Sebastian Antunez Noguera <[EMAIL PROTECTED]> wrote:
> Estimados, debo configurar un firewall con Fedora Core 7
Usa CentOS mas mejor para esa clase de tareas.
> usando IPTABLES, en
> el mismo server debo dar acceso a Internet a 15 usuarios, y el server de
> Firewall debe tener el server de correo, web y DNS o sea todo en una mismo
> server,
Mala idea.
> ya que la empresa es pequeña no encontraron necesario invertir en un
> equipo para web y correo en DMZ, si que todo debe ser en el mismo server de
> firewall.
Urgh.
Ni siquiera pueden prescindir de un tarro de desecho? Lo digo en serio,
para cortafuegos chico/mediano hasta un P3/350 es mas que adecuado (buena
placa, buenas tarjetas de red eso si). Lo unico malo de esos equipos es que
(por vejez) suelen fallar...
Y mas aun, para servidor Fedora no es recomendable (no porque no funcione
(anda de pelos!), el problema es que tiene vida de como un an~o, y a migrar
se ha dicho...; con CentOS tienes unos pocos an~os para decidir cuando
migrar).
> El Script de IPTABLES que tengo es el siguiente:
>
> ## FLUSH de reglas
> iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
>
> #Politica por defecto
> iptables -P INPUT ACCEPT
> iptables -P OUTPUT ACCEPT
> iptables -P FORWARD ACCEPT
No. El esquema /tiene/ que ser: Se acepta solo lo que se indica
explicitamente, /todo/ lo demas se rechaza.
> iptables -t nat -P PREROUTING ACCEPT
> iptables -t nat -P POSTROUTING ACCEPT
>
> #Politica de Locahost
> iptables -A INPUT -i lo -j ACCEPT
>
> # Port 25 - 53 - 80 y 110
> iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT
> iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 53 -j ACCEPT
> iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 53 -j ACCEPT
> iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT
> iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT
>
>
> #Salida de usuarios LAN
>
> iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT
> iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
> iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
> iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
> iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 110 -j ACCEPT
> iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT
>
> # Denegación
> iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -j DROP
No tiene sentido, ya dejaste pasar todo eso sin NAT... y DROP es grosero,
debiera siempre (salvo casos /muy/ *bien* justificados) ser REJECT.
> #BIT DE FORWARDING
> iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
Jamas llegara aca, creo...
> #Forward de Paquetes
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
> # Cerrado de Ports
> iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p tcp -dport 1:1024 -j DROP
> iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p udp -dport 1:1024 -j DROP
>
> Les agradeceré su consejo para mejorar si es posible este script, o con lo
> que muestro serÃa suficiente para esta red.
Dinos que quieres lograr, te podremos ayudar a disen~ar algo...
Usa las herramientas de la distribucion para definir las reglas si no
quieres hacerlo a mano (system-config-security o algo asi).
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513
From [EMAIL PROTECTED] Tue Dec 18 15:17:16 2007
From: [EMAIL PROTECTED] (Horst H. von Brand)
Date: Tue Dec 18 15:20:15 2007
Subject: Programando
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
zerobatu <[EMAIL PROTECTED]> wrote:
> me gustarÃa que me ayuden con un problemita
> estoy programando unos programillas básicos en C para
> ver como trabajan las librerÃas y después hacer algo mas grande
> y bonito (no piensen en el pic... no es eso).
OK.
> pero por ejemplo
>
> cuando trato de compilar algo como esto:
>
> -------------------------------------------
> #include <stdio.h>
> #include <ncurses.h>
>
> main
> {
> move(15,20);
> printf("HOLA MUNDO\n");
> }
> -------------------------------------------
Revisa la biblioteca ncurses (si, es un lio usarla; si, es lo que hay; no,
tontear via escribir secuencias de escape a la pantalla no es aceptable;
no, "es que aca funciona" no es suficiente).
> me tira el siguiente error:
>
> [EMAIL PROTECTED]:~$ gcc -o ejem ejemplo.c
> ejemplo.c:3:21: error: ncurses.h: No existe el fichero ó directorio
> [EMAIL PROTECTED]:~$
Tienes que instalar algo llamado ncurses-devel o similar para desarrollar
programas con la biblioteca del caso.
> si alguien me puede ayudar o si conoce algún programa para desarrollar en
> IDE se lo agradecerÃa
Jum... emacs. xemacs. anjuta. eclipse. Si le haces a Gnome, glade; si a
KDE, Kdevelop (creo), y le tienes que hacerle al C++.
Para aplicaciones "de cara al usuario" el rendimiento extra que puedes
sacar con C/C++ es totalmente irrelevante (casi siempre), y el costo de
desarrollo exorbitante. Mejor usar Python o Ruby, o hasta Perl o TCL.
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513
