Jorge Luis Rodriguez <[EMAIL PROTECTED]> wrote:
> les cuento mi problema, resulta que tenemos una red clase A con el rango
> de ip 10.0.0.xxx, con salida a internet y algunos servicios para la red
> interna, dentro de esta red instales un servidor con debian, ese servidor
> tiene la eth0 con ip 10.0.0.150, y una eth1 con ip 192.168.1.1.
Puras redes privadas. OK (supongo).
> Este
> servidor debe brindar nada mas que internet a la subred de clase C con ip
> 192.168.1.xxx.
No tengo idea de que hablas.
Configuracion de la red? Algo como:
+--- 192.168.1.0/24
|
Internet -- Maquina
|
+---- 10.0.0.0/8
Otra cosa? Que hay en las redes del caso? Exactamente que trafico quieres
que pase/no pase entre las tres zonas?
> Resulta que con el scrips que posteso mas abajo funciona
> perfecto, pero no logro evitar que desde la red interna se pueda mapear
> la red de clase A (10.0.0.xxx), probe con nmap, languard, y en ambos caso
> si mapeo el rango de ip 10.0.0.1-10.0.0.250 estando en la red de clase C
> (192.168.1.1) puedo ver todas las pc que estan en la red 10.0.0.xxx. Eh
> buscado y leido mucho, quizas la solucion sea una tontera, pero bueno, lo
> cierto es que no logro ver la socucion entre todo lo que ley y busque.
> internet-=|Router-1|10.0.0.1=-------10.0.0.150-=|Router-2|=-192.168.1.1
Oh! OK, claro que desde la red interna se "ve" la red 10.0.0.0/8 El trafico
/pasa/ por ella!
> #!/bin/bash
> #Firewall con politicas por defecto DROP!
Malisima idea. REJECT, como ya dije un par de docenas de veces aca.
> route add default gw 10.0.0.1
>
> IPTABLES="`which iptables`"
> IPLOCAL="192.168.1.1"
>
> EXTIF="eth0"
>
> INTIF="eth1"
>
>
> echo " Interface Externa: $EXTIF"
> echo " Interface Interna: $INTIF"
> echo " Path a iptables : $IPTABLES"
> echo " IP de local : $IPLOCAL"
>
> #cargamos los modulos
>
> /sbin/modprobe ip_tables
> /sbin/modprobe ip_conntrack
> /sbin/modprobe ip_conntrack_ftp
> /sbin/modprobe iptable_nat
> /sbin/modprobe ip_nat_ftp
> /sbin/modprobe iptable_filter
> /sbin/modprobe ipt_LOG
> /sbin/modprobe ipt_REJECT
> /sbin/modprobe ipt_state
> /sbin/modprobe ipt_MASQUERADE
>
> #bit necesarios en el kernel
> echo 1 > /proc/sys/net/ipv4/ip_forward
> echo 1 > /proc/sys/net/ipv4/ip_dynaddr
>
> #borramos Reglas Preestablecidas
> $IPTABLES -F
> $IPTABLES -X
> $IPTABLES -Z
> $IPTABLES -t nat -F
>
> #establecemos las politicas por defecto
> $IPTABLES -P INPUT DROP
> $IPTABLES -P OUTPUT DROP
> $IPTABLES -P FORWARD DROP
>
> #habilitar el enmascarado
> $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
>
> #Se permiten pasar solo las conecciones establecidas
> $IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state
> ESTABLISHED,RELATED -j ACCEPT
> $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
> $IPTABLES -A FORWARD -j LOG
>
>
> $IPTABLES -A INPUT -i $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
> $IPTABLES -A OUTPUT -o $EXTIF -j ACCEPT
>
> #permitimos entrar y salir al loopback
> $IPTABLES -A INPUT -i lo -j ACCEPT
> $IPTABLES -A OUTPUT -o lo -j ACCEPT
>
> #solo mi ip puede entrar al SSH
> $IPTABLES -A INPUT -i $INTIF -p tcp --dport 22 -s 192.168.1.9 -j ACCEPT
> $IPTABLES -A OUTPUT -o $INTIF -p tcp --sport 22 -d 192.168.1.9 -j ACCEPT
>
> $IPTABLES -A INPUT -i $INTIF -p udp --dport 53 -j ACCEPT
> $IPTABLES -A OUTPUT -o $INTIF -p udp --sport 53 -j ACCEPT
>
> #Permitiendo ingresar al DHCP
> $IPTABLES -A INPUT -i $INTIF -p tcp --sport 68 --dport 67:68 -j ACCEPT
> $IPTABLES -A INPUT -i $INTIF -p udp --sport 68 --dport 67:68 -j ACCEPT
>
> $IPTABLES -A OUTPUT -p tcp --sport 67 --dport 67:68 -j ACCEPT
> $IPTABLES -A OUTPUT -p udp --sport 67 --dport 67:68 -j ACCEPT
>
> #Habilitar pings
> $IPTABLES -A INPUT -p icmp -i $INTIF -j ACCEPT
> $IPTABLES -A OUTPUT -p icmp -o $INTIF -j ACCEPT
>
> #$IPT -L
> basicamente lo que deseo es que desde la red 192.168.1.xxx no se puedan
> hacer scaneos de red hacia la red 10.0.0.xxx
Entonces debieras parar /todo/ trafico que no vaya hacia "afuera" o al
router-1 en router-2.
Algo como dejar pasar 10.0.0.1, y luego frenar todo 10.0.0.0/8.
Aunque para que quieres hacer tal cosa, se me escapa...
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile 2340000 Fax: +56 32 2797513
From [EMAIL PROTECTED] Thu Sep 18 22:09:28 2008
From: [EMAIL PROTECTED] (Horst H. von Brand)
Date: Thu Sep 18 22:09:31 2008
Subject: evitar mapeos de red
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Sebastian Veloso Varas <[EMAIL PROTECTED]> wrote:
[...]
> Primero que todo, que tipo de scans estas realizando por nmap
> u otra herramienta hacia la red 10? Yo sugiero que controles los tipos
> de ataques con PortScan Attack Detector psad
> (http://cipherdyne.org/psad/). Una de las "debilidades" de Iptables es
> esta.
Cual debilidad? Si el port esta disponible, esta disponible. Y por muy
creativo que te pongas en ocultarlo a "usuarios ilegitimos", cualquiera se
puede hacer pasar por usuario legitimo facilmente y pasar igual.
Ocultar ports disponibles "para scans" de nada sirve, por lo demas: Supongo
que habran visto el incesante martilleo a SSH, incluso a maquinas que no
tienen SSH. Para un atacante con suficientes recursos a la mano (botnet) es
mas rentable simplemente tirarse en picada contra todo lo que tenga
direccion IP que darse el trabajo de revisar antes.
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile 2340000 Fax: +56 32 2797513
From [EMAIL PROTECTED] Thu Sep 18 22:11:23 2008
From: [EMAIL PROTECTED] (mauricio vargas)
Date: Thu Sep 18 22:11:29 2008
Subject: motorolo sbv5222 en ubuntu
Message-ID: <[EMAIL PROTECTED]>
> From: "Rodrigo Fuentealba" <[EMAIL PROTECTED]>
> Subject: Re: motorolo sbv5222 en ubuntu
> En 8.04 funciona; por acá con kernel 2.6.26.5 también.
Gracias, probaré con 8,04 live-cd, puede que sea eso. Luego les cuento
> > Brindo dijo un linuxero
> > por la libertad del pingüino
> > con el computador en una mano
> > y en la otra una copa de vino.
>
> Con la copa de vino ay sí,
> a programar le doy como caja
> y si sigo tomando
> y estoy quedando ra...!!!
>
Quedando raja ay sí
y sigo tomando
cuando se me pase la mona
seguiré programando
Mauricio Vargas P.
Geólogo
MSc en Geología
Usurio Linux # 326558 http://counter.li.org
=
--
Powered by Outblaze
