Re: [CentOS-es] Problema Squid y Iptables
Una pequeña critica constructiva, sin animos de ofender. Lo que te puedo recomendar, es que la ultima regla de cada una de las cadenas de iptables sea drop o reject . Por otro lado tienes reglas de mas, como el caso de forward en squid, squid es un servicio local de tu GW por ende solo tienes que usar reglas en INPUT y OUTPUT. Otra recomendacion es que si tienes una regla doble para cada una de las redes elimines el origen como por ejemplo iptables -A FORWARD -s 192.168.1.0/25 -i eth1 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/25 -m state --state NEW -p tcp --dport 80 -j ACCEPT de esta manera se asume que como es una nueva peticion venga de la LAN otra cosa, como primera regla podria iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT esto evita volver a leer todas las reglas de filtrado, se supone que ya paso por algunas de las reglas y no debes volver a consultarlas 2008/7/1 Aland Laines [EMAIL PROTECTED]: bueno otra ves molestandolos, el problema que tengo es que tengo dos redes en el instituto ambas salen por un centos 5.1 con nat y squid transparente, el problema esta en que la red 192.168.1.0 navega de manera normal, pero la la red 192.168.2.0 navega pero no pueden loguearse en gmail ni en hotmail, cosa que si puede el primer rango, ya probe haciendo el flush de reglas e insertarlas de nuevo pero aun asi, lo raro es que estuvo todo funcionando bien con el centos 5 que tenia el squid 2.5 y ahora es el 2.6 , les pongo mis scripts de iptables y el de squid para que me den alguna pista o la manera de mejorar ambos, (en iptables ando medio perdido pero al menos pude hacer ese script con modelos de la web). Gracias de antemano, #!/bin/sh ## SCRIPT de IPTABLES ## Ejemplo de script para firewall entre red-local e internet ## con filtro para que solo se pueda navegar. echo Aplicando Reglas de Firewall... ## FLUSH de reglas /sbin/iptables -F /sbin/iptables -X /sbin/iptables -Z #modulos modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_conntrack_irc modprobe ipt_REJECT modprobe ipt_REDIRECT modprobe ipt_TOS modprobe ipt_MASQUERADE modprobe ipt_LOG modprobe iptable_mangle modprobe iptable_nat modprobe ip_nat_ftp modprobe ip_nat_irc ## Establecemos politica por defecto /sbin/iptables -P INPUT ACCEPT /sbin/iptables -P OUTPUT ACCEPT /sbin/iptables -P FORWARD ACCEPT /sbin/iptables -t nat -P PREROUTING ACCEPT /sbin/iptables -t nat -P POSTROUTING ACCEPT # Hacemos un proxy transparente iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128 ## Empezamos a filtrar ## Nota: eth0 es el interfaz conectado al router y eth1 a la LAN # El localhost se deja (por ejemplo conexiones locales a mysql) iptables -A INPUT -i lo -j ACCEPT # Al firewall tenemos acceso desde la red local iptables -A INPUT -s 192.168.1.0/25 -i eth1 -j ACCEPT iptables -A INPUT -s 192.168.2.0/25 -i eth2 -j ACCEPT # Cerramos acceso de 192.168.2.1 por la eth1 iptables -A INPUT -s 192.168.2.0/25 -i eth0 -j DROP iptables -A INPUT -s 192.168.2.0/25 -i eth0 -j DROP ## Ahora con regla FORWARD filtramos el acceso de la red local ## al exterior. Como se explica antes, a los paquetes que no van dirigidos al ## propio firewall se les aplican reglas de FORWARD #Aceptamos que vayan a puertos 80 iptables -A FORWARD -s 192.168.1.0/25 -i eth1 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -s 192.168.2.0/25 -i eth2 -p tcp --dport 80 -j ACCEPT #Aceptamos que vayan a puertos https iptables -A FORWARD -s 192.168.1.0/25 -i eth1 -p tcp --dport 443 -j ACCEPT iptables -A FORWARD -s 192.168.2.0/25 -i eth2 -p tcp --dport 443 -j ACCEPT # Aceptamos salida a FTP iptables -A FORWARD -s 192.168.1.0/25 -i eth1 -p tcp --dport 21 -j ACCEPT iptables -A FORWARD -s 192.168.2.0/25 -i eth2 -p tcp --dport 21 -j ACCEPT # Aceptamos que vayan a puertos SQUID ### Estas reglas al squid estan de mas ### iptables -A FORWARD -s 192.168.1.0/25 -i eth1 -p tcp --dport 3128 -j ACCEPT iptables -A FORWARD -s 192.168.2.0/25 -i eth2 -p tcp --dport 3128 -j ACCEPT # Aceptamos que consulten los DNS iptables -A FORWARD -s 192.168.1.0/25 -i eth1 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/25 -i eth1 -p udp --dport 53 -j ACCEPT iptables -A FORWARD -s 192.168.2.0/25 -i eth2 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -s 192.168.2.0/25 -i eth2 -p udp --dport 53 -j ACCEPT #Aceptamos que conecten SSH y Telnet iptables -A INPUT -p tcp --dport 22 -j ACCEPT #Aceptamos puerto HTTP y MySql desde fuera iptables -A INPUT -i eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 3306 -m state --state NEW -j ACCEPT iptables -A INPUT -i eth0 -p tcp -m tcp --dport 8080 -m state --state NEW -j ACCEPT #MSN messenger iptables -A FORWARD -p TCP --dport 1863 -j
[CentOS-es] Logs en squid
Saludos. Existe alguna forma de poner los logs del squid en un servidor mysql o sql de forma que puedan ser accedidos por el personal de seguridad informatica sin necesidad de compartirlo en la red local. Gracias de antemano. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
[CentOS-es] Problema al crear usuario
Saludos hermanos. Tengo un problema acá, y es que cuando creo un usuario con el comando useradd (también con adduser) no se crea el archivo correspondiente en /var/spool/mail. Revisé los logs y no encuentro nada. Miré tanto el archivo /etc/default/useradd, el /etc/login.defs entre otros y nada. ¿Qué creen que puede estar pasando? Trabajo con un CentOS 5. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Problema al crear usuario
Hola Hector: Tengo un problema acá, y es que cuando creo un usuario con el comando useradd (también con adduser) no se crea el archivo correspondiente en /var/spool/mail. Esto puede parecerte un chiste pero te lo pregunto en serio. Una vez creado el usuario, le enviastes algun correo? (useradd pepe ; mail pepe) El fichero /var/spool/mail/pepe se crea cuando el usuario pepe recibe un correo, de manera predeterminada ahi no debiera haber nada. De todas maneras, abre otra consola y haz un tail -f /var/log/maillog antes de mandar el mail para que revises que hace el sendmail (o postfix) por si el error viene por otro lado. Saludos Osvaldo ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
RE: [CentOS-es] Problema al crear usuario
... Hola Hector: En mi caos cuando se crea el usuario y no se crea esa entrada en /var/spool/mail, el MTA emite un error de que no se encuentra el mailbox del usuario: [EMAIL PROTECTED]: can't create user output file. Command output: procmail: Couldn't create /var/mail/pepe y los permisos de /var/spool/mail ? ¿Los permisos? Jejeje. ¿Qué te parece un 777? Ni con eso resuelvo. Ya pasé por ahí. :D ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Arrancar Samba
Rodrigo. Sigue estos pasos: 1. Verifica que la carpeta operador03 tenga full permisos (chmod 777 /home/operador03). 2. Edita /etc/samba/smb.conf y al final del archivo escribe las siguientes lineas. *[Operador03] path = /home/operador03 available = yes browsable = yes public = yes writable = yes * 3. Reinicia el servicio samba (/etc/init.d/smb restart 0 /sbin/service smb restart). Con la configuración del punto No. 2, cualquier usuario puede acceder a esa carpeta (esto lo haces para verificar que puedas acceder a ella), si te funciona le retiras ***public = yes *y colocas en su lugar ***valid users = operador03. * Rodrigo, con que usuario ingresas desde el windows para acceder a la carpeta /home/operador03 en el centos?. cuando colocas la directiva valid users debes ingresar con el usuario operador03 desde el windows. Saludos. Carlos R. 2008/6/30 Rodrigo Leal Astorga [EMAIL PROTECTED]: inclui lineas en negrita pero aun no puedo ingresar... Ayuda.. -- *De:* car restrepo *Enviado el:* Lun 30/06/2008 14:19 *Para:* centos-es@centos.org *Asunto:* Re: [CentOS-es] Arrancar Samba 2008/6/30 Rodrigo Leal Astorga [EMAIL PROTECTED]: Hola amigos instale centos 5.2 y quiero compartir un directorio para verlo desde windows, edite el el archivo smb.conf y le realice unas modificaciones pero no logro entrar desde windows.. tambien cree usuario con comando useradd operador03 y le cambie password pero no logro entrar . algunas ideas donde esta el error?? adjunto archivo smb.conf [operador03] workgroup = domigio valid users = operador03 writable = Yes path = /home/operador03 guest ok = Yes locking = No *available = yes browsable = yes public = yes* Adicionalmente debes validar en samba el usuario: smbpasswd operador03. Luego reinicia el servicio del samba (/etc/init.d/smb restart o /sbin/service smb restart ). Saludos. Carlos R. Atte. Rodrigo Leal Astorga. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Carlos Restrepo M. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Carlos Restrepo M. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
[CentOS-es] dector de vulnerabilidaes
Estimados ¿Hay algunas herramientas open source que pueda utilizar para detectar vulnerabilidades en las páginas web? Saludos a la lista, La información contenida en esta transmisión es confidencial y no puede ser usada o difundida por personas distintas a su(s) destinatario(s). El uso no autorizado de la información contenida en este correo puede ser sancionado criminalmente de conformidad con la Ley Chilena. Si ha recibido un correo por error, por favor destrúyalo y notifique al remitente. El Departamento de Informática del Ministerio de Educación le recomienda, para el buen desempeño de su correo, lo siguiente: - Revise su correo diariamente - Pida confirmación de los correos que envía - Oriéntese de las buenas practicas en el uso del correo ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Arrancar Samba
Es un PDC?? Probaste con smbclient??? smbclient -L host -U usuario Si este comando te muestra lo que esta compartido en el server esta todo bien con samba... Revisa el dns y wins del cliente windows con que estas tratando de conectarte y los archvios host y lmhost del windows. Atte. On Tue, Jul 1, 2008 at 10:31 AM, Héctor Suárez Planas [EMAIL PROTECTED] wrote: ... igual no me deja... parece que algo me falta... en windows ingreso con usuario operador03 .. reinicie servicio samba despues de los cambios pero aun no logro entrar.. drwxrwxrwx 5 operador03 operador03 4096 jun 26 07:51 operador03 [operador03] path = /home/operador03 available = yes browsable = yes public = yes writable = yes Rodrigo. [operador03] comment = Directorio BLA path = /home/operador03 browsable = yes public = yes writable = yes admin users = operador03 valid users = operador03 create mask = 0664 directory mask = 0775 Yo tengo un directorio así en un servidor para el Webmaster y le trabaja sin problemas. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Arrancar Samba
Rodrigo, adionalmente a la sugerencia de Mario, trata de accesar a esa carpeta pero desde algun pc que tengas con Linux, si la logras accesar con el pc linux, deberas revisar la parte del wins y dns. Carlos R! 2008/7/1 Mario Ganga [EMAIL PROTECTED]: Es un PDC?? Probaste con smbclient??? smbclient -L host -U usuario Si este comando te muestra lo que esta compartido en el server esta todo bien con samba... Revisa el dns y wins del cliente windows con que estas tratando de conectarte y los archvios host y lmhost del windows. Atte. On Tue, Jul 1, 2008 at 10:31 AM, Héctor Suárez Planas [EMAIL PROTECTED] wrote: ... igual no me deja... parece que algo me falta... en windows ingreso con usuario operador03 .. reinicie servicio samba despues de los cambios pero aun no logro entrar.. drwxrwxrwx 5 operador03 operador03 4096 jun 26 07:51 operador03 [operador03] path = /home/operador03 available = yes browsable = yes public = yes writable = yes Rodrigo. [operador03] comment = Directorio BLA path = /home/operador03 browsable = yes public = yes writable = yes admin users = operador03 valid users = operador03 create mask = 0664 directory mask = 0775 Yo tengo un directorio así en un servidor para el Webmaster y le trabaja sin problemas. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Carlos Restrepo M. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es