Re: [CentOS-es] Migración del Directorio Activo
Se qeu con esto me voy a llevar palos por todas partes XD Pero tengo qeu decir, es que el AD de microsoft es muy bueno y sencillo. De las pocas cosas que tiene Microsoft. Lo malo es qeu con un AD, meter un linux, es muy complicado. Sin embargo, al revés, es ams sencillo auqneu la configuración inicial lleve un poco de mas trabajo. Yo nunca tuve que hacerlo, pero si administré un dominio con Fedora - DS, en el cuál el entorno era mixto, Linux y windows y funcionaba muy bien. Un saludo. - Mensaje original De: mic...@casa.co.cu mic...@casa.co.cu Para: centos-es@centos.org Enviado: mié,28 julio, 2010 03:38 Asunto: Re: [CentOS-es] Migración del Directorio Activo Jorge García gar...@gmail.com escribió: El 27 de julio de 2010 12:23, Victor Padro vpa...@gmail.com escribió: 2010/7/27 Alejandro Marin Maturano ama...@impi.gob.mx: Oigan bueno veo que para este si hay mucha gente que sabe y por lo mismo me gustaria preguntar sobre este mismo tema como hago para migrar un servidor con centos 5.5 con ldap + Samba que autentica usuarios, de un servidor que se me esta quedando obsoleto en cuanto a Harware se refiere. saludos El 27/07/10 12:09, Victor Padro escribió: Realmente hay que ver que tantas politicas/servicios utilizas en ese dominio porque si nada mas lo usas para el DNS, DHCP, y authentificacion de usuarios, no creo que sea necesario crear un dominio, si no con un servidor en CentOS con los servicios de LDAP, DNS, DHCP y Samba tienes para reemplazar a Windows Server 2K3, sin embargo como se que tienen limitado su acceso a internet te hago llegar un pdf que te ayudara muchisimo. Saludos. Con smbldap-tools podrias hacer la migracion, sin embargo recomendaria hacer un laboratorio antes y hacer las pruebas correspondientes antes de tirar el Servidor y levantar el nuevo. Saludos. El problema es la gestión de políticas (GPO), hasta la fecha no he encontrado nada que sustituya esa parte.¿Alguien sabe de alguna opción? Quiero agradecer a todos aquellos que respondieron rapidamente mi correo a la lista. Mis intenciones no son de migrar de la noche a la mañana , montare un lab para ir haciendo pruebas, no hay presion en la migración, pero de que hay que migrarlo eso ya esta planificado desde hace mucho y ahora es tiempo de hacerlo , asi que manos a la obra! He podido ver que existe un proyecto que ya me mencionaron en un correo, Directory Server el mismo esta disponible en el repositorio de CentOS , en la seccion de Extras. me pregunto si alguien quizas lo tenga implementado y funcionando desde algun tiempo, que pueda darme sus referencias y opiniones. http://wiki.centos.org/HowTos/DirectoryServerSetup Creo que el mayor problema es la migracion o manejo de las politicas. Que pueden decirme al respecto? Slds Michel -- Webmail, servicio de correo electronico Casa de las Americas - La Habana, Cuba. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Migración del Directorio Activo
No he llegado a probarlo, pero tenía por ahí guardado desde hace mucho este enlace, tal vez sirva para algo; como dice el propio artículo, no es AD, son las antiguas System Policies, pero entiendo que con un emulador de NT4 es lo más a qué se va a poder llegar (al menos hasta que Samba-4 nos ofrezca otras posibilidades): http://wiki.samba.org/index.php/Implementing_System_Policies_with_Samba Este otro enlace también cuenta cosas que podrían ser de interés (me ha parecido): http://www.linuxactionshow.com/forum/comments.php?DiscussionID=238 Esta otra gente tiene una solución, de pago, por lo que parece: http://www.nitrobit.com/ Esta discusión también me ha parecido interesante: https://bbs.archlinux.org/viewtopic.php?id=53597 El caso es que como dice Mónica, en efecto AD es una de las pocas cosas buenas de M$ a efectos funcionales (al margen de cómo este hecho por dentro) y no es tan fácil emularlo por completo, no digamos ya con la misma facilidad de configuración (a Dios lo que es de Dios, a M$ lo que es de M$). Saludos. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Migración del Directorio Activo
Saludos, hermanos. -Mensaje original- De: centos-es-boun...@centos.org [mailto:centos-es-boun...@centos.org] En nombre de mic...@casa.co.cu Enviado el: martes, 27 de julio de 2010 09:39 p.m. Para: centos-es@centos.org Asunto: Re: [CentOS-es] Migración del Directorio Activo Jorge García gar...@gmail.com escribió: El 27 de julio de 2010 12:23, Victor Padro vpa...@gmail.com escribió: 2010/7/27 Alejandro Marin Maturano ama...@impi.gob.mx: Oigan bueno veo que para este si hay mucha gente que sabe y por lo mismo me gustaria preguntar sobre este mismo tema como hago para migrar un servidor con centos 5.5 con ldap + Samba que autentica usuarios, de un servidor que se me esta quedando obsoleto en cuanto a Harware se refiere. saludos El 27/07/10 12:09, Victor Padro escribió: Realmente hay que ver que tantas politicas/servicios utilizas en ese dominio porque si nada mas lo usas para el DNS, DHCP, y authentificacion de usuarios, no creo que sea necesario crear un dominio, si no con un servidor en CentOS con los servicios de LDAP, DNS, DHCP y Samba tienes para reemplazar a Windows Server 2K3, sin embargo como se que tienen limitado su acceso a internet te hago llegar un pdf que te ayudara muchisimo. Saludos. Con smbldap-tools podrias hacer la migracion, sin embargo recomendaria hacer un laboratorio antes y hacer las pruebas correspondientes antes de tirar el Servidor y levantar el nuevo. Saludos. El problema es la gestión de políticas (GPO), hasta la fecha no he encontrado nada que sustituya esa parte.¿Alguien sabe de alguna opción? Quiero agradecer a todos aquellos que respondieron rapidamente mi correo a la lista. Mis intenciones no son de migrar de la noche a la mañana , montare un lab para ir haciendo pruebas, no hay presion en la migración, pero de que hay que migrarlo eso ya esta planificado desde hace mucho y ahora es tiempo de hacerlo , asi que manos a la obra! He podido ver que existe un proyecto que ya me mencionaron en un correo, Directory Server el mismo esta disponible en el repositorio de CentOS , en la seccion de Extras. me pregunto si alguien quizas lo tenga implementado y funcionando desde algun tiempo, que pueda darme sus referencias y opiniones. http://wiki.centos.org/HowTos/DirectoryServerSetup Creo que el mayor problema es la migracion o manejo de las politicas. Que pueden decirme al respecto? Slds Michel Michel y demás hermanos, migrar un AD no es sencillo si se desea migrar a los usuarios sin tener que pasar a re-establecer su contraseña (yo he pasado por eso y es bastante pesado). Yo tengo poca experiencia en estos temas, lo que puedo aportar es lo siguiente: Monta un Fedora (ahora 389) Directory Server (los paquetes están en el Repo de EPEL y Alcance Libre), el proceso de instalación es sencillo. Luego de que tengas todo OK, entonces procede a crear el certificado para asegurar tus conexiones LDAP (por el puerto 686) y especifícale en el servidor que solamente acepte conexiones seguras, en el lado del cliente ejecutas openssl con algunas opciones y apuntando al puerto 686 del servidor LDAP para extraerle el certificado al mismo para que el cliente se conecte sin problemas, claro está que tendrías que configurar el cliente LDAP después. Luego asegúrate que tu W2K3 tenga su Entidad Emisora de Certificados y su AD tenga su certificado. Si todo está OK, entonces tiene que obtener ambos certificados (en el Wincows es un .pki y en el Linux es un .p12 si la memoria no me falla) para añadirlos a ambos servidores. Con esto hecho tienes que establecer un Acuerdo de Sincronización en el 389DS para así poder sincronizar el 389 con los usuarios del AD. Si todo lo anterior es exitoso, tienes que montar en en Windows el PassSync y configurarlo para que en cuanto haya algún cambio de contraseña por parte de un usuario, pues, que el PassSync la capture y se la mande al 389DS (esto es debido a que la función de Hash de los passwords en Wincows no es igual a la de Linux y, dicho sea de paso, el password no se guarda en la entrada del usuario en el AD), hay varios modos de forzar a los usuarios a que cambien sus pass, uno de ellos (el que más me gusta) es por las políticas de cambio de pass. Una vez obtenidos todos los datos de los usuarios, entonces es que montar en tu Linux el smbldap-tools. Claro, entre un amigo y yo lo modificamos (sin saber ni K de phyton ni perl) para que convirtiera las entradas ntUser obtenidas del AD en entradas posixAccount y sambaSAMAccount para que nos pudieran servir para los usuarios (se imaginas casi 1000 usuarios pasando por el sistema para poner contraseñas, un verdadero dolor de cabeza). Esto fue lo que hicimos por allá por el año 2007 para resolver el problema de la migración, claro, de eso ya casi no me acuerdo nada porque me desentendí de eso. XD Ya saben, cuando uno se pone viejo la memoria falla. XD Sí sé que tengo esos
Re: [CentOS-es] Migración del Directorio Activo
... Jorge García gar...@gmail.com escribió: El 27 de julio de 2010 12:23, Victor Padro vpa...@gmail.com escribió: 2010/7/27 Alejandro Marin Maturano ama...@impi.gob.mx: Oigan bueno veo que para este si hay mucha gente que sabe y por lo mismo me gustaria preguntar sobre este mismo tema como hago para migrar un servidor con centos 5.5 con ldap + Samba que autentica usuarios, de un servidor que se me esta quedando obsoleto en cuanto a Harware se refiere. saludos El 27/07/10 12:09, Victor Padro escribió: Realmente hay que ver que tantas politicas/servicios utilizas en ese dominio porque si nada mas lo usas para el DNS, DHCP, y authentificacion de usuarios, no creo que sea necesario crear un dominio, si no con un servidor en CentOS con los servicios de LDAP, DNS, DHCP y Samba tienes para reemplazar a Windows Server 2K3, sin embargo como se que tienen limitado su acceso a internet te hago llegar un pdf que te ayudara muchisimo. Saludos. Con smbldap-tools podrias hacer la migracion, sin embargo recomendaria hacer un laboratorio antes y hacer las pruebas correspondientes antes de tirar el Servidor y levantar el nuevo. Saludos. El problema es la gestión de políticas (GPO), hasta la fecha no he encontrado nada que sustituya esa parte.¿Alguien sabe de alguna opción? Sí, Nitrobit Group Policy, lo malo es que tienes que entrenar el bolsillo. XDD Está muy bueno para establecer las GPO en Wincows. Ah, te sirve también en un AD. El tipo no cree. XD -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
[CentOS-es] Problema con puertos en IPTABLES
Hola lista tengo un problema con iptables y los puertos, lo que pasa es que necesito abrir solo el puerto 22 de la maquina con la IP 192.168.1.33 y que solo su pueda conectar con la maquina 192.168.1.16 y viceversa, mi script es el siguiente: ##!/bin/sh ##SCRIPT de IPTABLES - ejemplo del manual de iptables ## Ejemplo de script para firewall entre redes. ## Pello Xabier Altadill Izura ## www.pello.info - pe...@pello.info echo Aplicando Reglas de Firewall... ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica por defecto iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP ##Permitir conexiones locales iptables -A INPUT -i 192.168.1.33 -j ACCEPT ##Abrimos el puerto 22 iptables -A INPUT -s 192.168.1.16 -d 192.168.1.33 -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -s 192.168.1.33 -d 192.168.1.16 -p tcp --sport 22 -j ACCEPT No se por que cuando hago un iptables -L -n me aparece esto: Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- 0.0.0.0/00.0.0.0/0 ACCEPT tcp -- 192.168.1.16 192.168.1.33tcp dpt:22 Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy DROP) target prot opt source destination ACCEPT tcp -- 192.168.1.33 192.168.1.16tcp spt:22 Y al momento de hacer un ssh de la maquina 192.168.1.16 a la 192.168.1.33 si me puedo conectar pero cuando me conecto de 192.168.1.33 a la 192.168.1.16 no puedo estuve jugando con las reglas y me di cuenta que es al momento de asignarle el puerto por que por ejemplo si la unicas reglas fueran: iptables -A INPUT -s 192.168.1.16 -d 192.168.1.33 -p tcp -j ACCEPT iptables -A OUTPUT -s 192.168.1.33 -d 192.168.1.16 -p tcp -j ACCEPT si me puedo conectar pero abviamente al no asignarle ningun puerto las dos maquinas tiene comunicación por todos los puertos algo que no quiero alquien tiene alguna idea?? la versión de IPTABLES que manejo es la iptables v1.3.5 Gracias de antemano. Saludos ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Problema con puertos en IPTABLES
2010/7/28 daniel danielog2...@gmail.com Hola lista tengo un problema con iptables y los puertos, lo que pasa es que necesito abrir solo el puerto 22 de la maquina con la IP 192.168.1.33 y que solo su pueda conectar con la maquina 192.168.1.16 y viceversa, mi script es el siguiente: ##!/bin/sh ##SCRIPT de IPTABLES - ejemplo del manual de iptables ## Ejemplo de script para firewall entre redes. ## Pello Xabier Altadill Izura ## www.pello.info - pe...@pello.info echo Aplicando Reglas de Firewall... ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica por defecto iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP ##Permitir conexiones locales iptables -A INPUT -i 192.168.1.33 -j ACCEPT ##Abrimos el puerto 22 iptables -A INPUT -s 192.168.1.16 -d 192.168.1.33 -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -s 192.168.1.33 -d 192.168.1.16 -p tcp --sport 22 -j ACCEPT No se por que cuando hago un iptables -L -n me aparece esto: Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- 0.0.0.0/00.0.0.0/0 ACCEPT tcp -- 192.168.1.16 192.168.1.33tcp dpt:22 Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy DROP) target prot opt source destination ACCEPT tcp -- 192.168.1.33 192.168.1.16tcp spt:22 Y al momento de hacer un ssh de la maquina 192.168.1.16 a la 192.168.1.33 si me puedo conectar pero cuando me conecto de 192.168.1.33 a la 192.168.1.16 no puedo estuve jugando con las reglas y me di cuenta que es al momento de asignarle el puerto por que por ejemplo si la unicas reglas fueran: iptables -A INPUT -s 192.168.1.16 -d 192.168.1.33 -p tcp -j ACCEPT iptables -A OUTPUT -s 192.168.1.33 -d 192.168.1.16 -p tcp -j ACCEPT si me puedo conectar pero abviamente al no asignarle ningun puerto las dos maquinas tiene comunicación por todos los puertos algo que no quiero alquien tiene alguna idea?? la versión de IPTABLES que manejo es la iptables v1.3.5 Gracias de antemano. El puerto 22 debería estar abierto en la máquina que recibe la conexión SSH. Si no puedes conectarte a la 192.168.1.16 puede ser que no has corrido tu script de firewall en ese equipo. Por otro lado, recuerda que no basta con abrir el puerto para que exista el servicio de ssh, sino que debes activarlo con service sshd start. Otra cosa para recordar es que posiblemente tengas activado el servicio iptables, que tiene su propio conjunto de reglas, y con este script puede tener colisiones. Si vas a usar tus propias reglas, es recomendable que bajes el servicio iptables para evitar confusiones (de iptables y tuyas). Si en cambio sigues usando el servicio iptables, busca el archivo /etc/sysconfig/iptables y edita éste. Luego manejas el firewall con service iptables stop/start. También en ese caso si usas escritorio gráfico, además tienes una consola de administración gráfica accesible desde el escritorio. -- Eduardo Grosclaude Universidad Nacional del Comahue Neuquen, Argentina ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Migración del Directorio Activo
Héctor Suárez Planas bolo...@medired.scu.sld.cu escribió: Saludos, hermanos. -Mensaje original- De: centos-es-boun...@centos.org [mailto:centos-es-boun...@centos.org] En nombre de mic...@casa.co.cu Enviado el: martes, 27 de julio de 2010 09:39 p.m. Para: centos-es@centos.org Asunto: Re: [CentOS-es] Migración del Directorio Activo Jorge García gar...@gmail.com escribió: El 27 de julio de 2010 12:23, Victor Padro vpa...@gmail.com escribió: 2010/7/27 Alejandro Marin Maturano ama...@impi.gob.mx: Oigan bueno veo que para este si hay mucha gente que sabe y por lo mismo me gustaria preguntar sobre este mismo tema como hago para migrar un servidor con centos 5.5 con ldap + Samba que autentica usuarios, de un servidor que se me esta quedando obsoleto en cuanto a Harware se refiere. saludos El 27/07/10 12:09, Victor Padro escribió: Realmente hay que ver que tantas politicas/servicios utilizas en ese dominio porque si nada mas lo usas para el DNS, DHCP, y authentificacion de usuarios, no creo que sea necesario crear un dominio, si no con un servidor en CentOS con los servicios de LDAP, DNS, DHCP y Samba tienes para reemplazar a Windows Server 2K3, sin embargo como se que tienen limitado su acceso a internet te hago llegar un pdf que te ayudara muchisimo. Saludos. Con smbldap-tools podrias hacer la migracion, sin embargo recomendaria hacer un laboratorio antes y hacer las pruebas correspondientes antes de tirar el Servidor y levantar el nuevo. Saludos. El problema es la gestión de políticas (GPO), hasta la fecha no he encontrado nada que sustituya esa parte.¿Alguien sabe de alguna opción? Quiero agradecer a todos aquellos que respondieron rapidamente mi correo a la lista. Mis intenciones no son de migrar de la noche a la mañana , montare un lab para ir haciendo pruebas, no hay presion en la migración, pero de que hay que migrarlo eso ya esta planificado desde hace mucho y ahora es tiempo de hacerlo , asi que manos a la obra! He podido ver que existe un proyecto que ya me mencionaron en un correo, Directory Server el mismo esta disponible en el repositorio de CentOS , en la seccion de Extras. me pregunto si alguien quizas lo tenga implementado y funcionando desde algun tiempo, que pueda darme sus referencias y opiniones. http://wiki.centos.org/HowTos/DirectoryServerSetup Creo que el mayor problema es la migracion o manejo de las politicas. Que pueden decirme al respecto? Slds Michel Michel y demás hermanos, migrar un AD no es sencillo si se desea migrar a los usuarios sin tener que pasar a re-establecer su contraseña (yo he pasado por eso y es bastante pesado). Yo tengo poca experiencia en estos temas, lo que puedo aportar es lo siguiente: Monta un Fedora (ahora 389) Directory Server (los paquetes están en el Repo de EPEL y Alcance Libre), el proceso de instalación es sencillo. Luego de que tengas todo OK, entonces procede a crear el certificado para asegurar tus conexiones LDAP (por el puerto 686) y especifícale en el servidor que solamente acepte conexiones seguras, en el lado del cliente ejecutas openssl con algunas opciones y apuntando al puerto 686 del servidor LDAP para extraerle el certificado al mismo para que el cliente se conecte sin problemas, claro está que tendrías que configurar el cliente LDAP después. Luego asegúrate que tu W2K3 tenga su Entidad Emisora de Certificados y su AD tenga su certificado. Si todo está OK, entonces tiene que obtener ambos certificados (en el Wincows es un .pki y en el Linux es un .p12 si la memoria no me falla) para añadirlos a ambos servidores. Con esto hecho tienes que establecer un Acuerdo de Sincronización en el 389DS para así poder sincronizar el 389 con los usuarios del AD. Si todo lo anterior es exitoso, tienes que montar en en Windows el PassSync y configurarlo para que en cuanto haya algún cambio de contraseña por parte de un usuario, pues, que el PassSync la capture y se la mande al 389DS (esto es debido a que la función de Hash de los passwords en Wincows no es igual a la de Linux y, dicho sea de paso, el password no se guarda en la entrada del usuario en el AD), hay varios modos de forzar a los usuarios a que cambien sus pass, uno de ellos (el que más me gusta) es por las políticas de cambio de pass. Una vez obtenidos todos los datos de los usuarios, entonces es que montar en tu Linux el smbldap-tools. Claro, entre un amigo y yo lo modificamos (sin saber ni K de phyton ni perl) para que convirtiera las entradas ntUser obtenidas del AD en entradas posixAccount y sambaSAMAccount para que nos pudieran servir para los usuarios (se imaginas casi 1000 usuarios pasando por el sistema para poner contraseñas, un verdadero dolor de cabeza). Esto fue lo que hicimos por allá por el año 2007 para resolver el problema de la migración, claro, de eso ya casi no me acuerdo nada porque me desentendí de
Re: [CentOS-es] Problema con puertos en IPTABLES
porque no intentas con estas reglas iptables -A INPUT -s 192.168.x.x -p tcp -m tcp --dport 22 -j ACCEPT iptables -A OUTPUT -d 192.168.x.x -p tcp -m tcp --dport 22 -j ACCEPT y vas colocando uno por uno las reglas desde la linea de comando y ves que pasa Saludos On 7/28/2010 2:57 PM, Eduardo Grosclaude wrote: 2010/7/28 daniel danielog2...@gmail.com mailto:danielog2...@gmail.com Hola lista tengo un problema con iptables y los puertos, lo que pasa es que necesito abrir solo el puerto 22 de la maquina con la IP 192.168.1.33 y que solo su pueda conectar con la maquina 192.168.1.16 y viceversa, mi script es el siguiente: ##!/bin/sh ##SCRIPT de IPTABLES - ejemplo del manual de iptables ## Ejemplo de script para firewall entre redes. ## Pello Xabier Altadill Izura ## www.pello.info http://www.pello.info - pe...@pello.info mailto:pe...@pello.info echo Aplicando Reglas de Firewall... ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica por defecto iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP ##Permitir conexiones locales iptables -A INPUT -i 192.168.1.33 -j ACCEPT ##Abrimos el puerto 22 iptables -A INPUT -s 192.168.1.16 -d 192.168.1.33 -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -s 192.168.1.33 -d 192.168.1.16 -p tcp --sport 22 -j ACCEPT No se por que cuando hago un iptables -L -n me aparece esto: Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- 0.0.0.0/0 http://0.0.0.0/0 0.0.0.0/0 http://0.0.0.0/0 ACCEPT tcp -- 192.168.1.16 192.168.1.33tcp dpt:22 Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy DROP) target prot opt source destination ACCEPT tcp -- 192.168.1.33 192.168.1.16tcp spt:22 Y al momento de hacer un ssh de la maquina 192.168.1.16 a la 192.168.1.33 si me puedo conectar pero cuando me conecto de 192.168.1.33 a la 192.168.1.16 no puedo estuve jugando con las reglas y me di cuenta que es al momento de asignarle el puerto por que por ejemplo si la unicas reglas fueran: iptables -A INPUT -s 192.168.1.16 -d 192.168.1.33 -p tcp -j ACCEPT iptables -A OUTPUT -s 192.168.1.33 -d 192.168.1.16 -p tcp -j ACCEPT si me puedo conectar pero abviamente al no asignarle ningun puerto las dos maquinas tiene comunicación por todos los puertos algo que no quiero alquien tiene alguna idea?? la versión de IPTABLES que manejo es la iptables v1.3.5 Gracias de antemano. El puerto 22 debería estar abierto en la máquina que recibe la conexión SSH. Si no puedes conectarte a la 192.168.1.16 puede ser que no has corrido tu script de firewall en ese equipo. Por otro lado, recuerda que no basta con abrir el puerto para que exista el servicio de ssh, sino que debes activarlo con service sshd start. Otra cosa para recordar es que posiblemente tengas activado el servicio iptables, que tiene su propio conjunto de reglas, y con este script puede tener colisiones. Si vas a usar tus propias reglas, es recomendable que bajes el servicio iptables para evitar confusiones (de iptables y tuyas). Si en cambio sigues usando el servicio iptables, busca el archivo /etc/sysconfig/iptables y edita éste. Luego manejas el firewall con service iptables stop/start. También en ese caso si usas escritorio gráfico, además tienes una consola de administración gráfica accesible desde el escritorio. -- Eduardo Grosclaude Universidad Nacional del Comahue Neuquen, Argentina ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
[CentOS-es] Problemas con IPTABLES
Saludos, Tengo un servidor con dos tarjetas de red, eth0 lan (192.168.0.1) y eht1 wan (192.168.13.22). Tengo configurado un firewall con Iptables y la política por defecto es DROP, también tengo un Squid (192.168.0.1)que es hijo de otro (192.168.44.27 (parent)). Con el Iptables detenido todo funciona, pero una vez que lo arranco no puedo navegar desde ninguna de las máquinas de la lan, al revisar las estadísticas me percato que el problema es desde mi servidor hacia el que recibo la cachue de squid. esta es la configuración de mi firewall. # Generated by iptables-save v1.3.5 on Thu Jul 8 11:25:56 2010 *mangle :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT # Completed on Thu Jul 8 11:25:56 2010 # Generated by iptables-save v1.3.5 on Thu Jul 8 11:25:56 2010 *nat :OUTPUT ACCEPT [0:0] :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A PREROUTING -p tcp -m tcp -s 192.168.0.0/24 -i eth0 --dport 80 -j REDIRECT --to 3128 -A POSTROUTING -p tcp -m tcp -s 192.168.0.0/24 -d 192.168.44.26 -o eth1 -j MASQUERADE -A POSTROUTING -p tcp -m tcp -s 192.168.0.0/24 -d 192.168.44.28 -o eth1 -j MASQUERADE COMMIT # Completed on Thu Jul 8 11:25:56 2010 # Generated by iptables-save v1.3.5 on Thu Jul 8 11:25:56 2010 *filter :FORWARD DROP [0:0] :INPUT DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A INPUT -i eth0 -j ACCEPT -A OUTPUT -o eth0 -j ACCEPT -A INPUT -s 192.168.0.0/24 -i eth0 -j ACCEPT -A OUTPUT -d 192.168.0.0/24 -o eth0 -j ACCEPT -A INPUT -p tcp -m tcp -s 192.168.0.0/24 --dport 21 -j ACCEPT -A OUTPUT -p tcp -m tcp -d 192.168.0.0/24 --sport 21 -j ACCEPT -A INPUT -p udp -m udp -s 192.168.0.0/24 --dport 21 -j ACCEPT -A OUTPUT -p udp -m udp -d 192.168.0.0/24 --sport 21 -j ACCEPT -A INPUT -p tcp -m tcp -s 192.168.0.11 --dport 22 -j ACCEPT -A OUTPUT -p tcp -m tcp -d 192.168.0.11 --sport 22 -j ACCEPT -A FORWARD -i eth0 -j ACCEPT -A FORWARD -o eth0 -j ACCEPT -A FORWARD -p tcp -m tcp -s 192.168.0.0/24 -i eth0 --dport 80 -j ACCEPT -A INPUT -p udp -m udp -s 192.168.0.11 --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp -s 192.168.0.11 --dport 53 -j ACCEPT -A OUTPUT -p udp -m udp -d 192.168.0.11 --sport 22 -j ACCEPT -A INPUT -p udp -m udp -s 192.168.0.11 --dport 53 -j ACCEPT -A OUTPUT -p tcp -m tcp -d 192.168.0.11 --sport 53 -j ACCEPT -A INPUT -p tcp -m tcp -m state --sport 80 --state ESTABLISHED,RELATED -j ACCEPT -A OUTPUT -p udp -m udp -d 192.168.0.11 --sport 53 -j ACCEPT COMMIT # Completed on Thu Jul 8 11:25:56 2010___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es