Hola: Este mirate este mail que te pego aquí, se lo pase a otro compañero de la lista... supongo que te servirá en algo. Leélo y luego me contás. Si no podés despegar con el. Te contáctas nuevamente y vemos que pasa.
Suerte andrés ----------------------------------------------------------------------------- > Hola: > > Bueno no están díficil lo que intentas hacer, lo que pasa es que estás mezclando > algunas cosas... > > Por otra parte si tuvieras que configurar un kernel tampoco es tan grave, no > tengas miedo, la primera vez asusta está claro, pero seguro te podemos ayudar así > como otros compañeros nos han ayudado a nosotros a lograr armar un kernel a > medida por primera vez. > > Te cuento, yo también tengo ipchains en mi maquina, está da salida al Mundo > (Internet) a otros dos PC con güindos =) > > Está maquina que tiene configurada determinadas reglas de ipchains y que permite > a las otras salir hacia Internet, es a la vez un servidor web. > > Yo en principio cuando instale debian en ella, deje el kernel que trae por > defecto la instalación (2.2.19) que no está mal en principio. > > Ya incluye dentro del mismo a ipchains (whereis ipchains, y la salida te da esto > /sbin/ipchains), para que funcione prolijo, debes hacer ciertos retoques como por > ejemplo: > > orvux# less /etc/network/options > > ip_forward=yes > spoofprotect=yes > syncookies=yes > > ------------------------------------------ > > Y poner como valor en yes a ip_forward, necesario para poder utilizar > enmascaramiento de IP, spoofprotect ya evitar el spoofing y syncookies, para > proteger el kernel ante ataques. > > Si esto lo tenés así, perfecto lo único que te queda es definir las reglas de > filtrado: > > Yo te pongo algunos ejemplos y vos lo vez y vas probando, pero eso sí tene en > cuenta que si en alguna reglas para quienes están enla Intranet es decir en la > LAN interna vos pones un final como REJECT es seguro que ni descarga el correo y > ni siquiera sale al Mundo... es decir le será imposible navegar por Internet, > porque le estás denegando un servicio. > > Las reglas están comentadas, está fácil... una vez que estes práctico seguro > te > haces las tuyas a medida > > ------------------------------------------------------------------------------------------------------------------------------------- > > Te aclaro que la IP (180.26.4.11 es de ejemplo y esta sería la que está conectada > a router que > te da conexión a Internet... router o lo que fuera! y la 192.168.0.100 es la > segunda IP de la otra tarjeta > de red, que es la que está conectada a la Intranet o LAN interna ok!) > > Fíjate y experimenta un poco con las reglas... > > # Comenzamos haciendo un flush. Esto limpia todas las reglas que > # pudiéramos haber introducido previamente > > /sbin/ipchains -F > > # Después aplicamos por defecto tres reglas que dicen que: > # Se cierran las conexiones de entrada por defecto > > /sbin/ipchains -P input DENY > > # Se cierran las conexiones de forward por defecto > > /sbin/ipchains -P forward DENY > > # Se abren las conexiones de salida por defecto > > /sbin/ipchains –P output ACCEPT > > # Después de las reglas de política por defecto, > # aplicamos reglas que hagan referencia a conexiones a > # dispositivos o puertos concretos > # Aceptamos las conexiones de entrada desde procesos locales > # (por el interfaz .lo.) > > /sbin/ipchains -A input -i lo -j ACCEPT > > # Aceptamos las conexiones de entrada provenientes de IPs > # de la red local (o sea, que entren por cualquier > # interfaz excepto eth0) > > /sbin/ipchains -A input -s 180.26.4.11 –i! 192.168.0.100 -j ACCEPT > > # Rechazamos los fragmentos de paquetes ICMP > > /sbin/ipchains -A input -p icmp -f -d 180.26.4.11 -i 192.168.0.100 -j DENY > > # Pero aceptamos los paquetes ICMP normales, para que > # nuestro equipo responda a pings, por ejemplo. > > /sbin/ipchains -A input-p icmp -d 180.26.4.11 -i 192.168.0.100 -j ACCEPT > > # Rechazamos en todo caso las conexiones TCP y también las UDP > # a algunos puertos típicos de troyanos como BackOrifice o SubSeven. > > /sbin/ipchains -A input -p udp -d 180.26.4.11 12345:12346 -i 192.168.0.100 –j > DENY > > /sbin/ipchains -A input -p tcp -d 180.26.4.11 12345:12346 -i 192.168.0.100 -j > DENY > > /sbin/ipchains -A input -p udp -d 180.26.4.11 31337 –i 192.168.0.100 –j DENY > > /sbin/ipchains -A input –p tcp –d 180.26.4.11 31337 -i 192.168.0.100 –j DENY > > /sbin/ipchains -A input -p udp -d 180.26.4.11 5999:6010 -i 192.168.0.100 -j DENY > > /sbin/ipchains -Ai~ut -p tcp -d 180.26.4.11 5999:6010 -i 192.168.0.100 -j DENY > > # Rechazamos también las conexiones al puerto de MYSQL > > /sbin/ipchains -A input -p udp –d 180.26.4.11 3306 -i 192.168.0.100 -j DENY > > /sbin/ipchains -A input -p tcp -d 180.26.4.11 3306 -i 192.168.0.100 -j DENY > > # Rechazamos todas las conexiones que no sean las anteriores claro, de entrada > # al puerto 1024 y a cualquiera por encima de él (por eso los “:” que > equivalen > # aquí a 1024:65535) > > /sbin/ipchains -A input –p udp -d 180.26.4.11 l024: -i 192.168.0.100 -j DENY > > /sbin/ipchains -A input –p tcp -d 180.26.4.11 l024: -i 192.168.0.100 -j DENY > > # Enmascaramos las conexiones de forward desde direcciones IP de la red local > # hacia el exterior (o sea, salientes por el interfaz eth0) > > /sbin/ipchains -A forward -s 192.168.0.0/24 -d 0/0 -j MASQ > > ------------------------------------------------------------------------------------------------------------------- > > Otra cosa si querés dar entrada a la gente de la LAN interna para descargar el > correo, > supongo que tendrás que habilitar un conexión al puerto por ejemplo 110 del pop, > no sé > anda probando vale, es lo mejor... > > mucha suerte > > andrés =?ISO-8859-15?Q?Rub=E9n_G=F3mez_Antol=ED?= ha escrito: > Hola a todos, > > Hace unos dias que me han puesto el ADSL, y por motivos que ya comente > en otro correo a la lista, necesitaba que el servidor que tenemos > funcionando utilizara dos redes: > > 192.168.0.0 > 129.100.1.100 > > La respuesta que se me dio a no utilizar dos tarjetas de red, fue > utilizar ip-aliasing. > > Bien, despues de documentarme, he leido por algún lado que no es muy > conveniente, concretamente en el ip-masquerading howto: > [Ip-masquerade howto] > > ( IP Aliasing ) - Can IP Masquerade work with only ONE Ethernet > network card? > > Yes and no. With the "IP Alias" kernel feature, users can setup multiple > aliased interfaces such as eth0:1, eth0:2, etc but its is NOT > recommended to use aliased interfaces for IP Masquerading. Why? > Providing a secure firewall becomes very difficult with a single NIC > card. In addition to this, you will experience an abnormal amount of > errors on this link since incoming packets will almost simultaneously be > sent out at the same time. Because of all this and NIC cards now costs > less than $10, I highly recommend to just get a NIC card for each MASQed > network segment. > > Users should also understand that IP Masquerading will only work with a > physical interface such as eth0, eth1, etc. MASQing out an aliased > interface such as "eth0:1, eth1:1, etc" will NOT work. In other words, > the following WILL NOT WORK: > > * > > /sbin/ipfwadm -F -a m -W eth0:1 -S 192.168.0.0/24 -D 0.0.0.0/0 > > * > > /sbin/ipchains -A forward -i eth0:1 -s 192.168.0.0/24 -j MASQ" > > If you are still interested in using aliased interfaces, you need to > enable the "IP Alias" feature in the kernel. You will then need to > re-compile and reboot. Once running the new kernel, you need to > configure Linux to use the new interface (i.e. /dev/eth0:1, etc.). After > that, you can treat it as a normal Ethernet interface with some > restrictions like the one above. > > ------------------------------------------------------------------------ > [/Ip-masquerade howto] > > El caso, es que aparte de los errores que me tira las reglas del > cortafuegos, que es otro cantar, me gustaría preguntar, si no me > conviene mas comprar otra segunda tarjeta de red, que total vale cuatro > duros, o por el contrario puede funcionar bien el asunto con una sola > tarjeta de red. > > Si se puede hacer funcionar bien el asunto con una sola tarjeta de red, > ¿donde puedo encontrar información para configurarla? ¿Algún howto o > tutorial? Me he encontrado que el asunto no es tan trivial como podia > parecer al principio. > > Aunque, vuelvo a hacer hincapie en esto, me resulta mas interesante > saber que solución es mas conveniente. > > Muchas gracias por vuestra atención, y por las respuestas que seguro que > dais. > > Salud y Revolución. > > Lobo. > > Pd.: Releyendo el «adjunto» me parece que me autocontestare, el > masquerading no funciona con una sola tarjeta de red. De todas formas, > os lo mando a ver que os parece. > > -- > Libertad es poder elegir en cualquier momento. Ahora yo eligo GNU/Linux, > para no atar mis manos con las cadenas del soft propietario. > --------- > Desde El Ejido, en Almeria, usuario registrado linux #294013 > http://www.counter.li.org > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]