Jorge Luis Rodriguez <[EMAIL PROTECTED]> wrote: > les cuento mi problema, resulta que tenemos una red clase A con el rango > de ip 10.0.0.xxx, con salida a internet y algunos servicios para la red > interna, dentro de esta red instales un servidor con debian, ese servidor > tiene la eth0 con ip 10.0.0.150, y una eth1 con ip 192.168.1.1.
Puras redes privadas. OK (supongo). > Este > servidor debe brindar nada mas que internet a la subred de clase C con ip > 192.168.1.xxx. No tengo idea de que hablas. Configuracion de la red? Algo como: +--- 192.168.1.0/24 | Internet -- Maquina | +---- 10.0.0.0/8 Otra cosa? Que hay en las redes del caso? Exactamente que trafico quieres que pase/no pase entre las tres zonas? > Resulta que con el scrips que posteso mas abajo funciona > perfecto, pero no logro evitar que desde la red interna se pueda mapear > la red de clase A (10.0.0.xxx), probe con nmap, languard, y en ambos caso > si mapeo el rango de ip 10.0.0.1-10.0.0.250 estando en la red de clase C > (192.168.1.1) puedo ver todas las pc que estan en la red 10.0.0.xxx. Eh > buscado y leido mucho, quizas la solucion sea una tontera, pero bueno, lo > cierto es que no logro ver la socucion entre todo lo que ley y busque. > internet-=|Router-1|10.0.0.1=-------10.0.0.150-=|Router-2|=-192.168.1.1 Oh! OK, claro que desde la red interna se "ve" la red 10.0.0.0/8 El trafico /pasa/ por ella! > #!/bin/bash > #Firewall con politicas por defecto DROP! Malisima idea. REJECT, como ya dije un par de docenas de veces aca. > route add default gw 10.0.0.1 > > IPTABLES="`which iptables`" > IPLOCAL="192.168.1.1" > > EXTIF="eth0" > > INTIF="eth1" > > > echo " Interface Externa: $EXTIF" > echo " Interface Interna: $INTIF" > echo " Path a iptables : $IPTABLES" > echo " IP de local : $IPLOCAL" > > #cargamos los modulos > > /sbin/modprobe ip_tables > /sbin/modprobe ip_conntrack > /sbin/modprobe ip_conntrack_ftp > /sbin/modprobe iptable_nat > /sbin/modprobe ip_nat_ftp > /sbin/modprobe iptable_filter > /sbin/modprobe ipt_LOG > /sbin/modprobe ipt_REJECT > /sbin/modprobe ipt_state > /sbin/modprobe ipt_MASQUERADE > > #bit necesarios en el kernel > echo 1 > /proc/sys/net/ipv4/ip_forward > echo 1 > /proc/sys/net/ipv4/ip_dynaddr > > #borramos Reglas Preestablecidas > $IPTABLES -F > $IPTABLES -X > $IPTABLES -Z > $IPTABLES -t nat -F > > #establecemos las politicas por defecto > $IPTABLES -P INPUT DROP > $IPTABLES -P OUTPUT DROP > $IPTABLES -P FORWARD DROP > > #habilitar el enmascarado > $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE > > #Se permiten pasar solo las conecciones establecidas > $IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state > ESTABLISHED,RELATED -j ACCEPT > $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT > $IPTABLES -A FORWARD -j LOG > > > $IPTABLES -A INPUT -i $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT > $IPTABLES -A OUTPUT -o $EXTIF -j ACCEPT > > #permitimos entrar y salir al loopback > $IPTABLES -A INPUT -i lo -j ACCEPT > $IPTABLES -A OUTPUT -o lo -j ACCEPT > > #solo mi ip puede entrar al SSH > $IPTABLES -A INPUT -i $INTIF -p tcp --dport 22 -s 192.168.1.9 -j ACCEPT > $IPTABLES -A OUTPUT -o $INTIF -p tcp --sport 22 -d 192.168.1.9 -j ACCEPT > > $IPTABLES -A INPUT -i $INTIF -p udp --dport 53 -j ACCEPT > $IPTABLES -A OUTPUT -o $INTIF -p udp --sport 53 -j ACCEPT > > #Permitiendo ingresar al DHCP > $IPTABLES -A INPUT -i $INTIF -p tcp --sport 68 --dport 67:68 -j ACCEPT > $IPTABLES -A INPUT -i $INTIF -p udp --sport 68 --dport 67:68 -j ACCEPT > > $IPTABLES -A OUTPUT -p tcp --sport 67 --dport 67:68 -j ACCEPT > $IPTABLES -A OUTPUT -p udp --sport 67 --dport 67:68 -j ACCEPT > > #Habilitar pings > $IPTABLES -A INPUT -p icmp -i $INTIF -j ACCEPT > $IPTABLES -A OUTPUT -p icmp -o $INTIF -j ACCEPT > > #$IPT -L > basicamente lo que deseo es que desde la red 192.168.1.xxx no se puedan > hacer scaneos de red hacia la red 10.0.0.xxx Entonces debieras parar /todo/ trafico que no vaya hacia "afuera" o al router-1 en router-2. Algo como dejar pasar 10.0.0.1, y luego frenar todo 10.0.0.0/8. Aunque para que quieres hacer tal cosa, se me escapa... -- Dr. Horst H. von Brand User #22616 counter.li.org Departamento de Informatica Fono: +56 32 2654431 Universidad Tecnica Federico Santa Maria +56 32 2654239 Casilla 110-V, Valparaiso, Chile 2340000 Fax: +56 32 2797513 From [EMAIL PROTECTED] Thu Sep 18 22:09:28 2008 From: [EMAIL PROTECTED] (Horst H. von Brand) Date: Thu Sep 18 22:09:31 2008 Subject: evitar mapeos de red In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> Sebastian Veloso Varas <[EMAIL PROTECTED]> wrote: [...] > Primero que todo, que tipo de scans estas realizando por nmap > u otra herramienta hacia la red 10? Yo sugiero que controles los tipos > de ataques con PortScan Attack Detector psad > (http://cipherdyne.org/psad/). Una de las "debilidades" de Iptables es > esta. Cual debilidad? Si el port esta disponible, esta disponible. Y por muy creativo que te pongas en ocultarlo a "usuarios ilegitimos", cualquiera se puede hacer pasar por usuario legitimo facilmente y pasar igual. Ocultar ports disponibles "para scans" de nada sirve, por lo demas: Supongo que habran visto el incesante martilleo a SSH, incluso a maquinas que no tienen SSH. Para un atacante con suficientes recursos a la mano (botnet) es mas rentable simplemente tirarse en picada contra todo lo que tenga direccion IP que darse el trabajo de revisar antes. -- Dr. Horst H. von Brand User #22616 counter.li.org Departamento de Informatica Fono: +56 32 2654431 Universidad Tecnica Federico Santa Maria +56 32 2654239 Casilla 110-V, Valparaiso, Chile 2340000 Fax: +56 32 2797513 From [EMAIL PROTECTED] Thu Sep 18 22:11:23 2008 From: [EMAIL PROTECTED] (mauricio vargas) Date: Thu Sep 18 22:11:29 2008 Subject: motorolo sbv5222 en ubuntu Message-ID: <[EMAIL PROTECTED]> > From: "Rodrigo Fuentealba" <[EMAIL PROTECTED]> > Subject: Re: motorolo sbv5222 en ubuntu > En 8.04 funciona; por acá con kernel 2.6.26.5 también. Gracias, probaré con 8,04 live-cd, puede que sea eso. Luego les cuento > > Brindo dijo un linuxero > > por la libertad del pingüino > > con el computador en una mano > > y en la otra una copa de vino. > > Con la copa de vino ay sí, > a programar le doy como caja > y si sigo tomando > y estoy quedando ra...!!! > Quedando raja ay sí y sigo tomando cuando se me pase la mona seguiré programando Mauricio Vargas P. Geólogo MSc en Geología Usurio Linux # 326558 http://counter.li.org = -- Powered by Outblaze