Re: [CentOS-es] IPtables y 1 interface

[David González Romero]

Bueno ya resolví. En realidad todo estaba bien. Excepto que cambien el
MASQUERADE lo había hecho al eth0:1 y era solo al eth0.

Después en los clientes había que definir los DNS del Proveedor;
aunque esto es algo que puedo eliminar con un dnsmasq.

Saludos,
David

El día 14 de marzo de 2016, 8:53, David González Romero
 escribió:
> Hola Lista:
>
> Tengo un pequeño server Cento6.x temporal que quiero montar para hacer
> un simple NAT de la red. Este server tiene solo 1 interfaz de red
> "eth0"
>
> eth0 tiene la configuración IP del proveedor que me permite la salida
> a internet. Y yo le creo una interfaz de red virtual eth0:1 con la
> configuración:
> /etc/sysconfig/network-scripts/ifcfg-eth0:1
> DEVICE=eth0:1
> TYPE=Ethernet
> ONBOOT=yes
> NM_CONTROLLED=yes
> BOOTPROTO=none
> HWADDR=52:54:00:90:0E:A7
> IPADDR=10.10.0.1
> NETMASK=255.255.0.0
> NAME="System eth0:1"
>
> En el mismo puse un squid y con el squi puedo navegar, pero a la hora
> de hacer el NAT no me funciona.
> /etc/system/iptables
> *nat
> :PREROUTING ACCEPT [682:48594]
> :POSTROUTING ACCEPT [1270:63654]
> :OUTPUT ACCEPT [1270:63654]
> -A POSTROUTING -s 10.10.0.0/16 -o eth0:1 -j MASQUERADE
> COMMIT
> *filter
> :INPUT ACCEPT [0:0]
> :FORWARD ACCEPT [0:0]
> :OUTPUT ACCEPT [0:0]
> -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> -A INPUT -p icmp -j ACCEPT
> -A INPUT -i lo -j ACCEPT
> -A INPUT -s 10.10.0.0/16 -j ACCEPT
> -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
> -A INPUT -s 10.10.0.0/16 -p tcp -m tcp --dport 3128 -j ACCEPT
> -A INPUT -j REJECT --reject-with icmp-host-prohibited
> -A FORWARD -j REJECT --reject-with icmp-host-prohibited
> COMMIT
>
> Esta habilitado el bit de ip_forward = 1
>
> Desde 10.10.0.2 puedo hacer ping a 10.10.0.1 y a la IP del proveedor.
> Pero no me permite hacer más nada.
>
> Alguna sugerencia con relación a la regla de enmascaramiento??
>
> Saludos,
> David
___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [IPTables] Opinion sobre un Firewall con DROP por defecto ?

[angel jauregui]

Otro problema...

Es que si reiniciar el firewall, debes volver a mencionar las politicas
INPUT, FORWARD y OUTPUT, cambiandolas a ACCEPT, sino solamente estas
vaciando iptables pero las politicas se quedan tal cual..

Saludos !

El 30 de marzo de 2015, 13:02, angel jauregui 
escribió:

> Solucionado:
>
> iptables -A INPUT -s MI.ip -p tcp -j ACCEPT
> iptables -A INPUT -s MI.ip -p udp -j ACCEPT
> iptables -A INPUT -s MI.ip -p icmp -j ACCEPT
>
> Ya puedo consultar de mi server hacia afuera...
>
> Saludos !
>
> El 30 de marzo de 2015, 13:01, angel jauregui 
> escribió:
>
>> La regla que hice para evitar problemas es que la politica OUTPUT sea
>> ACCEPT, y solo DROP para INPUT y FORWARD, despues declarar los puertos
>> tcp/udp con regla INPUT y FORWARD en ACCEPT, asi no da problema.
>>
>> Pero OJO, veo que el server jala todo bien, el problema que veo ahora es
>> DESDE ADENTRO, no puedo hacer ping ni wget a nada... creo que hay que hacer
>> reglas tambien para conexion de adentor hacia afuera.
>>
>> Vere el link :D
>>
>> Saludos !
>>
>> El 30 de marzo de 2015, 12:54, José Roberto Alas 
>> escribió:
>>
>>> El 29 de marzo de 2015, 7:56 p. m., angel jauregui
>>>  escribió:
>>> > Pues para empezar visiblemente las reglas estan bien, pero cuando
>>> levanto
>>> > el firewall los puertos pasan de "open" a "filtered", y no permite
>>> conectar
>>>
>>> Muy interesante esta explicación, espero te sirva
>>>
>>> http://systemadmin.es/2009/12/diferencia-entre-open-closed-y-filtered-en-nmap
>>>
>>> > :(
>>> >
>>> > El SSH si lo tengo abierto, pero lo omiti en mis reglas
>>> >
>>> > De momento estoy haciendo pruebas en una *VirtualBox* y como les
>>> comente,
>>> > las reglas no tiran error, pero me deja los puertos filtrados, en fin,
>>> > inaccesible el servicio :(
>>> >
>>> > Saludos !
>>> >
>>> > El 28 de marzo de 2015, 18:15, José Roberto Alas <
>>> jrobertoa...@gmail.com>
>>> > escribió:
>>> >
>>> >> 2015-03-27 19:44 GMT-06:00, angel jauregui :
>>> >> > jajajajaja la volvi a regar hay va de nuez:
>>> >> >
>>> >> > # denegamos todo
>>> >> > iptables -P INPUT DROP# cancelamos
>>> >> entrada
>>> >> > iptables -P OUTPUT DROP   # cancelamos
>>> >> salidas
>>> >> > iptables -P FORWARD DROP  # cancelamos reencios
>>> >> > iptables -t nat -P PREROUTING DROP# cancelamos nat
>>> prerouting
>>> >> > iptables -t nat -P POSTROUTING DROP   # cancelamos nat
>>> >> postrouting
>>> >> >
>>> >> > echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de
>>> >> reenvio
>>> >> >
>>> >> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>>> --dport
>>> >> > 80 -j ACCEPT
>>> >> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>>> --dport
>>> >> > 443 -j ACCEPT
>>> >> > iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>>> >> > iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>>> >>
>>> >> Pues se ve que esta bien, pero dale permisos a una IP para que tenga
>>> >> acceso, para que no te desplaces hasta el equipo fisico.
>>> >>
>>> >> No esta de mas permitir el acceso por SSH, para administrar el server
>>> >>
>>> >> >
>>> >> > El 27 de marzo de 2015, 20:37, angel jauregui <
>>> darkdiabl...@gmail.com>
>>> >> > escribió:
>>> >> >
>>> >> >> Rayos... se copio y pego doble :S... hay va corregido:
>>> >> >>
>>> >> >> # denegamos todo
>>> >> >> iptables -P INPUT ACCEPT#
>>> cancelamos
>>> >> >> entrada
>>> >> >> iptables -P OUTPUT ACCEPT   #
>>> cancelamos
>>> >> >> salidas
>>> >> >> iptables -P FORWARD ACCEPT  # cancelamos
>>> reencios
>>> >> >> iptables -t nat -P PREROUTING ACCEPT# cancelamos nat
>>> >> >> prerouting
>>> >> >> iptables -t nat -P POSTROUTING ACCEPT   # cancelamos nat
>>> >> >> postrouting
>>> >> >>
>>> >> >> echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de
>>> >> >> reenvio
>>> >> >>
>>> >> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>>> >> --dport
>>> >> >> 80 -j ACCEPT
>>> >> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>>> >> --dport
>>> >> >> 443 -j ACCEPT
>>> >> >> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>>> >> >> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>>> >> >>
>>> >> >> El 27 de marzo de 2015, 20:36, angel jauregui <
>>> darkdiabl...@gmail.com>
>>> >> >> escribió:
>>> >> >>
>>> >> >> Buen dia lista :D
>>> >> >>>
>>> >> >>> Quiero montar un firewall configurado por defecto en DROP y abrir
>>> solo
>>> >> >>> los puertos que quiero, pero como el servidor esta EN LINEA, no
>>> quiero
>>> >> >>> cagarla y quedarme sin conexion jejejej :D
>>> >> >>>
>>> >> >>> Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto,
>>> de
>>> >> >>> modo
>>> >> >>> que *hice las siguientes reglas* las cuales quiero ver si pueden
>>> >> >>> checarlas y me den sus criticas:
>>> >> >>>
>>> >> >>> iptables -F
>>>

Re: [CentOS-es] [IPTables] Opinion sobre un Firewall con DROP por defecto ?

[angel jauregui]

Solucionado:

iptables -A INPUT -s MI.ip -p tcp -j ACCEPT
iptables -A INPUT -s MI.ip -p udp -j ACCEPT
iptables -A INPUT -s MI.ip -p icmp -j ACCEPT

Ya puedo consultar de mi server hacia afuera...

Saludos !

El 30 de marzo de 2015, 13:01, angel jauregui 
escribió:

> La regla que hice para evitar problemas es que la politica OUTPUT sea
> ACCEPT, y solo DROP para INPUT y FORWARD, despues declarar los puertos
> tcp/udp con regla INPUT y FORWARD en ACCEPT, asi no da problema.
>
> Pero OJO, veo que el server jala todo bien, el problema que veo ahora es
> DESDE ADENTRO, no puedo hacer ping ni wget a nada... creo que hay que hacer
> reglas tambien para conexion de adentor hacia afuera.
>
> Vere el link :D
>
> Saludos !
>
> El 30 de marzo de 2015, 12:54, José Roberto Alas 
> escribió:
>
>> El 29 de marzo de 2015, 7:56 p. m., angel jauregui
>>  escribió:
>> > Pues para empezar visiblemente las reglas estan bien, pero cuando
>> levanto
>> > el firewall los puertos pasan de "open" a "filtered", y no permite
>> conectar
>>
>> Muy interesante esta explicación, espero te sirva
>>
>> http://systemadmin.es/2009/12/diferencia-entre-open-closed-y-filtered-en-nmap
>>
>> > :(
>> >
>> > El SSH si lo tengo abierto, pero lo omiti en mis reglas
>> >
>> > De momento estoy haciendo pruebas en una *VirtualBox* y como les
>> comente,
>> > las reglas no tiran error, pero me deja los puertos filtrados, en fin,
>> > inaccesible el servicio :(
>> >
>> > Saludos !
>> >
>> > El 28 de marzo de 2015, 18:15, José Roberto Alas <
>> jrobertoa...@gmail.com>
>> > escribió:
>> >
>> >> 2015-03-27 19:44 GMT-06:00, angel jauregui :
>> >> > jajajajaja la volvi a regar hay va de nuez:
>> >> >
>> >> > # denegamos todo
>> >> > iptables -P INPUT DROP# cancelamos
>> >> entrada
>> >> > iptables -P OUTPUT DROP   # cancelamos
>> >> salidas
>> >> > iptables -P FORWARD DROP  # cancelamos reencios
>> >> > iptables -t nat -P PREROUTING DROP# cancelamos nat
>> prerouting
>> >> > iptables -t nat -P POSTROUTING DROP   # cancelamos nat
>> >> postrouting
>> >> >
>> >> > echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de
>> >> reenvio
>> >> >
>> >> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>> --dport
>> >> > 80 -j ACCEPT
>> >> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>> --dport
>> >> > 443 -j ACCEPT
>> >> > iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>> >> > iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>> >>
>> >> Pues se ve que esta bien, pero dale permisos a una IP para que tenga
>> >> acceso, para que no te desplaces hasta el equipo fisico.
>> >>
>> >> No esta de mas permitir el acceso por SSH, para administrar el server
>> >>
>> >> >
>> >> > El 27 de marzo de 2015, 20:37, angel jauregui <
>> darkdiabl...@gmail.com>
>> >> > escribió:
>> >> >
>> >> >> Rayos... se copio y pego doble :S... hay va corregido:
>> >> >>
>> >> >> # denegamos todo
>> >> >> iptables -P INPUT ACCEPT# cancelamos
>> >> >> entrada
>> >> >> iptables -P OUTPUT ACCEPT   # cancelamos
>> >> >> salidas
>> >> >> iptables -P FORWARD ACCEPT  # cancelamos
>> reencios
>> >> >> iptables -t nat -P PREROUTING ACCEPT# cancelamos nat
>> >> >> prerouting
>> >> >> iptables -t nat -P POSTROUTING ACCEPT   # cancelamos nat
>> >> >> postrouting
>> >> >>
>> >> >> echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de
>> >> >> reenvio
>> >> >>
>> >> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>> >> --dport
>> >> >> 80 -j ACCEPT
>> >> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>> >> --dport
>> >> >> 443 -j ACCEPT
>> >> >> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>> >> >> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>> >> >>
>> >> >> El 27 de marzo de 2015, 20:36, angel jauregui <
>> darkdiabl...@gmail.com>
>> >> >> escribió:
>> >> >>
>> >> >> Buen dia lista :D
>> >> >>>
>> >> >>> Quiero montar un firewall configurado por defecto en DROP y abrir
>> solo
>> >> >>> los puertos que quiero, pero como el servidor esta EN LINEA, no
>> quiero
>> >> >>> cagarla y quedarme sin conexion jejejej :D
>> >> >>>
>> >> >>> Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto,
>> de
>> >> >>> modo
>> >> >>> que *hice las siguientes reglas* las cuales quiero ver si pueden
>> >> >>> checarlas y me den sus criticas:
>> >> >>>
>> >> >>> iptables -F
>> >> >>> iptables -X
>> >> >>> iptables -Z
>> >> >>> iptables -t nat -F
>> >> >>>
>> >> >>> # denegamos todo
>> >> >>> iptables -P INPUT ACCEPT#
>> cancelamos
>> >> >>> entrada
>> >> >>> iptables -P OUTPUT ACCEPT   #
>> cancelamos
>> >> >>> salidas
>> >> >>> iptables -P FORWARD ACCEPT  # cancelamos
>> reencios
>> >> >>> iptables -t nat -P PREROUTING ACCEPT  

Re: [CentOS-es] [IPTables] Opinion sobre un Firewall con DROP por defecto ?

[angel jauregui]

La regla que hice para evitar problemas es que la politica OUTPUT sea
ACCEPT, y solo DROP para INPUT y FORWARD, despues declarar los puertos
tcp/udp con regla INPUT y FORWARD en ACCEPT, asi no da problema.

Pero OJO, veo que el server jala todo bien, el problema que veo ahora es
DESDE ADENTRO, no puedo hacer ping ni wget a nada... creo que hay que hacer
reglas tambien para conexion de adentor hacia afuera.

Vere el link :D

Saludos !

El 30 de marzo de 2015, 12:54, José Roberto Alas 
escribió:

> El 29 de marzo de 2015, 7:56 p. m., angel jauregui
>  escribió:
> > Pues para empezar visiblemente las reglas estan bien, pero cuando levanto
> > el firewall los puertos pasan de "open" a "filtered", y no permite
> conectar
>
> Muy interesante esta explicación, espero te sirva
>
> http://systemadmin.es/2009/12/diferencia-entre-open-closed-y-filtered-en-nmap
>
> > :(
> >
> > El SSH si lo tengo abierto, pero lo omiti en mis reglas
> >
> > De momento estoy haciendo pruebas en una *VirtualBox* y como les comente,
> > las reglas no tiran error, pero me deja los puertos filtrados, en fin,
> > inaccesible el servicio :(
> >
> > Saludos !
> >
> > El 28 de marzo de 2015, 18:15, José Roberto Alas  >
> > escribió:
> >
> >> 2015-03-27 19:44 GMT-06:00, angel jauregui :
> >> > jajajajaja la volvi a regar hay va de nuez:
> >> >
> >> > # denegamos todo
> >> > iptables -P INPUT DROP# cancelamos
> >> entrada
> >> > iptables -P OUTPUT DROP   # cancelamos
> >> salidas
> >> > iptables -P FORWARD DROP  # cancelamos reencios
> >> > iptables -t nat -P PREROUTING DROP# cancelamos nat
> prerouting
> >> > iptables -t nat -P POSTROUTING DROP   # cancelamos nat
> >> postrouting
> >> >
> >> > echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de
> >> reenvio
> >> >
> >> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
> --dport
> >> > 80 -j ACCEPT
> >> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
> --dport
> >> > 443 -j ACCEPT
> >> > iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
> >> > iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
> >>
> >> Pues se ve que esta bien, pero dale permisos a una IP para que tenga
> >> acceso, para que no te desplaces hasta el equipo fisico.
> >>
> >> No esta de mas permitir el acceso por SSH, para administrar el server
> >>
> >> >
> >> > El 27 de marzo de 2015, 20:37, angel jauregui  >
> >> > escribió:
> >> >
> >> >> Rayos... se copio y pego doble :S... hay va corregido:
> >> >>
> >> >> # denegamos todo
> >> >> iptables -P INPUT ACCEPT# cancelamos
> >> >> entrada
> >> >> iptables -P OUTPUT ACCEPT   # cancelamos
> >> >> salidas
> >> >> iptables -P FORWARD ACCEPT  # cancelamos reencios
> >> >> iptables -t nat -P PREROUTING ACCEPT# cancelamos nat
> >> >> prerouting
> >> >> iptables -t nat -P POSTROUTING ACCEPT   # cancelamos nat
> >> >> postrouting
> >> >>
> >> >> echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de
> >> >> reenvio
> >> >>
> >> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
> >> --dport
> >> >> 80 -j ACCEPT
> >> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
> >> --dport
> >> >> 443 -j ACCEPT
> >> >> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
> >> >> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
> >> >>
> >> >> El 27 de marzo de 2015, 20:36, angel jauregui <
> darkdiabl...@gmail.com>
> >> >> escribió:
> >> >>
> >> >> Buen dia lista :D
> >> >>>
> >> >>> Quiero montar un firewall configurado por defecto en DROP y abrir
> solo
> >> >>> los puertos que quiero, pero como el servidor esta EN LINEA, no
> quiero
> >> >>> cagarla y quedarme sin conexion jejejej :D
> >> >>>
> >> >>> Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto, de
> >> >>> modo
> >> >>> que *hice las siguientes reglas* las cuales quiero ver si pueden
> >> >>> checarlas y me den sus criticas:
> >> >>>
> >> >>> iptables -F
> >> >>> iptables -X
> >> >>> iptables -Z
> >> >>> iptables -t nat -F
> >> >>>
> >> >>> # denegamos todo
> >> >>> iptables -P INPUT ACCEPT# cancelamos
> >> >>> entrada
> >> >>> iptables -P OUTPUT ACCEPT   # cancelamos
> >> >>> salidas
> >> >>> iptables -P FORWARD ACCEPT  # cancelamos
> reencios
> >> >>> iptables -t nat -P PREROUTING ACCEPT#iptables -F
> >> >>> iptables -X
> >> >>> iptables -Z
> >> >>> iptables -t nat -F
> >> >>>
> >> >>> # denegamos todo
> >> >>> iptables -P INPUT ACCEPT# cancelamos
> >> >>> entrada
> >> >>> iptables -P OUTPUT ACCEPT   # cancelamos
> >> >>> salidas
> >> >>> iptables -P FORWARD ACCEPT  # cancelamos
> reencios
> >> >>> iptables -t nat -P PREROUTING ACCEPT# cancelamos nat
>

Re: [CentOS-es] [IPTables] Opinion sobre un Firewall con DROP por defecto ?

[José Roberto Alas]

El 29 de marzo de 2015, 7:56 p. m., angel jauregui
 escribió:
> Pues para empezar visiblemente las reglas estan bien, pero cuando levanto
> el firewall los puertos pasan de "open" a "filtered", y no permite conectar

Muy interesante esta explicación, espero te sirva
http://systemadmin.es/2009/12/diferencia-entre-open-closed-y-filtered-en-nmap

> :(
>
> El SSH si lo tengo abierto, pero lo omiti en mis reglas
>
> De momento estoy haciendo pruebas en una *VirtualBox* y como les comente,
> las reglas no tiran error, pero me deja los puertos filtrados, en fin,
> inaccesible el servicio :(
>
> Saludos !
>
> El 28 de marzo de 2015, 18:15, José Roberto Alas 
> escribió:
>
>> 2015-03-27 19:44 GMT-06:00, angel jauregui :
>> > jajajajaja la volvi a regar hay va de nuez:
>> >
>> > # denegamos todo
>> > iptables -P INPUT DROP# cancelamos
>> entrada
>> > iptables -P OUTPUT DROP   # cancelamos
>> salidas
>> > iptables -P FORWARD DROP  # cancelamos reencios
>> > iptables -t nat -P PREROUTING DROP# cancelamos nat prerouting
>> > iptables -t nat -P POSTROUTING DROP   # cancelamos nat
>> postrouting
>> >
>> > echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de
>> reenvio
>> >
>> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
>> > 80 -j ACCEPT
>> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
>> > 443 -j ACCEPT
>> > iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>> > iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>>
>> Pues se ve que esta bien, pero dale permisos a una IP para que tenga
>> acceso, para que no te desplaces hasta el equipo fisico.
>>
>> No esta de mas permitir el acceso por SSH, para administrar el server
>>
>> >
>> > El 27 de marzo de 2015, 20:37, angel jauregui 
>> > escribió:
>> >
>> >> Rayos... se copio y pego doble :S... hay va corregido:
>> >>
>> >> # denegamos todo
>> >> iptables -P INPUT ACCEPT# cancelamos
>> >> entrada
>> >> iptables -P OUTPUT ACCEPT   # cancelamos
>> >> salidas
>> >> iptables -P FORWARD ACCEPT  # cancelamos reencios
>> >> iptables -t nat -P PREROUTING ACCEPT# cancelamos nat
>> >> prerouting
>> >> iptables -t nat -P POSTROUTING ACCEPT   # cancelamos nat
>> >> postrouting
>> >>
>> >> echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de
>> >> reenvio
>> >>
>> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>> --dport
>> >> 80 -j ACCEPT
>> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>> --dport
>> >> 443 -j ACCEPT
>> >> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>> >> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>> >>
>> >> El 27 de marzo de 2015, 20:36, angel jauregui 
>> >> escribió:
>> >>
>> >> Buen dia lista :D
>> >>>
>> >>> Quiero montar un firewall configurado por defecto en DROP y abrir solo
>> >>> los puertos que quiero, pero como el servidor esta EN LINEA, no quiero
>> >>> cagarla y quedarme sin conexion jejejej :D
>> >>>
>> >>> Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto, de
>> >>> modo
>> >>> que *hice las siguientes reglas* las cuales quiero ver si pueden
>> >>> checarlas y me den sus criticas:
>> >>>
>> >>> iptables -F
>> >>> iptables -X
>> >>> iptables -Z
>> >>> iptables -t nat -F
>> >>>
>> >>> # denegamos todo
>> >>> iptables -P INPUT ACCEPT# cancelamos
>> >>> entrada
>> >>> iptables -P OUTPUT ACCEPT   # cancelamos
>> >>> salidas
>> >>> iptables -P FORWARD ACCEPT  # cancelamos reencios
>> >>> iptables -t nat -P PREROUTING ACCEPT#iptables -F
>> >>> iptables -X
>> >>> iptables -Z
>> >>> iptables -t nat -F
>> >>>
>> >>> # denegamos todo
>> >>> iptables -P INPUT ACCEPT# cancelamos
>> >>> entrada
>> >>> iptables -P OUTPUT ACCEPT   # cancelamos
>> >>> salidas
>> >>> iptables -P FORWARD ACCEPT  # cancelamos reencios
>> >>> iptables -t nat -P PREROUTING ACCEPT# cancelamos nat
>> >>> prerouting
>> >>> iptables -t nat -P POSTROUTING ACCEPT   # cancelamos nat
>> >>> postrouting
>> >>>
>> >>> echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de
>> >>> reenvio
>> >>>
>> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>> >>> --dport
>> >>> 80 -j ACCEPT
>> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>> >>> --dport
>> >>> 443 -j ACCEPT
>> >>> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>> >>> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>> >>>
>> >>> Saludos !
>> >>>
>> >>> --
>> >>> M.S.I. Angel Haniel Cantu Jauregui.
>> >>>
>> >>> Celular: (011-52-1)-899-871-17-22
>> >>> E-Mail: angel.ca...@sie-group.net
>> >>> Web: http://www.sie-group.net/
>> >>> Cd. Reynosa Tamaulipas

Re: [CentOS-es] [IPTables] Opinion sobre un Firewall con DROP por defecto ?

[José Roberto Alas]

El 30 de marzo de 2015, 11:28 a. m., angel jauregui
 escribió:
> Vaya, se me hace raro que nadie lo comentara, pero hay que ponerle reglas a
> OUPUT porque sino jamas se abre el puerto.

Si tienes razón.
Lo que pasa que en mi caso tengo algunas configuracion al contrario,
abro todo primero y luego cierro. En esa parte inicial van las
conexiones entrantes y salientes.

>
>
> El 29 de marzo de 2015, 20:56, angel jauregui 
> escribió:
>
>> Pues para empezar visiblemente las reglas estan bien, pero cuando levanto
>> el firewall los puertos pasan de "open" a "filtered", y no permite conectar
>> :(
>>
>> El SSH si lo tengo abierto, pero lo omiti en mis reglas
>>
>> De momento estoy haciendo pruebas en una *VirtualBox* y como les comente,
>> las reglas no tiran error, pero me deja los puertos filtrados, en fin,
>> inaccesible el servicio :(
>>
>> Saludos !
>>
>> El 28 de marzo de 2015, 18:15, José Roberto Alas 
>> escribió:
>>
>>> 2015-03-27 19:44 GMT-06:00, angel jauregui :
>>> > jajajajaja la volvi a regar hay va de nuez:
>>> >
>>> > # denegamos todo
>>> > iptables -P INPUT DROP# cancelamos
>>> entrada
>>> > iptables -P OUTPUT DROP   # cancelamos
>>> salidas
>>> > iptables -P FORWARD DROP  # cancelamos reencios
>>> > iptables -t nat -P PREROUTING DROP# cancelamos nat
>>> prerouting
>>> > iptables -t nat -P POSTROUTING DROP   # cancelamos nat
>>> postrouting
>>> >
>>> > echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de
>>> reenvio
>>> >
>>> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>>> --dport
>>> > 80 -j ACCEPT
>>> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>>> --dport
>>> > 443 -j ACCEPT
>>> > iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>>> > iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>>>
>>> Pues se ve que esta bien, pero dale permisos a una IP para que tenga
>>> acceso, para que no te desplaces hasta el equipo fisico.
>>>
>>> No esta de mas permitir el acceso por SSH, para administrar el server
>>>
>>> >
>>> > El 27 de marzo de 2015, 20:37, angel jauregui 
>>> > escribió:
>>> >
>>> >> Rayos... se copio y pego doble :S... hay va corregido:
>>> >>
>>> >> # denegamos todo
>>> >> iptables -P INPUT ACCEPT# cancelamos
>>> >> entrada
>>> >> iptables -P OUTPUT ACCEPT   # cancelamos
>>> >> salidas
>>> >> iptables -P FORWARD ACCEPT  # cancelamos reencios
>>> >> iptables -t nat -P PREROUTING ACCEPT# cancelamos nat
>>> >> prerouting
>>> >> iptables -t nat -P POSTROUTING ACCEPT   # cancelamos nat
>>> >> postrouting
>>> >>
>>> >> echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de
>>> >> reenvio
>>> >>
>>> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>>> --dport
>>> >> 80 -j ACCEPT
>>> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>>> --dport
>>> >> 443 -j ACCEPT
>>> >> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>>> >> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>>> >>
>>> >> El 27 de marzo de 2015, 20:36, angel jauregui 
>>> >> escribió:
>>> >>
>>> >> Buen dia lista :D
>>> >>>
>>> >>> Quiero montar un firewall configurado por defecto en DROP y abrir solo
>>> >>> los puertos que quiero, pero como el servidor esta EN LINEA, no quiero
>>> >>> cagarla y quedarme sin conexion jejejej :D
>>> >>>
>>> >>> Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto, de
>>> >>> modo
>>> >>> que *hice las siguientes reglas* las cuales quiero ver si pueden
>>> >>> checarlas y me den sus criticas:
>>> >>>
>>> >>> iptables -F
>>> >>> iptables -X
>>> >>> iptables -Z
>>> >>> iptables -t nat -F
>>> >>>
>>> >>> # denegamos todo
>>> >>> iptables -P INPUT ACCEPT# cancelamos
>>> >>> entrada
>>> >>> iptables -P OUTPUT ACCEPT   # cancelamos
>>> >>> salidas
>>> >>> iptables -P FORWARD ACCEPT  # cancelamos reencios
>>> >>> iptables -t nat -P PREROUTING ACCEPT#iptables -F
>>> >>> iptables -X
>>> >>> iptables -Z
>>> >>> iptables -t nat -F
>>> >>>
>>> >>> # denegamos todo
>>> >>> iptables -P INPUT ACCEPT# cancelamos
>>> >>> entrada
>>> >>> iptables -P OUTPUT ACCEPT   # cancelamos
>>> >>> salidas
>>> >>> iptables -P FORWARD ACCEPT  # cancelamos reencios
>>> >>> iptables -t nat -P PREROUTING ACCEPT# cancelamos nat
>>> >>> prerouting
>>> >>> iptables -t nat -P POSTROUTING ACCEPT   # cancelamos nat
>>> >>> postrouting
>>> >>>
>>> >>> echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de
>>> >>> reenvio
>>> >>>
>>> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>>> >>> --dport
>>> >>> 80 -j ACCEPT
>>> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>>> >>>

Re: [CentOS-es] [IPTables] Opinion sobre un Firewall con DROP por defecto ?

[angel jauregui]

Vaya, se me hace raro que nadie lo comentara, pero hay que ponerle reglas a
OUPUT porque sino jamas se abre el puerto.


El 29 de marzo de 2015, 20:56, angel jauregui 
escribió:

> Pues para empezar visiblemente las reglas estan bien, pero cuando levanto
> el firewall los puertos pasan de "open" a "filtered", y no permite conectar
> :(
>
> El SSH si lo tengo abierto, pero lo omiti en mis reglas
>
> De momento estoy haciendo pruebas en una *VirtualBox* y como les comente,
> las reglas no tiran error, pero me deja los puertos filtrados, en fin,
> inaccesible el servicio :(
>
> Saludos !
>
> El 28 de marzo de 2015, 18:15, José Roberto Alas 
> escribió:
>
>> 2015-03-27 19:44 GMT-06:00, angel jauregui :
>> > jajajajaja la volvi a regar hay va de nuez:
>> >
>> > # denegamos todo
>> > iptables -P INPUT DROP# cancelamos
>> entrada
>> > iptables -P OUTPUT DROP   # cancelamos
>> salidas
>> > iptables -P FORWARD DROP  # cancelamos reencios
>> > iptables -t nat -P PREROUTING DROP# cancelamos nat
>> prerouting
>> > iptables -t nat -P POSTROUTING DROP   # cancelamos nat
>> postrouting
>> >
>> > echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de
>> reenvio
>> >
>> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>> --dport
>> > 80 -j ACCEPT
>> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>> --dport
>> > 443 -j ACCEPT
>> > iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>> > iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>>
>> Pues se ve que esta bien, pero dale permisos a una IP para que tenga
>> acceso, para que no te desplaces hasta el equipo fisico.
>>
>> No esta de mas permitir el acceso por SSH, para administrar el server
>>
>> >
>> > El 27 de marzo de 2015, 20:37, angel jauregui 
>> > escribió:
>> >
>> >> Rayos... se copio y pego doble :S... hay va corregido:
>> >>
>> >> # denegamos todo
>> >> iptables -P INPUT ACCEPT# cancelamos
>> >> entrada
>> >> iptables -P OUTPUT ACCEPT   # cancelamos
>> >> salidas
>> >> iptables -P FORWARD ACCEPT  # cancelamos reencios
>> >> iptables -t nat -P PREROUTING ACCEPT# cancelamos nat
>> >> prerouting
>> >> iptables -t nat -P POSTROUTING ACCEPT   # cancelamos nat
>> >> postrouting
>> >>
>> >> echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de
>> >> reenvio
>> >>
>> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>> --dport
>> >> 80 -j ACCEPT
>> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>> --dport
>> >> 443 -j ACCEPT
>> >> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>> >> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>> >>
>> >> El 27 de marzo de 2015, 20:36, angel jauregui 
>> >> escribió:
>> >>
>> >> Buen dia lista :D
>> >>>
>> >>> Quiero montar un firewall configurado por defecto en DROP y abrir solo
>> >>> los puertos que quiero, pero como el servidor esta EN LINEA, no quiero
>> >>> cagarla y quedarme sin conexion jejejej :D
>> >>>
>> >>> Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto, de
>> >>> modo
>> >>> que *hice las siguientes reglas* las cuales quiero ver si pueden
>> >>> checarlas y me den sus criticas:
>> >>>
>> >>> iptables -F
>> >>> iptables -X
>> >>> iptables -Z
>> >>> iptables -t nat -F
>> >>>
>> >>> # denegamos todo
>> >>> iptables -P INPUT ACCEPT# cancelamos
>> >>> entrada
>> >>> iptables -P OUTPUT ACCEPT   # cancelamos
>> >>> salidas
>> >>> iptables -P FORWARD ACCEPT  # cancelamos reencios
>> >>> iptables -t nat -P PREROUTING ACCEPT#iptables -F
>> >>> iptables -X
>> >>> iptables -Z
>> >>> iptables -t nat -F
>> >>>
>> >>> # denegamos todo
>> >>> iptables -P INPUT ACCEPT# cancelamos
>> >>> entrada
>> >>> iptables -P OUTPUT ACCEPT   # cancelamos
>> >>> salidas
>> >>> iptables -P FORWARD ACCEPT  # cancelamos reencios
>> >>> iptables -t nat -P PREROUTING ACCEPT# cancelamos nat
>> >>> prerouting
>> >>> iptables -t nat -P POSTROUTING ACCEPT   # cancelamos nat
>> >>> postrouting
>> >>>
>> >>> echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de
>> >>> reenvio
>> >>>
>> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>> >>> --dport
>> >>> 80 -j ACCEPT
>> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>> >>> --dport
>> >>> 443 -j ACCEPT
>> >>> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>> >>> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>> >>>
>> >>> Saludos !
>> >>>
>> >>> --
>> >>> M.S.I. Angel Haniel Cantu Jauregui.
>> >>>
>> >>> Celular: (011-52-1)-899-871-17-22
>> >>> E-Mail: angel.ca...@sie-group.net
>> >>> Web: http://www.sie-group.net/
>> >>> Cd. Reynosa Tamaulipas.
>>

Re: [CentOS-es] [IPTables] Opinion sobre un Firewall con DROP por defecto ?

[angel jauregui]

Pues para empezar visiblemente las reglas estan bien, pero cuando levanto
el firewall los puertos pasan de "open" a "filtered", y no permite conectar
:(

El SSH si lo tengo abierto, pero lo omiti en mis reglas

De momento estoy haciendo pruebas en una *VirtualBox* y como les comente,
las reglas no tiran error, pero me deja los puertos filtrados, en fin,
inaccesible el servicio :(

Saludos !

El 28 de marzo de 2015, 18:15, José Roberto Alas 
escribió:

> 2015-03-27 19:44 GMT-06:00, angel jauregui :
> > jajajajaja la volvi a regar hay va de nuez:
> >
> > # denegamos todo
> > iptables -P INPUT DROP# cancelamos
> entrada
> > iptables -P OUTPUT DROP   # cancelamos
> salidas
> > iptables -P FORWARD DROP  # cancelamos reencios
> > iptables -t nat -P PREROUTING DROP# cancelamos nat prerouting
> > iptables -t nat -P POSTROUTING DROP   # cancelamos nat
> postrouting
> >
> > echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de
> reenvio
> >
> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
> > 80 -j ACCEPT
> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
> > 443 -j ACCEPT
> > iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
> > iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>
> Pues se ve que esta bien, pero dale permisos a una IP para que tenga
> acceso, para que no te desplaces hasta el equipo fisico.
>
> No esta de mas permitir el acceso por SSH, para administrar el server
>
> >
> > El 27 de marzo de 2015, 20:37, angel jauregui 
> > escribió:
> >
> >> Rayos... se copio y pego doble :S... hay va corregido:
> >>
> >> # denegamos todo
> >> iptables -P INPUT ACCEPT# cancelamos
> >> entrada
> >> iptables -P OUTPUT ACCEPT   # cancelamos
> >> salidas
> >> iptables -P FORWARD ACCEPT  # cancelamos reencios
> >> iptables -t nat -P PREROUTING ACCEPT# cancelamos nat
> >> prerouting
> >> iptables -t nat -P POSTROUTING ACCEPT   # cancelamos nat
> >> postrouting
> >>
> >> echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de
> >> reenvio
> >>
> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
> --dport
> >> 80 -j ACCEPT
> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
> --dport
> >> 443 -j ACCEPT
> >> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
> >> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
> >>
> >> El 27 de marzo de 2015, 20:36, angel jauregui 
> >> escribió:
> >>
> >> Buen dia lista :D
> >>>
> >>> Quiero montar un firewall configurado por defecto en DROP y abrir solo
> >>> los puertos que quiero, pero como el servidor esta EN LINEA, no quiero
> >>> cagarla y quedarme sin conexion jejejej :D
> >>>
> >>> Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto, de
> >>> modo
> >>> que *hice las siguientes reglas* las cuales quiero ver si pueden
> >>> checarlas y me den sus criticas:
> >>>
> >>> iptables -F
> >>> iptables -X
> >>> iptables -Z
> >>> iptables -t nat -F
> >>>
> >>> # denegamos todo
> >>> iptables -P INPUT ACCEPT# cancelamos
> >>> entrada
> >>> iptables -P OUTPUT ACCEPT   # cancelamos
> >>> salidas
> >>> iptables -P FORWARD ACCEPT  # cancelamos reencios
> >>> iptables -t nat -P PREROUTING ACCEPT#iptables -F
> >>> iptables -X
> >>> iptables -Z
> >>> iptables -t nat -F
> >>>
> >>> # denegamos todo
> >>> iptables -P INPUT ACCEPT# cancelamos
> >>> entrada
> >>> iptables -P OUTPUT ACCEPT   # cancelamos
> >>> salidas
> >>> iptables -P FORWARD ACCEPT  # cancelamos reencios
> >>> iptables -t nat -P PREROUTING ACCEPT# cancelamos nat
> >>> prerouting
> >>> iptables -t nat -P POSTROUTING ACCEPT   # cancelamos nat
> >>> postrouting
> >>>
> >>> echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de
> >>> reenvio
> >>>
> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
> >>> --dport
> >>> 80 -j ACCEPT
> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
> >>> --dport
> >>> 443 -j ACCEPT
> >>> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
> >>> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
> >>>
> >>> Saludos !
> >>>
> >>> --
> >>> M.S.I. Angel Haniel Cantu Jauregui.
> >>>
> >>> Celular: (011-52-1)-899-871-17-22
> >>> E-Mail: angel.ca...@sie-group.net
> >>> Web: http://www.sie-group.net/
> >>> Cd. Reynosa Tamaulipas.
> >>>
> >>
> >>
> >>
> >> --
> >> M.S.I. Angel Haniel Cantu Jauregui.
> >>
> >> Celular: (011-52-1)-899-871-17-22
> >> E-Mail: angel.ca...@sie-group.net
> >> Web: http://www.sie-group.net/
> >> Cd. Reynosa Tamaulipas.
> >>
> >
> >
> >
> > --
> > M.S.I. Angel Haniel Cantu Jauregui.
> >
> > Celular: (011-52-1)-899-871-17-22
> > E-Mail

Re: [CentOS-es] [IPTables] Opinion sobre un Firewall con DROP por defecto ?

[José Roberto Alas]

2015-03-27 19:44 GMT-06:00, angel jauregui :
> jajajajaja la volvi a regar hay va de nuez:
>
> # denegamos todo
> iptables -P INPUT DROP# cancelamos entrada
> iptables -P OUTPUT DROP   # cancelamos salidas
> iptables -P FORWARD DROP  # cancelamos reencios
> iptables -t nat -P PREROUTING DROP# cancelamos nat prerouting
> iptables -t nat -P POSTROUTING DROP   # cancelamos nat postrouting
>
> echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de reenvio
>
> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
> 80 -j ACCEPT
> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
> 443 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

Pues se ve que esta bien, pero dale permisos a una IP para que tenga
acceso, para que no te desplaces hasta el equipo fisico.

No esta de mas permitir el acceso por SSH, para administrar el server

>
> El 27 de marzo de 2015, 20:37, angel jauregui 
> escribió:
>
>> Rayos... se copio y pego doble :S... hay va corregido:
>>
>> # denegamos todo
>> iptables -P INPUT ACCEPT# cancelamos
>> entrada
>> iptables -P OUTPUT ACCEPT   # cancelamos
>> salidas
>> iptables -P FORWARD ACCEPT  # cancelamos reencios
>> iptables -t nat -P PREROUTING ACCEPT# cancelamos nat
>> prerouting
>> iptables -t nat -P POSTROUTING ACCEPT   # cancelamos nat
>> postrouting
>>
>> echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de
>> reenvio
>>
>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
>> 80 -j ACCEPT
>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
>> 443 -j ACCEPT
>> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>>
>> El 27 de marzo de 2015, 20:36, angel jauregui 
>> escribió:
>>
>> Buen dia lista :D
>>>
>>> Quiero montar un firewall configurado por defecto en DROP y abrir solo
>>> los puertos que quiero, pero como el servidor esta EN LINEA, no quiero
>>> cagarla y quedarme sin conexion jejejej :D
>>>
>>> Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto, de
>>> modo
>>> que *hice las siguientes reglas* las cuales quiero ver si pueden
>>> checarlas y me den sus criticas:
>>>
>>> iptables -F
>>> iptables -X
>>> iptables -Z
>>> iptables -t nat -F
>>>
>>> # denegamos todo
>>> iptables -P INPUT ACCEPT# cancelamos
>>> entrada
>>> iptables -P OUTPUT ACCEPT   # cancelamos
>>> salidas
>>> iptables -P FORWARD ACCEPT  # cancelamos reencios
>>> iptables -t nat -P PREROUTING ACCEPT#iptables -F
>>> iptables -X
>>> iptables -Z
>>> iptables -t nat -F
>>>
>>> # denegamos todo
>>> iptables -P INPUT ACCEPT# cancelamos
>>> entrada
>>> iptables -P OUTPUT ACCEPT   # cancelamos
>>> salidas
>>> iptables -P FORWARD ACCEPT  # cancelamos reencios
>>> iptables -t nat -P PREROUTING ACCEPT# cancelamos nat
>>> prerouting
>>> iptables -t nat -P POSTROUTING ACCEPT   # cancelamos nat
>>> postrouting
>>>
>>> echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de
>>> reenvio
>>>
>>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>>> --dport
>>> 80 -j ACCEPT
>>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>>> --dport
>>> 443 -j ACCEPT
>>> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>>> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>>>
>>> Saludos !
>>>
>>> --
>>> M.S.I. Angel Haniel Cantu Jauregui.
>>>
>>> Celular: (011-52-1)-899-871-17-22
>>> E-Mail: angel.ca...@sie-group.net
>>> Web: http://www.sie-group.net/
>>> Cd. Reynosa Tamaulipas.
>>>
>>
>>
>>
>> --
>> M.S.I. Angel Haniel Cantu Jauregui.
>>
>> Celular: (011-52-1)-899-871-17-22
>> E-Mail: angel.ca...@sie-group.net
>> Web: http://www.sie-group.net/
>> Cd. Reynosa Tamaulipas.
>>
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.ca...@sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>


-- 
Saludos,
cheperobert
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [IPTables] Opinion sobre un Firewall con DROP por defecto ?

[Pablo Alberto Flores]

lo que siempre hago es darle a mi ip permisos totales para no "cagarla"

:D

El 27 de marzo de 2015, 22:44, angel jauregui 
escribió:

> jajajajaja la volvi a regar hay va de nuez:
>
> # denegamos todo
> iptables -P INPUT DROP# cancelamos entrada
> iptables -P OUTPUT DROP   # cancelamos salidas
> iptables -P FORWARD DROP  # cancelamos reencios
> iptables -t nat -P PREROUTING DROP# cancelamos nat prerouting
> iptables -t nat -P POSTROUTING DROP   # cancelamos nat postrouting
>
> echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de reenvio
>
> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
> 80 -j ACCEPT
> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
> 443 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>
> El 27 de marzo de 2015, 20:37, angel jauregui 
> escribió:
>
> > Rayos... se copio y pego doble :S... hay va corregido:
> >
> > # denegamos todo
> > iptables -P INPUT ACCEPT# cancelamos
> > entrada
> > iptables -P OUTPUT ACCEPT   # cancelamos
> > salidas
> > iptables -P FORWARD ACCEPT  # cancelamos reencios
> > iptables -t nat -P PREROUTING ACCEPT# cancelamos nat
> prerouting
> > iptables -t nat -P POSTROUTING ACCEPT   # cancelamos nat
> > postrouting
> >
> > echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de
> reenvio
> >
> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
> > 80 -j ACCEPT
> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
> > 443 -j ACCEPT
> > iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
> > iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
> >
> > El 27 de marzo de 2015, 20:36, angel jauregui 
> > escribió:
> >
> > Buen dia lista :D
> >>
> >> Quiero montar un firewall configurado por defecto en DROP y abrir solo
> >> los puertos que quiero, pero como el servidor esta EN LINEA, no quiero
> >> cagarla y quedarme sin conexion jejejej :D
> >>
> >> Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto, de
> modo
> >> que *hice las siguientes reglas* las cuales quiero ver si pueden
> >> checarlas y me den sus criticas:
> >>
> >> iptables -F
> >> iptables -X
> >> iptables -Z
> >> iptables -t nat -F
> >>
> >> # denegamos todo
> >> iptables -P INPUT ACCEPT# cancelamos
> >> entrada
> >> iptables -P OUTPUT ACCEPT   # cancelamos
> >> salidas
> >> iptables -P FORWARD ACCEPT  # cancelamos reencios
> >> iptables -t nat -P PREROUTING ACCEPT#iptables -F
> >> iptables -X
> >> iptables -Z
> >> iptables -t nat -F
> >>
> >> # denegamos todo
> >> iptables -P INPUT ACCEPT# cancelamos
> >> entrada
> >> iptables -P OUTPUT ACCEPT   # cancelamos
> >> salidas
> >> iptables -P FORWARD ACCEPT  # cancelamos reencios
> >> iptables -t nat -P PREROUTING ACCEPT# cancelamos nat
> >> prerouting
> >> iptables -t nat -P POSTROUTING ACCEPT   # cancelamos nat
> >> postrouting
> >>
> >> echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de
> reenvio
> >>
> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
> --dport
> >> 80 -j ACCEPT
> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
> --dport
> >> 443 -j ACCEPT
> >> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
> >> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
> >>
> >> Saludos !
> >>
> >> --
> >> M.S.I. Angel Haniel Cantu Jauregui.
> >>
> >> Celular: (011-52-1)-899-871-17-22
> >> E-Mail: angel.ca...@sie-group.net
> >> Web: http://www.sie-group.net/
> >> Cd. Reynosa Tamaulipas.
> >>
> >
> >
> >
> > --
> > M.S.I. Angel Haniel Cantu Jauregui.
> >
> > Celular: (011-52-1)-899-871-17-22
> > E-Mail: angel.ca...@sie-group.net
> > Web: http://www.sie-group.net/
> > Cd. Reynosa Tamaulipas.
> >
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.ca...@sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [IPTables] Opinion sobre un Firewall con DROP por defecto ?

[angel jauregui]

jajajajaja la volvi a regar hay va de nuez:

# denegamos todo
iptables -P INPUT DROP# cancelamos entrada
iptables -P OUTPUT DROP   # cancelamos salidas
iptables -P FORWARD DROP  # cancelamos reencios
iptables -t nat -P PREROUTING DROP# cancelamos nat prerouting
iptables -t nat -P POSTROUTING DROP   # cancelamos nat postrouting

echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de reenvio

iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
80 -j ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

El 27 de marzo de 2015, 20:37, angel jauregui 
escribió:

> Rayos... se copio y pego doble :S... hay va corregido:
>
> # denegamos todo
> iptables -P INPUT ACCEPT# cancelamos
> entrada
> iptables -P OUTPUT ACCEPT   # cancelamos
> salidas
> iptables -P FORWARD ACCEPT  # cancelamos reencios
> iptables -t nat -P PREROUTING ACCEPT# cancelamos nat prerouting
> iptables -t nat -P POSTROUTING ACCEPT   # cancelamos nat
> postrouting
>
> echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de reenvio
>
> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
> 80 -j ACCEPT
> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
> 443 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>
> El 27 de marzo de 2015, 20:36, angel jauregui 
> escribió:
>
> Buen dia lista :D
>>
>> Quiero montar un firewall configurado por defecto en DROP y abrir solo
>> los puertos que quiero, pero como el servidor esta EN LINEA, no quiero
>> cagarla y quedarme sin conexion jejejej :D
>>
>> Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto, de modo
>> que *hice las siguientes reglas* las cuales quiero ver si pueden
>> checarlas y me den sus criticas:
>>
>> iptables -F
>> iptables -X
>> iptables -Z
>> iptables -t nat -F
>>
>> # denegamos todo
>> iptables -P INPUT ACCEPT# cancelamos
>> entrada
>> iptables -P OUTPUT ACCEPT   # cancelamos
>> salidas
>> iptables -P FORWARD ACCEPT  # cancelamos reencios
>> iptables -t nat -P PREROUTING ACCEPT#iptables -F
>> iptables -X
>> iptables -Z
>> iptables -t nat -F
>>
>> # denegamos todo
>> iptables -P INPUT ACCEPT# cancelamos
>> entrada
>> iptables -P OUTPUT ACCEPT   # cancelamos
>> salidas
>> iptables -P FORWARD ACCEPT  # cancelamos reencios
>> iptables -t nat -P PREROUTING ACCEPT# cancelamos nat
>> prerouting
>> iptables -t nat -P POSTROUTING ACCEPT   # cancelamos nat
>> postrouting
>>
>> echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de reenvio
>>
>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
>> 80 -j ACCEPT
>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
>> 443 -j ACCEPT
>> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>>
>> Saludos !
>>
>> --
>> M.S.I. Angel Haniel Cantu Jauregui.
>>
>> Celular: (011-52-1)-899-871-17-22
>> E-Mail: angel.ca...@sie-group.net
>> Web: http://www.sie-group.net/
>> Cd. Reynosa Tamaulipas.
>>
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.ca...@sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.ca...@sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [IPTables] Opinion sobre un Firewall con DROP por defecto ?

[angel jauregui]

Rayos... se copio y pego doble :S... hay va corregido:

# denegamos todo
iptables -P INPUT ACCEPT# cancelamos entrada
iptables -P OUTPUT ACCEPT   # cancelamos salidas
iptables -P FORWARD ACCEPT  # cancelamos reencios
iptables -t nat -P PREROUTING ACCEPT# cancelamos nat prerouting
iptables -t nat -P POSTROUTING ACCEPT   # cancelamos nat postrouting

echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de reenvio

iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
80 -j ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

El 27 de marzo de 2015, 20:36, angel jauregui 
escribió:

> Buen dia lista :D
>
> Quiero montar un firewall configurado por defecto en DROP y abrir solo los
> puertos que quiero, pero como el servidor esta EN LINEA, no quiero cagarla
> y quedarme sin conexion jejejej :D
>
> Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto, de modo
> que *hice las siguientes reglas* las cuales quiero ver si pueden
> checarlas y me den sus criticas:
>
> iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
>
> # denegamos todo
> iptables -P INPUT ACCEPT# cancelamos
> entrada
> iptables -P OUTPUT ACCEPT   # cancelamos
> salidas
> iptables -P FORWARD ACCEPT  # cancelamos reencios
> iptables -t nat -P PREROUTING ACCEPT#iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
>
> # denegamos todo
> iptables -P INPUT ACCEPT# cancelamos
> entrada
> iptables -P OUTPUT ACCEPT   # cancelamos
> salidas
> iptables -P FORWARD ACCEPT  # cancelamos reencios
> iptables -t nat -P PREROUTING ACCEPT# cancelamos nat prerouting
> iptables -t nat -P POSTROUTING ACCEPT   # cancelamos nat
> postrouting
>
> echo 1 > /proc/sys/net/ipv4/ip_forward  # activamos bit de reenvio
>
> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
> 80 -j ACCEPT
> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
> 443 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>
> Saludos !
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.ca...@sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.ca...@sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [Iptables] Configurar acceso para SQL Express.

[angel jauregui]

Les confirmo que ya me pude conectar, pero el puerto 1434 sigue cerrado,
localmente al escanear aparece cerrado, obviamente de forma remota lo mismo.

Lo que hice para poderme conectar fue en vez de indicar 0 (cero) en la
configuración de "Puertos Dinamicos" simplemente lo deje vacio, y listo. Ya
que si le ponia 0 (cero) seguía generando puertos dinamicos. Ya con eso me
salio desde fuera de la red "conexion exitosa".

El IPTables solamente quedo con el Forward y PREROUTING abierto para los
1433 y 1434 (aunque aparece cerrado).

Saludos !


El 24 de junio de 2014, 12:40, angel jauregui 
escribió:

> Si limpio el firewall iptables los paquetes no llegaran al Servidor
> Windows, ya que el CentOS esta como intermediario.
>
>
> El 24 de junio de 2014, 9:48, Juan Guil  escribió:
>
> El día 24 de junio de 2014, 16:33, angel jauregui
>>  escribió:
>> > Buen dia.
>> >
>> > Tengo CentOS 6 en un server que uso como Proxy (squid), Firewall y DHCP.
>> >
>> > El dia de ayer queria abrir el paso para que los usuarios que esten
>> fuera
>> > de la red local pudiesen conectarse al sistema de la empresa (ERP) el
>> cual
>> > usa SQL Express como base de datos.
>> >
>> > El Servidor SQL esta en un Windows 7 Pro, en el cual accedi al "SQL
>> Server
>> > Configuration Manager" y verifique en el Protocolo, pesta~a "Direccion
>> IP"
>> > y apartado "IPAII", encontrando en "Puerto TCP - Vacio" y "Puertos
>> > dinamicos TCP - 12345".
>> >
>> > Despues configure el firewall (IPTables) para permitir Forward del
>> 12345, y
>> > despues un PREROUTING hacia el ip:puerto del servidor Windows.
>> >
>> > # 10.0.1.2 -- ip del servidor sql en windows
>> > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 12345 -j DNAT --to
>> > 10.0.1.2:12345
>> >
>> > Despues abro los puertos en el Firewall del Router del ISP.
>> >
>> > Finalmente hago pruebas desde otra conexion de internet (fuera de la
>> > local), escaneo los puertos y veo que el puerto 12345 esta "open".
>> >
>> > Abro una Tool del SQL para conectarse a la BDD de la IP Fija de la
>> empresa
>> > hacia el puerto 12345 y nada :( no se conecta nunca !
>> >
>> > Que podra ser ?
>> >
>> > Saludos !
>>
>>
>>
>> Has probado con quitar las iptables del servidor y probar si se conecta?
>> Es decir, en tu servdor de CENTOS hacer un iptables -F,
>> Asi descartarias si es problema de las iptables, por lo menos para
>> empezar a tener pistas.
>>
>> Saludos
>> ___
>> CentOS-es mailing list
>> CentOS-es@centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.ca...@sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.ca...@sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [Iptables] Configurar acceso para SQL Express.

[angel jauregui]

Si limpio el firewall iptables los paquetes no llegaran al Servidor
Windows, ya que el CentOS esta como intermediario.


El 24 de junio de 2014, 9:48, Juan Guil  escribió:

> El día 24 de junio de 2014, 16:33, angel jauregui
>  escribió:
> > Buen dia.
> >
> > Tengo CentOS 6 en un server que uso como Proxy (squid), Firewall y DHCP.
> >
> > El dia de ayer queria abrir el paso para que los usuarios que esten fuera
> > de la red local pudiesen conectarse al sistema de la empresa (ERP) el
> cual
> > usa SQL Express como base de datos.
> >
> > El Servidor SQL esta en un Windows 7 Pro, en el cual accedi al "SQL
> Server
> > Configuration Manager" y verifique en el Protocolo, pesta~a "Direccion
> IP"
> > y apartado "IPAII", encontrando en "Puerto TCP - Vacio" y "Puertos
> > dinamicos TCP - 12345".
> >
> > Despues configure el firewall (IPTables) para permitir Forward del
> 12345, y
> > despues un PREROUTING hacia el ip:puerto del servidor Windows.
> >
> > # 10.0.1.2 -- ip del servidor sql en windows
> > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 12345 -j DNAT --to
> > 10.0.1.2:12345
> >
> > Despues abro los puertos en el Firewall del Router del ISP.
> >
> > Finalmente hago pruebas desde otra conexion de internet (fuera de la
> > local), escaneo los puertos y veo que el puerto 12345 esta "open".
> >
> > Abro una Tool del SQL para conectarse a la BDD de la IP Fija de la
> empresa
> > hacia el puerto 12345 y nada :( no se conecta nunca !
> >
> > Que podra ser ?
> >
> > Saludos !
>
>
>
> Has probado con quitar las iptables del servidor y probar si se conecta?
> Es decir, en tu servdor de CENTOS hacer un iptables -F,
> Asi descartarias si es problema de las iptables, por lo menos para
> empezar a tener pistas.
>
> Saludos
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.ca...@sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [Iptables] Configurar acceso para SQL Express.

[angel jauregui]

Buen dia.

Efectivamente aparece el 1433 abierto, pero el 1434 no.
Localmente el ERP se conecta sin problemas.
El servidor Windows tiene el firewall apagado.
En el Router del ISP tengo el 1433 y 1434 abiertos, pero al escanearlos
desde fuera solo el 1433 aparece open.

Saludos !



El 24 de junio de 2014, 12:35, Pablo Alberto Flores 
escribió:

> y con esto que sale,
> *shell# nmap -sV 10.0.1.2*
>
> Algo como esto?
> 1433/tcp  open ms-sql-s   Microsoft SQL Server 2008
>
> y efectivamente el 1434 no aparece abierto por que es Microsoft-SQL-Monitor
>
> Supongo que desde tu lan se conectan con exito, algun firewall en tu server
> de MsSql? deberia tener permiso de conexion desde tu Centos.
>
> El router del ISP esta bien el NAT
>
>
>
> El 24 de junio de 2014, 10:48, Juan Guil  escribió:
>
> > El día 24 de junio de 2014, 16:33, angel jauregui
> >  escribió:
> > > Buen dia.
> > >
> > > Tengo CentOS 6 en un server que uso como Proxy (squid), Firewall y
> DHCP.
> > >
> > > El dia de ayer queria abrir el paso para que los usuarios que esten
> fuera
> > > de la red local pudiesen conectarse al sistema de la empresa (ERP) el
> > cual
> > > usa SQL Express como base de datos.
> > >
> > > El Servidor SQL esta en un Windows 7 Pro, en el cual accedi al "SQL
> > Server
> > > Configuration Manager" y verifique en el Protocolo, pesta~a "Direccion
> > IP"
> > > y apartado "IPAII", encontrando en "Puerto TCP - Vacio" y "Puertos
> > > dinamicos TCP - 12345".
> > >
> > > Despues configure el firewall (IPTables) para permitir Forward del
> > 12345, y
> > > despues un PREROUTING hacia el ip:puerto del servidor Windows.
> > >
> > > # 10.0.1.2 -- ip del servidor sql en windows
> > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 12345 -j DNAT --to
> > > 10.0.1.2:12345
> > >
> > > Despues abro los puertos en el Firewall del Router del ISP.
> > >
> > > Finalmente hago pruebas desde otra conexion de internet (fuera de la
> > > local), escaneo los puertos y veo que el puerto 12345 esta "open".
> > >
> > > Abro una Tool del SQL para conectarse a la BDD de la IP Fija de la
> > empresa
> > > hacia el puerto 12345 y nada :( no se conecta nunca !
> > >
> > > Que podra ser ?
> > >
> > > Saludos !
> >
> >
> >
> > Has probado con quitar las iptables del servidor y probar si se conecta?
> > Es decir, en tu servdor de CENTOS hacer un iptables -F,
> > Asi descartarias si es problema de las iptables, por lo menos para
> > empezar a tener pistas.
> >
> > Saludos
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.ca...@sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [Iptables] Configurar acceso para SQL Express.

[Pablo Alberto Flores]

y con esto que sale,
*shell# nmap -sV 10.0.1.2*

Algo como esto?
1433/tcp  open ms-sql-s   Microsoft SQL Server 2008

y efectivamente el 1434 no aparece abierto por que es Microsoft-SQL-Monitor

Supongo que desde tu lan se conectan con exito, algun firewall en tu server
de MsSql? deberia tener permiso de conexion desde tu Centos.

El router del ISP esta bien el NAT



El 24 de junio de 2014, 10:48, Juan Guil  escribió:

> El día 24 de junio de 2014, 16:33, angel jauregui
>  escribió:
> > Buen dia.
> >
> > Tengo CentOS 6 en un server que uso como Proxy (squid), Firewall y DHCP.
> >
> > El dia de ayer queria abrir el paso para que los usuarios que esten fuera
> > de la red local pudiesen conectarse al sistema de la empresa (ERP) el
> cual
> > usa SQL Express como base de datos.
> >
> > El Servidor SQL esta en un Windows 7 Pro, en el cual accedi al "SQL
> Server
> > Configuration Manager" y verifique en el Protocolo, pesta~a "Direccion
> IP"
> > y apartado "IPAII", encontrando en "Puerto TCP - Vacio" y "Puertos
> > dinamicos TCP - 12345".
> >
> > Despues configure el firewall (IPTables) para permitir Forward del
> 12345, y
> > despues un PREROUTING hacia el ip:puerto del servidor Windows.
> >
> > # 10.0.1.2 -- ip del servidor sql en windows
> > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 12345 -j DNAT --to
> > 10.0.1.2:12345
> >
> > Despues abro los puertos en el Firewall del Router del ISP.
> >
> > Finalmente hago pruebas desde otra conexion de internet (fuera de la
> > local), escaneo los puertos y veo que el puerto 12345 esta "open".
> >
> > Abro una Tool del SQL para conectarse a la BDD de la IP Fija de la
> empresa
> > hacia el puerto 12345 y nada :( no se conecta nunca !
> >
> > Que podra ser ?
> >
> > Saludos !
>
>
>
> Has probado con quitar las iptables del servidor y probar si se conecta?
> Es decir, en tu servdor de CENTOS hacer un iptables -F,
> Asi descartarias si es problema de las iptables, por lo menos para
> empezar a tener pistas.
>
> Saludos
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [Iptables] Configurar acceso para SQL Express.

[Juan Guil]

El día 24 de junio de 2014, 16:33, angel jauregui
 escribió:
> Buen dia.
>
> Tengo CentOS 6 en un server que uso como Proxy (squid), Firewall y DHCP.
>
> El dia de ayer queria abrir el paso para que los usuarios que esten fuera
> de la red local pudiesen conectarse al sistema de la empresa (ERP) el cual
> usa SQL Express como base de datos.
>
> El Servidor SQL esta en un Windows 7 Pro, en el cual accedi al "SQL Server
> Configuration Manager" y verifique en el Protocolo, pesta~a "Direccion IP"
> y apartado "IPAII", encontrando en "Puerto TCP - Vacio" y "Puertos
> dinamicos TCP - 12345".
>
> Despues configure el firewall (IPTables) para permitir Forward del 12345, y
> despues un PREROUTING hacia el ip:puerto del servidor Windows.
>
> # 10.0.1.2 -- ip del servidor sql en windows
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 12345 -j DNAT --to
> 10.0.1.2:12345
>
> Despues abro los puertos en el Firewall del Router del ISP.
>
> Finalmente hago pruebas desde otra conexion de internet (fuera de la
> local), escaneo los puertos y veo que el puerto 12345 esta "open".
>
> Abro una Tool del SQL para conectarse a la BDD de la IP Fija de la empresa
> hacia el puerto 12345 y nada :( no se conecta nunca !
>
> Que podra ser ?
>
> Saludos !



Has probado con quitar las iptables del servidor y probar si se conecta?
Es decir, en tu servdor de CENTOS hacer un iptables -F,
Asi descartarias si es problema de las iptables, por lo menos para
empezar a tener pistas.

Saludos
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [Iptables] Configurar acceso para SQL Express.

[angel jauregui]

No se coneca... y escaneando los puertos me sale:

*shell# nmap -sT -P0 -p 1433-1434 10.0.1.2*
1433/tcp open   ms-sql-s
1434/tcp closed ms-sql-m

El 1434 cerrado :S... Pero el 1433 que especifique en la configuraicon
IPAII en pesta~a Protocolo / Direccion IP / IPAII quedo asi: "Puerto TCP -
1433" y "Puertos dinamicos TCP - 0"

Saludos !


El 24 de junio de 2014, 11:22, angel jauregui 
escribió:

> Gracias  Pablo de antemano por su interes y respuesta.
>
> De echo segun estuve leyendo el puerto 1433 y 1434 no se estaban abirnedo
> porque la configuracion de puertos del Servidor SQL estaba como "dinamico"
> asi que lo cambie a estatico y puse el puerto 1433.
>
> Depues agregue las rutas asi como me las indicas tu y en eso estoy apenas,
> probando !...
>
> Confirmo en seguida...
>
>
> El 24 de junio de 2014, 11:05, Pablo Alberto Flores 
> escribió:
>
> Estimado
>> Prueba con estas reglas
>>
>> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1434 -j DNAT --to
>> 10.0.1.2 :1434
>> iptables -t nat -A PREROUTING -i eth0 -p udp --dport 1434 -j DNAT --to
>> 10.0.1.2 :1434
>> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1433 -j DNAT --to
>> 10.0.1.2 :1433
>> iptables -t nat -A PREROUTING -i eth0 -p udp --dport 1433 -j DNAT --to
>> 10.0.1.2 :1433
>>
>> el puerto 12345 es solo de ejemplo verdad. por que los puertos de MsSql
>> son
>> 1434 y 1433 si no me equivoco.
>>
>> Saludos
>>
>>
>> El 24 de junio de 2014, 10:33, angel jauregui 
>> escribió:
>>
>> > Buen dia.
>> >
>> > Tengo CentOS 6 en un server que uso como Proxy (squid), Firewall y DHCP.
>> >
>> > El dia de ayer queria abrir el paso para que los usuarios que esten
>> fuera
>> > de la red local pudiesen conectarse al sistema de la empresa (ERP) el
>> cual
>> > usa SQL Express como base de datos.
>> >
>> > El Servidor SQL esta en un Windows 7 Pro, en el cual accedi al "SQL
>> Server
>> > Configuration Manager" y verifique en el Protocolo, pesta~a "Direccion
>> IP"
>> > y apartado "IPAII", encontrando en "Puerto TCP - Vacio" y "Puertos
>> > dinamicos TCP - 12345".
>> >
>> > Despues configure el firewall (IPTables) para permitir Forward del
>> 12345, y
>> > despues un PREROUTING hacia el ip:puerto del servidor Windows.
>> >
>> > # 10.0.1.2 -- ip del servidor sql en windows
>> > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 12345 -j DNAT --to
>> > 10.0.1.2:12345
>> >
>> > Despues abro los puertos en el Firewall del Router del ISP.
>> >
>> > Finalmente hago pruebas desde otra conexion de internet (fuera de la
>> > local), escaneo los puertos y veo que el puerto 12345 esta "open".
>> >
>> > Abro una Tool del SQL para conectarse a la BDD de la IP Fija de la
>> empresa
>> > hacia el puerto 12345 y nada :( no se conecta nunca !
>> >
>> > Que podra ser ?
>> >
>> > Saludos !
>> >
>> > --
>> > M.S.I. Angel Haniel Cantu Jauregui.
>> >
>> > Celular: (011-52-1)-899-871-17-22
>> > E-Mail: angel.ca...@sie-group.net
>> > Web: http://www.sie-group.net/
>> > Cd. Reynosa Tamaulipas.
>> > ___
>> > CentOS-es mailing list
>> > CentOS-es@centos.org
>> > http://lists.centos.org/mailman/listinfo/centos-es
>> >
>> ___
>> CentOS-es mailing list
>> CentOS-es@centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.ca...@sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.ca...@sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [Iptables] Configurar acceso para SQL Express.

[angel jauregui]

Gracias  Pablo de antemano por su interes y respuesta.

De echo segun estuve leyendo el puerto 1433 y 1434 no se estaban abirnedo
porque la configuracion de puertos del Servidor SQL estaba como "dinamico"
asi que lo cambie a estatico y puse el puerto 1433.

Depues agregue las rutas asi como me las indicas tu y en eso estoy apenas,
probando !...

Confirmo en seguida...


El 24 de junio de 2014, 11:05, Pablo Alberto Flores 
escribió:

> Estimado
> Prueba con estas reglas
>
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1434 -j DNAT --to
> 10.0.1.2 :1434
> iptables -t nat -A PREROUTING -i eth0 -p udp --dport 1434 -j DNAT --to
> 10.0.1.2 :1434
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1433 -j DNAT --to
> 10.0.1.2 :1433
> iptables -t nat -A PREROUTING -i eth0 -p udp --dport 1433 -j DNAT --to
> 10.0.1.2 :1433
>
> el puerto 12345 es solo de ejemplo verdad. por que los puertos de MsSql son
> 1434 y 1433 si no me equivoco.
>
> Saludos
>
>
> El 24 de junio de 2014, 10:33, angel jauregui 
> escribió:
>
> > Buen dia.
> >
> > Tengo CentOS 6 en un server que uso como Proxy (squid), Firewall y DHCP.
> >
> > El dia de ayer queria abrir el paso para que los usuarios que esten fuera
> > de la red local pudiesen conectarse al sistema de la empresa (ERP) el
> cual
> > usa SQL Express como base de datos.
> >
> > El Servidor SQL esta en un Windows 7 Pro, en el cual accedi al "SQL
> Server
> > Configuration Manager" y verifique en el Protocolo, pesta~a "Direccion
> IP"
> > y apartado "IPAII", encontrando en "Puerto TCP - Vacio" y "Puertos
> > dinamicos TCP - 12345".
> >
> > Despues configure el firewall (IPTables) para permitir Forward del
> 12345, y
> > despues un PREROUTING hacia el ip:puerto del servidor Windows.
> >
> > # 10.0.1.2 -- ip del servidor sql en windows
> > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 12345 -j DNAT --to
> > 10.0.1.2:12345
> >
> > Despues abro los puertos en el Firewall del Router del ISP.
> >
> > Finalmente hago pruebas desde otra conexion de internet (fuera de la
> > local), escaneo los puertos y veo que el puerto 12345 esta "open".
> >
> > Abro una Tool del SQL para conectarse a la BDD de la IP Fija de la
> empresa
> > hacia el puerto 12345 y nada :( no se conecta nunca !
> >
> > Que podra ser ?
> >
> > Saludos !
> >
> > --
> > M.S.I. Angel Haniel Cantu Jauregui.
> >
> > Celular: (011-52-1)-899-871-17-22
> > E-Mail: angel.ca...@sie-group.net
> > Web: http://www.sie-group.net/
> > Cd. Reynosa Tamaulipas.
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.ca...@sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [Iptables] Configurar acceso para SQL Express.

[Pablo Alberto Flores]

Estimado
Prueba con estas reglas

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1434 -j DNAT --to
10.0.1.2 :1434
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 1434 -j DNAT --to
10.0.1.2 :1434
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1433 -j DNAT --to
10.0.1.2 :1433
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 1433 -j DNAT --to
10.0.1.2 :1433

el puerto 12345 es solo de ejemplo verdad. por que los puertos de MsSql son
1434 y 1433 si no me equivoco.

Saludos


El 24 de junio de 2014, 10:33, angel jauregui 
escribió:

> Buen dia.
>
> Tengo CentOS 6 en un server que uso como Proxy (squid), Firewall y DHCP.
>
> El dia de ayer queria abrir el paso para que los usuarios que esten fuera
> de la red local pudiesen conectarse al sistema de la empresa (ERP) el cual
> usa SQL Express como base de datos.
>
> El Servidor SQL esta en un Windows 7 Pro, en el cual accedi al "SQL Server
> Configuration Manager" y verifique en el Protocolo, pesta~a "Direccion IP"
> y apartado "IPAII", encontrando en "Puerto TCP - Vacio" y "Puertos
> dinamicos TCP - 12345".
>
> Despues configure el firewall (IPTables) para permitir Forward del 12345, y
> despues un PREROUTING hacia el ip:puerto del servidor Windows.
>
> # 10.0.1.2 -- ip del servidor sql en windows
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 12345 -j DNAT --to
> 10.0.1.2:12345
>
> Despues abro los puertos en el Firewall del Router del ISP.
>
> Finalmente hago pruebas desde otra conexion de internet (fuera de la
> local), escaneo los puertos y veo que el puerto 12345 esta "open".
>
> Abro una Tool del SQL para conectarse a la BDD de la IP Fija de la empresa
> hacia el puerto 12345 y nada :( no se conecta nunca !
>
> Que podra ser ?
>
> Saludos !
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.ca...@sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[David González Romero]

Bueno yo estaba respondiendo a la negativa de Ignacio con relacion al
codigo que envie que es puramente en Squid.

Saludos,
David


El 15 de noviembre de 2013 21:12, César Martinez <
cmarti...@servicomecuador.com> escribió:

> Yo crería que solucionaron este problema con lo que le envié a pesar
> que  no hemos recibido un agradecimiento,  tampoco se ha comentado que
> continua con el problema
>
> Cordialmente
>
> César Martínez Mora
> Ingeniero de Sistemas
> SERVICOM
> User Linux 494131
>
> Números Convencionales 02-2554-271 02-2221-386
> Extensión 4501
> Móvil 09-99374-317
> Usa (315) 519-7220
> Email & Msn cmarti...@servicomecuador.com
> Skype servicomecuador
> Web www.servicomecuador.com
> Síguenos en
> Twitter: http://twitter.com/servicomecuador
> Facebook: http://www.facebook.com/servicomec
> Zona Clientes: www.servicomecuador.com/billing
> Blog: http://servicomecuador.com/blog
>
> Dir. Av. 10 de Agosto N29-140 Entre
> Acuña y  Cuero y Caicedo Edificio Vivanco Castillo
> 2do. Piso Oficina 201
> Quito - Ecuador - Sudamérica
>
> =
>
> Cláusula de Confidencialidad
> La información contenida en este e-mail es confidencial y solo puede ser
> utilizada por la persona a la
> cual esta dirigida.Si Usted no es el receptor autorizado, cualquier
> retención, difusión, distribución o copia
> de este mensaje es prohibida y sancionada por la ley. Si por error recibe
> este mensaje,  por favor reenviarlo
> al remitente y borre el mensaje recibido inmediatamente.
> =
>
> El 15/11/13 19:08, David González Romero escribió:
> > Bueno yo lo tengo implementado en mi red, claro yo no uso proxy
> > transparente.
> >
> > Como lo hice
> >
> > En squid.conf
> >
> > Siempre están estas líneas:
> > acl SSL_ports port 443
> > acl Safe_ports port 80# http
> > acl Safe_ports port 21# ftp
> > acl Safe_ports port 443# https
> > acl Safe_ports port 70# gopher
> > acl Safe_ports port 210# wais
> > acl Safe_ports port 1025-65535# unregistered ports
> > acl Safe_ports port 280# http-mgmt
> > acl Safe_ports port 488# gss-http
> > acl Safe_ports port 591# filemaker
> > acl Safe_ports port 777# multiling http
> > acl CONNECT method CONNECT
> >
> > Luego de estas ACL están las reglas en si:
> > # Deny requests to certain unsafe ports
> > #http_access deny !Safe_ports
> > http_access allow Safe_ports
> >
> > # Deny CONNECT to other than secure SSL ports
> > http_access deny CONNECT !SSL_ports
> >
> > Bien el código que envié antes funciona perfectamente quedando de esta
> > forma:
> >
> -
> > ##Por problemas de Dengacion de Redes Sociales se pasa a este nivel la
> > denegacion de FB y demas
> > acl redes-soc url_regex -i  "/etc/squid/redes-soc"
> > acl extenciones url_regex "/etc/squid/extenciones"
> > http_reply_access deny  redes-soc localnet
> > http_access deny CONNECT redes-soc localnet
> > http_access allow localnet
> >
> > # Deny requests to certain unsafe ports
> > #http_access deny !Safe_ports
> > http_access allow Safe_ports
> >
> > # Deny CONNECT to other than secure SSL ports
> > http_access deny CONNECT !SSL_ports
> >
> -
> > Dentro de /etc/squid/redes-soc tengo
> > facebook.com
> > twitter.com
> > hi5.com
> >
> > Te puedo asegurar que funciona 100% con reclamos de los clientes
> incluidos
> > al ser implementada la regla. Eso si y repito mi servidor no es un proxy
> > transparente. Pero no tuve que hacer adsolutamente más nada en iptables o
> > similares.
> >
> > Ahh!!! Google, Yahoo y comapñias https entran super bien.
> >
> > Saludos,
> > David
> >
> >
> >
> >
> > El 6 de noviembre de 2013 19:58, Ignacio Ordeñana  >escribió:
> >
> >> hola david no funciona ya la probe en su momento en proxy transparente
> >>
> >> saludos
> >>
> >>
> >> El 6 de noviembre de 2013 12:50, David González Romero
> >> escribió:
> >>
> >>> Esta es una opción 100% Squid, probada por mi y funciona super bien
> >>>
> >>>
> >>>
> >>
> http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html
> >>> Saludos,
> >>> David
> >>>
> >>>
> >>> El 5 de noviembre de 2013 12:42, Ignacio Ordeñana   escribió:
>  te envio un link de una perosna que tuvo ese mismo problema
> 
> 
> 
> >>
> http://www.ecualug.org/?q=2011/02/10/forums/bloquear_https_de_facebook_en_ip_tables&page=3
>  saludos
> 
> 
>  El 5 de noviembre de 2013 09:32, angel jauregui
>  escribió:
> 
> > Se cumple la excepcion, y funcionaria no ?
> >
> >
> > El 5 de noviembre de 2013 09:25, Ignacio Ordeñana <
> >> ifor1...@gmail.com
> >> escribió:
> >> a mi parecer esa regla de iptables no te funcionara ya que primero
> >> la
> > estas
> >

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[César Martinez]

Yo crería que solucionaron este problema con lo que le envié a pesar 
que  no hemos recibido un agradecimiento,  tampoco se ha comentado que 
continua con el problema

Cordialmente
  
César Martínez Mora
Ingeniero de Sistemas
SERVICOM
User Linux 494131
  
Números Convencionales 02-2554-271 02-2221-386
Extensión 4501
Móvil 09-99374-317
Usa (315) 519-7220
Email & Msn cmarti...@servicomecuador.com
Skype servicomecuador
Web www.servicomecuador.com
Síguenos en
Twitter: http://twitter.com/servicomecuador
Facebook: http://www.facebook.com/servicomec
Zona Clientes: www.servicomecuador.com/billing
Blog: http://servicomecuador.com/blog
  
Dir. Av. 10 de Agosto N29-140 Entre
Acuña y  Cuero y Caicedo Edificio Vivanco Castillo
2do. Piso Oficina 201
Quito - Ecuador - Sudamérica
  
=
  
Cláusula de Confidencialidad
La información contenida en este e-mail es confidencial y solo puede ser 
utilizada por la persona a la
cual esta dirigida.Si Usted no es el receptor autorizado, cualquier retención, 
difusión, distribución o copia
de este mensaje es prohibida y sancionada por la ley. Si por error recibe este 
mensaje,  por favor reenviarlo
al remitente y borre el mensaje recibido inmediatamente.
=

El 15/11/13 19:08, David González Romero escribió:
> Bueno yo lo tengo implementado en mi red, claro yo no uso proxy
> transparente.
>
> Como lo hice
>
> En squid.conf
>
> Siempre están estas líneas:
> acl SSL_ports port 443
> acl Safe_ports port 80# http
> acl Safe_ports port 21# ftp
> acl Safe_ports port 443# https
> acl Safe_ports port 70# gopher
> acl Safe_ports port 210# wais
> acl Safe_ports port 1025-65535# unregistered ports
> acl Safe_ports port 280# http-mgmt
> acl Safe_ports port 488# gss-http
> acl Safe_ports port 591# filemaker
> acl Safe_ports port 777# multiling http
> acl CONNECT method CONNECT
>
> Luego de estas ACL están las reglas en si:
> # Deny requests to certain unsafe ports
> #http_access deny !Safe_ports
> http_access allow Safe_ports
>
> # Deny CONNECT to other than secure SSL ports
> http_access deny CONNECT !SSL_ports
>
> Bien el código que envié antes funciona perfectamente quedando de esta
> forma:
> -
> ##Por problemas de Dengacion de Redes Sociales se pasa a este nivel la
> denegacion de FB y demas
> acl redes-soc url_regex -i  "/etc/squid/redes-soc"
> acl extenciones url_regex "/etc/squid/extenciones"
> http_reply_access deny  redes-soc localnet
> http_access deny CONNECT redes-soc localnet
> http_access allow localnet
>
> # Deny requests to certain unsafe ports
> #http_access deny !Safe_ports
> http_access allow Safe_ports
>
> # Deny CONNECT to other than secure SSL ports
> http_access deny CONNECT !SSL_ports
> -
> Dentro de /etc/squid/redes-soc tengo
> facebook.com
> twitter.com
> hi5.com
>
> Te puedo asegurar que funciona 100% con reclamos de los clientes incluidos
> al ser implementada la regla. Eso si y repito mi servidor no es un proxy
> transparente. Pero no tuve que hacer adsolutamente más nada en iptables o
> similares.
>
> Ahh!!! Google, Yahoo y comapñias https entran super bien.
>
> Saludos,
> David
>
>
>
>
> El 6 de noviembre de 2013 19:58, Ignacio Ordeñana 
> escribió:
>
>> hola david no funciona ya la probe en su momento en proxy transparente
>>
>> saludos
>>
>>
>> El 6 de noviembre de 2013 12:50, David González Romero
>> escribió:
>>
>>> Esta es una opción 100% Squid, probada por mi y funciona super bien
>>>
>>>
>>>
>> http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html
>>> Saludos,
>>> David
>>>
>>>
>>> El 5 de noviembre de 2013 12:42, Ignacio Ordeñana >>> escribió:
 te envio un link de una perosna que tuvo ese mismo problema



>> http://www.ecualug.org/?q=2011/02/10/forums/bloquear_https_de_facebook_en_ip_tables&page=3
 saludos


 El 5 de noviembre de 2013 09:32, angel jauregui
 escribió:

> Se cumple la excepcion, y funcionaria no ?
>
>
> El 5 de noviembre de 2013 09:25, Ignacio Ordeñana <
>> ifor1...@gmail.com
>> escribió:
>> a mi parecer esa regla de iptables no te funcionara ya que primero
>> la
> estas
>> permitiendo el acceso a una ip en particular luego le quitas
>> acceso a
> todo
>> el segmento de red incluyendo la ip que le permites acceso.
>>
>> saludos
>>
>>
>> El 5 de noviembre de 2013 08:34, angel jauregui
>> escribió:
>>
>>> @David asi tengo la denegacion tambien, pero si el usuario
>> cambia a
>> "https"
>>> la pagina ya no es bloqueada, se brinca el filtro.
>>>
>>> Esto mas que nada porque en IPTables la regla indica que
>> cualquier

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[David González Romero]

Bueno yo lo tengo implementado en mi red, claro yo no uso proxy
transparente.

Como lo hice

En squid.conf

Siempre están estas líneas:
acl SSL_ports port 443
acl Safe_ports port 80# http
acl Safe_ports port 21# ftp
acl Safe_ports port 443# https
acl Safe_ports port 70# gopher
acl Safe_ports port 210# wais
acl Safe_ports port 1025-65535# unregistered ports
acl Safe_ports port 280# http-mgmt
acl Safe_ports port 488# gss-http
acl Safe_ports port 591# filemaker
acl Safe_ports port 777# multiling http
acl CONNECT method CONNECT

Luego de estas ACL están las reglas en si:
# Deny requests to certain unsafe ports
#http_access deny !Safe_ports
http_access allow Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

Bien el código que envié antes funciona perfectamente quedando de esta
forma:
-
##Por problemas de Dengacion de Redes Sociales se pasa a este nivel la
denegacion de FB y demas
acl redes-soc url_regex -i  "/etc/squid/redes-soc"
acl extenciones url_regex "/etc/squid/extenciones"
http_reply_access deny  redes-soc localnet
http_access deny CONNECT redes-soc localnet
http_access allow localnet

# Deny requests to certain unsafe ports
#http_access deny !Safe_ports
http_access allow Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports
-
Dentro de /etc/squid/redes-soc tengo
facebook.com
twitter.com
hi5.com

Te puedo asegurar que funciona 100% con reclamos de los clientes incluidos
al ser implementada la regla. Eso si y repito mi servidor no es un proxy
transparente. Pero no tuve que hacer adsolutamente más nada en iptables o
similares.

Ahh!!! Google, Yahoo y comapñias https entran super bien.

Saludos,
David




El 6 de noviembre de 2013 19:58, Ignacio Ordeñana escribió:

> hola david no funciona ya la probe en su momento en proxy transparente
>
> saludos
>
>
> El 6 de noviembre de 2013 12:50, David González Romero
> escribió:
>
> > Esta es una opción 100% Squid, probada por mi y funciona super bien
> >
> >
> >
> http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html
> >
> > Saludos,
> > David
> >
> >
> > El 5 de noviembre de 2013 12:42, Ignacio Ordeñana  > >escribió:
> >
> > > te envio un link de una perosna que tuvo ese mismo problema
> > >
> > >
> > >
> >
> http://www.ecualug.org/?q=2011/02/10/forums/bloquear_https_de_facebook_en_ip_tables&page=3
> > >
> > > saludos
> > >
> > >
> > > El 5 de noviembre de 2013 09:32, angel jauregui
> > > escribió:
> > >
> > > > Se cumple la excepcion, y funcionaria no ?
> > > >
> > > >
> > > > El 5 de noviembre de 2013 09:25, Ignacio Ordeñana <
> ifor1...@gmail.com
> > > > >escribió:
> > > >
> > > > > a mi parecer esa regla de iptables no te funcionara ya que primero
> la
> > > > estas
> > > > > permitiendo el acceso a una ip en particular luego le quitas
> acceso a
> > > > todo
> > > > > el segmento de red incluyendo la ip que le permites acceso.
> > > > >
> > > > > saludos
> > > > >
> > > > >
> > > > > El 5 de noviembre de 2013 08:34, angel jauregui
> > > > > escribió:
> > > > >
> > > > > > @David asi tengo la denegacion tambien, pero si el usuario
> cambia a
> > > > > "https"
> > > > > > la pagina ya no es bloqueada, se brinca el filtro.
> > > > > >
> > > > > > Esto mas que nada porque en IPTables la regla indica que
> cualquier
> > > cosa
> > > > > que
> > > > > > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a
> HTTPS,
> > ya
> > > > no
> > > > > se
> > > > > > aplica la regla.
> > > > > >
> > > > > > Ahora no puedo quitar el puerto https y forzar solo http, ya que
> > > > existen
> > > > > > paginas de gobierno que requieren https, y se me vendria el mundo
> > > > encima
> > > > > > :S.
> > > > > >
> > > > > > Estoy intentando con estas reglas, ustedes que opinan:
> > > > > >
> > > > > > *# dar acceso a facebook para una ip fija*
> > > > > > shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d
> > IP_CIDR_DEFACEBOOK
> > > > -j
> > > > > > ACCEPT
> > > > > >
> > > > > > *# quitar acceso facebook para cualquiera del segmento*
> > > > > > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d
> > > IP_CIDR_DEFACEBOOK
> > > > > -j
> > > > > > REJECT
> > > > > >
> > > > > > Saludos !
> > > > > >
> > > > > >
> > > > > > El 5 de noviembre de 2013 05:08, David González Romero
> > > > > > escribió:
> > > > > >
> > > > > > > Tu has probado esta opción en Squid?
> > > > > > >
> > > > > > > acl denys url_regex "/etc/squid/denys"
> > > > > > > Donde
> > > > > > > /etc/squid/denys contiene:
> > > > > > > facebook
> > > > > > > twitter
> > > > > > > .
> > > > > > > Y luego
> > > > > > > http_access deny restric
> > > > > > >
> > > > > > > Al menos así me funciona a mi.
> > > > > > >
>

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[Ignacio Ordeñana]

hola david no funciona ya la probe en su momento en proxy transparente

saludos


El 6 de noviembre de 2013 12:50, David González Romero
escribió:

> Esta es una opción 100% Squid, probada por mi y funciona super bien
>
>
> http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html
>
> Saludos,
> David
>
>
> El 5 de noviembre de 2013 12:42, Ignacio Ordeñana  >escribió:
>
> > te envio un link de una perosna que tuvo ese mismo problema
> >
> >
> >
> http://www.ecualug.org/?q=2011/02/10/forums/bloquear_https_de_facebook_en_ip_tables&page=3
> >
> > saludos
> >
> >
> > El 5 de noviembre de 2013 09:32, angel jauregui
> > escribió:
> >
> > > Se cumple la excepcion, y funcionaria no ?
> > >
> > >
> > > El 5 de noviembre de 2013 09:25, Ignacio Ordeñana  > > >escribió:
> > >
> > > > a mi parecer esa regla de iptables no te funcionara ya que primero la
> > > estas
> > > > permitiendo el acceso a una ip en particular luego le quitas acceso a
> > > todo
> > > > el segmento de red incluyendo la ip que le permites acceso.
> > > >
> > > > saludos
> > > >
> > > >
> > > > El 5 de noviembre de 2013 08:34, angel jauregui
> > > > escribió:
> > > >
> > > > > @David asi tengo la denegacion tambien, pero si el usuario cambia a
> > > > "https"
> > > > > la pagina ya no es bloqueada, se brinca el filtro.
> > > > >
> > > > > Esto mas que nada porque en IPTables la regla indica que cualquier
> > cosa
> > > > que
> > > > > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS,
> ya
> > > no
> > > > se
> > > > > aplica la regla.
> > > > >
> > > > > Ahora no puedo quitar el puerto https y forzar solo http, ya que
> > > existen
> > > > > paginas de gobierno que requieren https, y se me vendria el mundo
> > > encima
> > > > > :S.
> > > > >
> > > > > Estoy intentando con estas reglas, ustedes que opinan:
> > > > >
> > > > > *# dar acceso a facebook para una ip fija*
> > > > > shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d
> IP_CIDR_DEFACEBOOK
> > > -j
> > > > > ACCEPT
> > > > >
> > > > > *# quitar acceso facebook para cualquiera del segmento*
> > > > > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d
> > IP_CIDR_DEFACEBOOK
> > > > -j
> > > > > REJECT
> > > > >
> > > > > Saludos !
> > > > >
> > > > >
> > > > > El 5 de noviembre de 2013 05:08, David González Romero
> > > > > escribió:
> > > > >
> > > > > > Tu has probado esta opción en Squid?
> > > > > >
> > > > > > acl denys url_regex "/etc/squid/denys"
> > > > > > Donde
> > > > > > /etc/squid/denys contiene:
> > > > > > facebook
> > > > > > twitter
> > > > > > .
> > > > > > Y luego
> > > > > > http_access deny restric
> > > > > >
> > > > > > Al menos así me funciona a mi.
> > > > > >
> > > > > >
> > > > > > Otra opcion sería comentar la línea "acl SSL_ports port 443" para
> > > > evitar
> > > > > > conexiones por el 443...
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > > Saludos,
> > > > > > David
> > > > > >
> > > > > >
> > > > > >
> > > > > > El 4 de noviembre de 2013 18:47, angel jauregui
> > > > > > escribió:
> > > > > >
> > > > > > > Buenas.
> > > > > > >
> > > > > > > Estoy implementando limitaciones en la red, el objetivo es
> quitar
> > > > > acceso
> > > > > > a
> > > > > > > Redes Sociales, en primera instancia tengo SQUID que logra
> tapar
> > el
> > > > > > acceso
> > > > > > > a los sitios mediante http.
> > > > > > >
> > > > > > > El problema es que si los sitios tienes HTTPS, este es
> > > accesible
> > > > > > >
> > > > > > > En este caso http://facebook.com esta denegad por Squid.
> > > > > > > Pero al poner https://facebook.com entra exitosamente.
> > > > > > >
> > > > > > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse
> esta
> > > > regla
> > > > > > que
> > > > > > > me esta haceindo cumplir el objetivo "En parte":
> > > > > > >
> > > > > > > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> > > > > > > 173.252.64.0-173.252.127.255 -j REJECT
> > > > > > >
> > > > > > > Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
> > > > facebook.
> > > > > > >
> > > > > > > El problema *ahora radica* en que no logro hacer que ciertas
> IPs
> > > > > Locales
> > > > > > > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> > > > > > >
> > > > > > > Intente ANTEponiendo esta regla:
> > > > > > >
> > > > > > > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
> > > > > --dst-range
> > > > > > > 173.252.64.0-173.252.127.255 -j ACCEPT
> > > > > > >
> > > > > > > Pero aun asi, se sigue bloqueando el sitio :S
> > > > > > >
> > > > > > > *shell# iptables -L -n*
> > > > > > > REJECT tcp  --  0.0.0.0/00.0.0.0/0
> tcp
> > > > > > > destination IP range 173.252.64.0-173.252.127.255 reject-with
> > > > > > > icmp-port-unreachable
> > > > > > > ACCEPT tcp  --  10.1.0.150   0.0.0.0/0
> tcp
> > > > > > > destination IP range 173.252.64.0-173.252.127.255
> > > > > > >
> > > > > > > --
> > > > > > > M.S.I. Angel Haniel Cantu Jauregui.
> > > >

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[César Martinez]

Si lo vi pero estaba probando el link que pasaron te paso como bloqueo 
facebook yo y me funciona super bien estan todas las ips que hasta ahora 
usa facebook, pruebale y avisame, de hecho funciona al 100%, al final 
esta linea done < /etc/squid/reglas/permitidos.txt lee las ips que 
pueden navegar al facebook, aqui agregas la sips que vas a dar acceso y 
eso es todo.

##bloqueo facebook
$IPTABLES -I FORWARD -s 66.220.144.0/24 -j DROP
$IPTABLES -I FORWARD -s 69.63.176.0/24 -j DROP
$IPTABLES -I FORWARD -s 184.50.162.0/24 -j DROP
$IPTABLES -I FORWARD -s 204.15.20.0/24 -j DROP
$IPTABLES -I FORWARD -s 66.220.144.0/24 -j DROP
$IPTABLES -I FORWARD -s 69.63.176.0/24 -j DROP
$IPTABLES -I FORWARD -s 69.171.242.0/24 -j DROP
$IPTABLES -I FORWARD -s 65.54.20.0/24 -j DROP
$IPTABLES -I FORWARD -s 69.63.189.0/24 -j DROP
$IPTABLES -I FORWARD -s 66.220.156.0/24 -j DROP
$IPTABLES -I FORWARD -s 66.220.149.0/24 -j DROP
$IPTABLES -I FORWARD -s 64.13.161.0/24 -j DROP
$IPTABLES -I FORWARD -s 173.252.110.0/24 -j DROP
$IPTABLES -I FORWARD -s 173.252.73.0/24 -j DROP
$IPTABLES -I FORWARD -s 69.171.239.0/24 -j DROP
$IPTABLES -I FORWARD -s 69.171.255.0/24 -j DROP
$IPTABLES -I FORWARD -s 31.13.73.0/24 -j DROP
$IPTABLES -I FORWARD -s 31.13.70.0/24 -j DROP
$IPTABLES -I FORWARD -s 173.252.112.0/24 -j DROP

while read IP
do
##desbloqueo facebook
$IPTABLES -I FORWARD -s $IP -d 66.220.144.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 69.63.176.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 184.50.162.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 204.15.20.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 66.220.144.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 69.63.176.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 69.171.242.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 65.54.20.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 69.63.189.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 66.220.156.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 66.220.149.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 64.13.161.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 173.252.110.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 173.252.73.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 69.171.239.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 69.171.255.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 31.13.73.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 31.13.70.0/24 -j ACCEPT
$IPTABLES -I FORWARD -s $IP -d 173.252.112.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 66.220.144.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 69.63.176.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 184.50.162.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 204.15.20.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 66.220.144.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 69.63.176.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 69.171.242.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 65.54.20.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 69.63.189.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 66.220.156.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 66.220.149.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 64.13.161.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 173.252.110.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 173.252.73.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 69.171.239.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 69.171.255.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 31.13.73.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 31.13.70.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d $IP -s 173.252.112.0/24 -j ACCEPT
done < /etc/squid/reglas/permitidos.txt


Cordialmente
  
César Martínez Mora
Ingeniero de Sistemas
SERVICOM
User Linux 494131
  
Números Convencionales 02-2554-271 02-2221-386
Extensión 4501
Móvil 09-99374-317
Usa (315) 519-7220
Email & Msn cmarti...@servicomecuador.com
Skype servicomecuador
Web www.servicomecuador.com
Síguenos en
Twitter: http://twitter.com/servicomecuador
Facebook: http://www.facebook.com/servicomec
Zona Clientes: www.servicomecuador.com/billing
Blog: http://servicomecuador.com/blog
  
Dir. Av. 10 de Agosto N29-140 Entre
Acuña y  Cuero y Caicedo Edificio Vivanco Castillo
2do. Piso Oficina 201
Quito - Ecuador - Sudamérica
  
=
  
Cláusula de Confidencialidad
La información contenida en este e-mail es confidencial y solo puede ser 
utilizada por la persona a la
cual esta dirigida.Si Usted no es el receptor autorizado, cualquier retención, 
difusión, distribución o copia
de este mensaje es prohibida y sancionada por la ley. Si por error recibe este 
mensaje,  por favor reenviarlo
al remitente y borre el mensaje recibido inmediatamente.
=

On 06/11/13 17:26, angel jauregui wrote:
> @Cesar yo ahorita estoy bloqueando con exito facebook en HTTPS, pero
> bloqueo el rango de IPs no solo del CIDR de facebook, sino tambien las IPs
> de los DNSs de facebook y la IP de facebook.
>
> shell# host facebook.com
> ip_de_face_book   <-- esta ip la bloqueo
>
> shell# whois ip_de_face_book
> CIDR  

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[angel jauregui]

Pero estoy haciendo una implementacion que me recomendo @David sobre
bloquear facebook en https usando squid.


El 6 de noviembre de 2013 16:26, angel jauregui
escribió:

> @Cesar yo ahorita estoy bloqueando con exito facebook en HTTPS, pero
> bloqueo el rango de IPs no solo del CIDR de facebook, sino tambien las IPs
> de los DNSs de facebook y la IP de facebook.
>
> shell# host facebook.com
> ip_de_face_book   <-- esta ip la bloqueo
>
> shell# whois ip_de_face_book
> CIDR  ip_de_rango_inicial/X  <-- este rango lo bloqueo
>
> shell# whois facebook.com
> Name Servers:
> ns1_de_face_book
> ns2_de_face_book
>
> Al ns2 y ns2 les saco el IP, consulto el CIDR y tambien lo bloqueo.
>
> Saludos !
>
>
> El 6 de noviembre de 2013 16:16, César Martinez <
> cmarti...@servicomecuador.com> escribió:
>
> Hola acabo de probar con punto y coma las instrucciones que hay en este
>> link que alguien mencionó
>>
>> http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html
>> y facebook funciona igual con https tengo mi centos 6.4 actualizado no
>> se si falta algo pero no funciona, lo mejor es cerrar via iptables.
>>
>>
>> Cordialmente
>>
>> César Martínez Mora
>> Ingeniero de Sistemas
>> SERVICOM
>> User Linux 494131
>>
>> Números Convencionales 02-2554-271 02-2221-386
>> Extensión 4501
>> Móvil 09-99374-317
>> Usa (315) 519-7220
>> Email & Msn cmarti...@servicomecuador.com
>> Skype servicomecuador
>> Web www.servicomecuador.com
>> Síguenos en
>> Twitter: http://twitter.com/servicomecuador
>> Facebook: http://www.facebook.com/servicomec
>> Zona Clientes: www.servicomecuador.com/billing
>> Blog: http://servicomecuador.com/blog
>>
>> Dir. Av. 10 de Agosto N29-140 Entre
>> Acuña y  Cuero y Caicedo Edificio Vivanco Castillo
>> 2do. Piso Oficina 201
>> Quito - Ecuador - Sudamérica
>>
>> =
>>
>> Cláusula de Confidencialidad
>> La información contenida en este e-mail es confidencial y solo puede ser
>> utilizada por la persona a la
>> cual esta dirigida.Si Usted no es el receptor autorizado, cualquier
>> retención, difusión, distribución o copia
>> de este mensaje es prohibida y sancionada por la ley. Si por error recibe
>> este mensaje,  por favor reenviarlo
>> al remitente y borre el mensaje recibido inmediatamente.
>> =
>>
>> On 06/11/13 13:50, David González Romero wrote:
>> > Esta es una opción 100% Squid, probada por mi y funciona super bien
>> >
>> >
>> http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html
>> >
>> > Saludos,
>> > David
>> >
>> >
>> > El 5 de noviembre de 2013 12:42, Ignacio Ordeñana > >escribió:
>> >
>> >> te envio un link de una perosna que tuvo ese mismo problema
>> >>
>> >>
>> >>
>> http://www.ecualug.org/?q=2011/02/10/forums/bloquear_https_de_facebook_en_ip_tables&page=3
>> >>
>> >> saludos
>> >>
>> >>
>> >> El 5 de noviembre de 2013 09:32, angel jauregui
>> >> escribió:
>> >>
>> >>> Se cumple la excepcion, y funcionaria no ?
>> >>>
>> >>>
>> >>> El 5 de noviembre de 2013 09:25, Ignacio Ordeñana >  escribió:
>>  a mi parecer esa regla de iptables no te funcionara ya que primero la
>> >>> estas
>>  permitiendo el acceso a una ip en particular luego le quitas acceso a
>> >>> todo
>>  el segmento de red incluyendo la ip que le permites acceso.
>> 
>>  saludos
>> 
>> 
>>  El 5 de noviembre de 2013 08:34, angel jauregui
>>  escribió:
>> 
>> > @David asi tengo la denegacion tambien, pero si el usuario cambia a
>>  "https"
>> > la pagina ya no es bloqueada, se brinca el filtro.
>> >
>> > Esto mas que nada porque en IPTables la regla indica que cualquier
>> >> cosa
>>  que
>> > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS,
>> ya
>> >>> no
>>  se
>> > aplica la regla.
>> >
>> > Ahora no puedo quitar el puerto https y forzar solo http, ya que
>> >>> existen
>> > paginas de gobierno que requieren https, y se me vendria el mundo
>> >>> encima
>> > :S.
>> >
>> > Estoy intentando con estas reglas, ustedes que opinan:
>> >
>> > *# dar acceso a facebook para una ip fija*
>> > shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d
>> IP_CIDR_DEFACEBOOK
>> >>> -j
>> > ACCEPT
>> >
>> > *# quitar acceso facebook para cualquiera del segmento*
>> > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d
>> >> IP_CIDR_DEFACEBOOK
>>  -j
>> > REJECT
>> >
>> > Saludos !
>> >
>> >
>> > El 5 de noviembre de 2013 05:08, David González Romero
>> > escribió:
>> >
>> >> Tu has probado esta opción en Squid?
>> >>
>> >> acl denys url_regex "/etc/squid/denys"
>> >> Donde
>> >> /etc/squid/denys contiene:
>> >> facebook
>> >> twitter
>> >> .
>> >> Y luego
>> >> http_access deny restric
>> >>
>> >> Al menos así me funciona a mi.
>> >>
>> >>
>> >> Ot

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[angel jauregui]

@Cesar yo ahorita estoy bloqueando con exito facebook en HTTPS, pero
bloqueo el rango de IPs no solo del CIDR de facebook, sino tambien las IPs
de los DNSs de facebook y la IP de facebook.

shell# host facebook.com
ip_de_face_book   <-- esta ip la bloqueo

shell# whois ip_de_face_book
CIDR  ip_de_rango_inicial/X  <-- este rango lo bloqueo

shell# whois facebook.com
Name Servers:
ns1_de_face_book
ns2_de_face_book

Al ns2 y ns2 les saco el IP, consulto el CIDR y tambien lo bloqueo.

Saludos !


El 6 de noviembre de 2013 16:16, César Martinez <
cmarti...@servicomecuador.com> escribió:

> Hola acabo de probar con punto y coma las instrucciones que hay en este
> link que alguien mencionó
>
> http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html
> y facebook funciona igual con https tengo mi centos 6.4 actualizado no
> se si falta algo pero no funciona, lo mejor es cerrar via iptables.
>
>
> Cordialmente
>
> César Martínez Mora
> Ingeniero de Sistemas
> SERVICOM
> User Linux 494131
>
> Números Convencionales 02-2554-271 02-2221-386
> Extensión 4501
> Móvil 09-99374-317
> Usa (315) 519-7220
> Email & Msn cmarti...@servicomecuador.com
> Skype servicomecuador
> Web www.servicomecuador.com
> Síguenos en
> Twitter: http://twitter.com/servicomecuador
> Facebook: http://www.facebook.com/servicomec
> Zona Clientes: www.servicomecuador.com/billing
> Blog: http://servicomecuador.com/blog
>
> Dir. Av. 10 de Agosto N29-140 Entre
> Acuña y  Cuero y Caicedo Edificio Vivanco Castillo
> 2do. Piso Oficina 201
> Quito - Ecuador - Sudamérica
>
> =
>
> Cláusula de Confidencialidad
> La información contenida en este e-mail es confidencial y solo puede ser
> utilizada por la persona a la
> cual esta dirigida.Si Usted no es el receptor autorizado, cualquier
> retención, difusión, distribución o copia
> de este mensaje es prohibida y sancionada por la ley. Si por error recibe
> este mensaje,  por favor reenviarlo
> al remitente y borre el mensaje recibido inmediatamente.
> =
>
> On 06/11/13 13:50, David González Romero wrote:
> > Esta es una opción 100% Squid, probada por mi y funciona super bien
> >
> >
> http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html
> >
> > Saludos,
> > David
> >
> >
> > El 5 de noviembre de 2013 12:42, Ignacio Ordeñana  >escribió:
> >
> >> te envio un link de una perosna que tuvo ese mismo problema
> >>
> >>
> >>
> http://www.ecualug.org/?q=2011/02/10/forums/bloquear_https_de_facebook_en_ip_tables&page=3
> >>
> >> saludos
> >>
> >>
> >> El 5 de noviembre de 2013 09:32, angel jauregui
> >> escribió:
> >>
> >>> Se cumple la excepcion, y funcionaria no ?
> >>>
> >>>
> >>> El 5 de noviembre de 2013 09:25, Ignacio Ordeñana   escribió:
>  a mi parecer esa regla de iptables no te funcionara ya que primero la
> >>> estas
>  permitiendo el acceso a una ip en particular luego le quitas acceso a
> >>> todo
>  el segmento de red incluyendo la ip que le permites acceso.
> 
>  saludos
> 
> 
>  El 5 de noviembre de 2013 08:34, angel jauregui
>  escribió:
> 
> > @David asi tengo la denegacion tambien, pero si el usuario cambia a
>  "https"
> > la pagina ya no es bloqueada, se brinca el filtro.
> >
> > Esto mas que nada porque en IPTables la regla indica que cualquier
> >> cosa
>  que
> > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya
> >>> no
>  se
> > aplica la regla.
> >
> > Ahora no puedo quitar el puerto https y forzar solo http, ya que
> >>> existen
> > paginas de gobierno que requieren https, y se me vendria el mundo
> >>> encima
> > :S.
> >
> > Estoy intentando con estas reglas, ustedes que opinan:
> >
> > *# dar acceso a facebook para una ip fija*
> > shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK
> >>> -j
> > ACCEPT
> >
> > *# quitar acceso facebook para cualquiera del segmento*
> > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d
> >> IP_CIDR_DEFACEBOOK
>  -j
> > REJECT
> >
> > Saludos !
> >
> >
> > El 5 de noviembre de 2013 05:08, David González Romero
> > escribió:
> >
> >> Tu has probado esta opción en Squid?
> >>
> >> acl denys url_regex "/etc/squid/denys"
> >> Donde
> >> /etc/squid/denys contiene:
> >> facebook
> >> twitter
> >> .
> >> Y luego
> >> http_access deny restric
> >>
> >> Al menos así me funciona a mi.
> >>
> >>
> >> Otra opcion sería comentar la línea "acl SSL_ports port 443" para
>  evitar
> >> conexiones por el 443...
> >>
> >>
> >>
> >>
> >> Saludos,
> >> David
> >>
> >>
> >>
> >> El 4 de noviembre de 2013 18:47, angel jauregui
> >> escribió:
> >>
> >>> Buenas.
> >>>
> >>> Estoy implementando li

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[César Martinez]

Hola acabo de probar con punto y coma las instrucciones que hay en este 
link que alguien mencionó 
http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html
 
y facebook funciona igual con https tengo mi centos 6.4 actualizado no 
se si falta algo pero no funciona, lo mejor es cerrar via iptables.


Cordialmente
  
César Martínez Mora
Ingeniero de Sistemas
SERVICOM
User Linux 494131
  
Números Convencionales 02-2554-271 02-2221-386
Extensión 4501
Móvil 09-99374-317
Usa (315) 519-7220
Email & Msn cmarti...@servicomecuador.com
Skype servicomecuador
Web www.servicomecuador.com
Síguenos en
Twitter: http://twitter.com/servicomecuador
Facebook: http://www.facebook.com/servicomec
Zona Clientes: www.servicomecuador.com/billing
Blog: http://servicomecuador.com/blog
  
Dir. Av. 10 de Agosto N29-140 Entre
Acuña y  Cuero y Caicedo Edificio Vivanco Castillo
2do. Piso Oficina 201
Quito - Ecuador - Sudamérica
  
=
  
Cláusula de Confidencialidad
La información contenida en este e-mail es confidencial y solo puede ser 
utilizada por la persona a la
cual esta dirigida.Si Usted no es el receptor autorizado, cualquier retención, 
difusión, distribución o copia
de este mensaje es prohibida y sancionada por la ley. Si por error recibe este 
mensaje,  por favor reenviarlo
al remitente y borre el mensaje recibido inmediatamente.
=

On 06/11/13 13:50, David González Romero wrote:
> Esta es una opción 100% Squid, probada por mi y funciona super bien
>
> http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html
>
> Saludos,
> David
>
>
> El 5 de noviembre de 2013 12:42, Ignacio Ordeñana 
> escribió:
>
>> te envio un link de una perosna que tuvo ese mismo problema
>>
>>
>> http://www.ecualug.org/?q=2011/02/10/forums/bloquear_https_de_facebook_en_ip_tables&page=3
>>
>> saludos
>>
>>
>> El 5 de noviembre de 2013 09:32, angel jauregui
>> escribió:
>>
>>> Se cumple la excepcion, y funcionaria no ?
>>>
>>>
>>> El 5 de noviembre de 2013 09:25, Ignacio Ordeñana >>> escribió:
 a mi parecer esa regla de iptables no te funcionara ya que primero la
>>> estas
 permitiendo el acceso a una ip en particular luego le quitas acceso a
>>> todo
 el segmento de red incluyendo la ip que le permites acceso.

 saludos


 El 5 de noviembre de 2013 08:34, angel jauregui
 escribió:

> @David asi tengo la denegacion tambien, pero si el usuario cambia a
 "https"
> la pagina ya no es bloqueada, se brinca el filtro.
>
> Esto mas que nada porque en IPTables la regla indica que cualquier
>> cosa
 que
> va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya
>>> no
 se
> aplica la regla.
>
> Ahora no puedo quitar el puerto https y forzar solo http, ya que
>>> existen
> paginas de gobierno que requieren https, y se me vendria el mundo
>>> encima
> :S.
>
> Estoy intentando con estas reglas, ustedes que opinan:
>
> *# dar acceso a facebook para una ip fija*
> shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK
>>> -j
> ACCEPT
>
> *# quitar acceso facebook para cualquiera del segmento*
> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d
>> IP_CIDR_DEFACEBOOK
 -j
> REJECT
>
> Saludos !
>
>
> El 5 de noviembre de 2013 05:08, David González Romero
> escribió:
>
>> Tu has probado esta opción en Squid?
>>
>> acl denys url_regex "/etc/squid/denys"
>> Donde
>> /etc/squid/denys contiene:
>> facebook
>> twitter
>> .
>> Y luego
>> http_access deny restric
>>
>> Al menos así me funciona a mi.
>>
>>
>> Otra opcion sería comentar la línea "acl SSL_ports port 443" para
 evitar
>> conexiones por el 443...
>>
>>
>>
>>
>> Saludos,
>> David
>>
>>
>>
>> El 4 de noviembre de 2013 18:47, angel jauregui
>> escribió:
>>
>>> Buenas.
>>>
>>> Estoy implementando limitaciones en la red, el objetivo es quitar
> acceso
>> a
>>> Redes Sociales, en primera instancia tengo SQUID que logra tapar
>> el
>> acceso
>>> a los sitios mediante http.
>>>
>>> El problema es que si los sitios tienes HTTPS, este es
>>> accesible
>>> En este caso http://facebook.com esta denegad por Squid.
>>> Pero al poner https://facebook.com entra exitosamente.
>>>
>>> La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta
 regla
>> que
>>> me esta haceindo cumplir el objetivo "En parte":
>>>
>>> iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
>>> 173.252.64.0-173.252.127.255 -j REJECT
>>>
>>> Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
 facebook.
>>> El problema *ahora radica* en que no logro hacer que ciertas IPs
> Locales
>

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[Pablo Alberto Flores]

amigo
en tu iptables debe indicar que las ip de destino (facebook) estan
bloquedas para toda la red o alguna maquinas.
pero si funciona. el cuento es que facebook tiene muchas ip y debes
bloquear una por una o consigue la lista, un ping te puede ayudar a
descubrir.



El 6 de noviembre de 2013 15:50, David González
Romeroescribió:

> Esta es una opción 100% Squid, probada por mi y funciona super bien
>
>
> http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html
>
> Saludos,
> David
>
>
> El 5 de noviembre de 2013 12:42, Ignacio Ordeñana  >escribió:
>
> > te envio un link de una perosna que tuvo ese mismo problema
> >
> >
> >
> http://www.ecualug.org/?q=2011/02/10/forums/bloquear_https_de_facebook_en_ip_tables&page=3
> >
> > saludos
> >
> >
> > El 5 de noviembre de 2013 09:32, angel jauregui
> > escribió:
> >
> > > Se cumple la excepcion, y funcionaria no ?
> > >
> > >
> > > El 5 de noviembre de 2013 09:25, Ignacio Ordeñana  > > >escribió:
> > >
> > > > a mi parecer esa regla de iptables no te funcionara ya que primero la
> > > estas
> > > > permitiendo el acceso a una ip en particular luego le quitas acceso a
> > > todo
> > > > el segmento de red incluyendo la ip que le permites acceso.
> > > >
> > > > saludos
> > > >
> > > >
> > > > El 5 de noviembre de 2013 08:34, angel jauregui
> > > > escribió:
> > > >
> > > > > @David asi tengo la denegacion tambien, pero si el usuario cambia a
> > > > "https"
> > > > > la pagina ya no es bloqueada, se brinca el filtro.
> > > > >
> > > > > Esto mas que nada porque en IPTables la regla indica que cualquier
> > cosa
> > > > que
> > > > > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS,
> ya
> > > no
> > > > se
> > > > > aplica la regla.
> > > > >
> > > > > Ahora no puedo quitar el puerto https y forzar solo http, ya que
> > > existen
> > > > > paginas de gobierno que requieren https, y se me vendria el mundo
> > > encima
> > > > > :S.
> > > > >
> > > > > Estoy intentando con estas reglas, ustedes que opinan:
> > > > >
> > > > > *# dar acceso a facebook para una ip fija*
> > > > > shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d
> IP_CIDR_DEFACEBOOK
> > > -j
> > > > > ACCEPT
> > > > >
> > > > > *# quitar acceso facebook para cualquiera del segmento*
> > > > > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d
> > IP_CIDR_DEFACEBOOK
> > > > -j
> > > > > REJECT
> > > > >
> > > > > Saludos !
> > > > >
> > > > >
> > > > > El 5 de noviembre de 2013 05:08, David González Romero
> > > > > escribió:
> > > > >
> > > > > > Tu has probado esta opción en Squid?
> > > > > >
> > > > > > acl denys url_regex "/etc/squid/denys"
> > > > > > Donde
> > > > > > /etc/squid/denys contiene:
> > > > > > facebook
> > > > > > twitter
> > > > > > .
> > > > > > Y luego
> > > > > > http_access deny restric
> > > > > >
> > > > > > Al menos así me funciona a mi.
> > > > > >
> > > > > >
> > > > > > Otra opcion sería comentar la línea "acl SSL_ports port 443" para
> > > > evitar
> > > > > > conexiones por el 443...
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > > Saludos,
> > > > > > David
> > > > > >
> > > > > >
> > > > > >
> > > > > > El 4 de noviembre de 2013 18:47, angel jauregui
> > > > > > escribió:
> > > > > >
> > > > > > > Buenas.
> > > > > > >
> > > > > > > Estoy implementando limitaciones en la red, el objetivo es
> quitar
> > > > > acceso
> > > > > > a
> > > > > > > Redes Sociales, en primera instancia tengo SQUID que logra
> tapar
> > el
> > > > > > acceso
> > > > > > > a los sitios mediante http.
> > > > > > >
> > > > > > > El problema es que si los sitios tienes HTTPS, este es
> > > accesible
> > > > > > >
> > > > > > > En este caso http://facebook.com esta denegad por Squid.
> > > > > > > Pero al poner https://facebook.com entra exitosamente.
> > > > > > >
> > > > > > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse
> esta
> > > > regla
> > > > > > que
> > > > > > > me esta haceindo cumplir el objetivo "En parte":
> > > > > > >
> > > > > > > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> > > > > > > 173.252.64.0-173.252.127.255 -j REJECT
> > > > > > >
> > > > > > > Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
> > > > facebook.
> > > > > > >
> > > > > > > El problema *ahora radica* en que no logro hacer que ciertas
> IPs
> > > > > Locales
> > > > > > > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> > > > > > >
> > > > > > > Intente ANTEponiendo esta regla:
> > > > > > >
> > > > > > > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
> > > > > --dst-range
> > > > > > > 173.252.64.0-173.252.127.255 -j ACCEPT
> > > > > > >
> > > > > > > Pero aun asi, se sigue bloqueando el sitio :S
> > > > > > >
> > > > > > > *shell# iptables -L -n*
> > > > > > > REJECT tcp  --  0.0.0.0/00.0.0.0/0
> tcp
> > > > > > > destination IP range 173.252.64.0-173.252.127.255 reject-with
> > > > > > > icmp-port-unreachable
> > > > > > > ACCEPT tcp  --  10.

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[David González Romero]

Esta es una opción 100% Squid, probada por mi y funciona super bien

http://servercomputing.blogspot.com/2012/01/block-facebook-in-squid-proxy-server.html

Saludos,
David


El 5 de noviembre de 2013 12:42, Ignacio Ordeñana escribió:

> te envio un link de una perosna que tuvo ese mismo problema
>
>
> http://www.ecualug.org/?q=2011/02/10/forums/bloquear_https_de_facebook_en_ip_tables&page=3
>
> saludos
>
>
> El 5 de noviembre de 2013 09:32, angel jauregui
> escribió:
>
> > Se cumple la excepcion, y funcionaria no ?
> >
> >
> > El 5 de noviembre de 2013 09:25, Ignacio Ordeñana  > >escribió:
> >
> > > a mi parecer esa regla de iptables no te funcionara ya que primero la
> > estas
> > > permitiendo el acceso a una ip en particular luego le quitas acceso a
> > todo
> > > el segmento de red incluyendo la ip que le permites acceso.
> > >
> > > saludos
> > >
> > >
> > > El 5 de noviembre de 2013 08:34, angel jauregui
> > > escribió:
> > >
> > > > @David asi tengo la denegacion tambien, pero si el usuario cambia a
> > > "https"
> > > > la pagina ya no es bloqueada, se brinca el filtro.
> > > >
> > > > Esto mas que nada porque en IPTables la regla indica que cualquier
> cosa
> > > que
> > > > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya
> > no
> > > se
> > > > aplica la regla.
> > > >
> > > > Ahora no puedo quitar el puerto https y forzar solo http, ya que
> > existen
> > > > paginas de gobierno que requieren https, y se me vendria el mundo
> > encima
> > > > :S.
> > > >
> > > > Estoy intentando con estas reglas, ustedes que opinan:
> > > >
> > > > *# dar acceso a facebook para una ip fija*
> > > > shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK
> > -j
> > > > ACCEPT
> > > >
> > > > *# quitar acceso facebook para cualquiera del segmento*
> > > > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d
> IP_CIDR_DEFACEBOOK
> > > -j
> > > > REJECT
> > > >
> > > > Saludos !
> > > >
> > > >
> > > > El 5 de noviembre de 2013 05:08, David González Romero
> > > > escribió:
> > > >
> > > > > Tu has probado esta opción en Squid?
> > > > >
> > > > > acl denys url_regex "/etc/squid/denys"
> > > > > Donde
> > > > > /etc/squid/denys contiene:
> > > > > facebook
> > > > > twitter
> > > > > .
> > > > > Y luego
> > > > > http_access deny restric
> > > > >
> > > > > Al menos así me funciona a mi.
> > > > >
> > > > >
> > > > > Otra opcion sería comentar la línea "acl SSL_ports port 443" para
> > > evitar
> > > > > conexiones por el 443...
> > > > >
> > > > >
> > > > >
> > > > >
> > > > > Saludos,
> > > > > David
> > > > >
> > > > >
> > > > >
> > > > > El 4 de noviembre de 2013 18:47, angel jauregui
> > > > > escribió:
> > > > >
> > > > > > Buenas.
> > > > > >
> > > > > > Estoy implementando limitaciones en la red, el objetivo es quitar
> > > > acceso
> > > > > a
> > > > > > Redes Sociales, en primera instancia tengo SQUID que logra tapar
> el
> > > > > acceso
> > > > > > a los sitios mediante http.
> > > > > >
> > > > > > El problema es que si los sitios tienes HTTPS, este es
> > accesible
> > > > > >
> > > > > > En este caso http://facebook.com esta denegad por Squid.
> > > > > > Pero al poner https://facebook.com entra exitosamente.
> > > > > >
> > > > > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta
> > > regla
> > > > > que
> > > > > > me esta haceindo cumplir el objetivo "En parte":
> > > > > >
> > > > > > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> > > > > > 173.252.64.0-173.252.127.255 -j REJECT
> > > > > >
> > > > > > Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
> > > facebook.
> > > > > >
> > > > > > El problema *ahora radica* en que no logro hacer que ciertas IPs
> > > > Locales
> > > > > > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> > > > > >
> > > > > > Intente ANTEponiendo esta regla:
> > > > > >
> > > > > > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
> > > > --dst-range
> > > > > > 173.252.64.0-173.252.127.255 -j ACCEPT
> > > > > >
> > > > > > Pero aun asi, se sigue bloqueando el sitio :S
> > > > > >
> > > > > > *shell# iptables -L -n*
> > > > > > REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
> > > > > > destination IP range 173.252.64.0-173.252.127.255 reject-with
> > > > > > icmp-port-unreachable
> > > > > > ACCEPT tcp  --  10.1.0.150   0.0.0.0/0   tcp
> > > > > > destination IP range 173.252.64.0-173.252.127.255
> > > > > >
> > > > > > --
> > > > > > M.S.I. Angel Haniel Cantu Jauregui.
> > > > > >
> > > > > > Celular: (011-52-1)-899-871-17-22
> > > > > > E-Mail: angel.ca...@sie-group.net
> > > > > > Web: http://www.sie-group.net/
> > > > > > Cd. Reynosa Tamaulipas.
> > > > > > ___
> > > > > > CentOS-es mailing list
> > > > > > CentOS-es@centos.org
> > > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > > >
> > > > > ___
> > > > > Cent

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[Ignacio Ordeñana]

te envio un link de una perosna que tuvo ese mismo problema

http://www.ecualug.org/?q=2011/02/10/forums/bloquear_https_de_facebook_en_ip_tables&page=3

saludos


El 5 de noviembre de 2013 09:32, angel jauregui
escribió:

> Se cumple la excepcion, y funcionaria no ?
>
>
> El 5 de noviembre de 2013 09:25, Ignacio Ordeñana  >escribió:
>
> > a mi parecer esa regla de iptables no te funcionara ya que primero la
> estas
> > permitiendo el acceso a una ip en particular luego le quitas acceso a
> todo
> > el segmento de red incluyendo la ip que le permites acceso.
> >
> > saludos
> >
> >
> > El 5 de noviembre de 2013 08:34, angel jauregui
> > escribió:
> >
> > > @David asi tengo la denegacion tambien, pero si el usuario cambia a
> > "https"
> > > la pagina ya no es bloqueada, se brinca el filtro.
> > >
> > > Esto mas que nada porque en IPTables la regla indica que cualquier cosa
> > que
> > > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya
> no
> > se
> > > aplica la regla.
> > >
> > > Ahora no puedo quitar el puerto https y forzar solo http, ya que
> existen
> > > paginas de gobierno que requieren https, y se me vendria el mundo
> encima
> > > :S.
> > >
> > > Estoy intentando con estas reglas, ustedes que opinan:
> > >
> > > *# dar acceso a facebook para una ip fija*
> > > shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK
> -j
> > > ACCEPT
> > >
> > > *# quitar acceso facebook para cualquiera del segmento*
> > > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK
> > -j
> > > REJECT
> > >
> > > Saludos !
> > >
> > >
> > > El 5 de noviembre de 2013 05:08, David González Romero
> > > escribió:
> > >
> > > > Tu has probado esta opción en Squid?
> > > >
> > > > acl denys url_regex "/etc/squid/denys"
> > > > Donde
> > > > /etc/squid/denys contiene:
> > > > facebook
> > > > twitter
> > > > .
> > > > Y luego
> > > > http_access deny restric
> > > >
> > > > Al menos así me funciona a mi.
> > > >
> > > >
> > > > Otra opcion sería comentar la línea "acl SSL_ports port 443" para
> > evitar
> > > > conexiones por el 443...
> > > >
> > > >
> > > >
> > > >
> > > > Saludos,
> > > > David
> > > >
> > > >
> > > >
> > > > El 4 de noviembre de 2013 18:47, angel jauregui
> > > > escribió:
> > > >
> > > > > Buenas.
> > > > >
> > > > > Estoy implementando limitaciones en la red, el objetivo es quitar
> > > acceso
> > > > a
> > > > > Redes Sociales, en primera instancia tengo SQUID que logra tapar el
> > > > acceso
> > > > > a los sitios mediante http.
> > > > >
> > > > > El problema es que si los sitios tienes HTTPS, este es
> accesible
> > > > >
> > > > > En este caso http://facebook.com esta denegad por Squid.
> > > > > Pero al poner https://facebook.com entra exitosamente.
> > > > >
> > > > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta
> > regla
> > > > que
> > > > > me esta haceindo cumplir el objetivo "En parte":
> > > > >
> > > > > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> > > > > 173.252.64.0-173.252.127.255 -j REJECT
> > > > >
> > > > > Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
> > facebook.
> > > > >
> > > > > El problema *ahora radica* en que no logro hacer que ciertas IPs
> > > Locales
> > > > > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> > > > >
> > > > > Intente ANTEponiendo esta regla:
> > > > >
> > > > > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
> > > --dst-range
> > > > > 173.252.64.0-173.252.127.255 -j ACCEPT
> > > > >
> > > > > Pero aun asi, se sigue bloqueando el sitio :S
> > > > >
> > > > > *shell# iptables -L -n*
> > > > > REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
> > > > > destination IP range 173.252.64.0-173.252.127.255 reject-with
> > > > > icmp-port-unreachable
> > > > > ACCEPT tcp  --  10.1.0.150   0.0.0.0/0   tcp
> > > > > destination IP range 173.252.64.0-173.252.127.255
> > > > >
> > > > > --
> > > > > M.S.I. Angel Haniel Cantu Jauregui.
> > > > >
> > > > > Celular: (011-52-1)-899-871-17-22
> > > > > E-Mail: angel.ca...@sie-group.net
> > > > > Web: http://www.sie-group.net/
> > > > > Cd. Reynosa Tamaulipas.
> > > > > ___
> > > > > CentOS-es mailing list
> > > > > CentOS-es@centos.org
> > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > >
> > > > ___
> > > > CentOS-es mailing list
> > > > CentOS-es@centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > >
> > >
> > >
> > >
> > > --
> > > M.S.I. Angel Haniel Cantu Jauregui.
> > >
> > > Celular: (011-52-1)-899-871-17-22
> > > E-Mail: angel.ca...@sie-group.net
> > > Web: http://www.sie-group.net/
> > > Cd. Reynosa Tamaulipas.
> > > ___
> > > CentOS-es mailing list
> > > CentOS-es@centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> > _

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[angel jauregui]

@David voy hacer pruebas como me indicas.


El 5 de noviembre de 2013 09:19, David González Romero
escribió:

> Hace un forward en el IPtables de que todo lo que vaya al 0/0 port 80, 443,
> 21, 20, etc... vaya al 3128...
>
> Squid no necesita configuacion adicional para https lo soporta
> perfectamente bien. Tu puedes controlar los accesos por dominios, o por
> IP... escoge el que te guste.
>
> Saludos,
> David
>
>
> El 5 de noviembre de 2013 12:07, angel jauregui
> escribió:
>
> > mmm es qye hay varios listillos que se lo podrian brincar :S... existe la
> > problematica que en esa red todos tienen acceso admin a sus propios
> > equipos. Generalmente siempre estan conectados con una cuenta de usuario
> > dentro del dominio local, pero a veces se logean con la cuenta admin.
> >
> > Y como soy un prestador de servicios y no quieren invertir, la unica
> > solucion es poner el proxy como GW.
> >
> > Para prevenir retardos coloque en el proxy 2 tarjetas de red 1Gb en
> > virtual, y configure el switch cisco como VLAN en los 2 puertos donde
> > conecto el proxy.
> >
> > Saludos !
> >
> >
> > El 5 de noviembre de 2013 08:52, Ramón Macías Zamora  > >escribió:
> >
> > > Efectivamente el problema que tienes es porque está usando proxy
> > > transparente.
> > >
> > > Si no usas proxy transparente si puedes controlarlo con las acl
> normales,
> > > sin embargo para que funcione el proxy debes configurar manualmente el
> > > proxy en los navegadores (En Firefox  -> Preferencias -> Avanzado ->
> red
> > ->
> > > Conexión dar click en Configurar -> Configuración Manual del Proxy
> > >
> > > Saludos
> > >
> > > --
> > >
> > >
> > >
> > > Ramón Macías Zamora
> > > Tecnología, Investigación y Desarrollo
> > > www.rks.ec - www.raykasolutions.com
> > > Guayaquil - Ecuador
> > > msn:ramon_mac...@hotmail.com
> > > skype:  ramon_macias
> > > UserLinux# 180926 (http://counter.li.org)
> > > Cel:593-8-0192238
> > > Tel:593 4 6044566
> > >
> > > 
> > >
> > >
> > > WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES,
> > SERVIDORES
> > > LINUX, SOPORTE.
> > >
> > >
> > > 2013/11/5 angel jauregui 
> > >
> > > > @Ramon no entiendo cuando mencionas "forzar a que los usuarios
> > configuren
> > > > el proxy" ???
> > > >
> > > > Los usuarios no tienen que configurar nada, ya que por consecuencia
> el
> > GW
> > > > que se les asigna es el del proxy, el proxy en si actua como
> > > > Proxy+Router+firewall.
> > > >
> > > > No entendi :S
> > > >
> > > > Saludos !
> > > >
> > > >
> > > > El 5 de noviembre de 2013 08:38, Ramón Macías Zamora  > > > >escribió:
> > > >
> > > > > Yo creo que la solución ahí es forzar a que los usuarios configuren
> > el
> > > > > proxy en vez de usar proxy transparente que sólo funciona para
> http y
> > > no
> > > > > para https.
> > > > >
> > > > > Saludos
> > > > >
> > > > > --
> > > > >
> > > > >
> > > > >
> > > > > Ramón Macías Zamora
> > > > > Tecnología, Investigación y Desarrollo
> > > > > www.rks.ec - www.raykasolutions.com
> > > > > Guayaquil - Ecuador
> > > > > msn:ramon_mac...@hotmail.com
> > > > > skype:  ramon_macias
> > > > > UserLinux# 180926 (http://counter.li.org)
> > > > > Cel:593-8-0192238
> > > > > Tel:593 4 6044566
> > > > >
> > > > > 
> > > > >
> > > > >
> > > > > WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES,
> > > > SERVIDORES
> > > > > LINUX, SOPORTE.
> > > > >
> > > > >
> > > > > 2013/11/5 angel jauregui 
> > > > >
> > > > > > @David asi tengo la denegacion tambien, pero si el usuario
> cambia a
> > > > > "https"
> > > > > > la pagina ya no es bloqueada, se brinca el filtro.
> > > > > >
> > > > > > Esto mas que nada porque en IPTables la regla indica que
> cualquier
> > > cosa
> > > > > que
> > > > > > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a
> HTTPS,
> > ya
> > > > no
> > > > > se
> > > > > > aplica la regla.
> > > > > >
> > > > > > Ahora no puedo quitar el puerto https y forzar solo http, ya que
> > > > existen
> > > > > > paginas de gobierno que requieren https, y se me vendria el mundo
> > > > encima
> > > > > > :S.
> > > > > >
> > > > > > Estoy intentando con estas reglas, ustedes que opinan:
> > > > > >
> > > > > > *# dar acceso a facebook para una ip fija*
> > > > > > shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d
> > IP_CIDR_DEFACEBOOK
> > > > -j
> > > > > > ACCEPT
> > > > > >
> > > > > > *# quitar acceso facebook para cualquiera del segmento*
> > > > > > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d
> > > IP_CIDR_DEFACEBOOK
> > > > > -j
> > > > > > REJECT
> > > > > >
> > > > > > Saludos !
> > > > > >
> > > > > >
> > > > > > El 5 de noviembre de 2013 05:08, David González Romero
> > > > > > escribió:
> > > > > >
> > > > > > > Tu has probado esta opción en Squid?
> > > > > > >
> > > > > > > acl denys url_regex "/etc/squid/denys"
> > > > > > > Donde
> > > > > > > /etc/squid/denys contiene:
> > > > > > > facebook
> > > > > > > twitt

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[angel jauregui]

Se cumple la excepcion, y funcionaria no ?


El 5 de noviembre de 2013 09:25, Ignacio Ordeñana escribió:

> a mi parecer esa regla de iptables no te funcionara ya que primero la estas
> permitiendo el acceso a una ip en particular luego le quitas acceso a todo
> el segmento de red incluyendo la ip que le permites acceso.
>
> saludos
>
>
> El 5 de noviembre de 2013 08:34, angel jauregui
> escribió:
>
> > @David asi tengo la denegacion tambien, pero si el usuario cambia a
> "https"
> > la pagina ya no es bloqueada, se brinca el filtro.
> >
> > Esto mas que nada porque en IPTables la regla indica que cualquier cosa
> que
> > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya no
> se
> > aplica la regla.
> >
> > Ahora no puedo quitar el puerto https y forzar solo http, ya que existen
> > paginas de gobierno que requieren https, y se me vendria el mundo encima
> > :S.
> >
> > Estoy intentando con estas reglas, ustedes que opinan:
> >
> > *# dar acceso a facebook para una ip fija*
> > shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK -j
> > ACCEPT
> >
> > *# quitar acceso facebook para cualquiera del segmento*
> > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK
> -j
> > REJECT
> >
> > Saludos !
> >
> >
> > El 5 de noviembre de 2013 05:08, David González Romero
> > escribió:
> >
> > > Tu has probado esta opción en Squid?
> > >
> > > acl denys url_regex "/etc/squid/denys"
> > > Donde
> > > /etc/squid/denys contiene:
> > > facebook
> > > twitter
> > > .
> > > Y luego
> > > http_access deny restric
> > >
> > > Al menos así me funciona a mi.
> > >
> > >
> > > Otra opcion sería comentar la línea "acl SSL_ports port 443" para
> evitar
> > > conexiones por el 443...
> > >
> > >
> > >
> > >
> > > Saludos,
> > > David
> > >
> > >
> > >
> > > El 4 de noviembre de 2013 18:47, angel jauregui
> > > escribió:
> > >
> > > > Buenas.
> > > >
> > > > Estoy implementando limitaciones en la red, el objetivo es quitar
> > acceso
> > > a
> > > > Redes Sociales, en primera instancia tengo SQUID que logra tapar el
> > > acceso
> > > > a los sitios mediante http.
> > > >
> > > > El problema es que si los sitios tienes HTTPS, este es accesible
> > > >
> > > > En este caso http://facebook.com esta denegad por Squid.
> > > > Pero al poner https://facebook.com entra exitosamente.
> > > >
> > > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta
> regla
> > > que
> > > > me esta haceindo cumplir el objetivo "En parte":
> > > >
> > > > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> > > > 173.252.64.0-173.252.127.255 -j REJECT
> > > >
> > > > Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
> facebook.
> > > >
> > > > El problema *ahora radica* en que no logro hacer que ciertas IPs
> > Locales
> > > > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> > > >
> > > > Intente ANTEponiendo esta regla:
> > > >
> > > > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
> > --dst-range
> > > > 173.252.64.0-173.252.127.255 -j ACCEPT
> > > >
> > > > Pero aun asi, se sigue bloqueando el sitio :S
> > > >
> > > > *shell# iptables -L -n*
> > > > REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
> > > > destination IP range 173.252.64.0-173.252.127.255 reject-with
> > > > icmp-port-unreachable
> > > > ACCEPT tcp  --  10.1.0.150   0.0.0.0/0   tcp
> > > > destination IP range 173.252.64.0-173.252.127.255
> > > >
> > > > --
> > > > M.S.I. Angel Haniel Cantu Jauregui.
> > > >
> > > > Celular: (011-52-1)-899-871-17-22
> > > > E-Mail: angel.ca...@sie-group.net
> > > > Web: http://www.sie-group.net/
> > > > Cd. Reynosa Tamaulipas.
> > > > ___
> > > > CentOS-es mailing list
> > > > CentOS-es@centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > >
> > > ___
> > > CentOS-es mailing list
> > > CentOS-es@centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> >
> >
> >
> > --
> > M.S.I. Angel Haniel Cantu Jauregui.
> >
> > Celular: (011-52-1)-899-871-17-22
> > E-Mail: angel.ca...@sie-group.net
> > Web: http://www.sie-group.net/
> > Cd. Reynosa Tamaulipas.
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.ca...@sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[Ignacio Ordeñana]

a mi parecer esa regla de iptables no te funcionara ya que primero la estas
permitiendo el acceso a una ip en particular luego le quitas acceso a todo
el segmento de red incluyendo la ip que le permites acceso.

saludos


El 5 de noviembre de 2013 08:34, angel jauregui
escribió:

> @David asi tengo la denegacion tambien, pero si el usuario cambia a "https"
> la pagina ya no es bloqueada, se brinca el filtro.
>
> Esto mas que nada porque en IPTables la regla indica que cualquier cosa que
> va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya no se
> aplica la regla.
>
> Ahora no puedo quitar el puerto https y forzar solo http, ya que existen
> paginas de gobierno que requieren https, y se me vendria el mundo encima
> :S.
>
> Estoy intentando con estas reglas, ustedes que opinan:
>
> *# dar acceso a facebook para una ip fija*
> shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK -j
> ACCEPT
>
> *# quitar acceso facebook para cualquiera del segmento*
> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK -j
> REJECT
>
> Saludos !
>
>
> El 5 de noviembre de 2013 05:08, David González Romero
> escribió:
>
> > Tu has probado esta opción en Squid?
> >
> > acl denys url_regex "/etc/squid/denys"
> > Donde
> > /etc/squid/denys contiene:
> > facebook
> > twitter
> > .
> > Y luego
> > http_access deny restric
> >
> > Al menos así me funciona a mi.
> >
> >
> > Otra opcion sería comentar la línea "acl SSL_ports port 443" para evitar
> > conexiones por el 443...
> >
> >
> >
> >
> > Saludos,
> > David
> >
> >
> >
> > El 4 de noviembre de 2013 18:47, angel jauregui
> > escribió:
> >
> > > Buenas.
> > >
> > > Estoy implementando limitaciones en la red, el objetivo es quitar
> acceso
> > a
> > > Redes Sociales, en primera instancia tengo SQUID que logra tapar el
> > acceso
> > > a los sitios mediante http.
> > >
> > > El problema es que si los sitios tienes HTTPS, este es accesible
> > >
> > > En este caso http://facebook.com esta denegad por Squid.
> > > Pero al poner https://facebook.com entra exitosamente.
> > >
> > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta regla
> > que
> > > me esta haceindo cumplir el objetivo "En parte":
> > >
> > > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> > > 173.252.64.0-173.252.127.255 -j REJECT
> > >
> > > Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de facebook.
> > >
> > > El problema *ahora radica* en que no logro hacer que ciertas IPs
> Locales
> > > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> > >
> > > Intente ANTEponiendo esta regla:
> > >
> > > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
> --dst-range
> > > 173.252.64.0-173.252.127.255 -j ACCEPT
> > >
> > > Pero aun asi, se sigue bloqueando el sitio :S
> > >
> > > *shell# iptables -L -n*
> > > REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
> > > destination IP range 173.252.64.0-173.252.127.255 reject-with
> > > icmp-port-unreachable
> > > ACCEPT tcp  --  10.1.0.150   0.0.0.0/0   tcp
> > > destination IP range 173.252.64.0-173.252.127.255
> > >
> > > --
> > > M.S.I. Angel Haniel Cantu Jauregui.
> > >
> > > Celular: (011-52-1)-899-871-17-22
> > > E-Mail: angel.ca...@sie-group.net
> > > Web: http://www.sie-group.net/
> > > Cd. Reynosa Tamaulipas.
> > > ___
> > > CentOS-es mailing list
> > > CentOS-es@centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.ca...@sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[David González Romero]

Hace un forward en el IPtables de que todo lo que vaya al 0/0 port 80, 443,
21, 20, etc... vaya al 3128...

Squid no necesita configuacion adicional para https lo soporta
perfectamente bien. Tu puedes controlar los accesos por dominios, o por
IP... escoge el que te guste.

Saludos,
David


El 5 de noviembre de 2013 12:07, angel jauregui
escribió:

> mmm es qye hay varios listillos que se lo podrian brincar :S... existe la
> problematica que en esa red todos tienen acceso admin a sus propios
> equipos. Generalmente siempre estan conectados con una cuenta de usuario
> dentro del dominio local, pero a veces se logean con la cuenta admin.
>
> Y como soy un prestador de servicios y no quieren invertir, la unica
> solucion es poner el proxy como GW.
>
> Para prevenir retardos coloque en el proxy 2 tarjetas de red 1Gb en
> virtual, y configure el switch cisco como VLAN en los 2 puertos donde
> conecto el proxy.
>
> Saludos !
>
>
> El 5 de noviembre de 2013 08:52, Ramón Macías Zamora  >escribió:
>
> > Efectivamente el problema que tienes es porque está usando proxy
> > transparente.
> >
> > Si no usas proxy transparente si puedes controlarlo con las acl normales,
> > sin embargo para que funcione el proxy debes configurar manualmente el
> > proxy en los navegadores (En Firefox  -> Preferencias -> Avanzado -> red
> ->
> > Conexión dar click en Configurar -> Configuración Manual del Proxy
> >
> > Saludos
> >
> > --
> >
> >
> >
> > Ramón Macías Zamora
> > Tecnología, Investigación y Desarrollo
> > www.rks.ec - www.raykasolutions.com
> > Guayaquil - Ecuador
> > msn:ramon_mac...@hotmail.com
> > skype:  ramon_macias
> > UserLinux# 180926 (http://counter.li.org)
> > Cel:593-8-0192238
> > Tel:593 4 6044566
> >
> > 
> >
> >
> > WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES,
> SERVIDORES
> > LINUX, SOPORTE.
> >
> >
> > 2013/11/5 angel jauregui 
> >
> > > @Ramon no entiendo cuando mencionas "forzar a que los usuarios
> configuren
> > > el proxy" ???
> > >
> > > Los usuarios no tienen que configurar nada, ya que por consecuencia el
> GW
> > > que se les asigna es el del proxy, el proxy en si actua como
> > > Proxy+Router+firewall.
> > >
> > > No entendi :S
> > >
> > > Saludos !
> > >
> > >
> > > El 5 de noviembre de 2013 08:38, Ramón Macías Zamora  > > >escribió:
> > >
> > > > Yo creo que la solución ahí es forzar a que los usuarios configuren
> el
> > > > proxy en vez de usar proxy transparente que sólo funciona para http y
> > no
> > > > para https.
> > > >
> > > > Saludos
> > > >
> > > > --
> > > >
> > > >
> > > >
> > > > Ramón Macías Zamora
> > > > Tecnología, Investigación y Desarrollo
> > > > www.rks.ec - www.raykasolutions.com
> > > > Guayaquil - Ecuador
> > > > msn:ramon_mac...@hotmail.com
> > > > skype:  ramon_macias
> > > > UserLinux# 180926 (http://counter.li.org)
> > > > Cel:593-8-0192238
> > > > Tel:593 4 6044566
> > > >
> > > > 
> > > >
> > > >
> > > > WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES,
> > > SERVIDORES
> > > > LINUX, SOPORTE.
> > > >
> > > >
> > > > 2013/11/5 angel jauregui 
> > > >
> > > > > @David asi tengo la denegacion tambien, pero si el usuario cambia a
> > > > "https"
> > > > > la pagina ya no es bloqueada, se brinca el filtro.
> > > > >
> > > > > Esto mas que nada porque en IPTables la regla indica que cualquier
> > cosa
> > > > que
> > > > > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS,
> ya
> > > no
> > > > se
> > > > > aplica la regla.
> > > > >
> > > > > Ahora no puedo quitar el puerto https y forzar solo http, ya que
> > > existen
> > > > > paginas de gobierno que requieren https, y se me vendria el mundo
> > > encima
> > > > > :S.
> > > > >
> > > > > Estoy intentando con estas reglas, ustedes que opinan:
> > > > >
> > > > > *# dar acceso a facebook para una ip fija*
> > > > > shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d
> IP_CIDR_DEFACEBOOK
> > > -j
> > > > > ACCEPT
> > > > >
> > > > > *# quitar acceso facebook para cualquiera del segmento*
> > > > > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d
> > IP_CIDR_DEFACEBOOK
> > > > -j
> > > > > REJECT
> > > > >
> > > > > Saludos !
> > > > >
> > > > >
> > > > > El 5 de noviembre de 2013 05:08, David González Romero
> > > > > escribió:
> > > > >
> > > > > > Tu has probado esta opción en Squid?
> > > > > >
> > > > > > acl denys url_regex "/etc/squid/denys"
> > > > > > Donde
> > > > > > /etc/squid/denys contiene:
> > > > > > facebook
> > > > > > twitter
> > > > > > .
> > > > > > Y luego
> > > > > > http_access deny restric
> > > > > >
> > > > > > Al menos así me funciona a mi.
> > > > > >
> > > > > >
> > > > > > Otra opcion sería comentar la línea "acl SSL_ports port 443" para
> > > > evitar
> > > > > > conexiones por el 443...
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > > Saludos,
> > > > > > David
> > > > > >
> > > > > >
> > > > > >
> > > > > > El 4 de noviembre de 2013 18:

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[angel jauregui]

mmm es qye hay varios listillos que se lo podrian brincar :S... existe la
problematica que en esa red todos tienen acceso admin a sus propios
equipos. Generalmente siempre estan conectados con una cuenta de usuario
dentro del dominio local, pero a veces se logean con la cuenta admin.

Y como soy un prestador de servicios y no quieren invertir, la unica
solucion es poner el proxy como GW.

Para prevenir retardos coloque en el proxy 2 tarjetas de red 1Gb en
virtual, y configure el switch cisco como VLAN en los 2 puertos donde
conecto el proxy.

Saludos !


El 5 de noviembre de 2013 08:52, Ramón Macías Zamora escribió:

> Efectivamente el problema que tienes es porque está usando proxy
> transparente.
>
> Si no usas proxy transparente si puedes controlarlo con las acl normales,
> sin embargo para que funcione el proxy debes configurar manualmente el
> proxy en los navegadores (En Firefox  -> Preferencias -> Avanzado -> red ->
> Conexión dar click en Configurar -> Configuración Manual del Proxy
>
> Saludos
>
> --
>
>
>
> Ramón Macías Zamora
> Tecnología, Investigación y Desarrollo
> www.rks.ec - www.raykasolutions.com
> Guayaquil - Ecuador
> msn:ramon_mac...@hotmail.com
> skype:  ramon_macias
> UserLinux# 180926 (http://counter.li.org)
> Cel:593-8-0192238
> Tel:593 4 6044566
>
> 
>
>
> WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES
> LINUX, SOPORTE.
>
>
> 2013/11/5 angel jauregui 
>
> > @Ramon no entiendo cuando mencionas "forzar a que los usuarios configuren
> > el proxy" ???
> >
> > Los usuarios no tienen que configurar nada, ya que por consecuencia el GW
> > que se les asigna es el del proxy, el proxy en si actua como
> > Proxy+Router+firewall.
> >
> > No entendi :S
> >
> > Saludos !
> >
> >
> > El 5 de noviembre de 2013 08:38, Ramón Macías Zamora  > >escribió:
> >
> > > Yo creo que la solución ahí es forzar a que los usuarios configuren el
> > > proxy en vez de usar proxy transparente que sólo funciona para http y
> no
> > > para https.
> > >
> > > Saludos
> > >
> > > --
> > >
> > >
> > >
> > > Ramón Macías Zamora
> > > Tecnología, Investigación y Desarrollo
> > > www.rks.ec - www.raykasolutions.com
> > > Guayaquil - Ecuador
> > > msn:ramon_mac...@hotmail.com
> > > skype:  ramon_macias
> > > UserLinux# 180926 (http://counter.li.org)
> > > Cel:593-8-0192238
> > > Tel:593 4 6044566
> > >
> > > 
> > >
> > >
> > > WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES,
> > SERVIDORES
> > > LINUX, SOPORTE.
> > >
> > >
> > > 2013/11/5 angel jauregui 
> > >
> > > > @David asi tengo la denegacion tambien, pero si el usuario cambia a
> > > "https"
> > > > la pagina ya no es bloqueada, se brinca el filtro.
> > > >
> > > > Esto mas que nada porque en IPTables la regla indica que cualquier
> cosa
> > > que
> > > > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya
> > no
> > > se
> > > > aplica la regla.
> > > >
> > > > Ahora no puedo quitar el puerto https y forzar solo http, ya que
> > existen
> > > > paginas de gobierno que requieren https, y se me vendria el mundo
> > encima
> > > > :S.
> > > >
> > > > Estoy intentando con estas reglas, ustedes que opinan:
> > > >
> > > > *# dar acceso a facebook para una ip fija*
> > > > shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK
> > -j
> > > > ACCEPT
> > > >
> > > > *# quitar acceso facebook para cualquiera del segmento*
> > > > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d
> IP_CIDR_DEFACEBOOK
> > > -j
> > > > REJECT
> > > >
> > > > Saludos !
> > > >
> > > >
> > > > El 5 de noviembre de 2013 05:08, David González Romero
> > > > escribió:
> > > >
> > > > > Tu has probado esta opción en Squid?
> > > > >
> > > > > acl denys url_regex "/etc/squid/denys"
> > > > > Donde
> > > > > /etc/squid/denys contiene:
> > > > > facebook
> > > > > twitter
> > > > > .
> > > > > Y luego
> > > > > http_access deny restric
> > > > >
> > > > > Al menos así me funciona a mi.
> > > > >
> > > > >
> > > > > Otra opcion sería comentar la línea "acl SSL_ports port 443" para
> > > evitar
> > > > > conexiones por el 443...
> > > > >
> > > > >
> > > > >
> > > > >
> > > > > Saludos,
> > > > > David
> > > > >
> > > > >
> > > > >
> > > > > El 4 de noviembre de 2013 18:47, angel jauregui
> > > > > escribió:
> > > > >
> > > > > > Buenas.
> > > > > >
> > > > > > Estoy implementando limitaciones en la red, el objetivo es quitar
> > > > acceso
> > > > > a
> > > > > > Redes Sociales, en primera instancia tengo SQUID que logra tapar
> el
> > > > > acceso
> > > > > > a los sitios mediante http.
> > > > > >
> > > > > > El problema es que si los sitios tienes HTTPS, este es
> > accesible
> > > > > >
> > > > > > En este caso http://facebook.com esta denegad por Squid.
> > > > > > Pero al poner https://facebook.com entra exitosamente.
> > > > > >
> > > > > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta
> > > regla
> > > > >

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[Ramón Macías Zamora]

Efectivamente el problema que tienes es porque está usando proxy
transparente.

Si no usas proxy transparente si puedes controlarlo con las acl normales,
sin embargo para que funcione el proxy debes configurar manualmente el
proxy en los navegadores (En Firefox  -> Preferencias -> Avanzado -> red ->
Conexión dar click en Configurar -> Configuración Manual del Proxy

Saludos

--



Ramón Macías Zamora
Tecnología, Investigación y Desarrollo
www.rks.ec - www.raykasolutions.com
Guayaquil - Ecuador
msn:ramon_mac...@hotmail.com
skype:  ramon_macias
UserLinux# 180926 (http://counter.li.org)
Cel:593-8-0192238
Tel:593 4 6044566




WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES
LINUX, SOPORTE.


2013/11/5 angel jauregui 

> @Ramon no entiendo cuando mencionas "forzar a que los usuarios configuren
> el proxy" ???
>
> Los usuarios no tienen que configurar nada, ya que por consecuencia el GW
> que se les asigna es el del proxy, el proxy en si actua como
> Proxy+Router+firewall.
>
> No entendi :S
>
> Saludos !
>
>
> El 5 de noviembre de 2013 08:38, Ramón Macías Zamora  >escribió:
>
> > Yo creo que la solución ahí es forzar a que los usuarios configuren el
> > proxy en vez de usar proxy transparente que sólo funciona para http y no
> > para https.
> >
> > Saludos
> >
> > --
> >
> >
> >
> > Ramón Macías Zamora
> > Tecnología, Investigación y Desarrollo
> > www.rks.ec - www.raykasolutions.com
> > Guayaquil - Ecuador
> > msn:ramon_mac...@hotmail.com
> > skype:  ramon_macias
> > UserLinux# 180926 (http://counter.li.org)
> > Cel:593-8-0192238
> > Tel:593 4 6044566
> >
> > 
> >
> >
> > WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES,
> SERVIDORES
> > LINUX, SOPORTE.
> >
> >
> > 2013/11/5 angel jauregui 
> >
> > > @David asi tengo la denegacion tambien, pero si el usuario cambia a
> > "https"
> > > la pagina ya no es bloqueada, se brinca el filtro.
> > >
> > > Esto mas que nada porque en IPTables la regla indica que cualquier cosa
> > que
> > > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya
> no
> > se
> > > aplica la regla.
> > >
> > > Ahora no puedo quitar el puerto https y forzar solo http, ya que
> existen
> > > paginas de gobierno que requieren https, y se me vendria el mundo
> encima
> > > :S.
> > >
> > > Estoy intentando con estas reglas, ustedes que opinan:
> > >
> > > *# dar acceso a facebook para una ip fija*
> > > shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK
> -j
> > > ACCEPT
> > >
> > > *# quitar acceso facebook para cualquiera del segmento*
> > > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK
> > -j
> > > REJECT
> > >
> > > Saludos !
> > >
> > >
> > > El 5 de noviembre de 2013 05:08, David González Romero
> > > escribió:
> > >
> > > > Tu has probado esta opción en Squid?
> > > >
> > > > acl denys url_regex "/etc/squid/denys"
> > > > Donde
> > > > /etc/squid/denys contiene:
> > > > facebook
> > > > twitter
> > > > .
> > > > Y luego
> > > > http_access deny restric
> > > >
> > > > Al menos así me funciona a mi.
> > > >
> > > >
> > > > Otra opcion sería comentar la línea "acl SSL_ports port 443" para
> > evitar
> > > > conexiones por el 443...
> > > >
> > > >
> > > >
> > > >
> > > > Saludos,
> > > > David
> > > >
> > > >
> > > >
> > > > El 4 de noviembre de 2013 18:47, angel jauregui
> > > > escribió:
> > > >
> > > > > Buenas.
> > > > >
> > > > > Estoy implementando limitaciones en la red, el objetivo es quitar
> > > acceso
> > > > a
> > > > > Redes Sociales, en primera instancia tengo SQUID que logra tapar el
> > > > acceso
> > > > > a los sitios mediante http.
> > > > >
> > > > > El problema es que si los sitios tienes HTTPS, este es
> accesible
> > > > >
> > > > > En este caso http://facebook.com esta denegad por Squid.
> > > > > Pero al poner https://facebook.com entra exitosamente.
> > > > >
> > > > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta
> > regla
> > > > que
> > > > > me esta haceindo cumplir el objetivo "En parte":
> > > > >
> > > > > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> > > > > 173.252.64.0-173.252.127.255 -j REJECT
> > > > >
> > > > > Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
> > facebook.
> > > > >
> > > > > El problema *ahora radica* en que no logro hacer que ciertas IPs
> > > Locales
> > > > > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> > > > >
> > > > > Intente ANTEponiendo esta regla:
> > > > >
> > > > > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
> > > --dst-range
> > > > > 173.252.64.0-173.252.127.255 -j ACCEPT
> > > > >
> > > > > Pero aun asi, se sigue bloqueando el sitio :S
> > > > >
> > > > > *shell# iptables -L -n*
> > > > > REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
> > > > > destination IP range 173.252.64.0-173.252.127.255 reject-with
> > > > > icmp-port

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[César Martínez]

El link que te envie bloquea por iptables 
--
Saludos

César Martinez Mora
Ingeniero de Sistemas
Servicom

Enviado desde mi mobile Samsung galaxy

angel jauregui  escribió:
>@Cesar va por iptables :D, solo que el comando es algo distinto... lo
>probare !
>
>
>El 5 de noviembre de 2013 08:44, César Martinez <
>cmarti...@servicomecuador.com> escribió:
>
>> Acá Epe publicó algo muy sencillo, comentanos si te funcionó
>>
>>
>>
>http://www.ecualug.org/?q=2012/05/23/comos/centos6_%C2%BFc%C3%B3mo_bloquear_facebook_con_iptables
>>
>> Cordialmente
>>
>> César Martínez Mora
>> Ingeniero de Sistemas
>> SERVICOM
>> User Linux 494131
>>
>> Números Convencionales 02-2554-271 02-2221-386
>> Extensión 4501
>> Móvil 09-99374-317
>> Usa (315) 519-7220
>> Email & Msn cmarti...@servicomecuador.com
>> Skype servicomecuador
>> Web www.servicomecuador.com
>> Síguenos en
>> Twitter: http://twitter.com/servicomecuador
>> Facebook: http://www.facebook.com/servicomec
>> Zona Clientes: www.servicomecuador.com/billing
>> Blog: http://servicomecuador.com/blog
>>
>> Dir. Av. 10 de Agosto N29-140 Entre
>> Acuña y  Cuero y Caicedo Edificio Vivanco Castillo
>> 2do. Piso Oficina 201
>> Quito - Ecuador - Sudamérica
>>
>> =
>>
>> Cláusula de Confidencialidad
>> La información contenida en este e-mail es confidencial y solo puede
>ser
>> utilizada por la persona a la
>> cual esta dirigida.Si Usted no es el receptor autorizado, cualquier
>> retención, difusión, distribución o copia
>> de este mensaje es prohibida y sancionada por la ley. Si por error
>recibe
>> este mensaje,  por favor reenviarlo
>> al remitente y borre el mensaje recibido inmediatamente.
>> =
>>
>> On 05/11/13 09:36, angel jauregui wrote:
>> > El CID lo tomo de aqui:
>> >
>> > shell# host facebook.com
>> > Ip_de_Face_book
>> >
>> > shell# whois Ip_de_Face_book
>> > CID Ip_del_seg_mento/mask
>> >
>> > Saludos !
>> >
>> >
>> > El 5 de noviembre de 2013 08:34, angel jauregui
>> > escribió:
>> >
>> >> @David asi tengo la denegacion tambien, pero si el usuario cambia
>a
>> >> "https" la pagina ya no es bloqueada, se brinca el filtro.
>> >>
>> >> Esto mas que nada porque en IPTables la regla indica que cualquier
>cosa
>> >> que va al 80 se rediriga al 3128 (puerto squid), y al cambiar a
>HTTPS,
>> ya
>> >> no se aplica la regla.
>> >>
>> >> Ahora no puedo quitar el puerto https y forzar solo http, ya que
>existen
>> >> paginas de gobierno que requieren https, y se me vendria el mundo
>> encima :S.
>> >>
>> >> Estoy intentando con estas reglas, ustedes que opinan:
>> >>
>> >> *# dar acceso a facebook para una ip fija*
>> >> shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d
>IP_CIDR_DEFACEBOOK -j
>> >> ACCEPT
>> >>
>> >> *# quitar acceso facebook para cualquiera del segmento*
>> >> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d
>IP_CIDR_DEFACEBOOK
>> -j
>> >> REJECT
>> >>
>> >> Saludos !
>> >>
>> >>
>> >> El 5 de noviembre de 2013 05:08, David González Romero <
>> >> dgrved...@gmail.com> escribió:
>> >>
>> >> Tu has probado esta opción en Squid?
>> >>> acl denys url_regex "/etc/squid/denys"
>> >>> Donde
>> >>> /etc/squid/denys contiene:
>> >>> facebook
>> >>> twitter
>> >>> .
>> >>> Y luego
>> >>> http_access deny restric
>> >>>
>> >>> Al menos así me funciona a mi.
>> >>>
>> >>>
>> >>> Otra opcion sería comentar la línea "acl SSL_ports port 443" para
>> evitar
>> >>> conexiones por el 443...
>> >>>
>> >>>
>> >>>
>> >>>
>> >>> Saludos,
>> >>> David
>> >>>
>> >>>
>> >>>
>> >>> El 4 de noviembre de 2013 18:47, angel jauregui
>> >>> escribió:
>> >>>
>>  Buenas.
>> 
>>  Estoy implementando limitaciones en la red, el objetivo es
>quitar
>> >>> acceso a
>>  Redes Sociales, en primera instancia tengo SQUID que logra tapar
>el
>> >>> acceso
>>  a los sitios mediante http.
>> 
>>  El problema es que si los sitios tienes HTTPS, este es
>accesible
>> 
>>  En este caso http://facebook.com esta denegad por Squid.
>>  Pero al poner https://facebook.com entra exitosamente.
>> 
>>  La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta
>regla
>> >>> que
>>  me esta haceindo cumplir el objetivo "En parte":
>> 
>>  iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
>>  173.252.64.0-173.252.127.255 -j REJECT
>> 
>>  Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
>> facebook.
>> 
>>  El problema *ahora radica* en que no logro hacer que ciertas IPs
>> Locales
>>  (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
>> 
>>  Intente ANTEponiendo esta regla:
>> 
>>  iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
>> >>> --dst-range
>>  173.252.64.0-173.252.127.255 -j ACCEPT
>> 
>>  Pero aun asi, se sigue bloqueando el sitio :S
>> 
>>  *shell# iptables -L -n*
>>  REJECT tcp  --  0.0.0.0/00.0.0.0/0

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[angel jauregui]

@Cesar va por iptables :D, solo que el comando es algo distinto... lo
probare !


El 5 de noviembre de 2013 08:44, César Martinez <
cmarti...@servicomecuador.com> escribió:

> Acá Epe publicó algo muy sencillo, comentanos si te funcionó
>
>
> http://www.ecualug.org/?q=2012/05/23/comos/centos6_%C2%BFc%C3%B3mo_bloquear_facebook_con_iptables
>
> Cordialmente
>
> César Martínez Mora
> Ingeniero de Sistemas
> SERVICOM
> User Linux 494131
>
> Números Convencionales 02-2554-271 02-2221-386
> Extensión 4501
> Móvil 09-99374-317
> Usa (315) 519-7220
> Email & Msn cmarti...@servicomecuador.com
> Skype servicomecuador
> Web www.servicomecuador.com
> Síguenos en
> Twitter: http://twitter.com/servicomecuador
> Facebook: http://www.facebook.com/servicomec
> Zona Clientes: www.servicomecuador.com/billing
> Blog: http://servicomecuador.com/blog
>
> Dir. Av. 10 de Agosto N29-140 Entre
> Acuña y  Cuero y Caicedo Edificio Vivanco Castillo
> 2do. Piso Oficina 201
> Quito - Ecuador - Sudamérica
>
> =
>
> Cláusula de Confidencialidad
> La información contenida en este e-mail es confidencial y solo puede ser
> utilizada por la persona a la
> cual esta dirigida.Si Usted no es el receptor autorizado, cualquier
> retención, difusión, distribución o copia
> de este mensaje es prohibida y sancionada por la ley. Si por error recibe
> este mensaje,  por favor reenviarlo
> al remitente y borre el mensaje recibido inmediatamente.
> =
>
> On 05/11/13 09:36, angel jauregui wrote:
> > El CID lo tomo de aqui:
> >
> > shell# host facebook.com
> > Ip_de_Face_book
> >
> > shell# whois Ip_de_Face_book
> > CID Ip_del_seg_mento/mask
> >
> > Saludos !
> >
> >
> > El 5 de noviembre de 2013 08:34, angel jauregui
> > escribió:
> >
> >> @David asi tengo la denegacion tambien, pero si el usuario cambia a
> >> "https" la pagina ya no es bloqueada, se brinca el filtro.
> >>
> >> Esto mas que nada porque en IPTables la regla indica que cualquier cosa
> >> que va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS,
> ya
> >> no se aplica la regla.
> >>
> >> Ahora no puedo quitar el puerto https y forzar solo http, ya que existen
> >> paginas de gobierno que requieren https, y se me vendria el mundo
> encima :S.
> >>
> >> Estoy intentando con estas reglas, ustedes que opinan:
> >>
> >> *# dar acceso a facebook para una ip fija*
> >> shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK -j
> >> ACCEPT
> >>
> >> *# quitar acceso facebook para cualquiera del segmento*
> >> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK
> -j
> >> REJECT
> >>
> >> Saludos !
> >>
> >>
> >> El 5 de noviembre de 2013 05:08, David González Romero <
> >> dgrved...@gmail.com> escribió:
> >>
> >> Tu has probado esta opción en Squid?
> >>> acl denys url_regex "/etc/squid/denys"
> >>> Donde
> >>> /etc/squid/denys contiene:
> >>> facebook
> >>> twitter
> >>> .
> >>> Y luego
> >>> http_access deny restric
> >>>
> >>> Al menos así me funciona a mi.
> >>>
> >>>
> >>> Otra opcion sería comentar la línea "acl SSL_ports port 443" para
> evitar
> >>> conexiones por el 443...
> >>>
> >>>
> >>>
> >>>
> >>> Saludos,
> >>> David
> >>>
> >>>
> >>>
> >>> El 4 de noviembre de 2013 18:47, angel jauregui
> >>> escribió:
> >>>
>  Buenas.
> 
>  Estoy implementando limitaciones en la red, el objetivo es quitar
> >>> acceso a
>  Redes Sociales, en primera instancia tengo SQUID que logra tapar el
> >>> acceso
>  a los sitios mediante http.
> 
>  El problema es que si los sitios tienes HTTPS, este es accesible
> 
>  En este caso http://facebook.com esta denegad por Squid.
>  Pero al poner https://facebook.com entra exitosamente.
> 
>  La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta regla
> >>> que
>  me esta haceindo cumplir el objetivo "En parte":
> 
>  iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
>  173.252.64.0-173.252.127.255 -j REJECT
> 
>  Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
> facebook.
> 
>  El problema *ahora radica* en que no logro hacer que ciertas IPs
> Locales
>  (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> 
>  Intente ANTEponiendo esta regla:
> 
>  iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
> >>> --dst-range
>  173.252.64.0-173.252.127.255 -j ACCEPT
> 
>  Pero aun asi, se sigue bloqueando el sitio :S
> 
>  *shell# iptables -L -n*
>  REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
>  destination IP range 173.252.64.0-173.252.127.255 reject-with
>  icmp-port-unreachable
>  ACCEPT tcp  --  10.1.0.150   0.0.0.0/0   tcp
>  destination IP range 173.252.64.0-173.252.127.255
> 
>  --
>  M.S.I. Angel Haniel Cantu Jauregui.
> 
>  Celular: (011-52-1)-899-871-17-22
> 

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[angel jauregui]

@David pero como atiendo el HTTPS ?... si mando las peticiones del 443 al
3128 no se consibe el certificado :S... Digo, porque hay IPs Fijas que si
pueden navegar libremente.

No he configurado nunca Squid para https, solo http.

Saludos !


El 5 de noviembre de 2013 08:45, David González Romero
escribió:

> O lo otro es denegar por dominio
>
> acl fb_cia dts_domain "/etc/squid/domains"
> Y en domains
> facebook.com
> twitter.com
> .
>
>
> El 5 de noviembre de 2013 11:38, Ramón Macías Zamora  >escribió:
>
> > Yo creo que la solución ahí es forzar a que los usuarios configuren el
> > proxy en vez de usar proxy transparente que sólo funciona para http y no
> > para https.
> >
> > Saludos
> >
> > --
> >
> >
> >
> > Ramón Macías Zamora
> > Tecnología, Investigación y Desarrollo
> > www.rks.ec - www.raykasolutions.com
> > Guayaquil - Ecuador
> > msn:ramon_mac...@hotmail.com
> > skype:  ramon_macias
> > UserLinux# 180926 (http://counter.li.org)
> > Cel:593-8-0192238
> > Tel:593 4 6044566
> >
> > 
> >
> >
> > WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES,
> SERVIDORES
> > LINUX, SOPORTE.
> >
> >
> > 2013/11/5 angel jauregui 
> >
> > > @David asi tengo la denegacion tambien, pero si el usuario cambia a
> > "https"
> > > la pagina ya no es bloqueada, se brinca el filtro.
> > >
> > > Esto mas que nada porque en IPTables la regla indica que cualquier cosa
> > que
> > > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya
> no
> > se
> > > aplica la regla.
> > >
> > > Ahora no puedo quitar el puerto https y forzar solo http, ya que
> existen
> > > paginas de gobierno que requieren https, y se me vendria el mundo
> encima
> > > :S.
> > >
> > > Estoy intentando con estas reglas, ustedes que opinan:
> > >
> > > *# dar acceso a facebook para una ip fija*
> > > shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK
> -j
> > > ACCEPT
> > >
> > > *# quitar acceso facebook para cualquiera del segmento*
> > > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK
> > -j
> > > REJECT
> > >
> > > Saludos !
> > >
> > >
> > > El 5 de noviembre de 2013 05:08, David González Romero
> > > escribió:
> > >
> > > > Tu has probado esta opción en Squid?
> > > >
> > > > acl denys url_regex "/etc/squid/denys"
> > > > Donde
> > > > /etc/squid/denys contiene:
> > > > facebook
> > > > twitter
> > > > .
> > > > Y luego
> > > > http_access deny restric
> > > >
> > > > Al menos así me funciona a mi.
> > > >
> > > >
> > > > Otra opcion sería comentar la línea "acl SSL_ports port 443" para
> > evitar
> > > > conexiones por el 443...
> > > >
> > > >
> > > >
> > > >
> > > > Saludos,
> > > > David
> > > >
> > > >
> > > >
> > > > El 4 de noviembre de 2013 18:47, angel jauregui
> > > > escribió:
> > > >
> > > > > Buenas.
> > > > >
> > > > > Estoy implementando limitaciones en la red, el objetivo es quitar
> > > acceso
> > > > a
> > > > > Redes Sociales, en primera instancia tengo SQUID que logra tapar el
> > > > acceso
> > > > > a los sitios mediante http.
> > > > >
> > > > > El problema es que si los sitios tienes HTTPS, este es
> accesible
> > > > >
> > > > > En este caso http://facebook.com esta denegad por Squid.
> > > > > Pero al poner https://facebook.com entra exitosamente.
> > > > >
> > > > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta
> > regla
> > > > que
> > > > > me esta haceindo cumplir el objetivo "En parte":
> > > > >
> > > > > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> > > > > 173.252.64.0-173.252.127.255 -j REJECT
> > > > >
> > > > > Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
> > facebook.
> > > > >
> > > > > El problema *ahora radica* en que no logro hacer que ciertas IPs
> > > Locales
> > > > > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> > > > >
> > > > > Intente ANTEponiendo esta regla:
> > > > >
> > > > > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
> > > --dst-range
> > > > > 173.252.64.0-173.252.127.255 -j ACCEPT
> > > > >
> > > > > Pero aun asi, se sigue bloqueando el sitio :S
> > > > >
> > > > > *shell# iptables -L -n*
> > > > > REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
> > > > > destination IP range 173.252.64.0-173.252.127.255 reject-with
> > > > > icmp-port-unreachable
> > > > > ACCEPT tcp  --  10.1.0.150   0.0.0.0/0   tcp
> > > > > destination IP range 173.252.64.0-173.252.127.255
> > > > >
> > > > > --
> > > > > M.S.I. Angel Haniel Cantu Jauregui.
> > > > >
> > > > > Celular: (011-52-1)-899-871-17-22
> > > > > E-Mail: angel.ca...@sie-group.net
> > > > > Web: http://www.sie-group.net/
> > > > > Cd. Reynosa Tamaulipas.
> > > > > ___
> > > > > CentOS-es mailing list
> > > > > CentOS-es@centos.org
> > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > >
> > > > ___
> > 

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[angel jauregui]

@Ramon no entiendo cuando mencionas "forzar a que los usuarios configuren
el proxy" ???

Los usuarios no tienen que configurar nada, ya que por consecuencia el GW
que se les asigna es el del proxy, el proxy en si actua como
Proxy+Router+firewall.

No entendi :S

Saludos !


El 5 de noviembre de 2013 08:38, Ramón Macías Zamora escribió:

> Yo creo que la solución ahí es forzar a que los usuarios configuren el
> proxy en vez de usar proxy transparente que sólo funciona para http y no
> para https.
>
> Saludos
>
> --
>
>
>
> Ramón Macías Zamora
> Tecnología, Investigación y Desarrollo
> www.rks.ec - www.raykasolutions.com
> Guayaquil - Ecuador
> msn:ramon_mac...@hotmail.com
> skype:  ramon_macias
> UserLinux# 180926 (http://counter.li.org)
> Cel:593-8-0192238
> Tel:593 4 6044566
>
> 
>
>
> WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES
> LINUX, SOPORTE.
>
>
> 2013/11/5 angel jauregui 
>
> > @David asi tengo la denegacion tambien, pero si el usuario cambia a
> "https"
> > la pagina ya no es bloqueada, se brinca el filtro.
> >
> > Esto mas que nada porque en IPTables la regla indica que cualquier cosa
> que
> > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya no
> se
> > aplica la regla.
> >
> > Ahora no puedo quitar el puerto https y forzar solo http, ya que existen
> > paginas de gobierno que requieren https, y se me vendria el mundo encima
> > :S.
> >
> > Estoy intentando con estas reglas, ustedes que opinan:
> >
> > *# dar acceso a facebook para una ip fija*
> > shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK -j
> > ACCEPT
> >
> > *# quitar acceso facebook para cualquiera del segmento*
> > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK
> -j
> > REJECT
> >
> > Saludos !
> >
> >
> > El 5 de noviembre de 2013 05:08, David González Romero
> > escribió:
> >
> > > Tu has probado esta opción en Squid?
> > >
> > > acl denys url_regex "/etc/squid/denys"
> > > Donde
> > > /etc/squid/denys contiene:
> > > facebook
> > > twitter
> > > .
> > > Y luego
> > > http_access deny restric
> > >
> > > Al menos así me funciona a mi.
> > >
> > >
> > > Otra opcion sería comentar la línea "acl SSL_ports port 443" para
> evitar
> > > conexiones por el 443...
> > >
> > >
> > >
> > >
> > > Saludos,
> > > David
> > >
> > >
> > >
> > > El 4 de noviembre de 2013 18:47, angel jauregui
> > > escribió:
> > >
> > > > Buenas.
> > > >
> > > > Estoy implementando limitaciones en la red, el objetivo es quitar
> > acceso
> > > a
> > > > Redes Sociales, en primera instancia tengo SQUID que logra tapar el
> > > acceso
> > > > a los sitios mediante http.
> > > >
> > > > El problema es que si los sitios tienes HTTPS, este es accesible
> > > >
> > > > En este caso http://facebook.com esta denegad por Squid.
> > > > Pero al poner https://facebook.com entra exitosamente.
> > > >
> > > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta
> regla
> > > que
> > > > me esta haceindo cumplir el objetivo "En parte":
> > > >
> > > > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> > > > 173.252.64.0-173.252.127.255 -j REJECT
> > > >
> > > > Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
> facebook.
> > > >
> > > > El problema *ahora radica* en que no logro hacer que ciertas IPs
> > Locales
> > > > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> > > >
> > > > Intente ANTEponiendo esta regla:
> > > >
> > > > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
> > --dst-range
> > > > 173.252.64.0-173.252.127.255 -j ACCEPT
> > > >
> > > > Pero aun asi, se sigue bloqueando el sitio :S
> > > >
> > > > *shell# iptables -L -n*
> > > > REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
> > > > destination IP range 173.252.64.0-173.252.127.255 reject-with
> > > > icmp-port-unreachable
> > > > ACCEPT tcp  --  10.1.0.150   0.0.0.0/0   tcp
> > > > destination IP range 173.252.64.0-173.252.127.255
> > > >
> > > > --
> > > > M.S.I. Angel Haniel Cantu Jauregui.
> > > >
> > > > Celular: (011-52-1)-899-871-17-22
> > > > E-Mail: angel.ca...@sie-group.net
> > > > Web: http://www.sie-group.net/
> > > > Cd. Reynosa Tamaulipas.
> > > > ___
> > > > CentOS-es mailing list
> > > > CentOS-es@centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > >
> > > ___
> > > CentOS-es mailing list
> > > CentOS-es@centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> >
> >
> >
> > --
> > M.S.I. Angel Haniel Cantu Jauregui.
> >
> > Celular: (011-52-1)-899-871-17-22
> > E-Mail: angel.ca...@sie-group.net
> > Web: http://www.sie-group.net/
> > Cd. Reynosa Tamaulipas.
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[David González Romero]

O lo otro es denegar por dominio

acl fb_cia dts_domain "/etc/squid/domains"
Y en domains
facebook.com
twitter.com
.


El 5 de noviembre de 2013 11:38, Ramón Macías Zamora escribió:

> Yo creo que la solución ahí es forzar a que los usuarios configuren el
> proxy en vez de usar proxy transparente que sólo funciona para http y no
> para https.
>
> Saludos
>
> --
>
>
>
> Ramón Macías Zamora
> Tecnología, Investigación y Desarrollo
> www.rks.ec - www.raykasolutions.com
> Guayaquil - Ecuador
> msn:ramon_mac...@hotmail.com
> skype:  ramon_macias
> UserLinux# 180926 (http://counter.li.org)
> Cel:593-8-0192238
> Tel:593 4 6044566
>
> 
>
>
> WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES
> LINUX, SOPORTE.
>
>
> 2013/11/5 angel jauregui 
>
> > @David asi tengo la denegacion tambien, pero si el usuario cambia a
> "https"
> > la pagina ya no es bloqueada, se brinca el filtro.
> >
> > Esto mas que nada porque en IPTables la regla indica que cualquier cosa
> que
> > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya no
> se
> > aplica la regla.
> >
> > Ahora no puedo quitar el puerto https y forzar solo http, ya que existen
> > paginas de gobierno que requieren https, y se me vendria el mundo encima
> > :S.
> >
> > Estoy intentando con estas reglas, ustedes que opinan:
> >
> > *# dar acceso a facebook para una ip fija*
> > shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK -j
> > ACCEPT
> >
> > *# quitar acceso facebook para cualquiera del segmento*
> > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK
> -j
> > REJECT
> >
> > Saludos !
> >
> >
> > El 5 de noviembre de 2013 05:08, David González Romero
> > escribió:
> >
> > > Tu has probado esta opción en Squid?
> > >
> > > acl denys url_regex "/etc/squid/denys"
> > > Donde
> > > /etc/squid/denys contiene:
> > > facebook
> > > twitter
> > > .
> > > Y luego
> > > http_access deny restric
> > >
> > > Al menos así me funciona a mi.
> > >
> > >
> > > Otra opcion sería comentar la línea "acl SSL_ports port 443" para
> evitar
> > > conexiones por el 443...
> > >
> > >
> > >
> > >
> > > Saludos,
> > > David
> > >
> > >
> > >
> > > El 4 de noviembre de 2013 18:47, angel jauregui
> > > escribió:
> > >
> > > > Buenas.
> > > >
> > > > Estoy implementando limitaciones en la red, el objetivo es quitar
> > acceso
> > > a
> > > > Redes Sociales, en primera instancia tengo SQUID que logra tapar el
> > > acceso
> > > > a los sitios mediante http.
> > > >
> > > > El problema es que si los sitios tienes HTTPS, este es accesible
> > > >
> > > > En este caso http://facebook.com esta denegad por Squid.
> > > > Pero al poner https://facebook.com entra exitosamente.
> > > >
> > > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta
> regla
> > > que
> > > > me esta haceindo cumplir el objetivo "En parte":
> > > >
> > > > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> > > > 173.252.64.0-173.252.127.255 -j REJECT
> > > >
> > > > Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
> facebook.
> > > >
> > > > El problema *ahora radica* en que no logro hacer que ciertas IPs
> > Locales
> > > > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> > > >
> > > > Intente ANTEponiendo esta regla:
> > > >
> > > > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
> > --dst-range
> > > > 173.252.64.0-173.252.127.255 -j ACCEPT
> > > >
> > > > Pero aun asi, se sigue bloqueando el sitio :S
> > > >
> > > > *shell# iptables -L -n*
> > > > REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
> > > > destination IP range 173.252.64.0-173.252.127.255 reject-with
> > > > icmp-port-unreachable
> > > > ACCEPT tcp  --  10.1.0.150   0.0.0.0/0   tcp
> > > > destination IP range 173.252.64.0-173.252.127.255
> > > >
> > > > --
> > > > M.S.I. Angel Haniel Cantu Jauregui.
> > > >
> > > > Celular: (011-52-1)-899-871-17-22
> > > > E-Mail: angel.ca...@sie-group.net
> > > > Web: http://www.sie-group.net/
> > > > Cd. Reynosa Tamaulipas.
> > > > ___
> > > > CentOS-es mailing list
> > > > CentOS-es@centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > >
> > > ___
> > > CentOS-es mailing list
> > > CentOS-es@centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> >
> >
> >
> > --
> > M.S.I. Angel Haniel Cantu Jauregui.
> >
> > Celular: (011-52-1)-899-871-17-22
> > E-Mail: angel.ca...@sie-group.net
> > Web: http://www.sie-group.net/
> > Cd. Reynosa Tamaulipas.
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[César Martinez]

Acá Epe publicó algo muy sencillo, comentanos si te funcionó

http://www.ecualug.org/?q=2012/05/23/comos/centos6_%C2%BFc%C3%B3mo_bloquear_facebook_con_iptables

Cordialmente
  
César Martínez Mora
Ingeniero de Sistemas
SERVICOM
User Linux 494131
  
Números Convencionales 02-2554-271 02-2221-386
Extensión 4501
Móvil 09-99374-317
Usa (315) 519-7220
Email & Msn cmarti...@servicomecuador.com
Skype servicomecuador
Web www.servicomecuador.com
Síguenos en
Twitter: http://twitter.com/servicomecuador
Facebook: http://www.facebook.com/servicomec
Zona Clientes: www.servicomecuador.com/billing
Blog: http://servicomecuador.com/blog
  
Dir. Av. 10 de Agosto N29-140 Entre
Acuña y  Cuero y Caicedo Edificio Vivanco Castillo
2do. Piso Oficina 201
Quito - Ecuador - Sudamérica
  
=
  
Cláusula de Confidencialidad
La información contenida en este e-mail es confidencial y solo puede ser 
utilizada por la persona a la
cual esta dirigida.Si Usted no es el receptor autorizado, cualquier retención, 
difusión, distribución o copia
de este mensaje es prohibida y sancionada por la ley. Si por error recibe este 
mensaje,  por favor reenviarlo
al remitente y borre el mensaje recibido inmediatamente.
=

On 05/11/13 09:36, angel jauregui wrote:
> El CID lo tomo de aqui:
>
> shell# host facebook.com
> Ip_de_Face_book
>
> shell# whois Ip_de_Face_book
> CID Ip_del_seg_mento/mask
>
> Saludos !
>
>
> El 5 de noviembre de 2013 08:34, angel jauregui
> escribió:
>
>> @David asi tengo la denegacion tambien, pero si el usuario cambia a
>> "https" la pagina ya no es bloqueada, se brinca el filtro.
>>
>> Esto mas que nada porque en IPTables la regla indica que cualquier cosa
>> que va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya
>> no se aplica la regla.
>>
>> Ahora no puedo quitar el puerto https y forzar solo http, ya que existen
>> paginas de gobierno que requieren https, y se me vendria el mundo encima :S.
>>
>> Estoy intentando con estas reglas, ustedes que opinan:
>>
>> *# dar acceso a facebook para una ip fija*
>> shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK -j
>> ACCEPT
>>
>> *# quitar acceso facebook para cualquiera del segmento*
>> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK -j
>> REJECT
>>
>> Saludos !
>>
>>
>> El 5 de noviembre de 2013 05:08, David González Romero <
>> dgrved...@gmail.com> escribió:
>>
>> Tu has probado esta opción en Squid?
>>> acl denys url_regex "/etc/squid/denys"
>>> Donde
>>> /etc/squid/denys contiene:
>>> facebook
>>> twitter
>>> .
>>> Y luego
>>> http_access deny restric
>>>
>>> Al menos así me funciona a mi.
>>>
>>>
>>> Otra opcion sería comentar la línea "acl SSL_ports port 443" para evitar
>>> conexiones por el 443...
>>>
>>>
>>>
>>>
>>> Saludos,
>>> David
>>>
>>>
>>>
>>> El 4 de noviembre de 2013 18:47, angel jauregui
>>> escribió:
>>>
 Buenas.

 Estoy implementando limitaciones en la red, el objetivo es quitar
>>> acceso a
 Redes Sociales, en primera instancia tengo SQUID que logra tapar el
>>> acceso
 a los sitios mediante http.

 El problema es que si los sitios tienes HTTPS, este es accesible

 En este caso http://facebook.com esta denegad por Squid.
 Pero al poner https://facebook.com entra exitosamente.

 La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta regla
>>> que
 me esta haceindo cumplir el objetivo "En parte":

 iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
 173.252.64.0-173.252.127.255 -j REJECT

 Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de facebook.

 El problema *ahora radica* en que no logro hacer que ciertas IPs Locales
 (privilegiada - jefes) SI puedan acceder a redes sociales :S !.

 Intente ANTEponiendo esta regla:

 iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
>>> --dst-range
 173.252.64.0-173.252.127.255 -j ACCEPT

 Pero aun asi, se sigue bloqueando el sitio :S

 *shell# iptables -L -n*
 REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
 destination IP range 173.252.64.0-173.252.127.255 reject-with
 icmp-port-unreachable
 ACCEPT tcp  --  10.1.0.150   0.0.0.0/0   tcp
 destination IP range 173.252.64.0-173.252.127.255

 --
 M.S.I. Angel Haniel Cantu Jauregui.

 Celular: (011-52-1)-899-871-17-22
 E-Mail: angel.ca...@sie-group.net
 Web: http://www.sie-group.net/
 Cd. Reynosa Tamaulipas.
 ___
 CentOS-es mailing list
 CentOS-es@centos.org
 http://lists.centos.org/mailman/listinfo/centos-es

>>> ___
>>> CentOS-es mailing list
>>> CentOS-es@centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>
>>
>>
>> --
>> M.S.I. Angel Haniel Cantu

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[Ramón Macías Zamora]

Yo creo que la solución ahí es forzar a que los usuarios configuren el
proxy en vez de usar proxy transparente que sólo funciona para http y no
para https.

Saludos

--



Ramón Macías Zamora
Tecnología, Investigación y Desarrollo
www.rks.ec - www.raykasolutions.com
Guayaquil - Ecuador
msn:ramon_mac...@hotmail.com
skype:  ramon_macias
UserLinux# 180926 (http://counter.li.org)
Cel:593-8-0192238
Tel:593 4 6044566




WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES
LINUX, SOPORTE.


2013/11/5 angel jauregui 

> @David asi tengo la denegacion tambien, pero si el usuario cambia a "https"
> la pagina ya no es bloqueada, se brinca el filtro.
>
> Esto mas que nada porque en IPTables la regla indica que cualquier cosa que
> va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya no se
> aplica la regla.
>
> Ahora no puedo quitar el puerto https y forzar solo http, ya que existen
> paginas de gobierno que requieren https, y se me vendria el mundo encima
> :S.
>
> Estoy intentando con estas reglas, ustedes que opinan:
>
> *# dar acceso a facebook para una ip fija*
> shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK -j
> ACCEPT
>
> *# quitar acceso facebook para cualquiera del segmento*
> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK -j
> REJECT
>
> Saludos !
>
>
> El 5 de noviembre de 2013 05:08, David González Romero
> escribió:
>
> > Tu has probado esta opción en Squid?
> >
> > acl denys url_regex "/etc/squid/denys"
> > Donde
> > /etc/squid/denys contiene:
> > facebook
> > twitter
> > .
> > Y luego
> > http_access deny restric
> >
> > Al menos así me funciona a mi.
> >
> >
> > Otra opcion sería comentar la línea "acl SSL_ports port 443" para evitar
> > conexiones por el 443...
> >
> >
> >
> >
> > Saludos,
> > David
> >
> >
> >
> > El 4 de noviembre de 2013 18:47, angel jauregui
> > escribió:
> >
> > > Buenas.
> > >
> > > Estoy implementando limitaciones en la red, el objetivo es quitar
> acceso
> > a
> > > Redes Sociales, en primera instancia tengo SQUID que logra tapar el
> > acceso
> > > a los sitios mediante http.
> > >
> > > El problema es que si los sitios tienes HTTPS, este es accesible
> > >
> > > En este caso http://facebook.com esta denegad por Squid.
> > > Pero al poner https://facebook.com entra exitosamente.
> > >
> > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta regla
> > que
> > > me esta haceindo cumplir el objetivo "En parte":
> > >
> > > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> > > 173.252.64.0-173.252.127.255 -j REJECT
> > >
> > > Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de facebook.
> > >
> > > El problema *ahora radica* en que no logro hacer que ciertas IPs
> Locales
> > > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> > >
> > > Intente ANTEponiendo esta regla:
> > >
> > > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
> --dst-range
> > > 173.252.64.0-173.252.127.255 -j ACCEPT
> > >
> > > Pero aun asi, se sigue bloqueando el sitio :S
> > >
> > > *shell# iptables -L -n*
> > > REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
> > > destination IP range 173.252.64.0-173.252.127.255 reject-with
> > > icmp-port-unreachable
> > > ACCEPT tcp  --  10.1.0.150   0.0.0.0/0   tcp
> > > destination IP range 173.252.64.0-173.252.127.255
> > >
> > > --
> > > M.S.I. Angel Haniel Cantu Jauregui.
> > >
> > > Celular: (011-52-1)-899-871-17-22
> > > E-Mail: angel.ca...@sie-group.net
> > > Web: http://www.sie-group.net/
> > > Cd. Reynosa Tamaulipas.
> > > ___
> > > CentOS-es mailing list
> > > CentOS-es@centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.ca...@sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[angel jauregui]

El CID lo tomo de aqui:

shell# host facebook.com
Ip_de_Face_book

shell# whois Ip_de_Face_book
CID Ip_del_seg_mento/mask

Saludos !


El 5 de noviembre de 2013 08:34, angel jauregui
escribió:

> @David asi tengo la denegacion tambien, pero si el usuario cambia a
> "https" la pagina ya no es bloqueada, se brinca el filtro.
>
> Esto mas que nada porque en IPTables la regla indica que cualquier cosa
> que va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya
> no se aplica la regla.
>
> Ahora no puedo quitar el puerto https y forzar solo http, ya que existen
> paginas de gobierno que requieren https, y se me vendria el mundo encima :S.
>
> Estoy intentando con estas reglas, ustedes que opinan:
>
> *# dar acceso a facebook para una ip fija*
> shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK -j
> ACCEPT
>
> *# quitar acceso facebook para cualquiera del segmento*
> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK -j
> REJECT
>
> Saludos !
>
>
> El 5 de noviembre de 2013 05:08, David González Romero <
> dgrved...@gmail.com> escribió:
>
> Tu has probado esta opción en Squid?
>>
>> acl denys url_regex "/etc/squid/denys"
>> Donde
>> /etc/squid/denys contiene:
>> facebook
>> twitter
>> .
>> Y luego
>> http_access deny restric
>>
>> Al menos así me funciona a mi.
>>
>>
>> Otra opcion sería comentar la línea "acl SSL_ports port 443" para evitar
>> conexiones por el 443...
>>
>>
>>
>>
>> Saludos,
>> David
>>
>>
>>
>> El 4 de noviembre de 2013 18:47, angel jauregui
>> escribió:
>>
>> > Buenas.
>> >
>> > Estoy implementando limitaciones en la red, el objetivo es quitar
>> acceso a
>> > Redes Sociales, en primera instancia tengo SQUID que logra tapar el
>> acceso
>> > a los sitios mediante http.
>> >
>> > El problema es que si los sitios tienes HTTPS, este es accesible
>> >
>> > En este caso http://facebook.com esta denegad por Squid.
>> > Pero al poner https://facebook.com entra exitosamente.
>> >
>> > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta regla
>> que
>> > me esta haceindo cumplir el objetivo "En parte":
>> >
>> > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
>> > 173.252.64.0-173.252.127.255 -j REJECT
>> >
>> > Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de facebook.
>> >
>> > El problema *ahora radica* en que no logro hacer que ciertas IPs Locales
>> > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
>> >
>> > Intente ANTEponiendo esta regla:
>> >
>> > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
>> --dst-range
>> > 173.252.64.0-173.252.127.255 -j ACCEPT
>> >
>> > Pero aun asi, se sigue bloqueando el sitio :S
>> >
>> > *shell# iptables -L -n*
>> > REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
>> > destination IP range 173.252.64.0-173.252.127.255 reject-with
>> > icmp-port-unreachable
>> > ACCEPT tcp  --  10.1.0.150   0.0.0.0/0   tcp
>> > destination IP range 173.252.64.0-173.252.127.255
>> >
>> > --
>> > M.S.I. Angel Haniel Cantu Jauregui.
>> >
>> > Celular: (011-52-1)-899-871-17-22
>> > E-Mail: angel.ca...@sie-group.net
>> > Web: http://www.sie-group.net/
>> > Cd. Reynosa Tamaulipas.
>> > ___
>> > CentOS-es mailing list
>> > CentOS-es@centos.org
>> > http://lists.centos.org/mailman/listinfo/centos-es
>> >
>> ___
>> CentOS-es mailing list
>> CentOS-es@centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.ca...@sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.ca...@sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[angel jauregui]

@David asi tengo la denegacion tambien, pero si el usuario cambia a "https"
la pagina ya no es bloqueada, se brinca el filtro.

Esto mas que nada porque en IPTables la regla indica que cualquier cosa que
va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya no se
aplica la regla.

Ahora no puedo quitar el puerto https y forzar solo http, ya que existen
paginas de gobierno que requieren https, y se me vendria el mundo encima :S.

Estoy intentando con estas reglas, ustedes que opinan:

*# dar acceso a facebook para una ip fija*
shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK -j
ACCEPT

*# quitar acceso facebook para cualquiera del segmento*
shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK -j
REJECT

Saludos !


El 5 de noviembre de 2013 05:08, David González Romero
escribió:

> Tu has probado esta opción en Squid?
>
> acl denys url_regex "/etc/squid/denys"
> Donde
> /etc/squid/denys contiene:
> facebook
> twitter
> .
> Y luego
> http_access deny restric
>
> Al menos así me funciona a mi.
>
>
> Otra opcion sería comentar la línea "acl SSL_ports port 443" para evitar
> conexiones por el 443...
>
>
>
>
> Saludos,
> David
>
>
>
> El 4 de noviembre de 2013 18:47, angel jauregui
> escribió:
>
> > Buenas.
> >
> > Estoy implementando limitaciones en la red, el objetivo es quitar acceso
> a
> > Redes Sociales, en primera instancia tengo SQUID que logra tapar el
> acceso
> > a los sitios mediante http.
> >
> > El problema es que si los sitios tienes HTTPS, este es accesible
> >
> > En este caso http://facebook.com esta denegad por Squid.
> > Pero al poner https://facebook.com entra exitosamente.
> >
> > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta regla
> que
> > me esta haceindo cumplir el objetivo "En parte":
> >
> > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> > 173.252.64.0-173.252.127.255 -j REJECT
> >
> > Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de facebook.
> >
> > El problema *ahora radica* en que no logro hacer que ciertas IPs Locales
> > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> >
> > Intente ANTEponiendo esta regla:
> >
> > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange --dst-range
> > 173.252.64.0-173.252.127.255 -j ACCEPT
> >
> > Pero aun asi, se sigue bloqueando el sitio :S
> >
> > *shell# iptables -L -n*
> > REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
> > destination IP range 173.252.64.0-173.252.127.255 reject-with
> > icmp-port-unreachable
> > ACCEPT tcp  --  10.1.0.150   0.0.0.0/0   tcp
> > destination IP range 173.252.64.0-173.252.127.255
> >
> > --
> > M.S.I. Angel Haniel Cantu Jauregui.
> >
> > Celular: (011-52-1)-899-871-17-22
> > E-Mail: angel.ca...@sie-group.net
> > Web: http://www.sie-group.net/
> > Cd. Reynosa Tamaulipas.
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.ca...@sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

[David González Romero]

Tu has probado esta opción en Squid?

acl denys url_regex "/etc/squid/denys"
Donde
/etc/squid/denys contiene:
facebook
twitter
.
Y luego
http_access deny restric

Al menos así me funciona a mi.


Otra opcion sería comentar la línea "acl SSL_ports port 443" para evitar
conexiones por el 443...




Saludos,
David



El 4 de noviembre de 2013 18:47, angel jauregui
escribió:

> Buenas.
>
> Estoy implementando limitaciones en la red, el objetivo es quitar acceso a
> Redes Sociales, en primera instancia tengo SQUID que logra tapar el acceso
> a los sitios mediante http.
>
> El problema es que si los sitios tienes HTTPS, este es accesible
>
> En este caso http://facebook.com esta denegad por Squid.
> Pero al poner https://facebook.com entra exitosamente.
>
> La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta regla que
> me esta haceindo cumplir el objetivo "En parte":
>
> iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> 173.252.64.0-173.252.127.255 -j REJECT
>
> Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de facebook.
>
> El problema *ahora radica* en que no logro hacer que ciertas IPs Locales
> (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
>
> Intente ANTEponiendo esta regla:
>
> iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange --dst-range
> 173.252.64.0-173.252.127.255 -j ACCEPT
>
> Pero aun asi, se sigue bloqueando el sitio :S
>
> *shell# iptables -L -n*
> REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
> destination IP range 173.252.64.0-173.252.127.255 reject-with
> icmp-port-unreachable
> ACCEPT tcp  --  10.1.0.150   0.0.0.0/0   tcp
> destination IP range 173.252.64.0-173.252.127.255
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.ca...@sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !

[Rodolfo Vargas]

El 23/09/13, angel jauregui  escribió:
>  que maravilla :D era el maldito cable... en serio que voy a
> enmarcar ese cable de red y le ponde "el maldito cable que me hizo bullying
> de red".

Me alegro que ayas solucionado tu problema, viste? tú mismo, por ahí
dije algo de revisar conexión por hardware, no esta demás, hay  muchas
cosas que uno puede ir descartando cuando algo no esta como queremos,
no solo mirar a un solo lado, es una recomendación mía de algunas
experiencias que tuve por ahi.

>
> Ya hice pruebas en los equipos de red y ya logro hacer ping a la IP del
> router 192.168.1.254 y a cualquier pagina.


EL ping es un indicador, pero qué pasaría si el servidor que almacena
la aplicación tiene un firewall que no permite hacer ping? deshabilita
esa opción? (microsoft por ejemplo) deshabilta el icmp, qué pensarías?
otra cosa para investigar :), pero deshabiltado esta online y esta
activo, recuerde que lo más importante son las ips públicas de esa
manera se conectan todo internet, servidores dns para resolver
nombres, ya que tuviste uno por ahí deberías usarlo como primario y
hacer forwarder a google por ejemplo 8.8.8.8 8.8.4.4


>
> Ahora solo me gustaria aclarar algunos comentarios que me hicieron en un
> foro sobre mis reglas IPTABLES en la parte de "#enmascaramientos", ustedes
> que opinan ??:
>
> iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
>
> # politicas por defecto
> iptables -P INPUT ACCEPT# denegamos entradas
> iptables -P OUTPUT ACCEPT   # aceptamos salidas
> iptables -P FORWARD ACCEPT  # denegamos reenvios
> iptables -t nat -P PREROUTING ACCEPT# aceptamos nat hacia fuera
> iptables -t nat -P POSTROUTING ACCEPT   # aceptamos nat hacia
> dentro
> echo 1 > /proc/sys/net/ipv4/ip_forward  # habilitamos BIT de
> reenvios
>
> iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo
> iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT
>   # ftp y ssh
> iptables -A INPUT -p tcp --dport 80 -j ACCEPT
>  # http
> iptables -A INPUT -p tcp --dport 443 -j ACCEPT
>   # https
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
>  # dns - dhcp
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
> # portmapper/rpcbind
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT
> # samba
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
> # samba
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
>  # squid
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
>  # squid cache
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
>  # nfs
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
>  # asterisk
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT
>  # webmind para LAN
>
># forwardnig
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 20:22 -j ACCEPT
> # ftp y ssh
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
>  # dns - dhcp
> iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT
>  # dns -dhcp (udp)
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 80 -j ACCEPT
>  # http
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 443 -j ACCEPT
> # https
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
> # portmapper/rpcbind
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT
> # samba
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
> # samba
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
>  # squid
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
>  # squid cache
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
>  # nfs
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
>  # asterisk
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1 -j ACCEPT
>  # webmind para LAN
>
> iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT
> iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT
>
> # enmascaramiento
> iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT --to
> 192.168.1.1 # cambiamos la direccion source
> iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j MASQUERADE
> # enmas

Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !

[Miguel Gonzalez]

vale, entonces la clave aqui es que no puedes hacer ping desde el servidor al 
router. Sabes si el router tiene filtrado los paquetes ICMP? No hay ningún otro 
servicio que te funcione desde el servidor hacía Internet? A veces los 
firewalls filtran los paquetes ICMP del ping pero el resto no.

Sino yo miraría si hay algún problema a nivel fisico, el cable, la tarjeta de 
red, probaría con otro equipo conectado con el mismo cable al router...

Saludos

Miguel




 De: angel jauregui 
Para: "centos-es@centos.org"  
Enviado: Lunes 23 de septiembre de 2013 22:18
Asunto: Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo 
navegacion !
 

## RENE

Mis equipos están en el segmento 10.0.1.0/24, se asignan IPs de 10.0.1.2 a
10.0.1.254

La red 192.168.1.0/24 es el rango de IPs que maneja el server para hacer su
propia red, por lo cual no muevo dicha configuración alcabo solo existiran
2 IPs...

1- La ip del router: 192.168.1.254
2- La ip estatica del server: 192.168.1.1 (eth0).

En el segmento 10.0.1.0/24 no tengo problemas para compartir información,
consultar los servicios del server (apache, mysql, nfs. samba, etc...).

El problema es al momento de intentar acceder a una web, los paquetes como
que no llegan al router, creo que mi problema se centra mal en las reglas
IPTABLES, algo estoy haciendo mal o algo me falta.

## DAVID

"pingera" me imagino te refieres hacer ping a un dominio o ip... Y pues lo
uso con la idea se saber si se esta existiendo funcionamiento, vaya,
tambien uso: "host google.com" para ver si resuelve. Vaya, pruebas basicas
para saber si mis paquetes circulan como deb (de la PC al server, del
server al router, y viceversa).

Fijate que * NO PUEDO llegar la router* desde el server, y vaya que esta
conectado a la eth0.

Mi configuración:

*server# ifconfig -a *
eth0      Link encap:Ethernet  HWaddr 00:11:22:33:44:55
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0

eth1      Link encap:Ethernet  HWaddr 66:77:88:99:aa:bb
          inet addr:10.0.1.1  Bcast:10.0.1.255  Mask:255.255.255.0

*server# router*
10.0.1.0        *               255.255.255.0   U     0      0        0 eth1
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
link-local      *               255.255.0.0     U     1002   0        0 eth1
link-local      *               255.255.0.0     U     1003   0        0 eth0
default         home            0.0.0.0         UG    0      0        0 eth0

*server# ping 192.168.1.254*
PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data.
>From 192.168.1.1 icmp_seq=3 Destination Host Unreachable

Saludos !






El 23 de septiembre de 2013 14:03, David González Romero <
dgrved...@gmail.com> escribió:

> Yo no soy partidario de este esquema que propones de poner el Modem-Router
> directo al servidor. Porque entonces el conceto DMZ queda obsoleto ahi.
> Esta bien su esquema de red. Lo que yo me cuestiono es si realmente el
> necesito que los clientes de la red 10.0.1.0/24 puedan "pingear" a
> internet. Y no me queda claro si el servidor en SI ve internet mismo...
>
> Saludos,
> David
>
>
> El 23 de septiembre de 2013 15:56, RENE LARA ALVARADO <
> siste...@trimaso.com.mx> escribió:
>
> > Creo que bajo tu esquema, deseeas usar tu servidor (maq con dos
> > interfaces de red y en distinta red)
> > con la funcion de ruteador.
> >
> > A reserva de si es conveniente o no, en ese caso sería mejor que
> > pusieras tu modem-router en modo
> > puente, conectado a una de las interfases.
> >
> > De esa forma solo lidiaras solo don dos redes y no con tres.
> > La direccion ip que te asigna el proveedor quedará en una de las
> > tarjetas y en la otra tu la red
> > de tus equipos
> > r.lara
> >
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.ca...@sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !

[Jose Manuel Ajhuacho Vargas]

no tuve tiempo de revisar tus reglas de iptables, por lo general son dos una de 
salida y la otra de vuelta o entrada (regreso), como quieran llamar verificaste 
esa regla??


 
Atte Jose Manuel


GPG Key ID: UBCMEOLVQMHEILINJBE



 De: angel jauregui 
Para: "centos-es@centos.org"  
Enviado: Lunes 23 de septiembre de 2013 10:58
Asunto: Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo 
navegacion !
 

Desde cualquier equipo conectado al switch puedo hacer ping a cualquier
equipo de la red, tambien tengo todos los servicios que brinda el servidor:
http, ftp, ssh, nfs, samba, etc

El punto es que desde cualquier equipo de la red no puedo hacer ping a la
IP del router 192.168.1.254 y mucho menos ping a paginas web :(

Tambien intento resolver usando: "host google.com" y nada !...

Saludos !


El 23 de septiembre de 2013 09:45, Miguel González <
miguel_3_gonza...@yahoo.es> escribió:

> On 9/23/2013 4:19 PM, angel jauregui wrote:
> > Gracias MIGUEL por tu atenta respuesta, te comento:
> >
> > Servidor:
> > eth0 --> 192.168.1.1 conectada al router (ip: 192.168.1.254)
> > eth1 --> 10.0.1.1 conectada al switch (red LAN).
> >
> > En el servidor tengo DNSMASQ y asigno como gateway la IP de la eth1 del
> > server (10.0.1.1).
> Vale, vamos avanzando. Has probado como te han dicho a hacer ping desde
> el servidor a internet directamente?
>
> Saludos
>
> Miguel
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.ca...@sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !

[angel jauregui]

Estuve pensando poner las reglas iniciales "iptables -P INPUT ACCEPT" por
"DROP", pero el detalle es que al momento de que el navegador de conecta a
internet usa un puertos distinto al destino (80) por lo cual se queda
pensando.

Hice pruebas poninendo:

iptables -P INPUT -j DROP
iptables -P FORWARD -j DROP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT

Y se quedaba pensando el navegador, jamas mosotro la pagina

Saludos !


El 23 de septiembre de 2013 16:11, angel jauregui
escribió:

>  que maravilla :D era el maldito cable... en serio que voy a
> enmarcar ese cable de red y le ponde "el maldito cable que me hizo bullying
> de red".
>
> Ya hice pruebas en los equipos de red y ya logro hacer ping a la IP del
> router 192.168.1.254 y a cualquier pagina.
>
> Ahora solo me gustaria aclarar algunos comentarios que me hicieron en un
> foro sobre mis reglas IPTABLES en la parte de "#enmascaramientos", ustedes
> que opinan ??:
>
>  iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
>
> # politicas por defecto
> iptables -P INPUT ACCEPT# denegamos entradas
> iptables -P OUTPUT ACCEPT   # aceptamos salidas
> iptables -P FORWARD ACCEPT  # denegamos reenvios
> iptables -t nat -P PREROUTING ACCEPT# aceptamos nat hacia fuera
> iptables -t nat -P POSTROUTING ACCEPT   # aceptamos nat hacia
> dentro
> echo 1 > /proc/sys/net/ipv4/ip_forward  # habilitamos BIT de
> reenvios
>
> iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo
> iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT
>   # ftp y ssh
> iptables -A INPUT -p tcp --dport 80 -j ACCEPT
># http
> iptables -A INPUT -p tcp --dport 443 -j ACCEPT
>   # https
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
># dns - dhcp
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
>   # portmapper/rpcbind
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT
>   # samba
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
>   # samba
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
># squid
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
># squid cache
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
># nfs
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
># asterisk
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT
># webmind para LAN
>
># forwardnig
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 20:22 -j ACCEPT
>   # ftp y ssh
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
># dns - dhcp
> iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT
># dns -dhcp (udp)
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 80 -j ACCEPT
># http
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 443 -j ACCEPT
>   # https
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
>   # portmapper/rpcbind
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j
> ACCEPT # samba
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
>   # samba
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
># squid
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
># squid cache
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
># nfs
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
># asterisk
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1 -j ACCEPT
># webmind para LAN
>
> iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT
> iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT
>
> # enmascaramiento
> iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT --to
> 192.168.1.1 # cambiamos la direccion source
> iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j
> MASQUERADE # enmascaramos
> iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT
> --to 192.168.1.1:3128# con destino al 80 en eth1 lo cambiamos
>
> Como verán el firewall es estricto, si en la empresa no me confirman que
> abramos un servicio interno o para el exterior, no sale solo l

Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !

[angel jauregui]

## RENE

Mis equipos están en el segmento 10.0.1.0/24, se asignan IPs de 10.0.1.2 a
10.0.1.254

La red 192.168.1.0/24 es el rango de IPs que maneja el server para hacer su
propia red, por lo cual no muevo dicha configuración alcabo solo existiran
2 IPs...

1- La ip del router: 192.168.1.254
2- La ip estatica del server: 192.168.1.1 (eth0).

En el segmento 10.0.1.0/24 no tengo problemas para compartir información,
consultar los servicios del server (apache, mysql, nfs. samba, etc...).

El problema es al momento de intentar acceder a una web, los paquetes como
que no llegan al router, creo que mi problema se centra mal en las reglas
IPTABLES, algo estoy haciendo mal o algo me falta.

## DAVID

"pingera" me imagino te refieres hacer ping a un dominio o ip... Y pues lo
uso con la idea se saber si se esta existiendo funcionamiento, vaya,
tambien uso: "host google.com" para ver si resuelve. Vaya, pruebas basicas
para saber si mis paquetes circulan como deb (de la PC al server, del
server al router, y viceversa).

Fijate que * NO PUEDO llegar la router* desde el server, y vaya que esta
conectado a la eth0.

Mi configuración:

*server# ifconfig -a *
eth0  Link encap:Ethernet  HWaddr 00:11:22:33:44:55
  inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0

eth1  Link encap:Ethernet  HWaddr 66:77:88:99:aa:bb
  inet addr:10.0.1.1  Bcast:10.0.1.255  Mask:255.255.255.0

*server# router*
10.0.1.0*   255.255.255.0   U 0  00 eth1
192.168.1.0 *   255.255.255.0   U 0  00 eth0
link-local  *   255.255.0.0 U 1002   00 eth1
link-local  *   255.255.0.0 U 1003   00 eth0
default home0.0.0.0 UG0  00 eth0

*server# ping 192.168.1.254*
PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data.
>From 192.168.1.1 icmp_seq=3 Destination Host Unreachable

Saludos !






El 23 de septiembre de 2013 14:03, David González Romero <
dgrved...@gmail.com> escribió:

> Yo no soy partidario de este esquema que propones de poner el Modem-Router
> directo al servidor. Porque entonces el conceto DMZ queda obsoleto ahi.
> Esta bien su esquema de red. Lo que yo me cuestiono es si realmente el
> necesito que los clientes de la red 10.0.1.0/24 puedan "pingear" a
> internet. Y no me queda claro si el servidor en SI ve internet mismo...
>
> Saludos,
> David
>
>
> El 23 de septiembre de 2013 15:56, RENE LARA ALVARADO <
> siste...@trimaso.com.mx> escribió:
>
> > Creo que bajo tu esquema, deseeas usar tu servidor (maq con dos
> > interfaces de red y en distinta red)
> > con la funcion de ruteador.
> >
> > A reserva de si es conveniente o no, en ese caso sería mejor que
> > pusieras tu modem-router en modo
> > puente, conectado a una de las interfases.
> >
> > De esa forma solo lidiaras solo don dos redes y no con tres.
> > La direccion ip que te asigna el proveedor quedará en una de las
> > tarjetas y en la otra tu la red
> > de tus equipos
> > r.lara
> >
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.ca...@sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !

[angel jauregui]

Acabo de cambiar el cable de red que va del router a la eth0 del server y
ahora puedo hacer ping desde el server hacia la IP del router y cualquier
web.

Voy a probar en los demas equipos de la red.

Saludos !


El 23 de septiembre de 2013 15:18, angel jauregui
escribió:

> ## RENE
>
> Mis equipos están en el segmento 10.0.1.0/24, se asignan IPs de 10.0.1.2
> a 10.0.1.254
>
> La red 192.168.1.0/24 es el rango de IPs que maneja el server para hacer
> su propia red, por lo cual no muevo dicha configuración alcabo solo
> existiran 2 IPs...
>
> 1- La ip del router: 192.168.1.254
> 2- La ip estatica del server: 192.168.1.1 (eth0).
>
> En el segmento 10.0.1.0/24 no tengo problemas para compartir información,
> consultar los servicios del server (apache, mysql, nfs. samba, etc...).
>
> El problema es al momento de intentar acceder a una web, los paquetes como
> que no llegan al router, creo que mi problema se centra mal en las reglas
> IPTABLES, algo estoy haciendo mal o algo me falta.
>
> ## DAVID
>
> "pingera" me imagino te refieres hacer ping a un dominio o ip... Y pues lo
> uso con la idea se saber si se esta existiendo funcionamiento, vaya,
> tambien uso: "host google.com" para ver si resuelve. Vaya, pruebas
> basicas para saber si mis paquetes circulan como deb (de la PC al server,
> del server al router, y viceversa).
>
> Fijate que * NO PUEDO llegar la router* desde el server, y vaya que esta
> conectado a la eth0.
>
> Mi configuración:
>
> *server# ifconfig -a *
> eth0  Link encap:Ethernet  HWaddr 00:11:22:33:44:55
>   inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
>
> eth1  Link encap:Ethernet  HWaddr 66:77:88:99:aa:bb
>   inet addr:10.0.1.1  Bcast:10.0.1.255  Mask:255.255.255.0
>
> *server# router*
> 10.0.1.0*   255.255.255.0   U 0  00
> eth1
> 192.168.1.0 *   255.255.255.0   U 0  00
> eth0
> link-local  *   255.255.0.0 U 1002   00
> eth1
> link-local  *   255.255.0.0 U 1003   00
> eth0
> default home0.0.0.0 UG0  00
> eth0
>
> *server# ping 192.168.1.254*
> PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data.
> From 192.168.1.1 icmp_seq=3 Destination Host Unreachable
>
> Saludos !
>
>
>
>
>
>
> El 23 de septiembre de 2013 14:03, David González Romero <
> dgrved...@gmail.com> escribió:
>
> Yo no soy partidario de este esquema que propones de poner el Modem-Router
>> directo al servidor. Porque entonces el conceto DMZ queda obsoleto ahi.
>> Esta bien su esquema de red. Lo que yo me cuestiono es si realmente el
>> necesito que los clientes de la red 10.0.1.0/24 puedan "pingear" a
>> internet. Y no me queda claro si el servidor en SI ve internet mismo...
>>
>> Saludos,
>> David
>>
>>
>> El 23 de septiembre de 2013 15:56, RENE LARA ALVARADO <
>> siste...@trimaso.com.mx> escribió:
>>
>> > Creo que bajo tu esquema, deseeas usar tu servidor (maq con dos
>> > interfaces de red y en distinta red)
>> > con la funcion de ruteador.
>> >
>> > A reserva de si es conveniente o no, en ese caso sería mejor que
>> > pusieras tu modem-router en modo
>> > puente, conectado a una de las interfases.
>> >
>> > De esa forma solo lidiaras solo don dos redes y no con tres.
>> > La direccion ip que te asigna el proveedor quedará en una de las
>> > tarjetas y en la otra tu la red
>> > de tus equipos
>> > r.lara
>> >
>> > ___
>> > CentOS-es mailing list
>> > CentOS-es@centos.org
>> > http://lists.centos.org/mailman/listinfo/centos-es
>> >
>> ___
>> CentOS-es mailing list
>> CentOS-es@centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.ca...@sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.ca...@sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !

[angel jauregui]

 que maravilla :D era el maldito cable... en serio que voy a
enmarcar ese cable de red y le ponde "el maldito cable que me hizo bullying
de red".

Ya hice pruebas en los equipos de red y ya logro hacer ping a la IP del
router 192.168.1.254 y a cualquier pagina.

Ahora solo me gustaria aclarar algunos comentarios que me hicieron en un
foro sobre mis reglas IPTABLES en la parte de "#enmascaramientos", ustedes
que opinan ??:

iptables -F
iptables -X
iptables -Z
iptables -t nat -F

# politicas por defecto
iptables -P INPUT ACCEPT# denegamos entradas
iptables -P OUTPUT ACCEPT   # aceptamos salidas
iptables -P FORWARD ACCEPT  # denegamos reenvios
iptables -t nat -P PREROUTING ACCEPT# aceptamos nat hacia fuera
iptables -t nat -P POSTROUTING ACCEPT   # aceptamos nat hacia dentro
echo 1 > /proc/sys/net/ipv4/ip_forward  # habilitamos BIT de
reenvios

iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo
iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT
  # ftp y ssh
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
 # http
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
  # https
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
 # dns - dhcp
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
# portmapper/rpcbind
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT
# samba
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
# samba
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
 # squid
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
 # squid cache
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
 # nfs
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
 # asterisk
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT
 # webmind para LAN

   # forwardnig
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 20:22 -j ACCEPT
# ftp y ssh
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
 # dns - dhcp
iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT
 # dns -dhcp (udp)
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 80 -j ACCEPT
 # http
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 443 -j ACCEPT
# https
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
# portmapper/rpcbind
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT
# samba
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
# samba
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
 # squid
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
 # squid cache
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
 # nfs
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
 # asterisk
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1 -j ACCEPT
 # webmind para LAN

iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT

# enmascaramiento
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT --to
192.168.1.1 # cambiamos la direccion source
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j MASQUERADE
# enmascaramos
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT
--to 192.168.1.1:3128# con destino al 80 en eth1 lo cambiamos

Como verán el firewall es estricto, si en la empresa no me confirman que
abramos un servicio interno o para el exterior, no sale solo lo
confirmado:

- Para todos (de adentro y fuera [internet]): 80, 21 y 22.
- Para lo demas va controlado solo la red interna "-s".
- Para los Forward (conexion afuera) va controlada por "-s"

Saludos !



El 23 de septiembre de 2013 15:25, angel jauregui
escribió:

> Acabo de cambiar el cable de red que va del router a la eth0 del server y
> ahora puedo hacer ping desde el server hacia la IP del router y cualquier
> web.
>
> Voy a probar en los demas equipos de la red.
>
> Saludos !
>
>
> El 23 de septiembre de 2013 15:18, angel jauregui 
> escribió:
>
> ## RENE
>>
>> Mis equipos están en el segmento 10.0.1.0/24, se asignan IPs de 10.0.1.2
>> a 10.0.1.254
>>
>> La red 192.168.1.0/24 es el rango de IPs que maneja el server para hacer
>> su propia red, 

Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !

[angel jauregui]

Desde cualquier equipo conectado al switch puedo hacer ping a cualquier
equipo de la red, tambien tengo todos los servicios que brinda el servidor:
http, ftp, ssh, nfs, samba, etc

El punto es que desde cualquier equipo de la red no puedo hacer ping a la
IP del router 192.168.1.254 y mucho menos ping a paginas web :(

Tambien intento resolver usando: "host google.com" y nada !...

Saludos !


El 23 de septiembre de 2013 09:45, Miguel González <
miguel_3_gonza...@yahoo.es> escribió:

> On 9/23/2013 4:19 PM, angel jauregui wrote:
> > Gracias MIGUEL por tu atenta respuesta, te comento:
> >
> > Servidor:
> > eth0 --> 192.168.1.1 conectada al router (ip: 192.168.1.254)
> > eth1 --> 10.0.1.1 conectada al switch (red LAN).
> >
> > En el servidor tengo DNSMASQ y asigno como gateway la IP de la eth1 del
> > server (10.0.1.1).
> Vale, vamos avanzando. Has probado como te han dicho a hacer ping desde
> el servidor a internet directamente?
>
> Saludos
>
> Miguel
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.ca...@sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !

[RENE LARA ALVARADO]

Angel:
Entiendo que en tu servidor tienes 2 tarjetas lo que involcran dos
redes
192.168.1.0/24  
> > > IPADDR=192.168.1.1
> > > NETMASK=255.255.255.0
> > > NETWORK=192.168.1.0
> > > GATEWAY=192.168.1.254

y 

10.0.1.0/24
> > > IPADDR=10.0.1.1
> > > NETMASK=255.255.255.0
> > > NETWORK=10.0.1.0



A reserva de que eso de IPADDR=10.0.1.1  NETMASK=255.255.255.0 se me
hace adecuado por todo loescrito antes,
tampoco podria afirmar que sea la razon del problema

Tus equipos son estan en la red 10.0.1.0/24
¿es asi) ¿Qué les pones como gateway?



Supongo que 10.0.1.1

Pero ¿Cómo pasas los dedatos de la red 10.0.1.0/24 a la red
192.168.1.0/24?
Quiza nececites agrega una ruta con el comando route.
Considera que traes no solo dos redes si no tres: la red de internet y
las dos que mencionamos.
Pasar de 192.168.1.0/24 a l red internte te lo hace tu router-modem lo
lo que sea que te dio tu proveedor.







> > >
> > > Cuando mencione sobre mis tarjetas de red, lo comente porque la
> > > configuración que tienen considero está bien:
> > >
> > > *shell# /etc/sysconfig/network-scripts/ifcfg-eth0 *
> > > DEVICE=eth0
> > > BOOTPROTO=static
> > > ONBOOT=yes
> > > IPADDR=192.168.1.1
> > > NETMASK=255.255.255.0
> > > NETWORK=192.168.1.0
> > > GATEWAY=192.168.1.254
> > > TYPE=Ethernet
> > > HWADDR=00:11:22:33:44:55
> > > DNS1=8.8.8.8
> > > DNS2=10.0.1.1
> > >
> > > *shell# /etc/sysconfig/network-scripts/ifcfg-eth1*
> > > DEVICE=eth1
> > > BOOTPROTO=static
> > > ONBOOT=yes
> > > IPADDR=10.0.1.1
> > > NETMASK=255.255.255.0
> > > NETWORK=10.0.1.0
> > > TYPE=Ethernet
> > > HWADDR=aa:bb:cc:dd:ee:ff
> > > DNS1=8.8.8.8
> > > DNS2=10.0.1.1
> > >
> > > Saludos !
> >

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !

[David González Romero]

Yo no soy partidario de este esquema que propones de poner el Modem-Router
directo al servidor. Porque entonces el conceto DMZ queda obsoleto ahi.
Esta bien su esquema de red. Lo que yo me cuestiono es si realmente el
necesito que los clientes de la red 10.0.1.0/24 puedan "pingear" a
internet. Y no me queda claro si el servidor en SI ve internet mismo...

Saludos,
David


El 23 de septiembre de 2013 15:56, RENE LARA ALVARADO <
siste...@trimaso.com.mx> escribió:

> Creo que bajo tu esquema, deseeas usar tu servidor (maq con dos
> interfaces de red y en distinta red)
> con la funcion de ruteador.
>
> A reserva de si es conveniente o no, en ese caso sería mejor que
> pusieras tu modem-router en modo
> puente, conectado a una de las interfases.
>
> De esa forma solo lidiaras solo don dos redes y no con tres.
> La direccion ip que te asigna el proveedor quedará en una de las
> tarjetas y en la otra tu la red
> de tus equipos
> r.lara
>
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !

[RENE LARA ALVARADO]

Creo que bajo tu esquema, deseeas usar tu servidor (maq con dos
interfaces de red y en distinta red)
con la funcion de ruteador.

A reserva de si es conveniente o no, en ese caso sería mejor que
pusieras tu modem-router en modo
puente, conectado a una de las interfases.

De esa forma solo lidiaras solo don dos redes y no con tres.
La direccion ip que te asigna el proveedor quedará en una de las
tarjetas y en la otra tu la red 
de tus equipos
r.lara

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !

[Miguel González]

On 9/23/2013 4:19 PM, angel jauregui wrote:
> Gracias MIGUEL por tu atenta respuesta, te comento:
>
> Servidor:
> eth0 --> 192.168.1.1 conectada al router (ip: 192.168.1.254)
> eth1 --> 10.0.1.1 conectada al switch (red LAN).
>
> En el servidor tengo DNSMASQ y asigno como gateway la IP de la eth1 del
> server (10.0.1.1).
Vale, vamos avanzando. Has probado como te han dicho a hacer ping desde 
el servidor a internet directamente?

Saludos

Miguel
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !

[angel jauregui]

Gracias MIGUEL por tu atenta respuesta, te comento:

Servidor:
eth0 --> 192.168.1.1 conectada al router (ip: 192.168.1.254)
eth1 --> 10.0.1.1 conectada al switch (red LAN).

En el servidor tengo DNSMASQ y asigno como gateway la IP de la eth1 del
server (10.0.1.1).

Saludos !




El 23 de septiembre de 2013 02:48, Miguel González <
miguel_3_gonza...@yahoo.es> escribió:

> > Sobre el ping interno escribí claramente que tengo *todos los
> > servicios en la LAN (locales)*, vaya FTP, HTTP, SSH... todos !.. Vaya,
> > *SI PUEDO HACER PING* a la red LAN (osease a las IPs de los equipos de
> > la red), solo no logro llegar al segmento distinto al que estoy
> > (10.0.1.0/24), no puedo hacer ping al Router (192.168.1.254), por
> > logica NO salgo a internet...
> Hola:
>
>Estaría bien tener un pequeño esquema de texto de los equipos que
> tiene en su red. Yo al menos con el intercambio de emails no comprendo
> todavía que quiere hacer exactamente.
>
>Si no he entendido mal su red LAN tiene un rango 10.0.1.x no? Luego
> tiene un servidor linux ¿? que tiene una interfaz en esa subred de la
> LAN y otra en otra subred 192.168.1.x ? Y luego en esa subred esta el
> router? Algo asi como:
>
>
> Clientes LAN (10.0.1.x)  > (10.0.1.1) Servidor iptables
>
> (192.168.1.1)
>   |-> (192.168.1.?)
> Router  ---> Internet
>
>
> Primeramente estaría bien saber cual es el gateway que tiene
> configurado en los clientes de la LAN. Perdone si algunos de estos
> detalles ya los ha dado, pero no tengo el resto de emails.
>
> Saludos
>
> Miguel
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.ca...@sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !

[David González Romero]

Yo veo que esto es una discusión absurda.

Angel la cuestión es muy sencilla:
1- Tu server hace ping a internet? SI
2- Tu red deberá poder navegar por medio del SQUID
3- Tu red, NUNCA podrá hacer PING a internet, porque no estas USANDO NAT
para adentro. Porque entonces que sentido tendría el SQUID?
4- Tu server no hace PING a internet
5- Entonces tu Iptables esta muy duro o existe otra causa de configuración
que impide que tu server vea internet

TIPS para montar servidores de red
1- Configurar servicios primarios
a- DNS
b- DHCP
c- MAIL
d- SQUID
e- APACHE

2- Comprobar que dichos servicios funcionan para toda la red
3- Proteger mi server y la red
a- Parando servicios no necesarios (NTP y CUPS por ejemplo)
b- Ir armando mi Firewall y por cada regla comprobar que el punto 2 se
cumpla.

4- Mi server esta listo para producción, prueba de producción durante un
tiempo y si la cumple, BINGO!!!

Por demás meterse en discusiones salomónicas no resuelve nada.

Saludos,
David


El 23 de septiembre de 2013 08:07, Pablo Alberto Flores
escribió:

> Partamos por el principio, tu linux hace ping a google? si tu linux no hace
> ping tu lan nunca saldra al mundo.
>
>
> El 23 de septiembre de 2013 05:00, Rodolfo Vargas >escribió:
>
> > El 22/09/13, angel jauregui  escribió:
> > > Buen día.
> > >
> > > Rodolfo si usted se considera tan conocedor creo que debería plantear
> una
> > > solución u opción, no solo una critica de "esta mal" o "esta bien", de
> > nada
> > > sirve que me digan que esta mal (si por algo no funciona).
> >
> > La lista es para dar ideas, no siempre está obligada a resolver alguna
> > situación, no puedes obligar a la lista a que solucionen tu caso.
> >
> > Tmabién te aclaro que no me considero conocer, ese adjetivo tú me lo
> > estas diciendo, simplemente yo LEO, ME DOCUMENTO antes de hacer alguna
> > cosa, tienes los documentos de redhat linux en pdf, tienes a uno de
> > los mejores portales que da soporte a CnetOS (alcanelibre.org), que yo
> > sepa simplemente te recomendé que leas más porque tus preguntas son
> > reiterativas y la repuesta está en los mensajes que te han dado, NO
> > ESTAS SALIENDO A OTRAS REDES NO ESTA HACIENDO NAT
> >
> > >
> > > Sobre el ping interno escribí claramente que tengo *todos los servicios
> > en
> > > la LAN (locales)*, vaya FTP, HTTP, SSH... todos !.. Vaya, *SI PUEDO
> HACER
> > > PING* a la red LAN (osease a las IPs de los equipos de la red), solo no
> > > logro llegar al segmento distinto al que estoy (10.0.1.0/24), no puedo
> > > hacer ping al Router (192.168.1.254), por logica NO salgo a internet...
> > La
> >
> >
> > Claro pues mi amigo, LA PUERTA DE ENLACE del router no te esta
> > respondiendo, no estas en red con ese segmento y se debe a que no esta
> > haciendo traducción de direcciones, puede ser a varios factores:
> > 1.- no estas usando los parámentros de red correctos, esa máscara de
> > la clase A esta equivocada.
> >
> > 2.- puede ser que no haya conexión hacia el router, no estaría de más
> > verificar.
> >
> > 3.- las reglas iptables no estan correctamente puestas.
> >
> > Para hacer NAT necesitas iptables -t nat -A POSTROUTING -o eth0 -j
> > MASQUERADE y también echo 1 > /proc/sys/net/ipv4/ip_forward
> >
> > Arriba pongo -o y no he añadido -s, pongo así para que traduzca entre
> > todas las interfaces que tenga, si tienes solo dos es obvio que solo
> > traducirá de esa.
> >
> > solo eso es necesario, por eso te había recomendado borrar todas las
> > reglas que tienes por el momento y solo escribir lo de arriba si todo
> > esta correcto debería funcionar.
> >
> > > unica forma que funciono fue porque *no desconectaron* un cable de red
> > que
> > > va del router al switch, que se supone no debe estar ya que la idea es
> > que
> >
> >
> > Lo más lógico es pensar que si salía es que estaba en red con ese
> > router y usaba puerta de enlace de dicho router y asi podían estar con
> > internet.
> >
> > > el router *solamente este conectado* a la eth0 del server, y la eth1 al
> > > switch. Si quiero navegar, tengo que poner un cable del router al
> switch.
> > >
> >
> > Reitero:
> > Lo más lógico es pensar que si salía es que estaba en red con ese
> > router y usaba puerta de enlace de dicho router y así podían estar con
> > internet.
> >
> >
> > > Respecto a mis reglas, siempre que hago cambios *es obvio que limpio y
> > > vuelvo a cargar*.
> >
> > Algo anda mal
> >
> > >
> > > En mi segmento de IPs en la eth1 uso 10.0.1.0/24 con mascara
> > 255.255.255.0,
> > > ya que solo me importa asignar de: 10.0.1.2 a 10.0.1.254 Ya que
> > > 10.0.1.1 es el server y 10.0.1.255 el broadcast
> >
> > Amigo LA MASCARA DE LA CLASE A es la que te dijeron antes y te lo
> > pusieron en binario, ni idea tenías y tampoco te has preocupado en
> > averiguar creo, yo te dije por qué estas usando esa mascara, te dije
> > lee sobre ips privadas clase A, B, C, creo que eso te molesta, quieres
> > que todo te lo den mascado, quieres que te solucionen a tus preguntas,
> > y esta

Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !

[Pablo Alberto Flores]

Partamos por el principio, tu linux hace ping a google? si tu linux no hace
ping tu lan nunca saldra al mundo.


El 23 de septiembre de 2013 05:00, Rodolfo Vargasescribió:

> El 22/09/13, angel jauregui  escribió:
> > Buen día.
> >
> > Rodolfo si usted se considera tan conocedor creo que debería plantear una
> > solución u opción, no solo una critica de "esta mal" o "esta bien", de
> nada
> > sirve que me digan que esta mal (si por algo no funciona).
>
> La lista es para dar ideas, no siempre está obligada a resolver alguna
> situación, no puedes obligar a la lista a que solucionen tu caso.
>
> Tmabién te aclaro que no me considero conocer, ese adjetivo tú me lo
> estas diciendo, simplemente yo LEO, ME DOCUMENTO antes de hacer alguna
> cosa, tienes los documentos de redhat linux en pdf, tienes a uno de
> los mejores portales que da soporte a CnetOS (alcanelibre.org), que yo
> sepa simplemente te recomendé que leas más porque tus preguntas son
> reiterativas y la repuesta está en los mensajes que te han dado, NO
> ESTAS SALIENDO A OTRAS REDES NO ESTA HACIENDO NAT
>
> >
> > Sobre el ping interno escribí claramente que tengo *todos los servicios
> en
> > la LAN (locales)*, vaya FTP, HTTP, SSH... todos !.. Vaya, *SI PUEDO HACER
> > PING* a la red LAN (osease a las IPs de los equipos de la red), solo no
> > logro llegar al segmento distinto al que estoy (10.0.1.0/24), no puedo
> > hacer ping al Router (192.168.1.254), por logica NO salgo a internet...
> La
>
>
> Claro pues mi amigo, LA PUERTA DE ENLACE del router no te esta
> respondiendo, no estas en red con ese segmento y se debe a que no esta
> haciendo traducción de direcciones, puede ser a varios factores:
> 1.- no estas usando los parámentros de red correctos, esa máscara de
> la clase A esta equivocada.
>
> 2.- puede ser que no haya conexión hacia el router, no estaría de más
> verificar.
>
> 3.- las reglas iptables no estan correctamente puestas.
>
> Para hacer NAT necesitas iptables -t nat -A POSTROUTING -o eth0 -j
> MASQUERADE y también echo 1 > /proc/sys/net/ipv4/ip_forward
>
> Arriba pongo -o y no he añadido -s, pongo así para que traduzca entre
> todas las interfaces que tenga, si tienes solo dos es obvio que solo
> traducirá de esa.
>
> solo eso es necesario, por eso te había recomendado borrar todas las
> reglas que tienes por el momento y solo escribir lo de arriba si todo
> esta correcto debería funcionar.
>
> > unica forma que funciono fue porque *no desconectaron* un cable de red
> que
> > va del router al switch, que se supone no debe estar ya que la idea es
> que
>
>
> Lo más lógico es pensar que si salía es que estaba en red con ese
> router y usaba puerta de enlace de dicho router y asi podían estar con
> internet.
>
> > el router *solamente este conectado* a la eth0 del server, y la eth1 al
> > switch. Si quiero navegar, tengo que poner un cable del router al switch.
> >
>
> Reitero:
> Lo más lógico es pensar que si salía es que estaba en red con ese
> router y usaba puerta de enlace de dicho router y así podían estar con
> internet.
>
>
> > Respecto a mis reglas, siempre que hago cambios *es obvio que limpio y
> > vuelvo a cargar*.
>
> Algo anda mal
>
> >
> > En mi segmento de IPs en la eth1 uso 10.0.1.0/24 con mascara
> 255.255.255.0,
> > ya que solo me importa asignar de: 10.0.1.2 a 10.0.1.254 Ya que
> > 10.0.1.1 es el server y 10.0.1.255 el broadcast
>
> Amigo LA MASCARA DE LA CLASE A es la que te dijeron antes y te lo
> pusieron en binario, ni idea tenías y tampoco te has preocupado en
> averiguar creo, yo te dije por qué estas usando esa mascara, te dije
> lee sobre ips privadas clase A, B, C, creo que eso te molesta, quieres
> que todo te lo den mascado, quieres que te solucionen a tus preguntas,
> y estas esperanzado solo en la lista, deberías intentar por otros
> medios con las recomendaciones que te han dado, tienes mucha
> documentación en internet.
>
> >
> > Ayudar significa "plantear una solución", no solo criticar ! Por
> favor
>
> NO seas exigente con la lista, la lista no es soporte técnico a
> medida, no pagas por ello a nadie de la lsita, la lista te puede
> ayudar con ideas, pero no esta obligada a solucionar tu caso
> particular, no sé si habrás leído sobre soporte comunitario, en fin
> creo que ya te han dado suficientes argumentos para que tu puedas
> solucionar tu caso.
>
> > limitese a ayudar, de nada me sirve una critica sin soluciones, me deja
> en
> > las mismas :S !
>
> La lista es para dar ideas MAS NO ESTA OBLIGADA A SOLUCIONAR TU CASO
>
> >
> > Cuando mencione sobre mis tarjetas de red, lo comente porque la
> > configuración que tienen considero está bien:
> >
> > *shell# /etc/sysconfig/network-scripts/ifcfg-eth0 *
> > DEVICE=eth0
> > BOOTPROTO=static
> > ONBOOT=yes
> > IPADDR=192.168.1.1
> > NETMASK=255.255.255.0
> > NETWORK=192.168.1.0
> > GATEWAY=192.168.1.254
> > TYPE=Ethernet
> > HWADDR=00:11:22:33:44:55
> > DNS1=8.8.8.8
> > DNS2=10.0.1.1
> >
> > *shell# /etc/sysconfig/network-scripts/ifcfg

Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !

[Rodolfo Vargas]

El 22/09/13, angel jauregui  escribió:
> Buen día.
>
> Rodolfo si usted se considera tan conocedor creo que debería plantear una
> solución u opción, no solo una critica de "esta mal" o "esta bien", de nada
> sirve que me digan que esta mal (si por algo no funciona).

La lista es para dar ideas, no siempre está obligada a resolver alguna
situación, no puedes obligar a la lista a que solucionen tu caso.

Tmabién te aclaro que no me considero conocer, ese adjetivo tú me lo
estas diciendo, simplemente yo LEO, ME DOCUMENTO antes de hacer alguna
cosa, tienes los documentos de redhat linux en pdf, tienes a uno de
los mejores portales que da soporte a CnetOS (alcanelibre.org), que yo
sepa simplemente te recomendé que leas más porque tus preguntas son
reiterativas y la repuesta está en los mensajes que te han dado, NO
ESTAS SALIENDO A OTRAS REDES NO ESTA HACIENDO NAT

>
> Sobre el ping interno escribí claramente que tengo *todos los servicios en
> la LAN (locales)*, vaya FTP, HTTP, SSH... todos !.. Vaya, *SI PUEDO HACER
> PING* a la red LAN (osease a las IPs de los equipos de la red), solo no
> logro llegar al segmento distinto al que estoy (10.0.1.0/24), no puedo
> hacer ping al Router (192.168.1.254), por logica NO salgo a internet... La


Claro pues mi amigo, LA PUERTA DE ENLACE del router no te esta
respondiendo, no estas en red con ese segmento y se debe a que no esta
haciendo traducción de direcciones, puede ser a varios factores:
1.- no estas usando los parámentros de red correctos, esa máscara de
la clase A esta equivocada.

2.- puede ser que no haya conexión hacia el router, no estaría de más verificar.

3.- las reglas iptables no estan correctamente puestas.

Para hacer NAT necesitas iptables -t nat -A POSTROUTING -o eth0 -j
MASQUERADE y también echo 1 > /proc/sys/net/ipv4/ip_forward

Arriba pongo -o y no he añadido -s, pongo así para que traduzca entre
todas las interfaces que tenga, si tienes solo dos es obvio que solo
traducirá de esa.

solo eso es necesario, por eso te había recomendado borrar todas las
reglas que tienes por el momento y solo escribir lo de arriba si todo
esta correcto debería funcionar.

> unica forma que funciono fue porque *no desconectaron* un cable de red que
> va del router al switch, que se supone no debe estar ya que la idea es que


Lo más lógico es pensar que si salía es que estaba en red con ese
router y usaba puerta de enlace de dicho router y asi podían estar con
internet.

> el router *solamente este conectado* a la eth0 del server, y la eth1 al
> switch. Si quiero navegar, tengo que poner un cable del router al switch.
>

Reitero:
Lo más lógico es pensar que si salía es que estaba en red con ese
router y usaba puerta de enlace de dicho router y así podían estar con
internet.


> Respecto a mis reglas, siempre que hago cambios *es obvio que limpio y
> vuelvo a cargar*.

Algo anda mal

>
> En mi segmento de IPs en la eth1 uso 10.0.1.0/24 con mascara 255.255.255.0,
> ya que solo me importa asignar de: 10.0.1.2 a 10.0.1.254 Ya que
> 10.0.1.1 es el server y 10.0.1.255 el broadcast

Amigo LA MASCARA DE LA CLASE A es la que te dijeron antes y te lo
pusieron en binario, ni idea tenías y tampoco te has preocupado en
averiguar creo, yo te dije por qué estas usando esa mascara, te dije
lee sobre ips privadas clase A, B, C, creo que eso te molesta, quieres
que todo te lo den mascado, quieres que te solucionen a tus preguntas,
y estas esperanzado solo en la lista, deberías intentar por otros
medios con las recomendaciones que te han dado, tienes mucha
documentación en internet.

>
> Ayudar significa "plantear una solución", no solo criticar ! Por favor

NO seas exigente con la lista, la lista no es soporte técnico a
medida, no pagas por ello a nadie de la lsita, la lista te puede
ayudar con ideas, pero no esta obligada a solucionar tu caso
particular, no sé si habrás leído sobre soporte comunitario, en fin
creo que ya te han dado suficientes argumentos para que tu puedas
solucionar tu caso.

> limitese a ayudar, de nada me sirve una critica sin soluciones, me deja en
> las mismas :S !

La lista es para dar ideas MAS NO ESTA OBLIGADA A SOLUCIONAR TU CASO

>
> Cuando mencione sobre mis tarjetas de red, lo comente porque la
> configuración que tienen considero está bien:
>
> *shell# /etc/sysconfig/network-scripts/ifcfg-eth0 *
> DEVICE=eth0
> BOOTPROTO=static
> ONBOOT=yes
> IPADDR=192.168.1.1
> NETMASK=255.255.255.0
> NETWORK=192.168.1.0
> GATEWAY=192.168.1.254
> TYPE=Ethernet
> HWADDR=00:11:22:33:44:55
> DNS1=8.8.8.8
> DNS2=10.0.1.1
>
> *shell# /etc/sysconfig/network-scripts/ifcfg-eth1*
> DEVICE=eth1
> BOOTPROTO=static
> ONBOOT=yes
> IPADDR=10.0.1.1
> NETMASK=255.255.255.0
> NETWORK=10.0.1.0
> TYPE=Ethernet
> HWADDR=aa:bb:cc:dd:ee:ff
> DNS1=8.8.8.8
> DNS2=10.0.1.1
>
> Saludos !

http://es.wikipedia.org/wiki/Direcci%C3%B3n_IP
También podría servirte esto:

https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_Guide-F

Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !

[Miguel González]

> Sobre el ping interno escribí claramente que tengo *todos los 
> servicios en la LAN (locales)*, vaya FTP, HTTP, SSH... todos !.. Vaya, 
> *SI PUEDO HACER PING* a la red LAN (osease a las IPs de los equipos de 
> la red), solo no logro llegar al segmento distinto al que estoy 
> (10.0.1.0/24), no puedo hacer ping al Router (192.168.1.254), por 
> logica NO salgo a internet... 
Hola:

   Estaría bien tener un pequeño esquema de texto de los equipos que 
tiene en su red. Yo al menos con el intercambio de emails no comprendo 
todavía que quiere hacer exactamente.

   Si no he entendido mal su red LAN tiene un rango 10.0.1.x no? Luego 
tiene un servidor linux ¿? que tiene una interfaz en esa subred de la 
LAN y otra en otra subred 192.168.1.x ? Y luego en esa subred esta el 
router? Algo asi como:


Clientes LAN (10.0.1.x)  > (10.0.1.1) Servidor iptables

(192.168.1.1)
  |-> (192.168.1.?) 
Router  ---> Internet


Primeramente estaría bien saber cual es el gateway que tiene 
configurado en los clientes de la LAN. Perdone si algunos de estos 
detalles ya los ha dado, pero no tengo el resto de emails.

Saludos

Miguel
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !

[angel jauregui]

Buen día.

Rodolfo si usted se considera tan conocedor creo que debería plantear una
solución u opción, no solo una critica de "esta mal" o "esta bien", de nada
sirve que me digan que esta mal (si por algo no funciona).

Sobre el ping interno escribí claramente que tengo *todos los servicios en
la LAN (locales)*, vaya FTP, HTTP, SSH... todos !.. Vaya, *SI PUEDO HACER
PING* a la red LAN (osease a las IPs de los equipos de la red), solo no
logro llegar al segmento distinto al que estoy (10.0.1.0/24), no puedo
hacer ping al Router (192.168.1.254), por logica NO salgo a internet... La
unica forma que funciono fue porque *no desconectaron* un cable de red que
va del router al switch, que se supone no debe estar ya que la idea es que
el router *solamente este conectado* a la eth0 del server, y la eth1 al
switch. Si quiero navegar, tengo que poner un cable del router al switch.

Respecto a mis reglas, siempre que hago cambios *es obvio que limpio y
vuelvo a cargar*.

En mi segmento de IPs en la eth1 uso 10.0.1.0/24 con mascara 255.255.255.0,
ya que solo me importa asignar de: 10.0.1.2 a 10.0.1.254 Ya que
10.0.1.1 es el server y 10.0.1.255 el broadcast

Ayudar significa "plantear una solución", no solo criticar ! Por favor
limitese a ayudar, de nada me sirve una critica sin soluciones, me deja en
las mismas :S !

Cuando mencione sobre mis tarjetas de red, lo comente porque la
configuración que tienen considero está bien:

*shell# /etc/sysconfig/network-scripts/ifcfg-eth0 *
DEVICE=eth0
BOOTPROTO=static
ONBOOT=yes
IPADDR=192.168.1.1
NETMASK=255.255.255.0
NETWORK=192.168.1.0
GATEWAY=192.168.1.254
TYPE=Ethernet
HWADDR=00:11:22:33:44:55
DNS1=8.8.8.8
DNS2=10.0.1.1

*shell# /etc/sysconfig/network-scripts/ifcfg-eth1*
DEVICE=eth1
BOOTPROTO=static
ONBOOT=yes
IPADDR=10.0.1.1
NETMASK=255.255.255.0
NETWORK=10.0.1.0
TYPE=Ethernet
HWADDR=aa:bb:cc:dd:ee:ff
DNS1=8.8.8.8
DNS2=10.0.1.1

Saludos !


El 22 de septiembre de 2013 03:23, Rodolfo Vargas escribió:

> El 21/09/13, angel jauregui  escribió:
> > Buenas...
> >
> > Hace dias habia expuesto un problema de configruacion de mis tarjetas de
> > red el cual quedo solucionado, pero sin darme cuenta existia un cable de
>
> Quedó solucionado?¿
>
> > red conectado del router al switch, y cuando me percate lo desconecte ya
> > que se supone que la configuracion del server es:
>
> NO debería haber problema
>
> >
> > eth0 --> ip:192.168.1.1 conectada al router (192.168.1.254).
> > eth1 --> ip:10.0.1.1 conectada al switch (red lan).
> >
> > Servicios del server:
> >
> > - HTTP abierto para todos (LAN e Internet).
> > - FTP abierto para todos (LAN e Internet).
> > - SSH abierto para todos (LAN e Internet).
> > - Los demas son para la LAN.
> >
> > Y la idea es:
> >
> > - El segmento de red asignado es: 10.0.1.0/24, y se esta cumpliendo !.
>
> Le hemos dicho POR QUÉ usted usa 10.0.1.0/24? que clase de ip estas
> usando? ES CLASE A y su máscara es 255.0.0.0, máscara 255.255.255.0 es
> para clase C, o esta subneteado? no respondió tampoco.
>
> > - Los clientes tiene como Gateway la ip del server (10.0.1.1), se cumple
> !.
> > - La navegacion web se redirige al puerto del Squid, se cumple !.
> > - Los demas puertos a consultar se hacen FW, creo que se cumple !.
> > - Se supone que lo que entra por eth1 (lan) de sacarse por eth0 por la
> > puerta gateway (ip del router).
> >
> > Problemas y Virtudes:
> > - No logro hacer ping a ninguna pagina, ni a la IP del router.
>
> Jajajaj, señor usted en pruimer lugar debe usar ips, luego recién
> verificar si resuelve nombres, bueno eso yo hago :), dijo que resolvió
> el problema de red antes, al parecer no solucionó dicho detalle,
> primero debe asignar BIEN los parámetros de red, luego verificar, la
> forma más común es usando ping, LIMPIANDO PRIMERO REGLAS si las hay,
> hacer ping entre todas las interfaces por decir, tanto en la red lan y
> fuera, si todo va bien recien aplicar reglas en firewall (es un
> consejo que le doy)
>
> > - Si puedo hacer ping a los equipos locales.
>
> Pero verifique por qué usa la máscara que no le corresponde a esa clase A
> de ip
>
> > - Si obtengo todos los servicios de red local (dhcp, asterisk, ftp, http,
> > mysql).
>
> > - Si funciona la redireccion del 80 al puerto squid, ya que si escribo
> una
> > palabra restringida, sale la pagina de aviso de Squid.
> >
> > Mis reglas iptables son:
> >
> > iptables -F
> > iptables -X
> > iptables -Z
> > iptables -t nat -F
> >
> > # politicas por defecto
> > iptables -P INPUT ACCEPT# aceptamos entradas
> > iptables -P OUTPUT ACCEPT   # aceptamos salidas
> > iptables -P FORWARD ACCEPT  # aceptamos reenvios
> > iptables -t nat -P PREROUTING ACCEPT# aceptamos nat hacia
> fuera
> > iptables -t nat -P POSTROUTING ACCEPT   # aceptamos nat hacia
> > dentro
> > echo 1 > /proc/sys/net/ipv4/ip_forward  # habilitamos BIT de
> > reenvios
> >
> > iptabl

Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !

[Rodolfo Vargas]

El 21/09/13, angel jauregui  escribió:
> Buenas...
>
> Hace dias habia expuesto un problema de configruacion de mis tarjetas de
> red el cual quedo solucionado, pero sin darme cuenta existia un cable de

Quedó solucionado?¿

> red conectado del router al switch, y cuando me percate lo desconecte ya
> que se supone que la configuracion del server es:

NO debería haber problema

>
> eth0 --> ip:192.168.1.1 conectada al router (192.168.1.254).
> eth1 --> ip:10.0.1.1 conectada al switch (red lan).
>
> Servicios del server:
>
> - HTTP abierto para todos (LAN e Internet).
> - FTP abierto para todos (LAN e Internet).
> - SSH abierto para todos (LAN e Internet).
> - Los demas son para la LAN.
>
> Y la idea es:
>
> - El segmento de red asignado es: 10.0.1.0/24, y se esta cumpliendo !.

Le hemos dicho POR QUÉ usted usa 10.0.1.0/24? que clase de ip estas
usando? ES CLASE A y su máscara es 255.0.0.0, máscara 255.255.255.0 es
para clase C, o esta subneteado? no respondió tampoco.

> - Los clientes tiene como Gateway la ip del server (10.0.1.1), se cumple !.
> - La navegacion web se redirige al puerto del Squid, se cumple !.
> - Los demas puertos a consultar se hacen FW, creo que se cumple !.
> - Se supone que lo que entra por eth1 (lan) de sacarse por eth0 por la
> puerta gateway (ip del router).
>
> Problemas y Virtudes:
> - No logro hacer ping a ninguna pagina, ni a la IP del router.

Jajajaj, señor usted en pruimer lugar debe usar ips, luego recién
verificar si resuelve nombres, bueno eso yo hago :), dijo que resolvió
el problema de red antes, al parecer no solucionó dicho detalle,
primero debe asignar BIEN los parámetros de red, luego verificar, la
forma más común es usando ping, LIMPIANDO PRIMERO REGLAS si las hay,
hacer ping entre todas las interfaces por decir, tanto en la red lan y
fuera, si todo va bien recien aplicar reglas en firewall (es un
consejo que le doy)

> - Si puedo hacer ping a los equipos locales.

Pero verifique por qué usa la máscara que no le corresponde a esa clase A de ip

> - Si obtengo todos los servicios de red local (dhcp, asterisk, ftp, http,
> mysql).

> - Si funciona la redireccion del 80 al puerto squid, ya que si escribo una
> palabra restringida, sale la pagina de aviso de Squid.
>
> Mis reglas iptables son:
>
> iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
>
> # politicas por defecto
> iptables -P INPUT ACCEPT# aceptamos entradas
> iptables -P OUTPUT ACCEPT   # aceptamos salidas
> iptables -P FORWARD ACCEPT  # aceptamos reenvios
> iptables -t nat -P PREROUTING ACCEPT# aceptamos nat hacia fuera
> iptables -t nat -P POSTROUTING ACCEPT   # aceptamos nat hacia
> dentro
> echo 1 > /proc/sys/net/ipv4/ip_forward  # habilitamos BIT de
> reenvios
>
> iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo
> iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT
>   # ftp y ssh
> iptables -A INPUT -p tcp --dport 80 -j ACCEPT
>  # http
> iptables -A INPUT -p tcp --dport 443 -j ACCEPT
>   # https
> iptables -A INPUT -p tcp --dport 53 -j ACCEPT
>  # dns - dhcp
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
> # portmapper/rpcbind
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT
> # samba
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
> # samba
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
>  # squid
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
>  # squid cache
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
>  # nfs
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
>  # asterisk
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT
>  # webmind para LAN
>
># forwardnig
> iptables -A FORWARD -p tcp --dport 20:22 -j ACCEPT
>   # ftp y ssh
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
>  # dns - dhcp
> iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT
>  # dns -dhcp (udp)
> iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
>  # http
> iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
>   # https
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
> # portmapper/rpcbind
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT
> # samba
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
> # samba
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
>  # squid
>

Re: [CentOS-es] IPTables NAT IP externa a IP interna

[Ing. Ramon Resendiz]

Que tal Tocayo,

 

Si es correcto ya he probado con el forward.

 

Saludos!

RR

 

De: Ramón Macías Zamora [mailto:rmac...@rks.ec] 
Enviado el: viernes, 15 de febrero de 2013 01:00 p.m.
Para: centos-es@centos.org
CC: rresen...@globaltrack.com.mx
Asunto: Re: [CentOS-es] IPTables NAT IP externa a IP interna

 

Probaste poniendo el FORWARD de retorno?


iptables -A FORWARD -p tcp -s X.X.X.237 --sport 25 -j ACCEPT




--




Ramón Macías Zamora
Tecnología, Investigación y Desarrollo
www.rks.ec - www.raykasolutions.com
Guayaquil - Ecuador
msn: <mailto:ramon_mac...@hotmail.com> ramon_mac...@hotmail.com
skype:  ramon_macias
UserLinux# 180926 (http://counter.li.org)
Cel:593-8-0192238
Tel:593 4 6044566

 <http://www.raykasolutions.com/> 


WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES
LINUX, SOPORTE.

 

On 15 February 2013 13:30,  wrote:

Puedes enviar tu shell script para ver que esta pasando


Best Regards
Domingo Varela Yahuitl.
--
(http://www.linuxsc.net)
Sent from my android device SGS 2

One step ahead.


___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

 

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] IPTables NAT IP externa a IP interna

[Ing. Ramon Resendiz]

Domingo,

 

Así es como quedaría usando el documento que me enviaste anteriormente:

 

IPTABLES=`which iptables`

 

EXTIF=eth0

IP=`/sbin/ifconfig $EXTIF| grep inet | cut -d : -f 2 | cut -d \  -f 1`

MASK=`/sbin/ifconfig $EXTIF | grep Mas | cut -d : -f 4`

NET=$IP/$MASK

 

INTIF=eth1

INIP=`/sbin/ifconfig $INTIF| grep inet | cut -d : -f 2 | cut -d \  -f 1`

INMASK=`/sbin/ifconfig $INTIF| grep Mas | cut -d : -f 4`

INNET=$INIP/$INMASK

 

CORREO=X.X.X.237

CORREO1=192.168.0.134

 

# ARP y routeo

arp -Ds X.X.X.237 eth0 pub

route add X.X.X.237 dev eth1

 

# Destination NAT (D-NAT) para SMTP (TCP/25)

$IPTABLES -A PREROUTING -t nat -i $EXTERNAL -p tcp -d $CORREO --dport 25 \

-j DNAT --to-destination $CORREO1:25

$IPTABLES -A PREROUTING -t nat -i $EXTERNAL -p udp -d $CORREO --dport 25 \

-j DNAT --to-destination $CORREO1:25

$IPTABLES -A FORWARD -i $EXTERNAL -p tcp -d $CORREO1 --dport 25 -j ACCEPT

$IPTABLES -A FORWARD -i $EXTERNAL -p udp -d $CORREO1 --dport 25 -j ACCEPT

 

# Source NAT (S-NAT) para SMTP (TCP/25)

$IPTABLES -t nat -A POSTROUTING -s $CORREO1 -o eth0 -j SNAT --to-source $CORREO

 

 

# Habilitar ICMP/PING

$IPTABLES -t nat -A PREROUTING -i $EXTERNAL -p icmp -d $CORREO --icmp-type 8/0 \

   -j DNAT --to-destination $CORREO1

$IPTABLES -A FORWARD -i $EXTERNAL -p icmp -d $CORREO1 --icmp-type 8/0 -j ACCEPT

 

 

# Regla de NAT

$IPT -t nat -A POSTROUTING -s $INNET -o $EXTIF -j MASQUERADE

 

De: domin...@linuxsc.net [mailto:domin...@linuxsc.net] 
Enviado el: viernes, 15 de febrero de 2013 12:30 p.m.
Para: rresen...@globaltrack.com.mx; centos-es@centos.org
CC: centos-es@centos.org
Asunto: Re: [CentOS-es] IPTables NAT IP externa a IP interna

 

Puedes enviar tu shell script para ver que esta pasando

Best Regards
Domingo Varela Yahuitl.
--
(http://www.linuxsc.net)
Sent from my android device SGS 2
One step ahead.

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] IPTables NAT IP externa a IP interna

[domingov]

Puedes enviar tu shell script para ver que esta pasando

Best Regards
Domingo Varela Yahuitl.
--
(http://www.linuxsc.net)
Sent from my android device SGS 2
One step ahead.

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] IPTables NAT IP externa a IP interna

[Augusto Catalan]

Muéstranos la regla como las estas colocando ??

Saludos.

Atte
Augusto Catalán


El 15 de febrero de 2013 15:01, Ing. Ramon Resendiz <
rresen...@globaltrack.com.mx> escribió:

> Buenas tardes Augusto,
>
> ** **
>
> Tienes razón me equivoque al redactar el correo y debe ser “*-A*”. Por
> otro lado he realizado los cambios de acuerdo al documento que me envió
> Domingo, y el resultado es el mismo, el nat no funciona. Creo estar
> haciendo todo de acuerdo al documento tal y cual lo describe paso por paso,
> pero me funciona.
>
> ** **
>
> Saludos!
>
> RR
>
> ** **
>
> *De:* Augusto Catalan [mailto:acatalan2...@gmail.com]
> *Enviado el:* viernes, 15 de febrero de 2013 11:42 a.m.
> *Para:* centos-es@centos.org
> *CC:* rresen...@globaltrack.com.mx
> *Asunto:* Re: [CentOS-es] IPTables NAT IP externa a IP interna
>
> ** **
>
> Estimado,
>
> ** **
>
> El comando que estas utilizando:
>
> *iptables -t nat -D* PREROUTING -i eth0 -p tcp -d X.X.X.237 --dport 25 -j
> DNAT --to 192.168.0.134:25
>
> ** **
>
> *La opciones -D   >>> es para eliminar una regla.*
>
> ** **
>
> Haz lo que te dice domingo, luego para comprobar que la regla esta
> correcta pon lo siguiente:
>
> ** **
>
>  iptables -t nat -nvL |grep 25
>
> ** **
>
> Y te debiese mostrar la regla.
>
> ** **
>
> Saludos.
>
> ** **
>
> ** **
>
> Atte
> Augusto Catalán
>
> ** **
>
> El 15 de febrero de 2013 14:21, Lic. Domingo Varela Yahuitl <
> domin...@linuxsc.net> escribió:
>
> No veo que se haga el nat de la ip externa con terminacion 237 apuntando a
> la interna 192.168.0.134 en la salida del las tablas del iptables. ...
>
>
>
> *DNAT*
> #SMTP
>
> $IPTABLES -A PREROUTING -t nat -i $EXTERNAL -p tcp -d $CORREO --dport 25 \
> -j DNAT --to-destination $CORREO1:25
>
> $IPTABLES -A PREROUTING -t nat -i $EXTERNAL -p udp -d $CORREO --dport 25 \
> 
>
> -j DNAT --to-destination $CORREO1:25
> $IPTABLES -A FORWARD -i $EXTERNAL -p tcp -d $CORREO1 --dport 25 -j ACCEPT*
> ***
>
> $IPTABLES -A FORWARD -i $EXTERNAL -p udp -d $CORREO1 --dport 25 -j ACCEPT
>
> *Donde: *
>
> IPTABLES=`which iptables`
>
> EXTERNAL=eth0
>
> CORREO=IP_Publica (del segmento 111.222.333.444/27)
> CORREO01=Ip Privada de nuestra LAN  (Servidor)
>
>
>
> 2013/2/15 Ing. Ramon Resendiz 
>
> > Domingo te paso los resultados de los comandos:
> >
> > ** **
> >
> > arp -n
> >
> > ** **
> >
> > [root@mail ~]# arp -n|grep 0.134
> >
> > 192.168.0.134(incomplete)
> > eth1
> >
> > [root@mail ~]# arp -n|grep .233
>
> >
> > X.X.X.233   ether   00:17:CB:B9:34:00   C
> eth0
>
> > 
> >
> > ** **
> >
> > Iptables –t nat –L –n –v
> >
> > ** **
> >
> > Chain PREROUTING (policy ACCEPT 674K packets, 54M bytes)
>
> >
> > pkts bytes target prot opt in out source
>
> > destination
>
> >
> >   127  6096 ACCEPT tcp  --  *  *   0.0.0.0/0
>
> > 201.116.146.185 tcp dpt:80
>
> >
> >   202 11464 DNAT   tcp  --  eth0   *   0.0.0.0/0
>
> > 0.0.0.0/0   tcp dpt:5900 to:192.168.0.55:5900
>
> >
> > 0 0 ACCEPT all  --  *  *   192.168.0.53
>
> > 0.0.0.0/24
>
> >
> > 0 0 ACCEPT all  --  *  *   192.168.0.53
>
> > 0.0.0.0/24
>
> >
> > 0 0 ACCEPT all  --  *  *   192.168.0.53
>
> > 0.0.0.0/24
>
> >
> > 0 0 ACCEPT all  --  *  *   192.168.0.53
>
> > 0.0.0.0/24
>
> >
> > 0 0 ACCEPT all  --  *  *   192.168.0.53
>
> > 0.0.0.0/24
>
> >
> > 0 0 ACCEPT all  --  *  *   192.168.0.53
>
> > 0.0.0.0/24
>
> >
> > 0 0 ACCEPT all  --  *  *   192.168.0.53
>
> > 0.0.0.0/24
>
> >
> > 0 0 ACCEPT all  --  *  *   192.168.0.53
>
> > 0.0.0.0/24
>
> >
> > 0 0 ACCEPT all  --  *  *   192.168.0.53
>
> > 0.0.0.0/24
>
> >
> > 0 0 ACCEPT all  --  *  *   192.168.0.53
>
> > 0.0.0.0/24
>
> >
> > 0 0 ACCEPT all  --  *  *

Re: [CentOS-es] IPTables NAT IP externa a IP interna

[Ing. Ramon Resendiz]

Buenas tardes Augusto,

 

Tienes razón me equivoque al redactar el correo y debe ser “-A”. Por otro
lado he realizado los cambios de acuerdo al documento que me envió Domingo,
y el resultado es el mismo, el nat no funciona. Creo estar haciendo todo de
acuerdo al documento tal y cual lo describe paso por paso, pero me funciona.

 

Saludos!

RR

 

De: Augusto Catalan [mailto:acatalan2...@gmail.com] 
Enviado el: viernes, 15 de febrero de 2013 11:42 a.m.
Para: centos-es@centos.org
CC: rresen...@globaltrack.com.mx
Asunto: Re: [CentOS-es] IPTables NAT IP externa a IP interna

 

Estimado,

 

El comando que estas utilizando:

iptables -t nat -D PREROUTING -i eth0 -p tcp -d X.X.X.237 --dport 25 -j DNAT
--to  <http://192.168.0.134:25/> 192.168.0.134:25

 

La opciones -D   >>> es para eliminar una regla.

 

Haz lo que te dice domingo, luego para comprobar que la regla esta correcta
pon lo siguiente:

 

 iptables -t nat -nvL |grep 25

 

Y te debiese mostrar la regla.

 

Saludos.

 

 

Atte
Augusto Catalán

 

El 15 de febrero de 2013 14:21, Lic. Domingo Varela Yahuitl
 escribió:

No veo que se haga el nat de la ip externa con terminacion 237 apuntando a
la interna 192.168.0.134 en la salida del las tablas del iptables. ...



*DNAT*
#SMTP

$IPTABLES -A PREROUTING -t nat -i $EXTERNAL -p tcp -d $CORREO --dport 25 \
-j DNAT --to-destination $CORREO1:25

$IPTABLES -A PREROUTING -t nat -i $EXTERNAL -p udp -d $CORREO --dport 25 \

-j DNAT --to-destination $CORREO1:25
$IPTABLES -A FORWARD -i $EXTERNAL -p tcp -d $CORREO1 --dport 25 -j ACCEPT

$IPTABLES -A FORWARD -i $EXTERNAL -p udp -d $CORREO1 --dport 25 -j ACCEPT

*Donde: *

IPTABLES=`which iptables`

EXTERNAL=eth0

CORREO=IP_Publica (del segmento 111.222.333.444/27)
CORREO01=Ip Privada de nuestra LAN  (Servidor)



2013/2/15 Ing. Ramon Resendiz 

> Domingo te paso los resultados de los comandos:
>
> ** **
>
> arp -n
>
> ** **
>
> [root@mail ~]# arp -n|grep 0.134
>
> 192.168.0.134(incomplete)
> eth1
>
> [root@mail ~]# arp -n|grep .233

>
> X.X.X.233   ether   00:17:CB:B9:34:00   C eth0

> 
>
> ** **
>
> Iptables –t nat –L –n –v
>
> ** **
>
> Chain PREROUTING (policy ACCEPT 674K packets, 54M bytes)

>
> pkts bytes target prot opt in out source

> destination

>
>   127  6096 ACCEPT tcp  --  *  *   0.0.0.0/0

> 201.116.146.185 tcp dpt:80

>
>   202 11464 DNAT   tcp  --  eth0   *   0.0.0.0/0

> 0.0.0.0/0   tcp dpt:5900 to:192.168.0.55:5900

>
> 0 0 ACCEPT all  --  *  *   192.168.0.53

> 0.0.0.0/24

>
> 0 0 ACCEPT all  --  *  *   192.168.0.53

> 0.0.0.0/24

>
> 0 0 ACCEPT all  --  *  *   192.168.0.53

> 0.0.0.0/24

>
> 0 0 ACCEPT all  --  *  *   192.168.0.53

> 0.0.0.0/24

>
> 0 0 ACCEPT all  --  *  *   192.168.0.53

> 0.0.0.0/24

>
> 0 0 ACCEPT all  --  *  *   192.168.0.53

> 0.0.0.0/24

>
> 0 0 ACCEPT all  --  *  *   192.168.0.53

> 0.0.0.0/24

>
> 0 0 ACCEPT all  --  *  *   192.168.0.53

> 0.0.0.0/24

>
> 0 0 ACCEPT all  --  *  *   192.168.0.53

> 0.0.0.0/24

>
> 0 0 ACCEPT all  --  *  *   192.168.0.53

> 0.0.0.0/24

>
> 0 0 ACCEPT all  --  *  *   192.168.0.53

> 0.0.0.0/24

>
> 0 0 ACCEPT all  --  *  *   192.168.0.53

> 0.0.0.0/24

>
> 0 0 ACCEPT all  --  *  *   192.168.0.53

> 0.0.0.0/24

>
> 0 0 ACCEPT all  --  *  *   192.168.0.53

> 0.0.0.0/24

>
> 0 0 ACCEPT all  --  *  *   192.168.0.53

> 0.0.0.0/24

>
> 0 0 ACCEPT all  --  *  *   192.168.0.53

> 0.0.0.0/24

>
> 0 0 ACCEPT all  --  *  *   192.168.0.53

> 0.0.0.0/24

>
> 0 0 DNAT   tcp  --  eth0   *   0.0.0.0/0

> 0.0.0.0/0   tcp dpt:17477 to:192.168.0.97:17477

>
> 0 0 DNAT   tcp  --  eth0   *   0.0.0.0/0

> 0.0.0.0/0   tcp dpt:2 to:192.168.0.97:80

>
> 2817  760K DNAT   all  --  *  *   0.0.0.0/0

> X.X.X.235  to:192.168.0.135

>
> 2397  737K DNAT   all  --  *  *   0.0.0.0/0

> X.X.X.234  to:192.168.0.134

>
> 0 0 ACCEPT tcp  --  *  *   0.0.0.0/0

>  X.X.X.234  tcp dpt:80

>
> 0 0 DNAT   tcp  --  *  *   0.0.0.0/0

> X.X.X.235  tcp dpt:769 to:192.168.0.135:769

>
> 0

Re: [CentOS-es] IPTables NAT IP externa a IP interna

[Augusto Catalan]

edir ports 3128
> >
> > 7196  345K REDIRECT   tcp  --  *  *   192.168.0.48
> > 0.0.0.0/0   tcp dpt:80 redir ports 3128
> >
> >   410 21200 REDIRECT   tcp  --  *  *   192.168.0.189
> > 0.0.0.0/0   tcp dpt:80 redir ports 3128
> >
> > 12892  619K REDIRECT   tcp  --  *  *   192.168.0.164
> > 0.0.0.0/0   tcp dpt:80 redir ports 3128
> >
> >   124  5952 REDIRECT   tcp  --  *  *   192.168.0.181
> > 0.0.0.0/0   tcp dpt:80 redir ports 3128
> >
> >   193  9264 REDIRECT   tcp  --  *  *   192.168.0.206
> > 0.0.0.0/0   tcp dpt:80 redir ports 3128
> >
> >18   864 REDIRECT   tcp  --  *  *   192.168.0.109
> > 0.0.0.0/0   tcp dpt:80 redir ports 3128
> >
> > 2164  104K REDIRECT   tcp  --  *  *   192.168.0.141
> > 0.0.0.0/0   tcp dpt:80 redir ports 3128
> >
> > 13794  662K REDIRECT   tcp  --  *  *   192.168.0.160
> > 0.0.0.0/0   tcp dpt:80 redir ports 3128
> >
> > 0 0 REDIRECT   tcp  --  *  *   192.168.0.61
> > 0.0.0.0/0   tcp dpt:80 redir ports 3128
> >
> > 0 0 REDIRECT   tcp  --  *  *   192.168.0.110
> > 0.0.0.0/0   tcp dpt:80 redir ports 3128
> >
> >   374 17952 REDIRECT   tcp  --  *  *   192.168.0.203
> > 0.0.0.0/0   tcp dpt:80 redir ports 3128
> >
> > 0 0 REDIRECT   tcp  --  *  *   192.168.0.233
> > 0.0.0.0/0   tcp dpt:80 redir ports 3128
> >
> >   893 42864 REDIRECT   tcp  --  *  *   192.168.0.62
> > 0.0.0.0/0   tcp dpt:80 redir ports 3128
> >
> >19   912 REDIRECT   tcp  --  *  *   192.168.0.200
> > 0.0.0.0/0   tcp dpt:80 redir ports 3128
> >
> >22  1056 REDIRECT   tcp  --  *  *   192.168.0.179
> > 0.0.0.0/0   tcp dpt:80 redir ports 3128
> >
> >10   480 REDIRECT   tcp  --  *  *   192.168.0.237
> > 0.0.0.0/0   tcp dpt:80 redir ports 3128
> >
> >   367 19084 REDIRECT   tcp  --  *  *       192.168.0.64
> > 0.0.0.0/0   tcp dpt:80 redir ports 3128
> >
> > 0 0 REDIRECT   tcp  --  *  *   192.168.0.148
> > 0.0.0.0/0   tcp dpt:80 redir ports 3128
> >
> > ** **
> >
> > Chain POSTROUTING (policy ACCEPT 698K packets, 45M bytes)
> >
> > pkts bytes target prot opt in out source
> > destination
> >
> > 29612 1686K SNAT   all  --  *  eth0192.168.0.0/24
> > 0.0.0.0/0   to:X.X.X.236
> >
> > 0 0 SNAT   all  --  *  eth0192.168.3.0/24
> > 0.0.0.0/0   to:X.X.X.236
> >
> > 0 0 SNAT   all  --  *  eth0192.168.100.0/24
> > 0.0.0.0/0   to:X.X.X.236
> >
> > 0 0 SNAT   tcp  --  *  *   0.0.0.0/0
> > 192.168.0.135   tcp dpt:769 to:X.X.X.235
> >
> >   444 24968 SNAT   tcp  --  *  *   0.0.0.0/0
> > 192.168.0.135   tcp dpt:80 to:X.X.X.235
> >
> >51  2552 SNAT       tcp  --  *  *   0.0.0.0/0
> > 192.168.0.134   tcp dpt:80 to:X.X.X.234
> >
> > 0 0 SNAT   tcp  --  *  *   0.0.0.0/0
> > 192.168.0.135   tcp dpt:26 to:X.X.X.235
> >
> > 0 0 SNAT   tcp  --  *  *   0.0.0.0/0
> > 192.168.0.134   tcp dpt:26 to:X.X.X.234
> >
> > ** **
> >
> > Chain OUTPUT (policy ACCEPT 692K packets, 44M bytes)
> >
> > pkts bytes target prot opt in out source
> > destination
> >
> > ** **
> >
> > *De:* domin...@linuxsc.net [mailto:domin...@linuxsc.net]
> > *Enviado el:* viernes, 15 de febrero de 2013 11:02 a.m.
> > *Para:* centos-es@centos.org; centos-es@centos.org;
> > rresen...@globaltrack.com.mx
> > *Asunto:* RE: [CentOS-es] IPTables NAT IP externa a IP interna
> >
> > ** **
> >
> > Si ejecutas los comandos arp  iptables -t nat -L-n -v ... que resultado
> > tienes
> >
> > Best Regards
> > Domingo Varela Yahuitl.
> > --
> > (http://www.linuxsc.net)
> > Sent from my android device SGS 2
> > One step ahead.
> >
> >
> >
> > -Original Message-
> > From: "Ing. Ramon Resendiz" 
> > To: domin...@linuxsc.net, centos-es@centos.org, centos-es@centos.org
> > Sent: vie, 15 feb 2013 10:58
> > Subject: RE: [Cen

Re: [CentOS-es] IPTables NAT IP externa a IP interna

[Lic. Domingo Varela Yahuitl]

No veo que se haga el nat de la ip externa con terminacion 237 apuntando a
la interna 192.168.0.134 en la salida del las tablas del iptables. ...



*DNAT*
#SMTP

$IPTABLES -A PREROUTING -t nat -i $EXTERNAL -p tcp -d $CORREO --dport 25 \
-j DNAT --to-destination $CORREO1:25
$IPTABLES -A PREROUTING -t nat -i $EXTERNAL -p udp -d $CORREO --dport 25 \

-j DNAT --to-destination $CORREO1:25
$IPTABLES -A FORWARD -i $EXTERNAL -p tcp -d $CORREO1 --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -i $EXTERNAL -p udp -d $CORREO1 --dport 25 -j ACCEPT

*Donde: *

IPTABLES=`which iptables`

EXTERNAL=eth0

CORREO=IP_Publica (del segmento 111.222.333.444/27)
CORREO01=Ip Privada de nuestra LAN  (Servidor)


-- 

Saludos cordiales
-- 
Lic. Domingo Varela Yahuitl
IT/Specialist -- Linux/Unix/Win
System Administrator and Technical Support
Web Site: http://www.linuxsc.net
Twitter: http://www.twitter.com/linuxsc


MSN: domin...@yahoo.com
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] IPTables NAT IP externa a IP interna

[Lic. Domingo Varela Yahuitl]

  912 REDIRECT   tcp  --  *  *   192.168.0.200
> 0.0.0.0/0   tcp dpt:80 redir ports 3128
>
>22  1056 REDIRECT   tcp  --  *  *   192.168.0.179
> 0.0.0.0/0   tcp dpt:80 redir ports 3128
>
>10   480 REDIRECT   tcp  --  *  *   192.168.0.237
> 0.0.0.0/0   tcp dpt:80 redir ports 3128
>
>   367 19084 REDIRECT   tcp  --  *  *   192.168.0.64
> 0.0.0.0/0   tcp dpt:80 redir ports 3128
>
> 0 0 REDIRECT   tcp  --  *  *   192.168.0.148
> 0.0.0.0/0   tcp dpt:80 redir ports 3128
>
> ** **
>
> Chain POSTROUTING (policy ACCEPT 698K packets, 45M bytes)
>
> pkts bytes target prot opt in out source
> destination
>
> 29612 1686K SNAT   all  --  *  eth0192.168.0.0/24
> 0.0.0.0/0   to:X.X.X.236
>
> 0 0 SNAT   all  --  *  eth0192.168.3.0/24
> 0.0.0.0/0   to:X.X.X.236
>
> 0 0 SNAT   all  --  *  eth0192.168.100.0/24
> 0.0.0.0/0   to:X.X.X.236
>
> 0 0 SNAT   tcp  --  *  *   0.0.0.0/0
> 192.168.0.135       tcp dpt:769 to:X.X.X.235
>
>   444 24968 SNAT   tcp  --  *  *   0.0.0.0/0
> 192.168.0.135   tcp dpt:80 to:X.X.X.235
>
>51  2552 SNAT   tcp  --  *  *   0.0.0.0/0
> 192.168.0.134   tcp dpt:80 to:X.X.X.234
>
> 0 0 SNAT   tcp  --  *  *   0.0.0.0/0
> 192.168.0.135   tcp dpt:26 to:X.X.X.235
>
> 0 0 SNAT   tcp  --  *  *   0.0.0.0/0
> 192.168.0.134   tcp dpt:26 to:X.X.X.234
>
> ** **
>
> Chain OUTPUT (policy ACCEPT 692K packets, 44M bytes)
>
> pkts bytes target prot opt in out source
> destination
>
> ** **
>
> *De:* domin...@linuxsc.net [mailto:domin...@linuxsc.net]
> *Enviado el:* viernes, 15 de febrero de 2013 11:02 a.m.
> *Para:* centos-es@centos.org; centos-es@centos.org;
> rresen...@globaltrack.com.mx
> *Asunto:* RE: [CentOS-es] IPTables NAT IP externa a IP interna
>
> ** **
>
> Si ejecutas los comandos arp  iptables -t nat -L-n -v ... que resultado
> tienes
>
> Best Regards
> Domingo Varela Yahuitl.
> --
> (http://www.linuxsc.net)
> Sent from my android device SGS 2
> One step ahead.
>
>
>
> -Original Message-
> From: "Ing. Ramon Resendiz" 
> To: domin...@linuxsc.net, centos-es@centos.org, centos-es@centos.org
> Sent: vie, 15 feb 2013 10:58
> Subject: RE: [CentOS-es] IPTables NAT IP externa a IP interna
>
> Domingo,
>
> ** **
>
> Ya he realizado el cambio con las modificaciones que me pasaste pero el
> resultado es el mismo. El puerto queda cerrado o no esta haciendo
> correctamente el NAT de IP externa a IP interna.
>
> ** **
>
> Saludos!
>
> RR
>
> ** **
>
> *De:* domin...@linuxsc.net [mailto:domin...@linuxsc.net]
>
> *Enviado el:* viernes, 15 de febrero de 2013 10:41 a.m.
> *Para:* centos-es@centos.org; centos-es@centos.org;
> rresen...@globaltrack.com.mx
> *Asunto:* Re: [CentOS-es] IPTables NAT IP externa a IP interna
>
> ** **
>
> Intenta y modificar si es posible. ..
>
> $IPTABLES -A PREROUTING -t nat -i $EXTERNAL -p tcp -d $CORREO --dport 25 \
> -j DNAT --to-destination $CORREO1:25
>
> $IPTABLES -A FORWARD -i $EXTERNAL -p tcp -d $CORREO1 --dport 25 -j ACCEPT*
> ***
>
> Best Regards
> Domingo Varela Yahuitl.
> --
> (http://www.linuxsc.net)
> Sent from my android device SGS 2
> One step ahead.
>
>
>
> -Original Message-
> From: "Ing. Ramon Resendiz" 
> To: centos-es@centos.org
> Sent: vie, 15 feb 2013 10:18
> Subject: [CentOS-es] IPTables NAT IP externa a IP interna
>
> Buenas tardes compañeros,
>
>
>
> Les expongo el siguiente caso que me ha estado quitando el sueño por
> varios
> días:
>
>
>
> Tengo un equipo Linux CentOS que esta fungiendo como Gateway, a la vez que
> tiene IP externa (WAN) configuradas en la interface eth0; y además tiene
> IP
> virtuales o IP alias en las interfaces eth0:1, eth0:2 y eth0:3. Además
> tiene
> un IP interna (LAN).
>
>
>
>
>
> eth0
>
> X.X.X.237
>
>
> eth0:1
>
> X.X.X.235
>
>
> eth0:2
>
> X.X.X.234
>
>
> eth0:3
>
> X.X.X.236
>
>
> eth1
>
> 192.168.0.1
>
>
>
> Lo que requiero es realizer un NAT de la IP X.X.X.237 del puerto SMTP
> (25/TCP) que haga un renvió (forwarding) la IP 192.168.0.134 que
> pertenece a
> la red de la interface eth1.
>
> Estoy ejecutando las siguientes reglas con IPTables:
>
>
>
> iptab

Re: [CentOS-es] IPTables NAT IP externa a IP interna

[Ing. Ramon Resendiz]

192.168.0.134   tcp dpt:26 to:X.X.X.234

 

Chain OUTPUT (policy ACCEPT 692K packets, 44M bytes)

pkts bytes target prot opt in out source   destination

 

De: domin...@linuxsc.net [mailto:domin...@linuxsc.net] 
Enviado el: viernes, 15 de febrero de 2013 11:02 a.m.
Para: centos-es@centos.org; centos-es@centos.org; rresen...@globaltrack.com.mx
Asunto: RE: [CentOS-es] IPTables NAT IP externa a IP interna

 

Si ejecutas los comandos arp  iptables -t nat -L-n -v ... que resultado tienes

Best Regards
Domingo Varela Yahuitl.
--
(http://www.linuxsc.net)
Sent from my android device SGS 2
One step ahead.



-Original Message-
From: "Ing. Ramon Resendiz" 
To: domin...@linuxsc.net, centos-es@centos.org, centos-es@centos.org
Sent: vie, 15 feb 2013 10:58
Subject: RE: [CentOS-es] IPTables NAT IP externa a IP interna

Domingo,

 

Ya he realizado el cambio con las modificaciones que me pasaste pero el 
resultado es el mismo. El puerto queda cerrado o no esta haciendo correctamente 
el NAT de IP externa a IP interna.

 

Saludos!

RR

 

De: domin...@linuxsc.net [mailto:domin...@linuxsc.net] 
Enviado el: viernes, 15 de febrero de 2013 10:41 a.m.
Para: centos-es@centos.org; centos-es@centos.org; rresen...@globaltrack.com.mx
Asunto: Re: [CentOS-es] IPTables NAT IP externa a IP interna

 

Intenta y modificar si es posible. ..

$IPTABLES -A PREROUTING -t nat -i $EXTERNAL -p tcp -d $CORREO --dport 25 \
-j DNAT --to-destination $CORREO1:25

$IPTABLES -A FORWARD -i $EXTERNAL -p tcp -d $CORREO1 --dport 25 -j ACCEPT

Best Regards
Domingo Varela Yahuitl.
--
(http://www.linuxsc.net)
Sent from my android device SGS 2
One step ahead.



-Original Message-
From: "Ing. Ramon Resendiz" 
To: centos-es@centos.org
Sent: vie, 15 feb 2013 10:18
Subject: [CentOS-es] IPTables NAT IP externa a IP interna

Buenas tardes compañeros, 

  

Les expongo el siguiente caso que me ha estado quitando el sueño por varios 
días: 

  

Tengo un equipo Linux CentOS que esta fungiendo como Gateway, a la vez que 
tiene IP externa (WAN) configuradas en la interface eth0; y además tiene IP 
virtuales o IP alias en las interfaces eth0:1, eth0:2 y eth0:3. Además tiene 
un IP interna (LAN). 





eth0 

X.X.X.237 


eth0:1 

X.X.X.235 


eth0:2 

X.X.X.234 


eth0:3 

X.X.X.236 


eth1 

192.168.0.1 

  

Lo que requiero es realizer un NAT de la IP X.X.X.237 del puerto SMTP 
(25/TCP) que haga un renvió (forwarding) la IP 192.168.0.134 que pertenece a 
la red de la interface eth1. 

Estoy ejecutando las siguientes reglas con IPTables: 

  

iptables -t nat -D PREROUTING -i eth0 -p tcp -d X.X.X.237 --dport 25 -j DNAT 
--to 192.168.0.134:25 

iptables -D FORWARD -p tcp -d X.X.X.237 --dport 25 -j ACCEPT 

  

Al realizar un análisis de trafico de paquetes con tcpdum me topo con lo 
siguiente: 

  

10:04:49.798208   IP ip.origen.52036   > 
X.X.X.237.smtp: S 
640946167:640946167(0)   win 8192  

10:04:52.797073   IP ip.origen.52036   > 
X.X.X.237.smtp: S 
640946167:640946167(0)   win 8192  

10:04:58.800293   IP ip.origen.52036   > 
X.X.X.237.smtp: S 
640946167:640946167(0)   win 8192  

  

Para no hacer tardado esto, el resultado es que al hacer telnet al puerto el 
tiempo de espera (timeout) termina cerrando la conexión. 

  

Alguna idea, sugerencia? 

  

Saludos! 

Ing. Ramón Resendiz 

___ 
CentOS-es mailing list 
CentOS-es@centos.org 
http://lists.centos.org/mailman/listinfo/centos-es 

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] IPTables NAT IP externa a IP interna

[Ing. Ramon Resendiz]

Domingo,

 

Ya he realizado el cambio con las modificaciones que me pasaste pero el 
resultado es el mismo. El puerto queda cerrado o no esta haciendo correctamente 
el NAT de IP externa a IP interna.

 

Saludos!

RR

 

De: domin...@linuxsc.net [mailto:domin...@linuxsc.net] 
Enviado el: viernes, 15 de febrero de 2013 10:41 a.m.
Para: centos-es@centos.org; centos-es@centos.org; rresen...@globaltrack.com.mx
Asunto: Re: [CentOS-es] IPTables NAT IP externa a IP interna

 

Intenta y modificar si es posible. ..

$IPTABLES -A PREROUTING -t nat -i $EXTERNAL -p tcp -d $CORREO --dport 25 \
-j DNAT --to-destination $CORREO1:25

$IPTABLES -A FORWARD -i $EXTERNAL -p tcp -d $CORREO1 --dport 25 -j ACCEPT

Best Regards
Domingo Varela Yahuitl.
--
(http://www.linuxsc.net)
Sent from my android device SGS 2
One step ahead.



-Original Message-
From: "Ing. Ramon Resendiz" 
To: centos-es@centos.org
Sent: vie, 15 feb 2013 10:18
Subject: [CentOS-es] IPTables NAT IP externa a IP interna

Buenas tardes compañeros, 

  

Les expongo el siguiente caso que me ha estado quitando el sueño por varios 
días: 

  

Tengo un equipo Linux CentOS que esta fungiendo como Gateway, a la vez que 
tiene IP externa (WAN) configuradas en la interface eth0; y además tiene IP 
virtuales o IP alias en las interfaces eth0:1, eth0:2 y eth0:3. Además tiene 
un IP interna (LAN). 





eth0 

X.X.X.237 


eth0:1 

X.X.X.235 


eth0:2 

X.X.X.234 


eth0:3 

X.X.X.236 


eth1 

192.168.0.1 

  

Lo que requiero es realizer un NAT de la IP X.X.X.237 del puerto SMTP 
(25/TCP) que haga un renvió (forwarding) la IP 192.168.0.134 que pertenece a 
la red de la interface eth1. 

Estoy ejecutando las siguientes reglas con IPTables: 

  

iptables -t nat -D PREROUTING -i eth0 -p tcp -d X.X.X.237 --dport 25 -j DNAT 
--to 192.168.0.134:25 

iptables -D FORWARD -p tcp -d X.X.X.237 --dport 25 -j ACCEPT 

  

Al realizar un análisis de trafico de paquetes con tcpdum me topo con lo 
siguiente: 

  

10:04:49.798208   IP ip.origen.52036   > 
X.X.X.237.smtp: S 
640946167:640946167(0)   win 8192  

10:04:52.797073   IP ip.origen.52036   > 
X.X.X.237.smtp: S 
640946167:640946167(0)   win 8192  

10:04:58.800293   IP ip.origen.52036   > 
X.X.X.237.smtp: S 
640946167:640946167(0)   win 8192  

  

Para no hacer tardado esto, el resultado es que al hacer telnet al puerto el 
tiempo de espera (timeout) termina cerrando la conexión. 

  

Alguna idea, sugerencia? 

  

Saludos! 

Ing. Ramón Resendiz 

___ 
CentOS-es mailing list 
CentOS-es@centos.org 
http://lists.centos.org/mailman/listinfo/centos-es 

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] IPTables NAT IP externa a IP interna

[domingov]

Si ejecutas los comandos arp  iptables -t nat -L-n -v ... que resultado tienes

Best Regards
Domingo Varela Yahuitl.
--
(http://www.linuxsc.net)
Sent from my android device SGS 2
One step ahead.



-Original Message-
From: "Ing. Ramon Resendiz" 
To: domin...@linuxsc.net, centos-es@centos.org, centos-es@centos.org
Sent: vie, 15 feb 2013 10:58
Subject: RE: [CentOS-es] IPTables NAT IP externa a IP interna

Domingo,

 

Ya he realizado el cambio con las modificaciones que me pasaste pero el 
resultado es el mismo. El puerto queda cerrado o no esta haciendo correctamente 
el NAT de IP externa a IP interna.

 

Saludos!

RR

 

De: domin...@linuxsc.net [mailto:domin...@linuxsc.net] 
Enviado el: viernes, 15 de febrero de 2013 10:41 a.m.
Para: centos-es@centos.org; centos-es@centos.org; rresen...@globaltrack.com.mx
Asunto: Re: [CentOS-es] IPTables NAT IP externa a IP interna

 

Intenta y modificar si es posible. ..

$IPTABLES -A PREROUTING -t nat -i $EXTERNAL -p tcp -d $CORREO --dport 25 \
-j DNAT --to-destination $CORREO1:25

$IPTABLES -A FORWARD -i $EXTERNAL -p tcp -d $CORREO1 --dport 25 -j ACCEPT

Best Regards
Domingo Varela Yahuitl.
--
(http://www.linuxsc.net)
Sent from my android device SGS 2
One step ahead.



-Original Message-
From: "Ing. Ramon Resendiz" 
To: centos-es@centos.org
Sent: vie, 15 feb 2013 10:18
Subject: [CentOS-es] IPTables NAT IP externa a IP interna

Buenas tardes compañeros, 

  

Les expongo el siguiente caso que me ha estado quitando el sueño por varios 
días: 

  

Tengo un equipo Linux CentOS que esta fungiendo como Gateway, a la vez que 
tiene IP externa (WAN) configuradas en la interface eth0; y además tiene IP 
virtuales o IP alias en las interfaces eth0:1, eth0:2 y eth0:3. Además tiene 
un IP interna (LAN). 





eth0 

X.X.X.237 


eth0:1 

X.X.X.235 


eth0:2 

X.X.X.234 


eth0:3 

X.X.X.236 


eth1 

192.168.0.1 

  

Lo que requiero es realizer un NAT de la IP X.X.X.237 del puerto SMTP 
(25/TCP) que haga un renvió (forwarding) la IP 192.168.0.134 que pertenece a 
la red de la interface eth1. 

Estoy ejecutando las siguientes reglas con IPTables: 

  

iptables -t nat -D PREROUTING -i eth0 -p tcp -d X.X.X.237 --dport 25 -j DNAT 
--to 192.168.0.134:25 

iptables -D FORWARD -p tcp -d X.X.X.237 --dport 25 -j ACCEPT 

  

Al realizar un análisis de trafico de paquetes con tcpdum me topo con lo 
siguiente: 

  

10:04:49.798208   IP ip.origen.52036   > 
X.X.X.237.smtp: S 
640946167:640946167(0)   win 8192  

10:04:52.797073   IP ip.origen.52036   > 
X.X.X.237.smtp: S 
640946167:640946167(0)   win 8192  

10:04:58.800293   IP ip.origen.52036   > 
X.X.X.237.smtp: S 
640946167:640946167(0)   win 8192  

  

Para no hacer tardado esto, el resultado es que al hacer telnet al puerto el 
tiempo de espera (timeout) termina cerrando la conexión. 

  

Alguna idea, sugerencia? 

  

Saludos! 

Ing. Ramón Resendiz 

___ 
CentOS-es mailing list 
CentOS-es@centos.org 
http://lists.centos.org/mailman/listinfo/centos-es 

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] IPTables NAT IP externa a IP interna

[domingov]

Intenta y modificar si es posible. ..


$IPTABLES -A PREROUTING -t nat -i $EXTERNAL -p tcp -d $CORREO --dport 25 \
-j DNAT --to-destination $CORREO1:25

$IPTABLES -A FORWARD -i $EXTERNAL -p tcp -d $CORREO1 --dport 25 -j ACCEPT

Best Regards
Domingo Varela Yahuitl.
--
(http://www.linuxsc.net)
Sent from my android device SGS 2
One step ahead.



-Original Message-
From: "Ing. Ramon Resendiz" 
To: centos-es@centos.org
Sent: vie, 15 feb 2013 10:18
Subject: [CentOS-es] IPTables NAT IP externa a IP interna

Buenas tardes compañeros,

 

Les expongo el siguiente caso que me ha estado quitando el sueño por varios
días:

 

Tengo un equipo Linux CentOS que esta fungiendo como Gateway, a la vez que
tiene IP externa (WAN) configuradas en la interface eth0; y además tiene IP
virtuales o IP alias en las interfaces eth0:1, eth0:2 y eth0:3. Además tiene
un IP interna (LAN).





eth0

X.X.X.237


eth0:1

X.X.X.235


eth0:2

X.X.X.234


eth0:3

X.X.X.236


eth1

192.168.0.1

 

Lo que requiero es realizer un NAT de la IP X.X.X.237 del puerto SMTP
(25/TCP) que haga un renvió (forwarding) la IP 192.168.0.134 que pertenece a
la red de la interface eth1.

Estoy ejecutando las siguientes reglas con IPTables:

 

iptables -t nat -D PREROUTING -i eth0 -p tcp -d X.X.X.237 --dport 25 -j DNAT
--to 192.168.0.134:25

iptables -D FORWARD -p tcp -d X.X.X.237 --dport 25 -j ACCEPT

 

Al realizar un análisis de trafico de paquetes con tcpdum me topo con lo
siguiente:

 

10:04:49.798208 IP ip.origen.52036 > X.X.X.237.smtp: S
640946167:640946167(0) win 8192 

10:04:52.797073 IP ip.origen.52036 > X.X.X.237.smtp: S
640946167:640946167(0) win 8192 

10:04:58.800293 IP ip.origen.52036 > X.X.X.237.smtp: S
640946167:640946167(0) win 8192 

 

Para no hacer tardado esto, el resultado es que al hacer telnet al puerto el
tiempo de espera (timeout) termina cerrando la conexión.

 

Alguna idea, sugerencia?

 

Saludos!

Ing. Ramón Resendiz

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] IpTables y reglas

[Arturo Limón]

Entre mis enlaces de referencia, aparte del que te pasa Hector, tengo esto:

http://linux-ip.net/html/linux-ip.html

http://www.pettingers.org/code/firewall.html

http://xkr47.outerspace.dyndns.org/netfilter/packet_flow/

Saludos.
Arturo Limón.

El 5 de septiembre de 2012 00:49, Fernanda Juares
escribió:

> Hola Amigos.
> Por favor alguien me podria decir de donde puedo comenzar para aprender a
> manejar las Tablas y reglas.de antemano gracias.
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] IpTables y reglas

[Héctor Herrera]

http://pello.info/filez/firewall/iptables.html

No sé si te servirá de algo más adelante, pero para comenzar a entender, a
mí me sirvió bastante.

El 4 de septiembre de 2012 18:49, Fernanda Juares
escribió:

> Hola Amigos.
> Por favor alguien me podria decir de donde puedo comenzar para aprender a
> manejar las Tablas y reglas.de antemano gracias.
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
Saludos

*Héctor Herrera Anabalón*
Egresado ICCI UNAP
Servicio Arquitectura y Oficina Técnica Galatea - http://www.galatea.cl
Miembro USoLIX Victoria
Registered User #548600 (LinuxCounter.net)
+56983118902
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Iptables+cluster

[Hector Martínez Romo]

Lorenzo, es lo que necesito, muchas gracias.

El 29 de agosto de 2012 15:38, Lorenzo Perez  escribió:

> Estimado,
>
> Quizás esto es lo que estas buscando:
>
> http://www.linuxjournal.com/article/10964
>
> http://conntrack-tools.netfilter.org/
>
>
> Saludos.,
>
> El día 29 de agosto de 2012 14:27, Héctor Herrera
>  escribió:
> > Cómo veo este problema: Tienes que hacer que al menos 2 firewall trabajen
> > de forma sincronizada e inteligente, resolviendo las peticiones que
> lleguen
> > a tu sistema. Eso significa que *ambos deben estar activos, pero sólo 1
> de
> > ellos debe resolver las peticiones, mientras que el otro está inactivo, a
> > la espera que el primero falle*. Si lo miramos en un diagrama, podría ser
> > de la siguiente forma (a ver si con esto me explico más):
> >
> > Nube --> *Firewall 1* ---> *Firewall 2* --> Red interna
> >
> > El Firewall 1 debería hacer el filtro de tu red, mientras que el
> firewall 2
> > debería aceptar todas las conexiones entrantes. Y los roles deberían
> > invertirse para cuando falle el firewall 1.
> >
> > En este caso, debes decidir cómo monitorizar ambos firewall, y es aquí
> > donde entran las categorías que te mencioné anteriormente: filtrar por
> > cantidad de conexiones, por carga en la tarjeta de red, por cantidad de
> RAM
> > utilizada por el dispositivo, etc. Si preguntas en la lista de CentOS,
> > asumo que tienes 2 computadores, ambos con CentOS, haciendo el trabajo de
> > firewall, cierto? Si este es el caso, puedes revisar los archivos de
> > sistema y generar tranquilamente tu propia aplicación que controle esto,
> > vale decir, que levante el firewall 2 como "firewall maestro" cuando el
> > firewall 1 caiga, o por X motivo deje de responder peticiones. Ahora, si
> la
> > arquitectura es distinta, creo que vale la pena mencionarlo, para poder
> > ayudarte con más exactitud...
> >
> > El 29 de agosto de 2012 14:17, Hector Martínez Romo  >escribió:
> >
> >> Gracias por contestar, no entiendo tu planteamiento, mi problema
> principal
> >>  en este momento es como implementar un servicio de firewall en
> >> alta disponibilidad,el monitoreo no lo directamente relacionado con mi
> >> problema.
> >>
> >> El 29 de agosto de 2012 13:01, Héctor Herrera  >> >escribió:
> >>
> >> > Yo creo que lo primero es definir cómo va a ser tu monitoreo de los
> >> > firewall. Vale decir, qué vas a revisar: carga del procesador,
> conexiones
> >> > que está resolviendo, carga de la tarjeta de red, cantidad de RAM
> ocupada
> >> > en la máquina, etc. Una vez definido eso, ahí podríamos darte ideas
> >> (según
> >> > cómo lo veo), porque incluso podrías generar tus propios scripts para
> >> > mantener el sistema funcionando, en vez de implementar soluciones como
> >> > HeartBeat y/o demases...
> >> >
> >> > 2012/8/29 Hector Martínez Romo 
> >> >
> >> > > Estimados
> >> > >
> >> > >
> >> > > necesito hacer una implementacion de firewall en HA ¿alguna
> sugerencia
> >> o
> >> > > howto?
> >> > >
> >> > >
> >> > > saludos a la lista.
> >> > > ___
> >> > > CentOS-es mailing list
> >> > > CentOS-es@centos.org
> >> > > http://lists.centos.org/mailman/listinfo/centos-es
> >> > >
> >> >
> >> >
> >> >
> >> > --
> >> > Saludos
> >> >
> >> > *Héctor Herrera Anabalón*
> >> > Egresado ICCI UNAP
> >> > Servicio Arquitectura y Oficina Técnica Galatea -
> http://www.galatea.cl
> >> > Miembro USoLIX Victoria
> >> > Registered User #548600 (LinuxCounter.net)
> >> > +56983118902
> >> > ___
> >> > CentOS-es mailing list
> >> > CentOS-es@centos.org
> >> > http://lists.centos.org/mailman/listinfo/centos-es
> >> >
> >> ___
> >> CentOS-es mailing list
> >> CentOS-es@centos.org
> >> http://lists.centos.org/mailman/listinfo/centos-es
> >>
> >
> >
> >
> > --
> > Saludos
> >
> > *Héctor Herrera Anabalón*
> > Egresado ICCI UNAP
> > Servicio Arquitectura y Oficina Técnica Galatea - http://www.galatea.cl
> > Miembro USoLIX Victoria
> > Registered User #548600 (LinuxCounter.net)
> > +56983118902
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
>
>
>
> --
> Se despide atte.,
>
> Lorenzo Pérez A.
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Iptables+cluster

[Lorenzo Perez]

Estimado,

Quizás esto es lo que estas buscando:

http://www.linuxjournal.com/article/10964

http://conntrack-tools.netfilter.org/


Saludos.,

El día 29 de agosto de 2012 14:27, Héctor Herrera
 escribió:
> Cómo veo este problema: Tienes que hacer que al menos 2 firewall trabajen
> de forma sincronizada e inteligente, resolviendo las peticiones que lleguen
> a tu sistema. Eso significa que *ambos deben estar activos, pero sólo 1 de
> ellos debe resolver las peticiones, mientras que el otro está inactivo, a
> la espera que el primero falle*. Si lo miramos en un diagrama, podría ser
> de la siguiente forma (a ver si con esto me explico más):
>
> Nube --> *Firewall 1* ---> *Firewall 2* --> Red interna
>
> El Firewall 1 debería hacer el filtro de tu red, mientras que el firewall 2
> debería aceptar todas las conexiones entrantes. Y los roles deberían
> invertirse para cuando falle el firewall 1.
>
> En este caso, debes decidir cómo monitorizar ambos firewall, y es aquí
> donde entran las categorías que te mencioné anteriormente: filtrar por
> cantidad de conexiones, por carga en la tarjeta de red, por cantidad de RAM
> utilizada por el dispositivo, etc. Si preguntas en la lista de CentOS,
> asumo que tienes 2 computadores, ambos con CentOS, haciendo el trabajo de
> firewall, cierto? Si este es el caso, puedes revisar los archivos de
> sistema y generar tranquilamente tu propia aplicación que controle esto,
> vale decir, que levante el firewall 2 como "firewall maestro" cuando el
> firewall 1 caiga, o por X motivo deje de responder peticiones. Ahora, si la
> arquitectura es distinta, creo que vale la pena mencionarlo, para poder
> ayudarte con más exactitud...
>
> El 29 de agosto de 2012 14:17, Hector Martínez Romo 
> escribió:
>
>> Gracias por contestar, no entiendo tu planteamiento, mi problema principal
>>  en este momento es como implementar un servicio de firewall en
>> alta disponibilidad,el monitoreo no lo directamente relacionado con mi
>> problema.
>>
>> El 29 de agosto de 2012 13:01, Héctor Herrera > >escribió:
>>
>> > Yo creo que lo primero es definir cómo va a ser tu monitoreo de los
>> > firewall. Vale decir, qué vas a revisar: carga del procesador, conexiones
>> > que está resolviendo, carga de la tarjeta de red, cantidad de RAM ocupada
>> > en la máquina, etc. Una vez definido eso, ahí podríamos darte ideas
>> (según
>> > cómo lo veo), porque incluso podrías generar tus propios scripts para
>> > mantener el sistema funcionando, en vez de implementar soluciones como
>> > HeartBeat y/o demases...
>> >
>> > 2012/8/29 Hector Martínez Romo 
>> >
>> > > Estimados
>> > >
>> > >
>> > > necesito hacer una implementacion de firewall en HA ¿alguna sugerencia
>> o
>> > > howto?
>> > >
>> > >
>> > > saludos a la lista.
>> > > ___
>> > > CentOS-es mailing list
>> > > CentOS-es@centos.org
>> > > http://lists.centos.org/mailman/listinfo/centos-es
>> > >
>> >
>> >
>> >
>> > --
>> > Saludos
>> >
>> > *Héctor Herrera Anabalón*
>> > Egresado ICCI UNAP
>> > Servicio Arquitectura y Oficina Técnica Galatea - http://www.galatea.cl
>> > Miembro USoLIX Victoria
>> > Registered User #548600 (LinuxCounter.net)
>> > +56983118902
>> > ___
>> > CentOS-es mailing list
>> > CentOS-es@centos.org
>> > http://lists.centos.org/mailman/listinfo/centos-es
>> >
>> ___
>> CentOS-es mailing list
>> CentOS-es@centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
>
>
>
> --
> Saludos
>
> *Héctor Herrera Anabalón*
> Egresado ICCI UNAP
> Servicio Arquitectura y Oficina Técnica Galatea - http://www.galatea.cl
> Miembro USoLIX Victoria
> Registered User #548600 (LinuxCounter.net)
> +56983118902
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es



-- 
Se despide atte.,

Lorenzo Pérez A.
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Iptables+cluster

[daniel]

Hola Hector Martinez

Como dice Hector Herrera lo puedes hacer como el dice monitoreando 
varios recursos de el firewall, con script hacer un firewall en alta 
disponibilidad no es complicado si sabes BASH, si quieres ocupar algo 
como LVS te dejo esta ligar para empezar.

http://www.austintek.com/LVS/LVS-HOWTO/HOWTO/LVS-HOWTO.filter_rules.html

Daniel Ortiz Gutierrez

On 08/29/2012 01:17 PM, Hector Martínez Romo wrote:
> Gracias por contestar, no entiendo tu planteamiento, mi problema principal
>   en este momento es como implementar un servicio de firewall en
> alta disponibilidad,el monitoreo no lo directamente relacionado con mi
> problema.
>
> El 29 de agosto de 2012 13:01, Héctor Herrera escribió:
>
>> Yo creo que lo primero es definir cómo va a ser tu monitoreo de los
>> firewall. Vale decir, qué vas a revisar: carga del procesador, conexiones
>> que está resolviendo, carga de la tarjeta de red, cantidad de RAM ocupada
>> en la máquina, etc. Una vez definido eso, ahí podríamos darte ideas (según
>> cómo lo veo), porque incluso podrías generar tus propios scripts para
>> mantener el sistema funcionando, en vez de implementar soluciones como
>> HeartBeat y/o demases...
>>
>> 2012/8/29 Hector Martínez Romo 
>>
>>> Estimados
>>>
>>>
>>> necesito hacer una implementacion de firewall en HA ¿alguna sugerencia o
>>> howto?
>>>
>>>
>>> saludos a la lista.
>>> ___
>>> CentOS-es mailing list
>>> CentOS-es@centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>
>>
>>
>> --
>> Saludos
>>
>> *Héctor Herrera Anabalón*
>> Egresado ICCI UNAP
>> Servicio Arquitectura y Oficina Técnica Galatea - http://www.galatea.cl
>> Miembro USoLIX Victoria
>> Registered User #548600 (LinuxCounter.net)
>> +56983118902
>> ___
>> CentOS-es mailing list
>> CentOS-es@centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Iptables+cluster

[Héctor Herrera]

Cómo veo este problema: Tienes que hacer que al menos 2 firewall trabajen
de forma sincronizada e inteligente, resolviendo las peticiones que lleguen
a tu sistema. Eso significa que *ambos deben estar activos, pero sólo 1 de
ellos debe resolver las peticiones, mientras que el otro está inactivo, a
la espera que el primero falle*. Si lo miramos en un diagrama, podría ser
de la siguiente forma (a ver si con esto me explico más):

Nube --> *Firewall 1* ---> *Firewall 2* --> Red interna

El Firewall 1 debería hacer el filtro de tu red, mientras que el firewall 2
debería aceptar todas las conexiones entrantes. Y los roles deberían
invertirse para cuando falle el firewall 1.

En este caso, debes decidir cómo monitorizar ambos firewall, y es aquí
donde entran las categorías que te mencioné anteriormente: filtrar por
cantidad de conexiones, por carga en la tarjeta de red, por cantidad de RAM
utilizada por el dispositivo, etc. Si preguntas en la lista de CentOS,
asumo que tienes 2 computadores, ambos con CentOS, haciendo el trabajo de
firewall, cierto? Si este es el caso, puedes revisar los archivos de
sistema y generar tranquilamente tu propia aplicación que controle esto,
vale decir, que levante el firewall 2 como "firewall maestro" cuando el
firewall 1 caiga, o por X motivo deje de responder peticiones. Ahora, si la
arquitectura es distinta, creo que vale la pena mencionarlo, para poder
ayudarte con más exactitud...

El 29 de agosto de 2012 14:17, Hector Martínez Romo escribió:

> Gracias por contestar, no entiendo tu planteamiento, mi problema principal
>  en este momento es como implementar un servicio de firewall en
> alta disponibilidad,el monitoreo no lo directamente relacionado con mi
> problema.
>
> El 29 de agosto de 2012 13:01, Héctor Herrera  >escribió:
>
> > Yo creo que lo primero es definir cómo va a ser tu monitoreo de los
> > firewall. Vale decir, qué vas a revisar: carga del procesador, conexiones
> > que está resolviendo, carga de la tarjeta de red, cantidad de RAM ocupada
> > en la máquina, etc. Una vez definido eso, ahí podríamos darte ideas
> (según
> > cómo lo veo), porque incluso podrías generar tus propios scripts para
> > mantener el sistema funcionando, en vez de implementar soluciones como
> > HeartBeat y/o demases...
> >
> > 2012/8/29 Hector Martínez Romo 
> >
> > > Estimados
> > >
> > >
> > > necesito hacer una implementacion de firewall en HA ¿alguna sugerencia
> o
> > > howto?
> > >
> > >
> > > saludos a la lista.
> > > ___
> > > CentOS-es mailing list
> > > CentOS-es@centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> >
> >
> >
> > --
> > Saludos
> >
> > *Héctor Herrera Anabalón*
> > Egresado ICCI UNAP
> > Servicio Arquitectura y Oficina Técnica Galatea - http://www.galatea.cl
> > Miembro USoLIX Victoria
> > Registered User #548600 (LinuxCounter.net)
> > +56983118902
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
Saludos

*Héctor Herrera Anabalón*
Egresado ICCI UNAP
Servicio Arquitectura y Oficina Técnica Galatea - http://www.galatea.cl
Miembro USoLIX Victoria
Registered User #548600 (LinuxCounter.net)
+56983118902
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Iptables+cluster

[Hector Martínez Romo]

Gracias por contestar, no entiendo tu planteamiento, mi problema principal
 en este momento es como implementar un servicio de firewall en
alta disponibilidad,el monitoreo no lo directamente relacionado con mi
problema.

El 29 de agosto de 2012 13:01, Héctor Herrera escribió:

> Yo creo que lo primero es definir cómo va a ser tu monitoreo de los
> firewall. Vale decir, qué vas a revisar: carga del procesador, conexiones
> que está resolviendo, carga de la tarjeta de red, cantidad de RAM ocupada
> en la máquina, etc. Una vez definido eso, ahí podríamos darte ideas (según
> cómo lo veo), porque incluso podrías generar tus propios scripts para
> mantener el sistema funcionando, en vez de implementar soluciones como
> HeartBeat y/o demases...
>
> 2012/8/29 Hector Martínez Romo 
>
> > Estimados
> >
> >
> > necesito hacer una implementacion de firewall en HA ¿alguna sugerencia o
> > howto?
> >
> >
> > saludos a la lista.
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
>
>
>
> --
> Saludos
>
> *Héctor Herrera Anabalón*
> Egresado ICCI UNAP
> Servicio Arquitectura y Oficina Técnica Galatea - http://www.galatea.cl
> Miembro USoLIX Victoria
> Registered User #548600 (LinuxCounter.net)
> +56983118902
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Iptables+cluster

[Héctor Herrera]

Yo creo que lo primero es definir cómo va a ser tu monitoreo de los
firewall. Vale decir, qué vas a revisar: carga del procesador, conexiones
que está resolviendo, carga de la tarjeta de red, cantidad de RAM ocupada
en la máquina, etc. Una vez definido eso, ahí podríamos darte ideas (según
cómo lo veo), porque incluso podrías generar tus propios scripts para
mantener el sistema funcionando, en vez de implementar soluciones como
HeartBeat y/o demases...

2012/8/29 Hector Martínez Romo 

> Estimados
>
>
> necesito hacer una implementacion de firewall en HA ¿alguna sugerencia o
> howto?
>
>
> saludos a la lista.
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
Saludos

*Héctor Herrera Anabalón*
Egresado ICCI UNAP
Servicio Arquitectura y Oficina Técnica Galatea - http://www.galatea.cl
Miembro USoLIX Victoria
Registered User #548600 (LinuxCounter.net)
+56983118902
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] IPTables, DNS y postfix

[AraDaen]

On 06/22/2012 02:24 PM, Guitart Francesc wrote:
> Le 22/06/2012 13:21, AraDaen a écrit :
>> Muchas gracias Francesc!
>>
>> Ya funciona perfectamente con el cambio del puerto en las reglas
>> (destino/origen).
>>
>> Pero he comprado que si omito las reglas de salida dando por hecho que
>> con la primera regla de las conexiones establecidas, se permitirá la
>> salida, las conexiones se siguen bloqueando y obtengo un bonito
>> Connection timed out:
>>
>> Jun 22 15:08:32 server postfix/smtp[20057]: 13751542940F:
>> to=, relay=none, delay=151, delays=0.39/0.05/150/0,
>> dsn=4.4.1, status=deferred (connect to mx3.hotmail.com[65.55.92.184]:25:
>> Connection timed out)
>> Jun 22 15:08:32 server postfix/smtp[20056]: connect to
>> alt4.gmail-smtp-in.l.google.com[173.194.79.27]:25: Connection timed out
>> Jun 22 15:08:32 server postfix/smtp[20056]: 13751542940F:
>> to=, relay=none, delay=151, delays=0.39/0.04/150/0,
>> dsn=4.4.1, status=deferred (connect to
>> alt4.gmail-smtp-in.l.google.com[173.194.79.27]:25: Connection timed out)
>>
>> Las he agregado de nuevo y funciona correctamente.
> Perdón por la equivocación.
>
> Las reglas OUTPUT que puedes obviar son las de los apartados WEB, POP3 e 
> IMAP. Tu servidor debe poder iniciar conexiones al puerto 25 de otros 
> servidores de correo o sea que efectivamente no basta con una regla que 
> permita las conexiones anteriormente establecidas por un cliente, ya que 
> en este caso el cliente es tu servidor.
>
> En cambio, tu servidor nunca iniciará una conexión WEB, POP3 o IMAP 
> hacia un cliente. Es siempre el cliente quien hace la primera solicitud 
> y a partir de ese momento esta autorizado el camino de regreso (del 
> servidor al cliente) gracias a la regla ESTABLISHED y RELATED.
>
> Espero haberme explicado.
>
>
Perfectamente.
Muchas gracias!!



-- 
www.aradaen.com - AraDaen sysadmin notes

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] IPTables, DNS y postfix

[Guitart Francesc]

Le 22/06/2012 13:21, AraDaen a écrit :
> Muchas gracias Francesc!
>
> Ya funciona perfectamente con el cambio del puerto en las reglas
> (destino/origen).
>
> Pero he comprado que si omito las reglas de salida dando por hecho que
> con la primera regla de las conexiones establecidas, se permitirá la
> salida, las conexiones se siguen bloqueando y obtengo un bonito
> Connection timed out:
>
> Jun 22 15:08:32 server postfix/smtp[20057]: 13751542940F:
> to=, relay=none, delay=151, delays=0.39/0.05/150/0,
> dsn=4.4.1, status=deferred (connect to mx3.hotmail.com[65.55.92.184]:25:
> Connection timed out)
> Jun 22 15:08:32 server postfix/smtp[20056]: connect to
> alt4.gmail-smtp-in.l.google.com[173.194.79.27]:25: Connection timed out
> Jun 22 15:08:32 server postfix/smtp[20056]: 13751542940F:
> to=, relay=none, delay=151, delays=0.39/0.04/150/0,
> dsn=4.4.1, status=deferred (connect to
> alt4.gmail-smtp-in.l.google.com[173.194.79.27]:25: Connection timed out)
>
> Las he agregado de nuevo y funciona correctamente.

Perdón por la equivocación.

Las reglas OUTPUT que puedes obviar son las de los apartados WEB, POP3 e 
IMAP. Tu servidor debe poder iniciar conexiones al puerto 25 de otros 
servidores de correo o sea que efectivamente no basta con una regla que 
permita las conexiones anteriormente establecidas por un cliente, ya que 
en este caso el cliente es tu servidor.

En cambio, tu servidor nunca iniciará una conexión WEB, POP3 o IMAP 
hacia un cliente. Es siempre el cliente quien hace la primera solicitud 
y a partir de ese momento esta autorizado el camino de regreso (del 
servidor al cliente) gracias a la regla ESTABLISHED y RELATED.

Espero haberme explicado.


-- 
Francesc Guitart
Service CRI
ENISE


___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] IPTables, DNS y postfix

[AraDaen]

Muchas gracias Francesc!

Ya funciona perfectamente con el cambio del puerto en las reglas
(destino/origen).

Pero he comprado que si omito las reglas de salida dando por hecho que
con la primera regla de las conexiones establecidas, se permitirá la
salida, las conexiones se siguen bloqueando y obtengo un bonito
Connection timed out:

Jun 22 15:08:32 server postfix/smtp[20057]: 13751542940F:
to=, relay=none, delay=151, delays=0.39/0.05/150/0,
dsn=4.4.1, status=deferred (connect to mx3.hotmail.com[65.55.92.184]:25:
Connection timed out)
Jun 22 15:08:32 server postfix/smtp[20056]: connect to
alt4.gmail-smtp-in.l.google.com[173.194.79.27]:25: Connection timed out
Jun 22 15:08:32 server postfix/smtp[20056]: 13751542940F:
to=, relay=none, delay=151, delays=0.39/0.04/150/0,
dsn=4.4.1, status=deferred (connect to
alt4.gmail-smtp-in.l.google.com[173.194.79.27]:25: Connection timed out)

Las he agregado de nuevo y funciona correctamente.

On 06/22/2012 12:48 PM, Guitart Francesc wrote:
> Primero perdón por no responder desde el mensaje original. Hace tiempo 
> que había desactivado los mensajes de la lista, hoy los he vuelto a 
> activar y he visto este mensaje en el archivo de la lista.
>
>
> AraDaen aradaen en gmail.com
> Jue Jun 21 19:17:45 EDT 2012
>
>  >Hola,
>  >He instalado un servidor con Centos 6.2 para alojar varias webs que
>  >tengo, para lo que, entre otras cosas tengo bind configurado como
>  >servidor DNS y postfix con dovecot para el servicio de correo (pop3,
>  >pop3s, imap, imaps, smtp+tls).
>  >El sistema funciona perfectamente,sin habilitar iptables, pero cuando lo
>  >habilito,  los correos que envío a dominios que no están alojados en mi
>  >servidor (gmail por ejemplo). Deduzco que se trata de la reglas para DNS
>  >cuando pregunta a otro servidor DNS, o de otra cosa que se me escapa.
>  >
>  >Este es el log de mail:
>  > Jun 21 13:48:45 server postfix/smtp[13917]: connect to
>  >mx3.hotmail.com[65.54.188.94]:25: Connection timed out
>  > Jun 21 13:48:45 server postfix/smtp[13918]: connect to
>  >mx1.hotmail.com[65.55.37.72]:25: Connection timed out
>  > Jun 21 13:49:15 server postfix/smtp[13917]: connect to
>  >mx2.hotmail.com[65.54.188.72]:25: Connection timed out
>  > Jun 21 13:49:15 server postfix/smtp[13918]: connect to
>  >mx2.hotmail.com[65.54.188.110]:25: Connection timed out
>  > Jun 21 13:49:45 server postfix/smtp[13917]: connect to
>  >mx3.hotmail.com[65.54.188.110]:25: Connection timed out
>  > Jun 21 13:49:45 server postfix/smtp[13918]: connect to
>  >mx2.hotmail.com[65.54.188.126]:25: Connection timed out
>  > Jun 21 13:50:15 server postfix/smtp[13917]: connect to
>  >mx2.hotmail.com[65.55.37.104]:25: Connection timed out
>  > Jun 21 13:50:15 server postfix/smtp[13917]: 8E2F954286D5:
>  >to=, relay=none, delay=62560,
>  >delays=62410/0.11/150/0, dsn=4.4.1, status=deferred (connect to
>  >mx2.hotmail.com[65.55.37.104]:25: Connection timed out)
>  >
>  >Cualquier ayuda, será bienvenida.
>  >La política por defecto en iptables es DROP, y este es el script de
>  >iptables:
>  >
>  >
>  > #!/bin/sh
>  >
>  > iptables -F
>  > iptables -X
>  > iptables -Z
>  > iptables -t nat -F
>  >
>  > echo "Política por defecto DROP"
>  > iptables -P INPUT DROP
>  > iptables -P FORWARD DROP
>  > iptables -P OUTPUT DROP
>  >
>  > #Conexiones Locales
>  > echo "Habilitando acceso:"
>  > echo "- Conexiones locales"
>  > iptables -A INPUT -i lo -j ACCEPT
>  > iptables -A OUTPUT -o lo -j ACCEPT
>  >
>  > #DNS
>  > echo "- DNS (53)"
>  >  iptables -A OUTPUT -p ALL  -m state --state ESTABLISHED,RELATED
>  >-j ACCEPT
>  > iptables -A OUTPUT -p tcp -d 0.0.0.0/0  --destination-port 53 -m state
>  >--state NEW  -j ACCEPT
>  > iptables -A OUTPUT -p udp -d 0.0.0.0/0  --destination-port 53 -j ACCEPT
>  >
>  > iptables -A INPUT -p ALL  -m state --state ESTABLISHED,RELATED  -j
>  >ACCEPT
>  > iptables -A INPUT -p tcp -s 0.0.0.0/0 --destination-port 53 -m state
>  >--state NEW -j ACCEPT
>  > iptables -A INPUT -p udp -s 0.0.0.0/0 --destination-port 53 -j ACCEPT
>  >
>  > #YUM
>  > echo "- YUM"
>  > # iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>  > # iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>  >
>  > iptables -A OUTPUT -p tcp -m tcp -m state --state NEW --dport 80 -j 
> ACCEPT
>  > iptables -A OUTPUT -p tcp -m tcp -m state --state NEW --dport 443 -j 
> ACCEPT
>  >
>  > #WEB
>  > echo "- WEB (80)"
>  > iptables -A INPUT -p tcp --dport 80 -j ACCEPT
>  > iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
>  > iptables -A INPUT -p tcp --dport 443 -j ACCEPT
>  > iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT
>  >
>  > #SSH
>  > echo "- SSH (2233)"
>  > iptables -A INPUT -p tcp --dport 2233 -j ACCEPT
>  > iptables -A OUTPUT -p tcp --sport 2233 -j ACCEPT
>  >
>  >
>  > # CORREO
>  > echo "- MAIL";
>  > echo "   - POP3,POP3S (110,995)"
>  > iptables -A INPUT -p tcp --dport 110 -j ACCEPT
>  > iptables -A OUTPUT -p tcp --sport 110 -j ACCEPT
>  > iptables -A INPUT -p tcp --dport 9

Re: [CentOS-es] Iptables-Varias Redes en una Regla

[Choique]

Si son consecutivas podes hacerlo cambiando el prefijo de laa red (Hacer lo
que se denomina una super red)  (no respeta clases), por ejemplo si tenes
muchas redes 192.168.x.x/24 haces una entrada que contenga a todas
192.168.0.0/16, no lo probé pero en teoría debería funcionar

saludos

El 21 de noviembre de 2011 13:27, javier iglesias barban
escribió:

> Hola lista, alguien sabe si se puedes especificar varias redes en una sola
> regla de iptables ya sea en origen o destino.
> Me explico mejor, por ejemplo.
> iptables -t nat -A POSTROUTING -s x.x.x.x/x,a.a.a.a/a,b.b.b.b/b -o eth1 -j
> SNAT --to 1.1.1.1
>
> Pero que al final todo sea una sola regla, porque yo se que esto se puede
> hacer pero al final iptables trata cada red por separado.
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
===
"Disclaimer:" Haré lo que desee con los correos que reciba, quien no
este de acuerdo, que se abstenga de enviarme correo a mí o a las
listas donde este suscripto.
En particular NO VALE ningun "disclaimer" que indique que el correo
enviado es privado o sujeto a normas de empresas, gobiernos, u
organizaciones de cualquier tipo.
Con relación a los estados y sus leyes, analizare cualquier norma
aplicable en el territorio donde eventualmente actúe en el momento,
escucho a cualquiera que tenga algo que decir.
Con respecto en particular a los derechos de autor, salvo acuerdo
previo, gozaré plenamente de las 4 libertades con todo lo que reciba,
considerandolo, en cuanto a lo patrimonial,
como propio.
===
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] iptables + squid proxy transparente

[Aland Laines]

Yo te recomendaria reducir tu squid.conf, para que puedas ubicar mas rapido
las lineas y entiendas su configuracion, la config que te pego aqui es
teniendo en cuenta que la tarjeta de red que da a ala red internta tiene la
ip 10.0.0.1:

#
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl CONNECT method CONNECT
acl localnet src 10.0.0.0/24

access_log /var/log/squid/access.log squid

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access deny all

icp_access allow localnet
icp_access deny all

http_port 10.0.0.1:3128 transparent

cache_mem 8 MB
cache_dir ufs /var/spool/squid 100 16 256
minimum_object_size 0 KB
maximum_object_size 4096 KB
cache_swap_low 90
connect_timeout 2 minutes




espero te sirva..

Un abrazo

Aland Laines Calonge
Tecnico en Informatica
Lima - Perú
lainessoluciones.net



El 6 de abril de 2011 15:43, Mario Villela Larraza <
mario.villelalarr...@gmail.com> escribió:

> una disculpa por el tiempo de ausencia el trabajo me tapo pero ya estoy de
> regreso aqui anexo el contenido de squid.conf
>
>
>
>
> El 5 de abril de 2011 17:39, Ramón Macías Zamora <
> ramon.mac...@raykasolutions.com> escribió:
>
>  > podrías enviar el contenido de /etc/squid/squid.conf ?
> > --
> >
> >
> >
> > Ramón Macías Zamora
> > Tecnología, Investigación y Desarrollo
> > Guayaquil - Ecuador
> > msn:ramon_mac...@hotmail.com
> > skype:  ramon_macias
> > UserLinux# 180926 (http://counter.li.org)
> > Cel:593-8-0192238
> > Tel:593 4 6044566
> >
> > 
> >
> >
> > WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES,
> SERVIDORES
> > LINUX, SOPORTE.
> >
> >
> >
> > 2011/4/5 Maximo Monsalvo 
> >
> > > On Lun 04 Abr 2011 23:44:41 Mario Villela Larraza escribió:
> > > > al intentar reinisiar mi servicio squid ejeccuta este error pero la
> > > verdad
> > > > no se que sea
> > > >
> > > > 2011/04/04 21:38:45| squid.conf line 757: http_access rules
> > > > 2011/04/04 21:38:45| aclParseAccessLine: expecting 'allow' or 'deny',
> > > > got 'rules'.
> > > > 2011/04/04 21:38:45| aclParseIpData: WARNING: Netmask masks away part
> > > > of the specified IP in '10.0.0.10-10.0.0.100/255.255.255.0'
> > > >
> > >
> > > Y si te esta dando esos errores seguramente el squid no este
> funcionando
> > > intenta arreglarlos
> > > el primero parece ser algun error de tipeo
> > > el segundo pone /24 en ves de /255.255.255.0
> > >
> > > ___
> > > CentOS-es mailing list
> > > CentOS-es@centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
>
>
>
> --
>  Mario Villela Larraza
> mario.villelalarr...@gmail.com
> Cel 0445512591926
>
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
>
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] iptables + squid proxy transparente

[Miguel Villavicencio]

Hola:
 
luciomontal...@gmail.com

Saludos,
 
 
Miguel Villavicencio G.



 
Date: Wed, 6 Apr 2011 15:43:22 -0500
From: mario.villelalarr...@gmail.com
To: centos-es@centos.org
Subject: Re: [CentOS-es] iptables + squid proxy transparente

una disculpa por el tiempo de ausencia el trabajo me tapo pero ya estoy de
regreso aqui anexo el contenido de squid.conf
 
 
 
 
El 5 de abril de 2011 17:39, Ramón Macías Zamora <
ramon.mac...@raykasolutions.com> escribió:
 
> podrías enviar el contenido de /etc/squid/squid.conf ?
> --
>
>
>
> Ramón Macías Zamora
> Tecnología, Investigación y Desarrollo
> Guayaquil - Ecuador
> msn:ramon_mac...@hotmail.com
> skype:  ramon_macias
> UserLinux# 180926 (http://counter.li.org)
> Cel:593-8-0192238
> Tel:593 4 6044566
>
> <http://www.raykasolutions.com/>
>
>
> WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES
> LINUX, SOPORTE.
>
>
>
> 2011/4/5 Maximo Monsalvo 
>
> > On Lun 04 Abr 2011 23:44:41 Mario Villela Larraza escribió:
> > > al intentar reinisiar mi servicio squid ejeccuta este error pero la
> > verdad
> > > no se que sea
> > >
> > > 2011/04/04 21:38:45| squid.conf line 757: http_access rules
> > > 2011/04/04 21:38:45| aclParseAccessLine: expecting 'allow' or 'deny',
> > > got 'rules'.
> > > 2011/04/04 21:38:45| aclParseIpData: WARNING: Netmask masks away part
> > > of the specified IP in '10.0.0.10-10.0.0.100/255.255.255.0'
> > >
> >
> > Y si te esta dando esos errores seguramente el squid no este funcionando
> > intenta arreglarlos
> > el primero parece ser algun error de tipeo
> > el segundo pone /24 en ves de /255.255.255.0
> >
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
 
 
 
-- 
Mario Villela Larraza
mario.villelalarr...@gmail.com
Cel 0445512591926

___ CentOS-es mailing list 
CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es 
   
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] iptables + squid proxy transparente

[Ramón Macías Zamora]

podrías enviar el contenido de /etc/squid/squid.conf ?
--



Ramón Macías Zamora
Tecnología, Investigación y Desarrollo
Guayaquil - Ecuador
msn:ramon_mac...@hotmail.com
skype:  ramon_macias
UserLinux# 180926 (http://counter.li.org)
Cel:593-8-0192238
Tel:593 4 6044566




WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES
LINUX, SOPORTE.



2011/4/5 Maximo Monsalvo 

> On Lun 04 Abr 2011 23:44:41 Mario Villela Larraza escribió:
> > al intentar reinisiar mi servicio squid ejeccuta este error pero la
> verdad
> > no se que sea
> >
> > 2011/04/04 21:38:45| squid.conf line 757: http_access rules
> > 2011/04/04 21:38:45| aclParseAccessLine: expecting 'allow' or 'deny',
> > got 'rules'.
> > 2011/04/04 21:38:45| aclParseIpData: WARNING: Netmask masks away part
> > of the specified IP in '10.0.0.10-10.0.0.100/255.255.255.0'
> >
>
> Y si te esta dando esos errores seguramente el squid no este funcionando
> intenta arreglarlos
> el primero parece ser algun error de tipeo
> el segundo pone /24 en ves de /255.255.255.0
>
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] iptables + squid proxy transparente

[Maximo Monsalvo]

On Lun 04 Abr 2011 23:44:41 Mario Villela Larraza escribió:
> al intentar reinisiar mi servicio squid ejeccuta este error pero la verdad
> no se que sea
> 
> 2011/04/04 21:38:45| squid.conf line 757: http_access rules
> 2011/04/04 21:38:45| aclParseAccessLine: expecting 'allow' or 'deny',
> got 'rules'.
> 2011/04/04 21:38:45| aclParseIpData: WARNING: Netmask masks away part
> of the specified IP in '10.0.0.10-10.0.0.100/255.255.255.0'
> 

Y si te esta dando esos errores seguramente el squid no este funcionando
intenta arreglarlos
el primero parece ser algun error de tipeo 
el segundo pone /24 en ves de /255.255.255.0

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] iptables + squid proxy transparente

[César CRUZ ARRUNATEGUI]

de ser eso, el problema esta a la hora de definir tu red, debe ser 10.0.0.0/24 
y no como lo estas haciendo.


César D. Cruz Arrunátegui


- Mensaje original -
De: "Mario Villela Larraza" 
Para: centos-es@centos.org
Enviados: Lunes, 4 de Abril 2011 21:44:41 GMT -05:00 Colombia
Asunto: Re: [CentOS-es] iptables + squid proxy transparente

al intentar reinisiar mi servicio squid ejeccuta este error pero la verdad
no se que sea

2011/04/04 21:38:45| squid.conf line 757: http_access rules
2011/04/04 21:38:45| aclParseAccessLine: expecting 'allow' or 'deny',
got 'rules'.
2011/04/04 21:38:45| aclParseIpData: WARNING: Netmask masks away part
of the specified IP in '10.0.0.10-10.0.0.100/255.255.255.0'

--


El 4 de abril de 2011 21:10, Mario Villela Larraza <
mario.villelalarr...@gmail.com> escribió:

> si así esta aun así no hace el redireccionamiento entre eth1 y eth2 y la
> maquina cliente que tengo no obtiene navegación a internet ago ping a las
> dos tarjetas desde mi maquina cliente y responden las dos interfaces el
> servidor si tiene navegación sin problemas, la verdad ya no se ni por donde
> atacar a este servidor.
>
>   "# Squid normally listens to port 3128
>   http_port 3128 transparent"
>
>
>
> El 4 de abril de 2011 20:59, Ramón Macías Zamora <
> ramon.mac...@raykasolutions.com> escribió:
>
> No veo nada raro,
>>
>> en /etc/squid/squid.conf debe estar puesto:
>>
>> http_port 3128 transparent
>>
>> la palabra *transparent* es imprescindible
>> --
>>
>>
>>
>> Ramón Macías Zamora
>> Tecnología, Investigación y Desarrollo
>> Guayaquil - Ecuador
>> msn:ramon_mac...@hotmail.com
>> skype:  ramon_macias
>> UserLinux# 180926 (http://counter.li.org)
>> Cel:593-8-0192238
>> Tel:593 4 6044566
>>
>> <http://www.raykasolutions.com/>
>>
>>
>> WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES
>> LINUX, SOPORTE.
>>
>>
>>
>> El 4 de abril de 2011 20:06, Mario Villela Larraza <
>> mario.villelalarr...@gmail.com> escribió:
>>
>>>  supongo que si ha de ser una restricción, pero bueno lo pego aquí
>>> para
>>> mas rápido jejeje
>>>
>>>
>>> #!/bin/bash
>>> #
>>> #
>>> # Para guardar las reglas
>>> #+ iptables-save > reglas
>>> #+ iptables-restore < reglas
>>> #
>>>
>>> # Miramos si tenemos un parametro en linea de comando
>>> if [ -n "$1" ] && [ "$1" = "q" ]
>>> then
>>>  QUIET="1"
>>> else
>>>  QUIET="0"
>>> fi
>>>
>>> # Registramos el inicio del firewall
>>> #FECHA=$(date +"%C%y-%m-%d %H:%M")
>>> #echo $FECHA
>>> #/usr/bin/logger -p kern.notice  -t NETFILTER  \
>>> # "== Iniciado Cortafuegos: $FECHA ="
>>>
>>> # PARAMETRIZACION DEL SCRIPT
>>> ##
>>> ### Definimos constantes para usar en el
>>> ###+ script
>>> if [ $QUIET = "0" ]; then
>>>  echo "Cargando parametros..."
>>> fi
>>>
>>> # Binario de iptables
>>> IPTABLES=/sbin/iptables
>>>
>>> # INTERFACES
>>> # eth1 - conectado a internet con IP FIJA
>>> EXT_IF=eth1
>>> EXT_IP=192.168.2.10
>>> # eth2 - conectado a LAN
>>> LAN_IF=eth2
>>> LAN_IP=10.0.0.1
>>> LAN_RED=10.0.0.0/24
>>> # lo - interfaz de loopback
>>> LOO_RED=127.0.0.0/8
>>> # cualquier red
>>> ANY_RED=0.0.0.0/0
>>>
>>> # MAQUINAS INTERNAS
>>> IP_SERVIDOR_FTP=10.0.0.12
>>> IP_SERVIDOR_WEB=10.0.0.13
>>>
>>>
>>> if [ $QUIET = "0" ]; then
>>>  echo "Cargando modulos..."
>>> fi
>>> ##
>>> ### Nos aseguramos que tenemos cargados
>>> ###+ los modulos necesarios
>>> modprobe ip_conntrack_irc
>>> modprobe ip_conntrack_ftp
>>> modprobe ip_nat_irc
>>> modprobe ip_nat_ftp
>>>
>>>
>>> if [ $QUIET = "0" ]; then
>>>  echo "Limpiando FW..."
>>> fi
>>> ##
>>> ### Limpiamos la configuracion existente
>>>
>>> # Limpiamos (flush) las reglas
>>> $IPTABLES -F
&

Re: [CentOS-es] iptables + squid proxy transparente

[Mario Villela Larraza]

al intentar reinisiar mi servicio squid ejeccuta este error pero la verdad
no se que sea

2011/04/04 21:38:45| squid.conf line 757: http_access rules
2011/04/04 21:38:45| aclParseAccessLine: expecting 'allow' or 'deny',
got 'rules'.
2011/04/04 21:38:45| aclParseIpData: WARNING: Netmask masks away part
of the specified IP in '10.0.0.10-10.0.0.100/255.255.255.0'

--


El 4 de abril de 2011 21:10, Mario Villela Larraza <
mario.villelalarr...@gmail.com> escribió:

> si así esta aun así no hace el redireccionamiento entre eth1 y eth2 y la
> maquina cliente que tengo no obtiene navegación a internet ago ping a las
> dos tarjetas desde mi maquina cliente y responden las dos interfaces el
> servidor si tiene navegación sin problemas, la verdad ya no se ni por donde
> atacar a este servidor.
>
>   "# Squid normally listens to port 3128
>   http_port 3128 transparent"
>
>
>
> El 4 de abril de 2011 20:59, Ramón Macías Zamora <
> ramon.mac...@raykasolutions.com> escribió:
>
> No veo nada raro,
>>
>> en /etc/squid/squid.conf debe estar puesto:
>>
>> http_port 3128 transparent
>>
>> la palabra *transparent* es imprescindible
>> --
>>
>>
>>
>> Ramón Macías Zamora
>> Tecnología, Investigación y Desarrollo
>> Guayaquil - Ecuador
>> msn:ramon_mac...@hotmail.com
>> skype:  ramon_macias
>> UserLinux# 180926 (http://counter.li.org)
>> Cel:593-8-0192238
>> Tel:593 4 6044566
>>
>> 
>>
>>
>> WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES
>> LINUX, SOPORTE.
>>
>>
>>
>> El 4 de abril de 2011 20:06, Mario Villela Larraza <
>> mario.villelalarr...@gmail.com> escribió:
>>
>>>  supongo que si ha de ser una restricción, pero bueno lo pego aquí
>>> para
>>> mas rápido jejeje
>>>
>>>
>>> #!/bin/bash
>>> #
>>> #
>>> # Para guardar las reglas
>>> #+ iptables-save > reglas
>>> #+ iptables-restore < reglas
>>> #
>>>
>>> # Miramos si tenemos un parametro en linea de comando
>>> if [ -n "$1" ] && [ "$1" = "q" ]
>>> then
>>>  QUIET="1"
>>> else
>>>  QUIET="0"
>>> fi
>>>
>>> # Registramos el inicio del firewall
>>> #FECHA=$(date +"%C%y-%m-%d %H:%M")
>>> #echo $FECHA
>>> #/usr/bin/logger -p kern.notice  -t NETFILTER  \
>>> # "== Iniciado Cortafuegos: $FECHA ="
>>>
>>> # PARAMETRIZACION DEL SCRIPT
>>> ##
>>> ### Definimos constantes para usar en el
>>> ###+ script
>>> if [ $QUIET = "0" ]; then
>>>  echo "Cargando parametros..."
>>> fi
>>>
>>> # Binario de iptables
>>> IPTABLES=/sbin/iptables
>>>
>>> # INTERFACES
>>> # eth1 - conectado a internet con IP FIJA
>>> EXT_IF=eth1
>>> EXT_IP=192.168.2.10
>>> # eth2 - conectado a LAN
>>> LAN_IF=eth2
>>> LAN_IP=10.0.0.1
>>> LAN_RED=10.0.0.0/24
>>> # lo - interfaz de loopback
>>> LOO_RED=127.0.0.0/8
>>> # cualquier red
>>> ANY_RED=0.0.0.0/0
>>>
>>> # MAQUINAS INTERNAS
>>> IP_SERVIDOR_FTP=10.0.0.12
>>> IP_SERVIDOR_WEB=10.0.0.13
>>>
>>>
>>> if [ $QUIET = "0" ]; then
>>>  echo "Cargando modulos..."
>>> fi
>>> ##
>>> ### Nos aseguramos que tenemos cargados
>>> ###+ los modulos necesarios
>>> modprobe ip_conntrack_irc
>>> modprobe ip_conntrack_ftp
>>> modprobe ip_nat_irc
>>> modprobe ip_nat_ftp
>>>
>>>
>>> if [ $QUIET = "0" ]; then
>>>  echo "Limpiando FW..."
>>> fi
>>> ##
>>> ### Limpiamos la configuracion existente
>>>
>>> # Limpiamos (flush) las reglas
>>> $IPTABLES -F
>>> # Borramos 'cadenas' de usuario
>>> $IPTABLES -X
>>> # Ponemos a cero paquetes y contadores
>>> $IPTABLES -Z
>>> # Limpiamos las reglas de NAT
>>> $IPTABLES -t nat -F
>>> # Borramos 'cadenas' de usuario de NAT
>>> $IPTABLES -t nat -X
>>>
>>>
>>> if [ $QUIET = "0" ]; then
>>>  echo "Estableciendo politicas..."
>>> fi
>>> ##
>>> ### Establecemos las politicas por omision
>>> ###+ de las 'cadenas'
>>>
>>> # Por omision descartamos los paquetes
>>> $IPTABLES -P INPUT   ACCEPT
>>> $IPTABLES -P OUTPUT  ACCEPT
>>> $IPTABLES -P FORWARD ACCEPT
>>> # PREROUTING - NAT sobre la IP destino: normalmente desde inet hacia LAN
>>> # POSTROUTING - NAT sobre la IP origen: normalmente desde LAN hacia inet
>>> $IPTABLES -t nat -P PREROUTING   ACCEPT
>>> $IPTABLES -t nat -P POSTROUTING  ACCEPT
>>>
>>> # Relajamos la politica de salida
>>> #+ Dejamos salir paquetes de LAN_IP por LAN_IF
>>> $IPTABLES -A OUTPUT -o $LAN_IF -s $LAN_IP -j ACCEPT
>>> #+ Dejamos salir paquetes de EXT_IP por EXT_IF
>>> $IPTABLES -A OUTPUT -o $EXT_IF -s $EXT_IP -j ACCEPT
>>>
>>>
>>>
>>> if [ $QUIET = "0" ]; then
>>>  echo "-> Denegacion de redes invalidas..."
>>> fi
>>> ##
>>> # No admitimos desde el exterior redes locales (RFC 1918)
>>> #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 192.168.0.0/16  -j DROP
>>> #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 10.0.0.0/8  -j DROP
>>> #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 172.1

Re: [CentOS-es] iptables + squid proxy transparente

[Mario Villela Larraza]

si así esta aun así no hace el redireccionamiento entre eth1 y eth2 y la
maquina cliente que tengo no obtiene navegación a internet ago ping a las
dos tarjetas desde mi maquina cliente y responden las dos interfaces el
servidor si tiene navegación sin problemas, la verdad ya no se ni por donde
atacar a este servidor.

  "# Squid normally listens to port 3128
  http_port 3128 transparent"



El 4 de abril de 2011 20:59, Ramón Macías Zamora <
ramon.mac...@raykasolutions.com> escribió:

> No veo nada raro,
>
> en /etc/squid/squid.conf debe estar puesto:
>
> http_port 3128 transparent
>
> la palabra *transparent* es imprescindible
> --
>
>
>
> Ramón Macías Zamora
> Tecnología, Investigación y Desarrollo
> Guayaquil - Ecuador
> msn:ramon_mac...@hotmail.com
> skype:  ramon_macias
> UserLinux# 180926 (http://counter.li.org)
> Cel:593-8-0192238
> Tel:593 4 6044566
>
> 
>
>
> WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES
> LINUX, SOPORTE.
>
>
>
> El 4 de abril de 2011 20:06, Mario Villela Larraza <
> mario.villelalarr...@gmail.com> escribió:
>
>>  supongo que si ha de ser una restricción, pero bueno lo pego aquí
>> para
>> mas rápido jejeje
>>
>>
>> #!/bin/bash
>> #
>> #
>> # Para guardar las reglas
>> #+ iptables-save > reglas
>> #+ iptables-restore < reglas
>> #
>>
>> # Miramos si tenemos un parametro en linea de comando
>> if [ -n "$1" ] && [ "$1" = "q" ]
>> then
>>  QUIET="1"
>> else
>>  QUIET="0"
>> fi
>>
>> # Registramos el inicio del firewall
>> #FECHA=$(date +"%C%y-%m-%d %H:%M")
>> #echo $FECHA
>> #/usr/bin/logger -p kern.notice  -t NETFILTER  \
>> # "== Iniciado Cortafuegos: $FECHA ="
>>
>> # PARAMETRIZACION DEL SCRIPT
>> ##
>> ### Definimos constantes para usar en el
>> ###+ script
>> if [ $QUIET = "0" ]; then
>>  echo "Cargando parametros..."
>> fi
>>
>> # Binario de iptables
>> IPTABLES=/sbin/iptables
>>
>> # INTERFACES
>> # eth1 - conectado a internet con IP FIJA
>> EXT_IF=eth1
>> EXT_IP=192.168.2.10
>> # eth2 - conectado a LAN
>> LAN_IF=eth2
>> LAN_IP=10.0.0.1
>> LAN_RED=10.0.0.0/24
>> # lo - interfaz de loopback
>> LOO_RED=127.0.0.0/8
>> # cualquier red
>> ANY_RED=0.0.0.0/0
>>
>> # MAQUINAS INTERNAS
>> IP_SERVIDOR_FTP=10.0.0.12
>> IP_SERVIDOR_WEB=10.0.0.13
>>
>>
>> if [ $QUIET = "0" ]; then
>>  echo "Cargando modulos..."
>> fi
>> ##
>> ### Nos aseguramos que tenemos cargados
>> ###+ los modulos necesarios
>> modprobe ip_conntrack_irc
>> modprobe ip_conntrack_ftp
>> modprobe ip_nat_irc
>> modprobe ip_nat_ftp
>>
>>
>> if [ $QUIET = "0" ]; then
>>  echo "Limpiando FW..."
>> fi
>> ##
>> ### Limpiamos la configuracion existente
>>
>> # Limpiamos (flush) las reglas
>> $IPTABLES -F
>> # Borramos 'cadenas' de usuario
>> $IPTABLES -X
>> # Ponemos a cero paquetes y contadores
>> $IPTABLES -Z
>> # Limpiamos las reglas de NAT
>> $IPTABLES -t nat -F
>> # Borramos 'cadenas' de usuario de NAT
>> $IPTABLES -t nat -X
>>
>>
>> if [ $QUIET = "0" ]; then
>>  echo "Estableciendo politicas..."
>> fi
>> ##
>> ### Establecemos las politicas por omision
>> ###+ de las 'cadenas'
>>
>> # Por omision descartamos los paquetes
>> $IPTABLES -P INPUT   ACCEPT
>> $IPTABLES -P OUTPUT  ACCEPT
>> $IPTABLES -P FORWARD ACCEPT
>> # PREROUTING - NAT sobre la IP destino: normalmente desde inet hacia LAN
>> # POSTROUTING - NAT sobre la IP origen: normalmente desde LAN hacia inet
>> $IPTABLES -t nat -P PREROUTING   ACCEPT
>> $IPTABLES -t nat -P POSTROUTING  ACCEPT
>>
>> # Relajamos la politica de salida
>> #+ Dejamos salir paquetes de LAN_IP por LAN_IF
>> $IPTABLES -A OUTPUT -o $LAN_IF -s $LAN_IP -j ACCEPT
>> #+ Dejamos salir paquetes de EXT_IP por EXT_IF
>> $IPTABLES -A OUTPUT -o $EXT_IF -s $EXT_IP -j ACCEPT
>>
>>
>>
>> if [ $QUIET = "0" ]; then
>>  echo "-> Denegacion de redes invalidas..."
>> fi
>> ##
>> # No admitimos desde el exterior redes locales (RFC 1918)
>> #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 192.168.0.0/16  -j DROP
>> #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 10.0.0.0/8  -j DROP
>> #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 172.16.0.0/12   -j DROP
>> #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 224.0.0.0/4 -j DROP
>> #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 240.0.0.0/5 -j DROP
>> #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s $LOO_RED-j DROP
>> #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 0.0.0.0/8   -j DROP
>> #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 169.254.0.0/16  -j DROP
>> #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 255.255.255.255 -j DROP
>> #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s $EXT_IP -j DROP
>> # Desde el interior solo admitimos nuestra red LAN
>> $IPTABLES -t nat -A PREROUTING -i $LAN_IF -s ! $LAN_RED  -j ACCEPT
>>
>>

Re: [CentOS-es] iptables + squid proxy transparente

[Oscar Osta Pueyo]

Hola,

2011/4/5 Ramón Macías Zamora :
> No veo nada raro,
>
> en /etc/squid/squid.conf debe estar puesto:
>
> http_port 3128 transparent
>
> la palabra *transparent* es imprescindible

¿Has probado con un script de firewall más sencillo? Para ver que
funciona correctamente squid primero...yo probaría con el que viene
con el sistema /etc/sysconfig/iptables, pondría reglas sencillas y
luego aumentaría la complejidad. Es una manera de descartar quien es
el problema.

-- 
Oscar Osta Pueyo
oostap.lis...@gmail.com
_kiakli_
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] iptables + squid proxy transparente

[Ramón Macías Zamora]

No veo nada raro,

en /etc/squid/squid.conf debe estar puesto:

http_port 3128 transparent

la palabra *transparent* es imprescindible
--



Ramón Macías Zamora
Tecnología, Investigación y Desarrollo
Guayaquil - Ecuador
msn:ramon_mac...@hotmail.com
skype:  ramon_macias
UserLinux# 180926 (http://counter.li.org)
Cel:593-8-0192238
Tel:593 4 6044566




WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES
LINUX, SOPORTE.



El 4 de abril de 2011 20:06, Mario Villela Larraza <
mario.villelalarr...@gmail.com> escribió:

>  supongo que si ha de ser una restricción, pero bueno lo pego aquí para
> mas rápido jejeje
>
>
> #!/bin/bash
> #
> #
> # Para guardar las reglas
> #+ iptables-save > reglas
> #+ iptables-restore < reglas
> #
>
> # Miramos si tenemos un parametro en linea de comando
> if [ -n "$1" ] && [ "$1" = "q" ]
> then
>  QUIET="1"
> else
>  QUIET="0"
> fi
>
> # Registramos el inicio del firewall
> #FECHA=$(date +"%C%y-%m-%d %H:%M")
> #echo $FECHA
> #/usr/bin/logger -p kern.notice  -t NETFILTER  \
> # "== Iniciado Cortafuegos: $FECHA ="
>
> # PARAMETRIZACION DEL SCRIPT
> ##
> ### Definimos constantes para usar en el
> ###+ script
> if [ $QUIET = "0" ]; then
>  echo "Cargando parametros..."
> fi
>
> # Binario de iptables
> IPTABLES=/sbin/iptables
>
> # INTERFACES
> # eth1 - conectado a internet con IP FIJA
> EXT_IF=eth1
> EXT_IP=192.168.2.10
> # eth2 - conectado a LAN
> LAN_IF=eth2
> LAN_IP=10.0.0.1
> LAN_RED=10.0.0.0/24
> # lo - interfaz de loopback
> LOO_RED=127.0.0.0/8
> # cualquier red
> ANY_RED=0.0.0.0/0
>
> # MAQUINAS INTERNAS
> IP_SERVIDOR_FTP=10.0.0.12
> IP_SERVIDOR_WEB=10.0.0.13
>
>
> if [ $QUIET = "0" ]; then
>  echo "Cargando modulos..."
> fi
> ##
> ### Nos aseguramos que tenemos cargados
> ###+ los modulos necesarios
> modprobe ip_conntrack_irc
> modprobe ip_conntrack_ftp
> modprobe ip_nat_irc
> modprobe ip_nat_ftp
>
>
> if [ $QUIET = "0" ]; then
>  echo "Limpiando FW..."
> fi
> ##
> ### Limpiamos la configuracion existente
>
> # Limpiamos (flush) las reglas
> $IPTABLES -F
> # Borramos 'cadenas' de usuario
> $IPTABLES -X
> # Ponemos a cero paquetes y contadores
> $IPTABLES -Z
> # Limpiamos las reglas de NAT
> $IPTABLES -t nat -F
> # Borramos 'cadenas' de usuario de NAT
> $IPTABLES -t nat -X
>
>
> if [ $QUIET = "0" ]; then
>  echo "Estableciendo politicas..."
> fi
> ##
> ### Establecemos las politicas por omision
> ###+ de las 'cadenas'
>
> # Por omision descartamos los paquetes
> $IPTABLES -P INPUT   ACCEPT
> $IPTABLES -P OUTPUT  ACCEPT
> $IPTABLES -P FORWARD ACCEPT
> # PREROUTING - NAT sobre la IP destino: normalmente desde inet hacia LAN
> # POSTROUTING - NAT sobre la IP origen: normalmente desde LAN hacia inet
> $IPTABLES -t nat -P PREROUTING   ACCEPT
> $IPTABLES -t nat -P POSTROUTING  ACCEPT
>
> # Relajamos la politica de salida
> #+ Dejamos salir paquetes de LAN_IP por LAN_IF
> $IPTABLES -A OUTPUT -o $LAN_IF -s $LAN_IP -j ACCEPT
> #+ Dejamos salir paquetes de EXT_IP por EXT_IF
> $IPTABLES -A OUTPUT -o $EXT_IF -s $EXT_IP -j ACCEPT
>
>
>
> if [ $QUIET = "0" ]; then
>  echo "-> Denegacion de redes invalidas..."
> fi
> ##
> # No admitimos desde el exterior redes locales (RFC 1918)
> #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 192.168.0.0/16  -j DROP
> #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 10.0.0.0/8  -j DROP
> #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 172.16.0.0/12   -j DROP
> #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 224.0.0.0/4 -j DROP
> #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 240.0.0.0/5 -j DROP
> #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s $LOO_RED-j DROP
> #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 0.0.0.0/8   -j DROP
> #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 169.254.0.0/16  -j DROP
> #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 255.255.255.255 -j DROP
> #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s $EXT_IP -j DROP
> # Desde el interior solo admitimos nuestra red LAN
> $IPTABLES -t nat -A PREROUTING -i $LAN_IF -s ! $LAN_RED  -j ACCEPT
>
>
> if [ $QUIET = "0" ]; then
>  echo "-> Denegacion de broadcast de NetBIOS..."
> fi
> ##
> # Bloquear paquetes broadcast de NetBios salientes
> iptables -A FORWARD -p tcp --sport 137:139 -o $EXT_IF -j DROP
> iptables -A FORWARD -p udp --sport 137:139 -o $EXT_IF -j DROP
> iptables -A OUTPUT  -p tcp --sport 137:139 -o $EXT_IF -j DROP
> iptables -A OUTPUT  -p udp --sport 137:139 -o $EXT_IF -j DROP
>
>
> if [ $QUIET = "0" ]; then
>  echo "Activando NAT..."
> fi
> ##
> # Activamos el bit de forward
> echo 1 > /proc/sys/net/ipv4/ip_forward
> # Enmascaramos la salida de la LAN
> $IPTABLES -t nat -

Re: [CentOS-es] iptables + squid proxy transparente

[Mario Villela Larraza]

 supongo que si ha de ser una restricción, pero bueno lo pego aquí para
mas rápido jejeje


#!/bin/bash
#
#
# Para guardar las reglas
#+ iptables-save > reglas
#+ iptables-restore < reglas
#

# Miramos si tenemos un parametro en linea de comando
if [ -n "$1" ] && [ "$1" = "q" ]
then
  QUIET="1"
else
  QUIET="0"
fi

# Registramos el inicio del firewall
#FECHA=$(date +"%C%y-%m-%d %H:%M")
#echo $FECHA
#/usr/bin/logger -p kern.notice  -t NETFILTER  \
# "== Iniciado Cortafuegos: $FECHA ="

# PARAMETRIZACION DEL SCRIPT
##
### Definimos constantes para usar en el
###+ script
if [ $QUIET = "0" ]; then
  echo "Cargando parametros..."
fi

# Binario de iptables
IPTABLES=/sbin/iptables

# INTERFACES
# eth1 - conectado a internet con IP FIJA
EXT_IF=eth1
EXT_IP=192.168.2.10
# eth2 - conectado a LAN
LAN_IF=eth2
LAN_IP=10.0.0.1
LAN_RED=10.0.0.0/24
# lo - interfaz de loopback
LOO_RED=127.0.0.0/8
# cualquier red
ANY_RED=0.0.0.0/0

# MAQUINAS INTERNAS
IP_SERVIDOR_FTP=10.0.0.12
IP_SERVIDOR_WEB=10.0.0.13


if [ $QUIET = "0" ]; then
  echo "Cargando modulos..."
fi
##
### Nos aseguramos que tenemos cargados
###+ los modulos necesarios
modprobe ip_conntrack_irc
modprobe ip_conntrack_ftp
modprobe ip_nat_irc
modprobe ip_nat_ftp


if [ $QUIET = "0" ]; then
  echo "Limpiando FW..."
fi
##
### Limpiamos la configuracion existente

# Limpiamos (flush) las reglas
$IPTABLES -F
# Borramos 'cadenas' de usuario
$IPTABLES -X
# Ponemos a cero paquetes y contadores
$IPTABLES -Z
# Limpiamos las reglas de NAT
$IPTABLES -t nat -F
# Borramos 'cadenas' de usuario de NAT
$IPTABLES -t nat -X


if [ $QUIET = "0" ]; then
  echo "Estableciendo politicas..."
fi
##
### Establecemos las politicas por omision
###+ de las 'cadenas'

# Por omision descartamos los paquetes
$IPTABLES -P INPUT   ACCEPT
$IPTABLES -P OUTPUT  ACCEPT
$IPTABLES -P FORWARD ACCEPT
# PREROUTING - NAT sobre la IP destino: normalmente desde inet hacia LAN
# POSTROUTING - NAT sobre la IP origen: normalmente desde LAN hacia inet
$IPTABLES -t nat -P PREROUTING   ACCEPT
$IPTABLES -t nat -P POSTROUTING  ACCEPT

# Relajamos la politica de salida
#+ Dejamos salir paquetes de LAN_IP por LAN_IF
$IPTABLES -A OUTPUT -o $LAN_IF -s $LAN_IP -j ACCEPT
#+ Dejamos salir paquetes de EXT_IP por EXT_IF
$IPTABLES -A OUTPUT -o $EXT_IF -s $EXT_IP -j ACCEPT



if [ $QUIET = "0" ]; then
  echo "-> Denegacion de redes invalidas..."
fi
##
# No admitimos desde el exterior redes locales (RFC 1918)
#$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 192.168.0.0/16  -j DROP
#$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 10.0.0.0/8  -j DROP
#$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 172.16.0.0/12   -j DROP
#$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 224.0.0.0/4 -j DROP
#$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 240.0.0.0/5 -j DROP
#$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s $LOO_RED-j DROP
#$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 0.0.0.0/8   -j DROP
#$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 169.254.0.0/16  -j DROP
#$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 255.255.255.255 -j DROP
#$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s $EXT_IP -j DROP
# Desde el interior solo admitimos nuestra red LAN
$IPTABLES -t nat -A PREROUTING -i $LAN_IF -s ! $LAN_RED  -j ACCEPT


if [ $QUIET = "0" ]; then
  echo "-> Denegacion de broadcast de NetBIOS..."
fi
##
# Bloquear paquetes broadcast de NetBios salientes
iptables -A FORWARD -p tcp --sport 137:139 -o $EXT_IF -j DROP
iptables -A FORWARD -p udp --sport 137:139 -o $EXT_IF -j DROP
iptables -A OUTPUT  -p tcp --sport 137:139 -o $EXT_IF -j DROP
iptables -A OUTPUT  -p udp --sport 137:139 -o $EXT_IF -j DROP


if [ $QUIET = "0" ]; then
  echo "Activando NAT..."
fi
##
# Activamos el bit de forward
echo 1 > /proc/sys/net/ipv4/ip_forward
# Enmascaramos la salida de la LAN
$IPTABLES -t nat -A POSTROUTING -s $LAN_RED -o $EXT_IF -j MASQUERADE



if [ $QUIET = "0" ]; then
  echo "Accesos a la maquina local permitidos..."
fi
##
### Permitimos ciertos accesos a la maquina

if [ $QUIET = "0" ]; then
  echo "-> loopback..."
fi
# Permitimos todas las conexiones del interfaz loopback
$IPTABLES -A INPUT  -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A INPUT  -i lo -s $LOO_RED -d $LOO_RED -j ACCEPT
$IPTABLES -A OUTPUT -o lo -s $LOO_RED -d $LOO_RED -j ACCEPT
# Permitimos el PostEnrutado de paquetes enviados localmente
$IPTABLES -t nat -A POSTROUTING -o lo -s $LOO_RED -j ACCEPT


if [ $QUIET = "0" ]; then
  echo "-> LAN..."
fi
# Damos acceso desde la red local
$IPTABLES -A INPUT  -s $LAN_RED -i $LAN_IF -j ACCEPT
$IPTABLES -A OUTPUT -d $LAN_RED -o $LAN_IF -j ACCEPT

i