=128+100. Cualquier
  direccin funcionar tan pronto como no est en la mscara de la otra
  tarjeta. Bueno, seguramente.  Evite direcciones especiales como .0,
  .1, .128 etc.  a no ser que de verdad sepa qu hace.

       ifconfig eth1 192.168.2.228 netmask 255.255.255.128 metric 1

  Esto evita que la segunda tarjeta direccione entre .128 and .255.

  3.6.  Rutado de red

  Aqu es donde tengo que anunciar las salvedades en el esquema de
  puenteado y cortafuegos: no puede hacer cortafuegos con paquetes que
  no se ruten. No hay rutas, no hay cortafuegos. Al menos esto es verdad
  en el kernel 2.0.30 y en kernel ms recientes. Los filtros para el
  cortafuegos estn estrechamente relacionados con el cdigo de reenvo
  IP.

  Esto no significa que no pueda hacer puentes. Puede hacer un puente
  entre dos tarjetas y hacer cortafuegos con ellas desde una tercera.
  Puede tener dos tarjetas y hacer un cortafuegos con ellas contra una
  direccin IP externa como un router cercano, siempre y cuando el
  router sea rutado por usted hasta una de las tarjetas.

  En otras palabras, ya que voy a hacer un cortafuegos quiero controlar
  con precisin el destino fsico de algunos paquetes.

  Tengo la pequea red de mquinas conectadas a un concentrador  que
  cuelga de eth0, por lo que configuro ah una red:

       route add -net 192.168.2.128 netmask 255.255.255.128 dev eth0

  El .128 sera .0 si tuviera una clase C completa all. No la tengo,
  por definicin, ya que he partido a la mitad el espacio de
  direcciones.  El dev eth0 es innecesario porque las direcciones de las
  tarjetas caen en la mscara, pero podra ser necesario en su caso. Uno
  puede necesitar ms de una tarjeta en esta subred (127 mquinas en un
  segmento) pero estas tarjetas seran puenteadas bajo la misma mscara
  de red, de tal forma que aparecen como una ante el cdigo de rutado.

  En la otra tarjeta tengo un cable directo a un router grande en el que
  confo.

  <#if output="latex2e">

                                                         cliente 129
                 __                                         |    __
       cliente 1   \       .0              .128             |   /   red 1
       cliente 2 --- Hub - eth0 - Kernel - eth1 - Hub - Router ---  red 2
       cliente 3 __/       .100            .228          .2 |   \__ red 3
                                                            |
                                                         cliente 254

  Yo pongo la direccin del router a la tarjeta como una ruta fija
  (esttica) porque si no caera entre la mscara de las primeras
  tarjetas y el kernel se confundira al mandar paquetes al router
  grande. Voy a hacer cortafuegos con estos paquetes, y esta es otra
  razn por la que rutarlos especficamente.

       route add 192.168.2.2 dev eth1

  No los necesito, ya que no tengo ms mquinas en esa mitad del espacio
  de direcciones, pero declaro una red tambin en la segunda tarjeta.
  Separar mis interfaces en dos grupos mediante el rutado me permitir
  hacer unas reglas de cortafuegos muy estrictas si lo necesito, pero
  puede escapar con mucho menos rutado especfico que el aqu expuesto.

       route add -net 192.168.2.128 netmask 255.255.255.128 dev eth1

  Necesito tambin enviar todos los paquetes no locales al mundo, as
  que  le dir al kernel que se los mande al router grande.

       route add default gw 192.168.2.2

  3.7.  Configuracin de la tarjeta

  La mayora de lo que ha visto es configuracin estndard de la red,
  pero estamos puenteando, as que tambin tenemos que escuchar paquetes
  en ambas tarjetas que no se dirijan a nosotros. Lo que sigue debe ir
  al fichero de configuracin de red.

       ifconfig promisc eth0
       ifconfig promisc eth1

  La pgina del manual dice que allmulti equivale a promisc, pero a mi
  no me funcion.

  3.8.  Rutado adicional

  Una cosa de la que me di cuenta era que tuve que poner al menos la
  segunda tarjeta en un modo en el que respondiera a las preguntas del
  router grande sobre qu mquinas esconda en mi red local..

       ifconfig arp eth1

  Por si acaso, le hice lo mismo a la otra tarjeta.

       ifconfig arp eth0

  3.9.  Configuracin del puente

  Active el puenteo, tambin en su archivo de configuracin de la red:

       brcfg -enable

  Debe haber probado esto extensivamente en pruebas reales, por
  supuesto.  El configurador del puente mostrar algunos nmeros. Puede
  experimentar con conectando y desconectando los puertos uno cada vez.

       brcfg -port 0 -disable/-enable
       brcfg -port 1 -disable/-enable

  Para comprobar el estado en cualquier momento, ejecute

       brcfg

  sin parmetros. Ver cmo el puente escucha, aprende y hace el
  reenvo. (No entiendo por qu el cdigo repite las mismas direcciones
  fsicas en mis dos tarjetas, pero no importa, el HOWTO de Chris dice
  que es as)

  3.10.  Probarlo

  Si todo funciona como es debido, pruebe su propio archivo de comandos
  de configuracin tirando abajo ambas tarjetas y luego ejecutndolo:

       ifconfig eth0 down ifconfig eth1 down
       /etc/rc.d/rc.inet1

  Con un poco de suerte los varios subsistemas (NFS, ypbind, etc.) ni se
  enterarn. No intente esto a no ser que est delante del teclado!

  Si quiere ser an ms cuidadoso, mate tantos demonios primero como
  pueda, y desmonte los directorios nfs. Lo peor que puede pasar es que
  tenga que resetear en modo monousuario (pasando el parmetro single a
  lilo o loadlin), y deshacer los cambios antes de rearrancar con las
  cosas como estaban antes de que empezara.

  3.11.  Comprobaciones

  Verifique que hay trfico distinto en cada interfaz:

       tcpdump -i eth0

       tcpdump -i eth1

  Debe acostumbrarse a usar tcpdump para buscar cosas que no deberan
  estar pasando o que no pasan y deberan.

  Por ejemplo, busque los paquetes que pasan por el puente a la segunda
  tarjeta desde la red interna. Aqu busco paquetes de la mquina con
  direccin

       tcpdump -i eth1 -e host 192.168.2.22

  Ahora le mando un ping desde la mquina .22 al router.  Debera ver el
  paquete segn informe de tcpdump.

  En esta fase tiene un puente listo que tambin tiene dos direcciones
  de red.  Compruebe que puede hacer ping desde fuera y dentro de su red
  local, y que puede hacer telnet y ftp entre el exterior y el interior.

  4.  Cortafuegos

  4.1.  Software y lecturas

  Lea el Cortafuegos-Como,
  http://www.insflug.org/documentos/Cortafuegos-Como/

  Esto le dir donde obtener ipfwadm si no lo tiene ya. Hay otras
  herramientas que puede obtener, pero no he hecho avances con ellas
  hasta que no prob ipfwadm. Est muy bien, y es de bajo nivel! Puede
  ver exactamente lo que est pasando.

  4.2.  Comprobaciones preliminares

  Ha compilado soporte de reenvo IP y enmascaramiento en el kernel, as
  que querr comprobar que el cortafuegos est en su estado por defecto
  (aceptando) con

       ipfwadm -I -l
       ipfwadm -O -l
       ipfwadm -F -l

  Esto es respectivamente: mostrar las reglas que afecten entrantes o
  salientes o reenviando (enmascarando) hacia ambos lados del
  cortafuegos. El -l significa listar.

  Si tambin ha compilado soporte de informes (accounting):

       ipfwadm -A -l

  Debera ver que no hay reglas definidas y que por defecto se aceptan
  todos los paquetes. Puede volver a este estado en cualquier momento
  usando

       ipfwadm -I -f
       ipfwadm -O -f
       ipfwadm -F -f

  El -f significa vaciar. Puede que necesite usarlo.

  4.3.  Reglas por defecto

  Quiero evitar a mi red llegar al mundo, y nada ms, por lo que por lo
  menos dar una regla ltima (por defecto) que diga que el cortafuegos
  debera ignorar aquellos paquetes que vengan de la red interna
  dirigidos al exterior. Pongo las reglas (en este orden) en
  /etc/rc.d/rc.firewally lo ejecuto desde /etc/rc.d/rc.local en el
  arranque.

       ipfwadm -I -a reject -S 192.168.2.0/255.255.255.128 -D 0.0.0.0/0.0.0.0

  El -S es la direccin/mscara origen. El -D es la direccin/mscara de
  destino.

  Este formato es demasiado largo. ipfwadm es suficientemente
  inteligente sobre temas de red y entiende algunas abreviaturas. Lea
  las pginas del manual.

  Posiblemente es ms conveniente poner algunas o todas estas reglas en
  la parte saliente del cortafuegos usando -O en vez de -I, pero fijar
  las reglas para la mitad entrante.

  4.4.  Huecos por direccin

  Antes de la regla por defecto, tengo que poner algunas reglas que me
  sirvan como excepciones a esta denegacin de servicios externos
  general a los clientes internos.

  Quiero tratar las direcciones internas de los cortafuegos en especial.
  He de evitar que la gente entre en el firewall a no ser que tengan un
  permiso especial, pero una vez que entren deberan ser capaces de
  hablar con el resto del mundo.

       ipfwadm -I -i accept -S 192.168.2.100/255.255.255.255 -D 0.0.0.0/0.0.0.0

  Tambin quiero que los clientes puedan hablar con el cortafuegos. A
  lo mejor le convencen de que les deje salir!

       ipfwadm -I -i accept -S 192.168.2.0/255.255.255.128 -D 192.168.2.100/255.255.255.255

  Compruebe en este punto de que puede entrar en los clientes desde
  fuera del cortafuegos usando  telnet, pero que no puede salir. Esto
  debera significar que puede hacer el primer contacto, pero los
  clientes no pueden enviarle la lnea de comandos. Debe ser capaz de
  llegar hasta el final si usa la mquina cortafuegos como paso
  intermedio. Intente un rlogin y un ping tambin, con tcpdump
  ejecutndose en una tarjeta o en otra. Debe ser capaz de dar sentido a
  lo que ve.

  4.5.  Huecos por protocolo

  Segu relajando las reglas protocolo por protocolo. Quiero permitir
  los ping desde el exterior al interior para obtener un eco de
  respuesta, por ejemplo, as que insert la regla:

       ipfwadm -I -i accept -P icmp -S 192.168.2.0/255.255.255.128 -D 0.0.0.0/0.0.0.0

  El parmetro -P icmp realiza la magia necesaria a nivel del protocolo.

  Hasta que use un proxy ftp voy a permitir los ftp salientes con
  permisos especficos de puerto. Esto se dirige a los puertos 20 21 y
  115 de las mquinas exteriores.

       ipfwadm -I -i accept -P tcp -S 192.168.2.0/255.255.255.128 \
       -D 0.0.0.0/0.0.0.0 20 21 115

  No puedo hacer que sendmail funcione entre los clientes locales sin un
  servidor de nombres. En vez de instalar un servidor de nombres en el
  cortafuegos, lo levanto para las peticiones de servicio en el dominio
  tcp que se dirijan al servidor de nombres ms cercano, poniendo esta
  direccin en los archivos  /etc/resolv.conf de los
  clientes.(nameserver 123.456.789.31 en una lnea aparte).

       ipfwadm -I -i accept -P tcp -S 192.168.2.0/255.255.255.128 \
        -D 123.456.789.31/255.255.255.255 54

  Puede encontrar el puerto y protocolo usado por un servicio con
  tcpdump. Lance el servicio con un ftp o un telnet o lo que sea a o
  desde la mquina interna y mire lo que ocurre en los puertos de
  entrada y salida del cortafuegos con tcpdump:

       tcpdump -i eth1 -e host client04

  por ejemplo: El archivo /etc/services es otra fuente importante de
  pistas. Para permitir telnet y ftp entrantes al cortafuegos desde el
  exterior, debe permitir a los clientes locales llamadas salientes en
  un puerto especfico. Entiendo por qu es necesario esto para para ftp
  (es el servidor el que establece el flujo de datos al final) pero no
  s por qu telnet tambin lo necesita.
       ipfwadm -I -i accept -P tcp -S 192.168.2.0/255.255.255.128 ftp telnet \
        -D 0.0.0.0/0.0.0.0

  Hay un problema especfico con algunos demonios que buscan el nombre
  del cortafuegos para buscar su direccin de red. Rpc.yppasswdd es uno
  con el que tuve problemas. Insiste en transmitir informacin que diga
  que est fuera del cortafuegos (en la segunda tarjeta). Esto significa
  que los clientes de dentro no pueden contactar con l.

  En vez de empezar a hacer IP aliasing o cambiar el cdigo del demonio,
  he correspondido el nombre a la direccin de la tarjeta interna en los
  clientes, en el archivo /etc/hosts.

  4.6.  Comprobaciones

  Querr comprobar que puede hacer telnet, rlogin  y ping desde el
  exterior. Desde el interior debera poder hacer ping hacia fuera.
  Debera ser capaz tambin de hacer telnet a la mquina cortafuegos
  desde el interior, y la ltima debera ser incapaz de hacer nada.

  Y ya est. En este momento probablemente quiera aprender cosas sobre
  rpc y NIS/NYS (Pginas amarillas) y la interaccin con el archivo de
  contraseas. La red con cortafuegos debe funcionar sin que los
  usuarios normales tengan capacidad de entrar al cortafuegos y,
  consiguientemente, salir al exterior. A lo mejor esto es otro COMO!

  5.  Anexo: El INSFLUG

  El INSFLUG forma parte del grupo internacional Linux Documentation
  Project, encargndose de las traducciones al castellano de los Howtos,
  as como de la produccin de documentos originales en aquellos casos
  en los que no existe anlogo en ingls, centrndose, preferentemente,
  en documentos breves, como los COMOs y PUFs (Preguntas de Uso
  Frecuente, las FAQs. :) ), etc.

  Dirjase a la sede del Insflug para ms informacin al respecto.

  En ella encontrar siempre las ltimas versiones de las traducciones
  oficiales:  http://www.insflug.org. Asegrese de comprobar cul es
  la ltima versin disponible en el Insflug antes de bajar un documento
  de un servidor rplica.

  Adems, cuenta con un sistema interactivo de gestin de fe de erratas
  y sugerencias en lnea, motor de bsqueda especfico, y ms servicios
  en los que estamos trabajando incesantemente.

  Se proporciona tambin una lista de los servidores rplica (mirror)
  del Insflug ms cercanos a Vd., e informacin relativa a otros
  recursos en castellano.

  En http://www.insflug.org/insflug/creditos.php3 cuenta con una
  detallada relacin de las personas que hacen posible tanto esto como
  las traducciones.

  Dirjase a http://www.insflug.org/colaboracion/index.php3 si desea
  unirse a nosotros!.

  Cartel Insflug, cartel@insflug.org.

