Re: OT gestor de firewall
El 2021-03-22 a las 12:41 +0100, Antonio Trujillo Carmona escribió: > El 22/3/21 a las 10:57, Camaleón escribió: > > El 2021-03-22 a las 09:12 +0100, Antonio Trujillo Carmona escribió: > > > >> Hola quiero crear un gestor de firewall. > > ¿? (...) > >> El tema es muy simple, mi consulta es, quería crear un servidor central > >> que al igual que webmin administra el cortafuegos local, se pueda > >> administrar "firewalles" remotos. > > Hum... webmin admite configuración en cluster, es decir, configurar > > varios servidores desde uno solo. > Si, pero muy básico y solo de algunas aplicaciones, una de las opciones > que me planteo es modificar el modulo de webmin. Hum... mira a ver si los módulos que admite incluye algún cortafuegos que te guste, hay varios, y en modo cluster te podría resolver el problema de la gestión masiva: http://doxfer.webmin.com/Webmin/Webmin_Modules > Doy por hecho que cualquier cortafuegos que se monte sobre un bridge > transparente me sirve, el problema es gestionar 50 de estos, no es > viable estar conectándose por ssh o por web a cada uno de ellos, si es > practico tener un gestor centralizado que cuando se quiera aplicar > cambios lance conexiones por ssh no interactivas con intercambio de > contraseña y aplique la regla que se quiera, ademas se podria ver el > estado de cada uno de ellos. > > En resume el tema va de un gestor centralizado fácil de adaptar. Entendido. Mira esta pregunta de Reddit, es antigua pero comentan una situación como la tuya: Open Source Central Management for Firewalls https://www.reddit.com/r/sysadmin/comments/oya51/open_source_central_management_for_firewalls/ La sugerencia de Puppet + LDAP + Debian (pf o iptables) me parece interesante. Saludos, -- Camaleón
Re: OT gestor de firewall
El 22/3/21 a las 10:57, Camaleón escribió: > El 2021-03-22 a las 09:12 +0100, Antonio Trujillo Carmona escribió: > >> Hola quiero crear un gestor de firewall. > ¿? > >> Se trata de utilizar raspberry pi con una segunda tarjeta de red para >> aislar equipos de la red. > ¿Y qué sistema operativo vas a instalar en esa máquina? ¿O has pensando > en Debian y una aplicación de cortafuegos más sencilla? > > Lo comento porque la mayoría de distribuciones dedicadas para firewall > se pueden gestonar vía SSH o a través de una interfaz vía web, por lo > que desde el servidor central podrás configurar de manera remota y > sencilla el cortafuegos que tengas instalado en la raspberry. Por supuesto Debian o algún derivado como raspbian, pero la consulta no va sobre el cliente, si no sobre la gestión, seria un gestor para iptables o firewalld pero que en vez de aplicarse sobre la maquina local se aplique sobre varias maquinas remotas. > >> El tema es muy simple, mi consulta es, quería crear un servidor central >> que al igual que webmin administra el cortafuegos local, se pueda >> administrar "firewalles" remotos. > Hum... webmin admite configuración en cluster, es decir, configurar > varios servidores desde uno solo. Si, pero muy básico y solo de algunas aplicaciones, una de las opciones que me planteo es modificar el modulo de webmin. > >> Por aquello de no volver a inventar la rueda, ¿conocéis algo sobre el tema?. >> >> Por supuesto que este basado en software libre, a ser preferible debian, >> no me interesa ninguna solución privativa ni cerrada aunque sea gratis >> ya que pretendo adaptarlo a otros entornos. > Yo me centraría en elegir un buen sistema cortafuegos, que se ajuste > bien a tus necesidades actuales y que sea sencillo de gestionar, > administrar, actualizar. > > Una vez que lo tengas montado a tu gusto, poco lo vas a toquetear. > > Saludos, Doy por hecho que cualquier cortafuegos que se monte sobre un bridge transparente me sirve, el problema es gestionar 50 de estos, no es viable estar conectándose por ssh o por web a cada uno de ellos, si es practico tener un gestor centralizado que cuando se quiera aplicar cambios lance conexiones por ssh no interactivas con intercambio de contraseña y aplique la regla que se quiera, ademas se podria ver el estado de cada uno de ellos. En resume el tema va de un gestor centralizado fácil de adaptar.
Re: OT gestor de firewall
Buenas, Yo conozco ipfire, sistema de gestión de firewall basado en debian. Lo de administrar cortafuegos remotos... imagino que tendrías que instalar varios ipfires y acceder a cada uno a través de su interfaz web. Que yo sepa, ipfire no permite gestionar cortafuegos remotos (ni ningún otro que conozca) El 22/3/21 a las 9:12, Antonio Trujillo Carmona escribió: Hola quiero crear un gestor de firewall. Se trata de utilizar raspberry pi con una segunda tarjeta de red para aislar equipos de la red. El tema es muy simple, mi consulta es, quería crear un servidor central que al igual que webmin administra el cortafuegos local, se pueda administrar "firewalles" remotos. Por aquello de no volver a inventar la rueda, ¿conocéis algo sobre el tema?. Por supuesto que este basado en software libre, a ser preferible debian, no me interesa ninguna solución privativa ni cerrada aunque sea gratis ya que pretendo adaptarlo a otros entornos.
Re: OT gestor de firewall
El 2021-03-22 a las 09:12 +0100, Antonio Trujillo Carmona escribió: > Hola quiero crear un gestor de firewall. ¿? > Se trata de utilizar raspberry pi con una segunda tarjeta de red para > aislar equipos de la red. ¿Y qué sistema operativo vas a instalar en esa máquina? ¿O has pensando en Debian y una aplicación de cortafuegos más sencilla? Lo comento porque la mayoría de distribuciones dedicadas para firewall se pueden gestonar vía SSH o a través de una interfaz vía web, por lo que desde el servidor central podrás configurar de manera remota y sencilla el cortafuegos que tengas instalado en la raspberry. > El tema es muy simple, mi consulta es, quería crear un servidor central > que al igual que webmin administra el cortafuegos local, se pueda > administrar "firewalles" remotos. Hum... webmin admite configuración en cluster, es decir, configurar varios servidores desde uno solo. > Por aquello de no volver a inventar la rueda, ¿conocéis algo sobre el tema?. > > Por supuesto que este basado en software libre, a ser preferible debian, > no me interesa ninguna solución privativa ni cerrada aunque sea gratis > ya que pretendo adaptarlo a otros entornos. Yo me centraría en elegir un buen sistema cortafuegos, que se ajuste bien a tus necesidades actuales y que sea sencillo de gestionar, administrar, actualizar. Una vez que lo tengas montado a tu gusto, poco lo vas a toquetear. Saludos, -- Camaleón
OT gestor de firewall
Hola quiero crear un gestor de firewall. Se trata de utilizar raspberry pi con una segunda tarjeta de red para aislar equipos de la red. El tema es muy simple, mi consulta es, quería crear un servidor central que al igual que webmin administra el cortafuegos local, se pueda administrar "firewalles" remotos. Por aquello de no volver a inventar la rueda, ¿conocéis algo sobre el tema?. Por supuesto que este basado en software libre, a ser preferible debian, no me interesa ninguna solución privativa ni cerrada aunque sea gratis ya que pretendo adaptarlo a otros entornos.
Re: Firewall o Filtro de Contenidos en modo Bridge.
El 31 de julio de 2018 19:52:29 CEST, JCMD escribió: >Si, > >Tienes que buscar Open bridge transparent proxy. > >Saludos > >El mar., 31 de jul. de 2018 1:50 PM, Ramses >escribió: > >> Hola a tod@s, >> >> Los firewalls FortiGate tienen un modo de funcionamiento, Bridge, en >el >> que lo insertas, entre el router del Operador y la LAN, y actúan como >> Firewall / Filtro de Contenidos sin tener que cambiar configuración >ninguna >> en el router ni en los equipos de la LAN. >> >> ¿Sabéis si ese mismo comportamiento lo puedo reproducir con un equipo >con >> 2 interfaces sin tener que configurarlo como router? >> >> >> Saludos y gracias, >> >> Ramsés >> >> Gracias JCMD, echaré un vistazo. Saludos, Ramsés
Re: Firewall o Filtro de Contenidos en modo Bridge.
El 31 de julio de 2018 19:54:17 CEST, Itzcoalt Alvarez escribió: >Pfsense podria ser la opcion > >El 31 de julio de 2018, 12:50, Ramses >escribió: > >> Hola a tod@s, >> >> Los firewalls FortiGate tienen un modo de funcionamiento, Bridge, en >el >> que lo insertas, entre el router del Operador y la LAN, y actúan como >> Firewall / Filtro de Contenidos sin tener que cambiar configuración >ninguna >> en el router ni en los equipos de la LAN. >> >> ¿Sabéis si ese mismo comportamiento lo puedo reproducir con un equipo >con >> 2 interfaces sin tener que configurarlo como router? >> >> >> Saludos y gracias, >> >> Ramsés >> >> > > >-- Itzcoalt, buenas noches y gracias por contestar. ¿Y pfsense puede actuar como Firewall y Filtro de Contenidos configurado en modo Bridge? Existen ya appliances específicos con pfsense embebidos, ¿cierto?. ¿Sabéis si esos appliances están abiertos como para desarrollar un Front-End específico o si existen routers neutros a los que se les pueda echar Linux y pfsense? Saludos y gracias, Ramsés
Re: Firewall o Filtro de Contenidos en modo Bridge.
Si, Tienes que buscar Open bridge transparent proxy. Saludos El mar., 31 de jul. de 2018 1:50 PM, Ramses escribió: > Hola a tod@s, > > Los firewalls FortiGate tienen un modo de funcionamiento, Bridge, en el > que lo insertas, entre el router del Operador y la LAN, y actúan como > Firewall / Filtro de Contenidos sin tener que cambiar configuración ninguna > en el router ni en los equipos de la LAN. > > ¿Sabéis si ese mismo comportamiento lo puedo reproducir con un equipo con > 2 interfaces sin tener que configurarlo como router? > > > Saludos y gracias, > > Ramsés > >
Firewall o Filtro de Contenidos en modo Bridge.
Hola a tod@s, Los firewalls FortiGate tienen un modo de funcionamiento, Bridge, en el que lo insertas, entre el router del Operador y la LAN, y actúan como Firewall / Filtro de Contenidos sin tener que cambiar configuración ninguna en el router ni en los equipos de la LAN. ¿Sabéis si ese mismo comportamiento lo puedo reproducir con un equipo con 2 interfaces sin tener que configurarlo como router? Saludos y gracias, Ramsés
Re: Puertos y firewall
Fredy, Remgasismuchas gracias por las respuestas y los materiales de lectura, Me quedó mas claro y tambien puedo investigar mas. Saludos ⏎--⏎ 17. Oct 2017 16:47 por remga...@gmail.com: > Pregunta respondida con: > 1. ¿Por qué se recomienda no tener puertos en escucha de servicios que no se > usan para evitar ataques de fuerza bruta, si total un firewall correctamente > configurado impide las conexiones? > > Respuesta: por las LAN o VLANs. La comunicación PCs a PCs en la misma > LAN/VLAN se realizan con la identificación de la MAC en la CAM > (Content-Addressable Memory) del switch. > Leer: > > http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-firewall-ipt-fwd.html > Se habla de enrutamiento cuando: > "La política FORWARD permite al administrador controlar donde se enviaran los > paquetes dentro de una LAN. Por ejemplo, para permitir el reenvío a la LAN > completa (asumiendo que el cortafuegos/puerta de enlace tiene una dirección > IP interna en eth1), se pueden configurar las reglas siguientes: > iptables -A FORWARD -i eth1 -j ACCEPT> iptables -A FORWARD -o eth1 -j ACCEPT > Esta regla dá a los sistemas detrás del cortafuegos/puerta de enlace acceso a > la red interna. La puerta de enlace > enruta> > los paquetes desde un nodo > de la LAN hasta su nodo destino, pasando todos los paquetes a través del > dispositivo eth1." > > 2. ¿Y por qué con namp desde otro equipo en mi red interna puedo detectar el > puerto 22 en escucha teniendo firewall con la regla "deny (incoming)" y > funcionando, sin poder establecer conexiones al puerto 22? > Porque nmap realiza diferentes tipos de escaneos: > Leer: > https://nmap.org/man/es/man-port-scanning-techniques.html > Por ejemplo, tendrías que detener el demonio sshd para que el puerto 22 (o el > puerto que hayas configurada para correr dicho demonio) no se encuentre en > escucha. > > ¿El firewall no debería impedir cualquier tipo de petición externa? > > Leer: IPTABLES (tabla INPUT, OUTPUT, FORWARD, MANGLE). > > > > > Libre de virus. > www.avast.com>
Re: Puertos y firewall
Pregunta respondida con: 1. ¿Por qué se recomienda no tener puertos en escucha de servicios que no se usan para evitar ataques de fuerza bruta, si total un firewall correctamente configurado impide las conexiones? Respuesta: por las LAN o VLANs. La comunicación PCs a PCs en la misma LAN/VLAN se realizan con la identificación de la MAC en la CAM (Content-Addressable Memory) del switch. Leer: http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1- firewall-ipt-fwd.html Se habla de enrutamiento cuando: *"La política FORWARD permite al administrador controlar donde se enviaran los paquetes dentro de una LAN. Por ejemplo, para permitir el reenvío a la LAN completa (asumiendo que el cortafuegos/puerta de enlace tiene una dirección IP interna en eth1), se pueden configurar las reglas siguientes:* *iptables -A FORWARD -i eth1 -j ACCEPT* *iptables -A FORWARD -o eth1 -j ACCEPT* *Esta regla dá a los sistemas detrás del cortafuegos/puerta de enlace acceso a la red interna. La puerta de enlace enruta los paquetes desde un nodo de la LAN hasta su nodo destino, pasando todos los paquetes a través del dispositivo eth1."* 2. ¿Y por qué con namp desde otro equipo en mi red interna puedo detectar el puerto 22 en escucha teniendo firewall con la regla "deny (incoming)" y funcionando, sin poder establecer conexiones al puerto 22? Porque nmap realiza diferentes tipos de escaneos: Leer: https://nmap.org/man/es/man-port-scanning-techniques.html Por ejemplo, tendrías que detener el demonio sshd para que el puerto 22 (o el puerto que hayas configurada para correr dicho demonio) no se encuentre en escucha. ¿El firewall no debería impedir cualquier tipo de petición externa? Leer: IPTABLES (tabla INPUT, OUTPUT, FORWARD, MANGLE). <https://www.avast.com/sig-email?utm_medium=email_source=link_campaign=sig-email_content=webmail> Libre de virus. www.avast.com <https://www.avast.com/sig-email?utm_medium=email_source=link_campaign=sig-email_content=webmail> <#DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2>
Re: Puertos y firewall
El día 16 de octubre de 2017, 13:37, <u...@tutanota.de> escribió: Hola quien seas. > Buenas tardes, por favor alguien me podría ayudar con unos conceptos que me > resultan interesantes y no me quedan muy claros? > He leído en diversas wikis, foros, etc. recomendando no tener puertos en > escucha innecesariamente, los cuales podrían "detectarse" y "aprovecharse" > por un atacante. Por lo tanto: > > > * Ejecuto ss -tap en un equipo y me arroja que tengo el puerto 22 en escucha > por ssh > > * También tengo activado el firewall a través de UFW con las siguientes > reglas > Logging: on (low) > Default: deny (incoming), allow (outgoing) > New profiles: skip > > * Al intentar establecer una conexión ssh a ese equipo es rechazada. > > * Creo la regla de acceso al puerto 22 en el firewall, la conexión se > establece. > > > Mis dudas: > > 1. ¿Por qué se recomienda no tener puertos en escucha de servicios que no se > usan para evitar ataques de fuerza bruta, si total un firewall correctamente > configurado impide las conexiones? R1/ lo ideal es que si no prestas un servicio no lo actives por ejemplo ssh y tu mismo lo responde ( evitar ataques) recuerda que los ataques no solo pueden venir del exterior sino del interior tambien. > > 2. ¿Y por qué con namp desde otro equipo en mi red interna puedo detectar el > puerto 22 en escucha teniendo firewall con la regla "deny (incoming)" y > funcionando, sin poder establecer conexiones al puerto 22? > ¿El firewall no debería impedir cualquier tipo de petición externa? > R2/ por que si tus equipos estan conectados en una reed interna ( me imagino por un switch) el trafico de la solicitudo ssh seria (cliente ---> switch ---> servidor.) como ves nunca pasa por el firewall si quieres que lo filtre deberia el cliente estar a un lado y el servidor al otro lado algo asi : cliente ---> switch ---> firewall ---> switch2 ---> server. esto tambien te da respuesta a la primera pregunta. No se si soy claro. pude buscar en google como broadcast domain, switch address table. en fin no es a nivel de configuracion de firewall sino a nivel de red lo que sucede. > > Desde ya las gracias por haberme leído, es la primera vez que participo en > las listas de correo y aprovecho para felicitar a esta excelente comunidad. > > >
Puertos y firewall
Buenas tardes, por favor alguien me podría ayudar con unos conceptos que me resultan interesantes y no me quedan muy claros? He leído en diversas wikis, foros, etc. recomendando no tener puertos en escucha innecesariamente, los cuales podrían "detectarse" y "aprovecharse" por un atacante. Por lo tanto: * Ejecuto ss -tap en un equipo y me arroja que tengo el puerto 22 en escucha por ssh * También tengo activado el firewall a través de UFW con las siguientes reglas Logging: on (low) Default: deny (incoming), allow (outgoing) New profiles: skip * Al intentar establecer una conexión ssh a ese equipo es rechazada. * Creo la regla de acceso al puerto 22 en el firewall, la conexión se establece. Mis dudas: 1. ¿Por qué se recomienda no tener puertos en escucha de servicios que no se usan para evitar ataques de fuerza bruta, si total un firewall correctamente configurado impide las conexiones? 2. ¿Y por qué con namp desde otro equipo en mi red interna puedo detectar el puerto 22 en escucha teniendo firewall con la regla "deny (incoming)" y funcionando, sin poder establecer conexiones al puerto 22? ¿El firewall no debería impedir cualquier tipo de petición externa? Desde ya las gracias por haberme leído, es la primera vez que participo en las listas de correo y aprovecho para felicitar a esta excelente comunidad.
Re: Firewall
El mié, 15-03-2017 a las 16:49 -0400, luis godoy escribió: > Hola, se puede usar o instalar un firewall en una versión live? > (Versión 8) si (http://www.netfilter.org/documentation/index.html)
Firewall
Hola, se puede usar o instalar un firewall en una versión live? (Versión 8)
Fwd: Re: firewall para novatos
hola! El 26/11/16 a las 14:20, R Calleja escribió: Lo mejor es iptables, sirve para todas las distribuciones linux y es muy configurable, mucho mejor que los graficos. Abajo un scrip de firewall para un servidor, con algunas modificaciones puede servir: #!/bin/bash # Dirección IP del servidor IP="192.168.145.32" # Vaciar todas las cadenas y contadores iptables -F iptables -X iptables -Z # Activar diferentes protecciones a nivel kernel # # Ignorar broadcasts icmp echo -n '1' > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts # Deshabilitar Source Routing echo -n '0' > /proc/sys/net/ipv4/conf/all/accept_source_route # Deshabilitar ICMP redirects echo -n '0' > /proc/sys/net/ipv4/conf/all/accept_redirects # Proteger contra "bad error messages" echo -n '1' > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses # Deshabilitar ip forwarding echo -n '0' > /proc/sys/net/ipv4/ip_forward # Loguear sospechosos, "source routed" y redirects echo -n '1' >/proc/sys/net/ipv4/conf/all/log_martians # Por defecto, bloquear todo en las cadenas INPUT y FORWARD iptables -P INPUT DROP iptables -P FORWARD DROP # Permitir todo el tráfico saliente iptables -P OUTPUT ACCEPT # Bloquear conexiones TCP nuevas que no comiencen con SYN iptables -A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -m limit --limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "TCP RST,ACK,FIN" iptables -A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -j DROP # Bloquear fragmentos entrantes iptables -A INPUT -i eth0 -f -m limit --limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "Fragment Packets" iptables -A INPUT -i eth0 -f -j DROP # Bloquear paquetes malformados iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP # Bloquear NULL packets iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -m limit --limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "NULL Packets" iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP # Bloquear paquetes "Christmas tree" malformados iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "XMAS Packets" iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP # Bloquear ataques Fin Scan iptables -A INPUT -i eth0 -p tcp --tcp-flags FIN,ACK FIN -m limit --limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "Fin Packets Scan" iptables -A INPUT -i eth0 -p tcp --tcp-flags FIN,ACK FIN -j DROP # Validar flags TCP iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP # Bloquear paquetes inválidos iptables -A INPUT -m conntrack --ctstate INVALID -j DROP # Permitir todo en la interfaz loopback iptables -A INPUT -i lo -j ACCEPT # Permitir paquetes de conexiones establecidas iptables -A INPUT -p all -m state --state RELATED,ESTABLISHED -j ACCEPT # Permitir ping iptables -A INPUT -p icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT # Permitir conexiones hacia el puerto 22 (SSH) iptables -A INPUT -p tcp -d $IP --sport 1024:65535 --dport 22 -m state --state NEW -j ACCEPT # Permitir conexiones hacia el puerto 80 y 443 (HTTP y HTTPS) iptables -A INPUT -p tcp -d $IP --sport 1024:65535 --dport 80 -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp -d $IP --sport 1024:65535 --dport 443 -m state --state NEW -j ACCEPT # Loguear y rechazar el resto iptables -A INPUT -j LOG iptables -A FORWARD -j LOG iptables -A INPUT -j DROP Copias el scrip y lo ejecutas, Tambien necesitas instalar netfilter-persistent para que se guarde al reiniciar. Salu2 Super interesante!! ya lo copio y lo guardo -el asuntillo es que no entiendo un pomo! jaja.-. ..Puedo estudiarlo de a poco, si señor! faltan unos meses para el server... Muchas Gracias! El 26 de noviembre de 2016, 14:35, divagante <libreydivaga...@gmail.com <mailto:libreydivaga...@gmail.com>> escribió: Hola gente! Bueno, por conveniencia para quien quiera ayudarme con algun dato dire que soy un usuario de debian de 7 años de antiguedad, pero que aun no encontre el tiempo o las ganas de conocer profundamente la administracion de sistemas unix o redes... No hago scrips ni entiendo sobre redes mas alla de configurar con alguna guia de ayuda /etc/network/interfaces. Algo que hace rato ni hago debido a los gestores como wicd o gnome. Si bien no descarto en un futuro leer y meterme con iptables, quisiera empezar al montar un futuro servidor de radio streaming, con un firewall intuitivo, facil de manejar y con interfaz grafica. Nota: recuerdo que hace ya algunos años usando windows y el antivirus kaspersky instale el firewall de este ultimo, y la verdad me resulto super intuitivo y manejable.
Re: firewall para novatos
El 26/11/16 a las 14:57, Laotrasolucion escribió: El 26/11/16 a las 10:35, divagante escribió: Hola gente! Bueno, por conveniencia para quien quiera ayudarme con algun dato dire que soy un usuario de debian de 7 años de antiguedad, pero que aun no encontre el tiempo o las ganas de conocer profundamente la administracion de sistemas unix o redes... No hago scrips ni entiendo sobre redes mas alla de configurar con alguna guia de ayuda /etc/network/interfaces. Algo que hace rato ni hago debido a los gestores como wicd o gnome. Si bien no descarto en un futuro leer y meterme con iptables, quisiera empezar al montar un futuro servidor de radio streaming, con un firewall intuitivo, facil de manejar y con interfaz grafica. Nota: recuerdo que hace ya algunos años usando windows y el antivirus kaspersky instale el firewall de este ultimo, y la verdad me resulto super intuitivo y manejable. Se veian claramente las peticiones de algun programa freeware hacia internet y como este las denegaba si uno con algunos clicks lo determinaba asi. Muchas gracias por su ayuda. Hola, Yo la verdad que no he usado mucho las GUI para iptables, pero la pagina de iptables tiene un apartado con algunos. http://www.iptables.info/en/iptables-gui.html Bueno... ya lo estoy viendo, quizas alguno convenga como para ir administrando. Yo personalmente he usado alguna vez fwbuilder, que esta bastante bien. Hay bastante documentación y videos explicativos. Casualmente en estos dias cai en esta misma aplicacion. fwbuilder. Y claro, como lo anunciaba su mismo nombre nombre, sirve para construir un entorno de reglas que luego se aplican en iptables u otros... entendiendo esto lo deje en espera. No se si algunos de los que existe pueda complacer tus requerimientos tal como lo hizo don kaspersky, pero dejame decirte que armar un firewall no es una tarea tan complicada, siempre y cuando entiendas los conceptos. jeje.. don kaspersky lo use de curioso y me satisfizo en su momento por dar una idea de lo que ocurria con las aplicaciones en windows. Digo... da mucho placer decirle a un freeeware (el cual uno no sabe que cara%$ hace) CHIST! que esta haciendo? si sos un reproductor de video, para que te vas a ese IP?. Jejeje! es genial!, y segun el caso, libertario o patriotico tambien! Saludos y gracias.
Re: firewall para novatos
Firestarter http://robersoft.blogcindario.com/2011/01/00010-firewall-cortafuegos-en-ubuntu.html *Saludes;* rasa. El 27 de noviembre de 2016, 17:08, Alejandro Gutiérrez < alexfile...@gmail.com> escribió: > Algo simple e intuitivo podría ser Gufw, la interfaz gráfica de ufw. > > El 27/11/16 a las 11:09, Ricardo Adolfo Sánchez Arboleda escribió: > > Mira > > https://es.wikipedia.org/wiki/PfSense > > https://pfsense.org/ > > > > > > > > *Saludes;* > > > > rasa. > > > > El 26 de noviembre de 2016, 12:57, Laotrasolucion > > <laotrasoluc...@gmail.com <mailto:laotrasoluc...@gmail.com>> escribió: > > > > > > > > El 26/11/16 a las 10:35, divagante escribió: > > > Hola gente! > > > > > > Bueno, por conveniencia para quien quiera ayudarme con algun dato > > dire > > > que soy un usuario de debian de 7 años de antiguedad, pero que aun > no > > > encontre el tiempo o las ganas de conocer profundamente la > > > administracion de sistemas unix o redes... > > > No hago scrips ni entiendo sobre redes mas alla de configurar con > > > alguna guia de ayuda /etc/network/interfaces. Algo que hace rato > > ni hago > > > debido a los gestores como wicd o gnome. > > > > > > Si bien no descarto en un futuro leer y meterme con iptables, > > quisiera > > > empezar al montar un futuro servidor de radio streaming, con un > > firewall > > > intuitivo, facil de manejar y con interfaz grafica. > > > > > > Nota: recuerdo que hace ya algunos años usando windows y el > antivirus > > > kaspersky instale el firewall de este ultimo, y la verdad me > resulto > > > super intuitivo y manejable. Se veian claramente las peticiones de > > algun > > > programa freeware hacia internet y como este las denegaba si uno > con > > > algunos clicks lo determinaba asi. > > > > > > Muchas gracias por su ayuda. > > > > > > > > > > Hola, > > > > Yo la verdad que no he usado mucho las GUI para iptables, pero la > pagina > > de iptables tiene un apartado con algunos. > > > > http://www.iptables.info/en/iptables-gui.html > > <http://www.iptables.info/en/iptables-gui.html> > > > > Yo personalmente he usado alguna vez fwbuilder, que esta bastante > bien. > > Hay bastante documentación y videos explicativos. > > No se si algunos de los que existe pueda complacer tus requerimientos > > tal como lo hizo don kaspersky, pero dejame decirte que armar un > > firewall no es una tarea tan complicada, siempre y cuando entiendas > los > > conceptos. > > > > > >
Re: firewall para novatos
Algo simple e intuitivo podría ser Gufw, la interfaz gráfica de ufw. El 27/11/16 a las 11:09, Ricardo Adolfo Sánchez Arboleda escribió: > Mira > https://es.wikipedia.org/wiki/PfSense > https://pfsense.org/ > > > > *Saludes;* > > rasa. > > El 26 de noviembre de 2016, 12:57, Laotrasolucion > <laotrasoluc...@gmail.com <mailto:laotrasoluc...@gmail.com>> escribió: > > > > El 26/11/16 a las 10:35, divagante escribió: > > Hola gente! > > > > Bueno, por conveniencia para quien quiera ayudarme con algun dato > dire > > que soy un usuario de debian de 7 años de antiguedad, pero que aun no > > encontre el tiempo o las ganas de conocer profundamente la > > administracion de sistemas unix o redes... > > No hago scrips ni entiendo sobre redes mas alla de configurar con > > alguna guia de ayuda /etc/network/interfaces. Algo que hace rato > ni hago > > debido a los gestores como wicd o gnome. > > > > Si bien no descarto en un futuro leer y meterme con iptables, > quisiera > > empezar al montar un futuro servidor de radio streaming, con un > firewall > > intuitivo, facil de manejar y con interfaz grafica. > > > > Nota: recuerdo que hace ya algunos años usando windows y el antivirus > > kaspersky instale el firewall de este ultimo, y la verdad me resulto > > super intuitivo y manejable. Se veian claramente las peticiones de > algun > > programa freeware hacia internet y como este las denegaba si uno con > > algunos clicks lo determinaba asi. > > > > Muchas gracias por su ayuda. > > > > > > Hola, > > Yo la verdad que no he usado mucho las GUI para iptables, pero la pagina > de iptables tiene un apartado con algunos. > > http://www.iptables.info/en/iptables-gui.html > <http://www.iptables.info/en/iptables-gui.html> > > Yo personalmente he usado alguna vez fwbuilder, que esta bastante bien. > Hay bastante documentación y videos explicativos. > No se si algunos de los que existe pueda complacer tus requerimientos > tal como lo hizo don kaspersky, pero dejame decirte que armar un > firewall no es una tarea tan complicada, siempre y cuando entiendas los > conceptos. > >
Re: firewall para novatos
Mira https://es.wikipedia.org/wiki/PfSense https://pfsense.org/ *Saludes;* rasa. El 26 de noviembre de 2016, 12:57, Laotrasolucion <laotrasoluc...@gmail.com> escribió: > > > El 26/11/16 a las 10:35, divagante escribió: > > Hola gente! > > > > Bueno, por conveniencia para quien quiera ayudarme con algun dato dire > > que soy un usuario de debian de 7 años de antiguedad, pero que aun no > > encontre el tiempo o las ganas de conocer profundamente la > > administracion de sistemas unix o redes... > > No hago scrips ni entiendo sobre redes mas alla de configurar con > > alguna guia de ayuda /etc/network/interfaces. Algo que hace rato ni hago > > debido a los gestores como wicd o gnome. > > > > Si bien no descarto en un futuro leer y meterme con iptables, quisiera > > empezar al montar un futuro servidor de radio streaming, con un firewall > > intuitivo, facil de manejar y con interfaz grafica. > > > > Nota: recuerdo que hace ya algunos años usando windows y el antivirus > > kaspersky instale el firewall de este ultimo, y la verdad me resulto > > super intuitivo y manejable. Se veian claramente las peticiones de algun > > programa freeware hacia internet y como este las denegaba si uno con > > algunos clicks lo determinaba asi. > > > > Muchas gracias por su ayuda. > > > > > > Hola, > > Yo la verdad que no he usado mucho las GUI para iptables, pero la pagina > de iptables tiene un apartado con algunos. > > http://www.iptables.info/en/iptables-gui.html > > Yo personalmente he usado alguna vez fwbuilder, que esta bastante bien. > Hay bastante documentación y videos explicativos. > No se si algunos de los que existe pueda complacer tus requerimientos > tal como lo hizo don kaspersky, pero dejame decirte que armar un > firewall no es una tarea tan complicada, siempre y cuando entiendas los > conceptos. > >
Re: firewall para novatos
El 26/11/16 a las 10:35, divagante escribió: > Hola gente! > > Bueno, por conveniencia para quien quiera ayudarme con algun dato dire > que soy un usuario de debian de 7 años de antiguedad, pero que aun no > encontre el tiempo o las ganas de conocer profundamente la > administracion de sistemas unix o redes... > No hago scrips ni entiendo sobre redes mas alla de configurar con > alguna guia de ayuda /etc/network/interfaces. Algo que hace rato ni hago > debido a los gestores como wicd o gnome. > > Si bien no descarto en un futuro leer y meterme con iptables, quisiera > empezar al montar un futuro servidor de radio streaming, con un firewall > intuitivo, facil de manejar y con interfaz grafica. > > Nota: recuerdo que hace ya algunos años usando windows y el antivirus > kaspersky instale el firewall de este ultimo, y la verdad me resulto > super intuitivo y manejable. Se veian claramente las peticiones de algun > programa freeware hacia internet y como este las denegaba si uno con > algunos clicks lo determinaba asi. > > Muchas gracias por su ayuda. > > Hola, Yo la verdad que no he usado mucho las GUI para iptables, pero la pagina de iptables tiene un apartado con algunos. http://www.iptables.info/en/iptables-gui.html Yo personalmente he usado alguna vez fwbuilder, que esta bastante bien. Hay bastante documentación y videos explicativos. No se si algunos de los que existe pueda complacer tus requerimientos tal como lo hizo don kaspersky, pero dejame decirte que armar un firewall no es una tarea tan complicada, siempre y cuando entiendas los conceptos. signature.asc Description: OpenPGP digital signature
firewall para novatos
Hola gente! Bueno, por conveniencia para quien quiera ayudarme con algun dato dire que soy un usuario de debian de 7 años de antiguedad, pero que aun no encontre el tiempo o las ganas de conocer profundamente la administracion de sistemas unix o redes... No hago scrips ni entiendo sobre redes mas alla de configurar con alguna guia de ayuda /etc/network/interfaces. Algo que hace rato ni hago debido a los gestores como wicd o gnome. Si bien no descarto en un futuro leer y meterme con iptables, quisiera empezar al montar un futuro servidor de radio streaming, con un firewall intuitivo, facil de manejar y con interfaz grafica. Nota: recuerdo que hace ya algunos años usando windows y el antivirus kaspersky instale el firewall de este ultimo, y la verdad me resulto super intuitivo y manejable. Se veian claramente las peticiones de algun programa freeware hacia internet y como este las denegaba si uno con algunos clicks lo determinaba asi. Muchas gracias por su ayuda.
Re: Firewall
El Wed, 24 Aug 2016 10:49:31 -0700, Luis Ernesto Garcia escribió: > Deseo contruir una minidmz o sea tres pc una con tres tarjetas de red > una tarjeta para el adsl una para la lan y otra para la dmz, en un > comienzo pienso debian con un iptables y un dns para el server > principal, y dentro de la dmz un server con correo y proxy, alguien > tiene idea de como puedo comenzar a armar los servicios o donde > encontrar información al respecto Puedes empezar por aquí: https://www.google.com/webhp?complete=0=en_rd=cr#complete=0=en=debian+dmz Saludos, -- Camaleón
Re: Firewall
El 24/08/16 a las 13:49, Luis Ernesto Garcia escribió: Deseo contruir una minidmz o sea tres pc una con tres tarjetas de red una tarjeta para el adsl una para la lan y otra para la dmz, en un comienzo pienso debian con un iptables y un dns para el server principal, y dentro de la dmz un server con correo y proxy, alguien tiene idea de como puedo comenzar a armar los servicios o donde encontrar información al respecto Te recomiendo que pongas un pfsense con 3 interfaces de red como mismo quieres hacer y que en la DMZ, pongas 1 o 2 Nodos Proxmox y montes sobre ellos los server que quieras, ya sea con ubuntu o debian. -- ___ Ing. Eduardo R. Barrera Pérez Administrador de Redes y Servicios Pinar del Río Email: ebpr...@yahoo.es Jabber: eb...@jabber.org Móvil: +53-58531759 __ ___ ___| |__ _ __ _ __ ___|___ ( _ ) / _ \ '_ \| '_ \| '__|_ / / // _ \ | __/ |_) | |_) | | / / / /| (_) | \___|_.__/| .__/|_| /___|/_/ \___/ |_|
Firewall
Deseo contruir una minidmz o sea tres pc una con tres tarjetas de red una tarjeta para el adsl una para la lan y otra para la dmz, en un comienzo pienso debian con un iptables y un dns para el server principal, y dentro de la dmz un server con correo y proxy, alguien tiene idea de como puedo comenzar a armar los servicios o donde encontrar información al respecto
RE: [spanish 97%] El firewall se muere y solo revive reiniciando el servidor
Puedes listar los procesos que están corriendo en la máquina en la que se encuentre el firewall y ver si hay alguno que sea inusual o extraño. De: kazabe [mailto:kaz...@gmail.com] Enviado el: miércoles, 4 de noviembre de 2015 22:26 Para: Debian User Spanish <debian-user-spanish@lists.debian.org> Asunto: [spanish 97%] El firewall se muere y solo revive reiniciando el servidor Hola. He notado algo muy particular en un firewall que tengo virtualizado con cytrix. Basicamente comparte internet y publica un servicio web que esta en otro servidor (tambien virtualizado). Todo trabaja bien por unas horas (a veces dias) y de repente no hay acceso desde el exterior al servidor web. Reviso el firewall y muestra las reglas arriba pero no las esta aplicando. Reinicio el servicio del firewall y sigue igual. Solo vuelve a funcionar si reinicio servidor. Primero pense que era un problema de la maquina virtual, pues era un debian 6 con un script basico de iptables que improvise hace años. Pero monte un debian 8 de cero, el firewall lo puse con shorewall y siendo todo completamente separado, el problema continua. Lo unico comun entre ambos es que estan virtualizados en el mismo cytrix. Alguno de ustedes ha experimentado una situacion similar? Como puedo rastrear "que mata" el firewall? Gracias de antemano por su ayuda. Saludos
Re: El firewall se muere y solo revive reiniciando el servidor
El Wed, 04 Nov 2015 16:25:52 -0500, kazabe escribió: > Hola. Ese formato... > He notado algo muy particular en un firewall que tengo virtualizado con > cytrix. Basicamente comparte internet y publica un servicio web que > esta en otro servidor (tambien virtualizado). > > Todo trabaja bien por unas horas (a veces dias) y de repente no hay > acceso desde el exterior al servidor web. Reviso el firewall y muestra > las reglas arriba pero no las esta aplicando. Reinicio el servicio del > firewall y sigue igual. Solo vuelve a funcionar si reinicio servidor. (...) ¿Y sólo falla el firewall o notas algún servicio más que se quede medio tonto? Prueba a acceder a otro servicio (si tienes que pinchar el cortafuegos, lo pinchas para dar acceso a otro puerto/servicio) desde el exterior para ver si sigue siendo accesible o falla de igual forma. Otra cosa que podrías hacer es dejar abierta una entrada sin pasar por el cortafuegos para ver si el sistema en general sigue respondiendo y está accesible. Por otra parte, no mates sólo el servicio de cortafuegos sino el servicio de red completo; eso sí, ten en cuenta las consecuencias en caso de que no puedas volver a levantarlo (haz la prueba cuando no haya clientes conectados, tengas poco tráfico, etc...). > Alguno de ustedes ha experimentado una situacion similar? > > Como puedo rastrear "que mata" el firewall? Revisa los registros del sistema que se encarga del cortafuegos por si vieras algo interesante así como los propios del firewall. Saludos, -- Camaleón
El firewall se muere y solo revive reiniciando el servidor
Hola. He notado algo muy particular en un firewall que tengo virtualizado con cytrix. Basicamente comparte internet y publica un servicio web que esta en otro servidor (tambien virtualizado). Todo trabaja bien por unas horas (a veces dias) y de repente no hay acceso desde el exterior al servidor web. Reviso el firewall y muestra las reglas arriba pero no las esta aplicando. Reinicio el servicio del firewall y sigue igual. Solo vuelve a funcionar si reinicio servidor. Primero pense que era un problema de la maquina virtual, pues era un debian 6 con un script basico de iptables que improvise hace años. Pero monte un debian 8 de cero, el firewall lo puse con shorewall y siendo todo completamente separado, el problema continua. Lo unico comun entre ambos es que estan virtualizados en el mismo cytrix. Alguno de ustedes ha experimentado una situacion similar? Como puedo rastrear "que mata" el firewall? Gracias de antemano por su ayuda. Saludos
Re: VPN web + ssl y Firewall
El mar, 10-03-2015 a las 18:53 +0100, Maykel Franco escribió: El 10/03/2015 18:33, Antonio Moreno anto...@sorianatural.es escribió: El 10/03/15 a las 15:34, Camaleón escribió: El Tue, 10 Mar 2015 08:26:03 +0100, Antonio Moreno escribió: 1- Me han comentado la opcion de crear una VPN mediante web con ssl y presentado solo los recursos accesibles a ese usuario. Surfeando por internet he encontrado adito (Ahora OpenVPN ALS), Que opinion os merece esto??? Pues así por encima: 1/ Está escrito en java (tendrás que estar preparado para pelearte con ese bicho). 2/ No lo veo en los repositorios oficiales de Debian (no pasa nada pero tendrás que actualizarlo por tu cuenta). 3/ Quizá encuentres más documentación disponible para otros servidores VPN más utilizados (como OpenVPN). Como contrapartida, al estar escrito en java será más fácil de instalar y multiplataforma y al estar basado en navegador web seguramente sencillo de configurar. Dale un chance, no tiene mala pinta :-) 2- Me he propuesto como proposito de este año mejorar la seguridad con un firewall entre la conexion a internet y la red de la empresa, Que firewall me recomendais utilizar??? El que nunca falla y está integrado: iptables. Para gestionarlo... eso ya es otro cantar. Saludos, Muchas gracias, por la respuesta, me fio de tu opinion, aun asi se agradece la de mas gente 1- Probare, como dices tiene buena pinta y parece sencillo de configurar Openvpn ALS el antiguo adito. Lo tengo montado en un centros y la verdad es una maravilla. Le das acceso solo a los host que quieras, y java en la parte cliente te hace un túnel en localhost a un puerto aleatorio y lo enruta hacia el servidor destino:puerto. 2- Si que habia pensado en iptables, pero me da miedo dejarme cosas en el tintero, habia pensado en algo mas visual no se Te recomiendo pfSense, en firewall por software de lo mejorcito que he visto. Tiene de todo y con interfaz web para su administración. Lo tengo en mi empresa desde hace 3 años y 0 problemas. Actualizaciones de fiar y estables. otro voto para pfsense. Aunque yo lo tengo hace unos cuantos años mas, 6 ó 7 quizá De todas formas espero mas opiniones a ver que me decis Muchas gracias y un saludo Saludos. -- (-.(-.(-.(-.(-.(-.-).-).-).-).-).-) -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/1426248190.1156.14.ca...@gmail.com
Re: VPN web + ssl y Firewall
Fwbuilder.org Enviado desde Type Mail En mar 13, 2015 09:21, en 09:21, Maykel Franco maykeldeb...@gmail.com escrito: El 13/03/2015 13:03, Gonzalo Rivero fishfromsa...@gmail.com escribió: El mar, 10-03-2015 a las 18:53 +0100, Maykel Franco escribió: El 10/03/2015 18:33, Antonio Moreno anto...@sorianatural.es escribió: El 10/03/15 a las 15:34, Camaleón escribió: El Tue, 10 Mar 2015 08:26:03 +0100, Antonio Moreno escribió: 1- Me han comentado la opcion de crear una VPN mediante web con ssl y presentado solo los recursos accesibles a ese usuario. Surfeando por internet he encontrado adito (Ahora OpenVPN ALS), Que opinion os merece esto??? Pues así por encima: 1/ Está escrito en java (tendrás que estar preparado para pelearte con ese bicho). 2/ No lo veo en los repositorios oficiales de Debian (no pasa nada pero tendrás que actualizarlo por tu cuenta). 3/ Quizá encuentres más documentación disponible para otros servidores VPN más utilizados (como OpenVPN). Como contrapartida, al estar escrito en java será más fácil de instalar y multiplataforma y al estar basado en navegador web seguramente sencillo de configurar. Dale un chance, no tiene mala pinta :-) 2- Me he propuesto como proposito de este año mejorar la seguridad con un firewall entre la conexion a internet y la red de la empresa, Que firewall me recomendais utilizar??? El que nunca falla y está integrado: iptables. Para gestionarlo... eso ya es otro cantar. Saludos, Muchas gracias, por la respuesta, me fio de tu opinion, aun asi se agradece la de mas gente 1- Probare, como dices tiene buena pinta y parece sencillo de configurar Openvpn ALS el antiguo adito. Lo tengo montado en un centros y la verdad es una maravilla. Le das acceso solo a los host que quieras, y java en la parte cliente te hace un túnel en localhost a un puerto aleatorio y lo enruta hacia el servidor destino:puerto. 2- Si que habia pensado en iptables, pero me da miedo dejarme cosas en el tintero, habia pensado en algo mas visual no se Te recomiendo pfSense, en firewall por software de lo mejorcito que he visto. Tiene de todo y con interfaz web para su administración. Lo tengo en mi empresa desde hace 3 años y 0 problemas. Actualizaciones de fiar y estables. otro voto para pfsense. Aunque yo lo tengo hace unos cuantos años mas, 6 ó 7 quizá De todas formas espero mas opiniones a ver que me decis Muchas gracias y un saludo Saludos. -- (-.(-.(-.(-.(-.(-.-).-).-).-).-).-) -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/1426248190.1156.14.ca...@gmail.com Entonces Gonzalo habrás comprobado su evolución... Muchísimas mas opciones que la versión 1. También están bien las opciones de smoothwall, monowall... Pero para mi pfSense es el rey.
Re: VPN web + ssl y Firewall
El 13/03/2015 13:03, Gonzalo Rivero fishfromsa...@gmail.com escribió: El mar, 10-03-2015 a las 18:53 +0100, Maykel Franco escribió: El 10/03/2015 18:33, Antonio Moreno anto...@sorianatural.es escribió: El 10/03/15 a las 15:34, Camaleón escribió: El Tue, 10 Mar 2015 08:26:03 +0100, Antonio Moreno escribió: 1- Me han comentado la opcion de crear una VPN mediante web con ssl y presentado solo los recursos accesibles a ese usuario. Surfeando por internet he encontrado adito (Ahora OpenVPN ALS), Que opinion os merece esto??? Pues así por encima: 1/ Está escrito en java (tendrás que estar preparado para pelearte con ese bicho). 2/ No lo veo en los repositorios oficiales de Debian (no pasa nada pero tendrás que actualizarlo por tu cuenta). 3/ Quizá encuentres más documentación disponible para otros servidores VPN más utilizados (como OpenVPN). Como contrapartida, al estar escrito en java será más fácil de instalar y multiplataforma y al estar basado en navegador web seguramente sencillo de configurar. Dale un chance, no tiene mala pinta :-) 2- Me he propuesto como proposito de este año mejorar la seguridad con un firewall entre la conexion a internet y la red de la empresa, Que firewall me recomendais utilizar??? El que nunca falla y está integrado: iptables. Para gestionarlo... eso ya es otro cantar. Saludos, Muchas gracias, por la respuesta, me fio de tu opinion, aun asi se agradece la de mas gente 1- Probare, como dices tiene buena pinta y parece sencillo de configurar Openvpn ALS el antiguo adito. Lo tengo montado en un centros y la verdad es una maravilla. Le das acceso solo a los host que quieras, y java en la parte cliente te hace un túnel en localhost a un puerto aleatorio y lo enruta hacia el servidor destino:puerto. 2- Si que habia pensado en iptables, pero me da miedo dejarme cosas en el tintero, habia pensado en algo mas visual no se Te recomiendo pfSense, en firewall por software de lo mejorcito que he visto. Tiene de todo y con interfaz web para su administración. Lo tengo en mi empresa desde hace 3 años y 0 problemas. Actualizaciones de fiar y estables. otro voto para pfsense. Aunque yo lo tengo hace unos cuantos años mas, 6 ó 7 quizá De todas formas espero mas opiniones a ver que me decis Muchas gracias y un saludo Saludos. -- (-.(-.(-.(-.(-.(-.-).-).-).-).-).-) -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/1426248190.1156.14.ca...@gmail.com Entonces Gonzalo habrás comprobado su evolución... Muchísimas mas opciones que la versión 1. También están bien las opciones de smoothwall, monowall... Pero para mi pfSense es el rey.
Re: VPN web + ssl y Firewall
El vie, 13-03-2015 a las 16:20 +0100, Maykel Franco escribió: El 13/03/2015 13:03, Gonzalo Rivero fishfromsa...@gmail.com escribió: El mar, 10-03-2015 a las 18:53 +0100, Maykel Franco escribió: El 10/03/2015 18:33, Antonio Moreno anto...@sorianatural.es escribió: El 10/03/15 a las 15:34, Camaleón escribió: El Tue, 10 Mar 2015 08:26:03 +0100, Antonio Moreno escribió: 1- Me han comentado la opcion de crear una VPN mediante web con ssl y presentado solo los recursos accesibles a ese usuario. Surfeando por internet he encontrado adito (Ahora OpenVPN ALS), Que opinion os merece esto??? Pues así por encima: 1/ Está escrito en java (tendrás que estar preparado para pelearte con ese bicho). 2/ No lo veo en los repositorios oficiales de Debian (no pasa nada pero tendrás que actualizarlo por tu cuenta). 3/ Quizá encuentres más documentación disponible para otros servidores VPN más utilizados (como OpenVPN). Como contrapartida, al estar escrito en java será más fácil de instalar y multiplataforma y al estar basado en navegador web seguramente sencillo de configurar. Dale un chance, no tiene mala pinta :-) 2- Me he propuesto como proposito de este año mejorar la seguridad con un firewall entre la conexion a internet y la red de la empresa, Que firewall me recomendais utilizar??? El que nunca falla y está integrado: iptables. Para gestionarlo... eso ya es otro cantar. Saludos, Muchas gracias, por la respuesta, me fio de tu opinion, aun asi se agradece la de mas gente 1- Probare, como dices tiene buena pinta y parece sencillo de configurar Openvpn ALS el antiguo adito. Lo tengo montado en un centros y la verdad es una maravilla. Le das acceso solo a los host que quieras, y java en la parte cliente te hace un túnel en localhost a un puerto aleatorio y lo enruta hacia el servidor destino:puerto. 2- Si que habia pensado en iptables, pero me da miedo dejarme cosas en el tintero, habia pensado en algo mas visual no se Te recomiendo pfSense, en firewall por software de lo mejorcito que he visto. Tiene de todo y con interfaz web para su administración. Lo tengo en mi empresa desde hace 3 años y 0 problemas. Actualizaciones de fiar y estables. otro voto para pfsense. Aunque yo lo tengo hace unos cuantos años mas, 6 ó 7 quizá De todas formas espero mas opiniones a ver que me decis Muchas gracias y un saludo Saludos. -- (-.(-.(-.(-.(-.(-.-).-).-).-).-).-) -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/1426248190.1156.14.ca...@gmail.com Entonces Gonzalo habrás comprobado su evolución... Muchísimas mas opciones que la versión 1. de hecho, hasta la semana pasada tenía uno andando con pfsense 1.algo. Y solo lo cambié porque vi que el disco estaba dando muchos errores de lectura y escritura, así que en cualquier momento iba a tener que hacer ese cambio También están bien las opciones de smoothwall, monowall... Pero para mi pfSense es el rey. -- (-.(-.(-.(-.(-.(-.-).-).-).-).-).-) -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/1426265256.1156.22.ca...@gmail.com
Re: VPN web + ssl y Firewall
El 10/03/15 a las 15:34, Camaleón escribió: El Tue, 10 Mar 2015 08:26:03 +0100, Antonio Moreno escribió: 1- Me han comentado la opcion de crear una VPN mediante web con ssl y presentado solo los recursos accesibles a ese usuario. Surfeando por internet he encontrado adito (Ahora OpenVPN ALS), Que opinion os merece esto??? Pues así por encima: 1/ Está escrito en java (tendrás que estar preparado para pelearte con ese bicho). 2/ No lo veo en los repositorios oficiales de Debian (no pasa nada pero tendrás que actualizarlo por tu cuenta). 3/ Quizá encuentres más documentación disponible para otros servidores VPN más utilizados (como OpenVPN). Como contrapartida, al estar escrito en java será más fácil de instalar y multiplataforma y al estar basado en navegador web seguramente sencillo de configurar. Dale un chance, no tiene mala pinta :-) 2- Me he propuesto como proposito de este año mejorar la seguridad con un firewall entre la conexion a internet y la red de la empresa, Que firewall me recomendais utilizar??? El que nunca falla y está integrado: iptables. Para gestionarlo... eso ya es otro cantar. Saludos, Muchas gracias, por la respuesta, me fio de tu opinion, aun asi se agradece la de mas gente 1- Probare, como dices tiene buena pinta y parece sencillo de configurar 2- Si que habia pensado en iptables, pero me da miedo dejarme cosas en el tintero, habia pensado en algo mas visual no se De todas formas espero mas opiniones a ver que me decis Muchas gracias y un saludo -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/54ff2ac2.1050...@sorianatural.es
Re: VPN web + ssl y Firewall
El Tue, 10 Mar 2015 08:26:03 +0100, Antonio Moreno escribió: 1- Me han comentado la opcion de crear una VPN mediante web con ssl y presentado solo los recursos accesibles a ese usuario. Surfeando por internet he encontrado adito (Ahora OpenVPN ALS), Que opinion os merece esto??? Pues así por encima: 1/ Está escrito en java (tendrás que estar preparado para pelearte con ese bicho). 2/ No lo veo en los repositorios oficiales de Debian (no pasa nada pero tendrás que actualizarlo por tu cuenta). 3/ Quizá encuentres más documentación disponible para otros servidores VPN más utilizados (como OpenVPN). Como contrapartida, al estar escrito en java será más fácil de instalar y multiplataforma y al estar basado en navegador web seguramente sencillo de configurar. Dale un chance, no tiene mala pinta :-) 2- Me he propuesto como proposito de este año mejorar la seguridad con un firewall entre la conexion a internet y la red de la empresa, Que firewall me recomendais utilizar??? El que nunca falla y está integrado: iptables. Para gestionarlo... eso ya es otro cantar. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2015.03.10.14.34...@gmail.com
Re: VPN web + ssl y Firewall
El 10/03/2015 18:33, Antonio Moreno anto...@sorianatural.es escribió: El 10/03/15 a las 15:34, Camaleón escribió: El Tue, 10 Mar 2015 08:26:03 +0100, Antonio Moreno escribió: 1- Me han comentado la opcion de crear una VPN mediante web con ssl y presentado solo los recursos accesibles a ese usuario. Surfeando por internet he encontrado adito (Ahora OpenVPN ALS), Que opinion os merece esto??? Pues así por encima: 1/ Está escrito en java (tendrás que estar preparado para pelearte con ese bicho). 2/ No lo veo en los repositorios oficiales de Debian (no pasa nada pero tendrás que actualizarlo por tu cuenta). 3/ Quizá encuentres más documentación disponible para otros servidores VPN más utilizados (como OpenVPN). Como contrapartida, al estar escrito en java será más fácil de instalar y multiplataforma y al estar basado en navegador web seguramente sencillo de configurar. Dale un chance, no tiene mala pinta :-) 2- Me he propuesto como proposito de este año mejorar la seguridad con un firewall entre la conexion a internet y la red de la empresa, Que firewall me recomendais utilizar??? El que nunca falla y está integrado: iptables. Para gestionarlo... eso ya es otro cantar. Saludos, Muchas gracias, por la respuesta, me fio de tu opinion, aun asi se agradece la de mas gente 1- Probare, como dices tiene buena pinta y parece sencillo de configurar Openvpn ALS el antiguo adito. Lo tengo montado en un centros y la verdad es una maravilla. Le das acceso solo a los host que quieras, y java en la parte cliente te hace un túnel en localhost a un puerto aleatorio y lo enruta hacia el servidor destino:puerto. 2- Si que habia pensado en iptables, pero me da miedo dejarme cosas en el tintero, habia pensado en algo mas visual no se Te recomiendo pfSense, en firewall por software de lo mejorcito que he visto. Tiene de todo y con interfaz web para su administración. Lo tengo en mi empresa desde hace 3 años y 0 problemas. Actualizaciones de fiar y estables. De todas formas espero mas opiniones a ver que me decis Muchas gracias y un saludo Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/54ff2ac2.1050...@sorianatural.es
VPN web + ssl y Firewall
Hola Tengo 2 preguntas para vosotros 1- Me han comentado la opcion de crear una VPN mediante web con ssl y presentado solo los recursos accesibles a ese usuario. Surfeando por internet he encontrado adito (Ahora OpenVPN ALS), Que opinion os merece esto??? 2- Me he propuesto como proposito de este año mejorar la seguridad con un firewall entre la conexion a internet y la red de la empresa, Que firewall me recomendais utilizar??? Muchas gracias y un saludo Toño -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/54fe9c8b.7020...@sorianatural.es
Re: dudas en el firewall
El Fri, 14 Nov 2014 16:37:10 -0400, luis escribió: Tengo en el debian 7 64bit un shorewall y squid La duda es la siguiente, Todo estaba trabajando muy bien y de pronto deja de dar navegación a los usuarios. ¿Dejó de funcionar sin haber hecho ningún cambio? Trabaja con un HD de 500 GB y está vacio, por ende no es problema de espacio. Reinicio los servicios de squid y shorewall, nada de error y sin queja alguna, pero no podía navegar como cliente ni hacer nslookup para ver ip de google.com opr ej. Yo revisaría el registro de shorewall/iptables o de squid, tiene que aparecer al menos la conexión iniciada desde el equipo cliente y en caso afirmativo aparecerá la acción que haya ejecutado shorewall sobre esa conexión y el motivo. Para probar tomé una PC aparte con IP real para ver si era problema de mi ISP, pero no, todo estaba súper bien bien. Alguna idea...?? Agradezco toda ayuda Puedes consultar la guía de problemas de Shorewall, quizá te dé alguna idea: Shorewall Troubleshooting Guide http://shorewall.net/troubleshoot.htm Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.11.15.15.51...@gmail.com
dudas en el firewall
Buenas tardes Tengo en el debian 7 64bit un shorewall y squid La duda es la siguiente, Todo estaba trabajando muy bien y de pronto deja de dar navegación a los usuarios. Trabaja con un HD de 500 GB y está vacio, por ende no es problema de espacio. Reinicio los servicios de squid y shorewall, nada de error y sin queja alguna, pero no podía navegar como cliente ni hacer nslookup para ver ip de google.com opr ej. Para probar tomé una PC aparte con IP real para ver si era problema de mi ISP, pero no, todo estaba súper bien bien. Alguna idea...?? Agradezco toda ayuda -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/313acc2413bf16b7f9d8f287855e4...@ida.cu
RE: dudas en el firewall
Buenas tardes Tengo en el debian 7 64bit un shorewall y squid La duda es la siguiente, Todo estaba trabajando muy bien y de pronto deja de dar navegación a los usuarios. Trabaja con un HD de 500 GB y está vacio, por ende no es problema de espacio. Reinicio los servicios de squid y shorewall, nada de error y sin queja alguna, pero no podía navegar como cliente ni hacer nslookup para ver ip de google.com opr ej. Para probar tomé una PC aparte con IP real para ver si era problema de mi ISP, pero no, todo estaba súper bien bien. Alguna idea...?? Agradezco toda ayuda Desde tu firewall prueba acceso a internet un nslookup , el problema puede que este en la eth0 , luego verifica las reglas de tu iptables si es que no hiciste algun cambio no lo toques, revisa los etc/resolv.conf coloca las Ip de google para pruebas 8.8.8.8 y 4.4.8.8 salu2 WRC -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/bay177-w3a136b39e9c2f404f72bdb6...@phx.gbl
Re: Dudas y problemas con firewall y ruteos
El Thu, 06 de Nov de 2014, a las 12:44:23PM -0300, tq dijo: Camaleón, adjunto la salida de /etc/network/interfaces [1] (la cual me pidió otro compañero) y las reglas de iptables [2]. A partir de la línea 263 aceptas que los paquetes icmp pasen por tu router (limitado a un número determinado por segundo pero lo aceptas), así que los icmp pasan. -- Tu dulce habla, ¿en cúya oreja suena? --- Garcilaso de la Vega --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20141108095320.ga5...@cubo.casa
Re: Dudas y problemas con firewall y ruteos
On 08/11/14 06:53, José Miguel (sio2) wrote: El Thu, 06 de Nov de 2014, a las 12:44:23PM -0300, tq dijo: Camaleón, adjunto la salida de /etc/network/interfaces [1] (la cual me pidió otro compañero) y las reglas de iptables [2]. A partir de la línea 263 aceptas que los paquetes icmp pasen por tu router (limitado a un número determinado por segundo pero lo aceptas), así que los icmp pasan. Jose, gracias por tu respuesta. Se me había pasado esa sección. Lo extraño es que si tiro un nmap desde afuera (osea la wan) puedo llegar a ver los puertos abiertos en uno de los host de la LAN, siempre y cuando en el host de la LAN haya agregado el ruteo estático hacia la WAN. Esto es correcto? Osea, es correcto que pueda tirar un nmap desde la WAN hacia un host de la LAN? Es correcto tener que agregar un ruteo estático en un host de la LAN para que pueda ser accesible de la WAN? Muchas Gracias. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/545e2f4d.7050...@gmail.com
Re: Dudas y problemas con firewall y ruteos
El Sat, 08 de Nov de 2014, a las 11:57:17AM -0300, tq dijo: Lo extraño es que si tiro un nmap desde afuera (osea la wan) puedo llegar a ver los puertos abiertos en uno de los host de la LAN, siempre y cuando en el host de la LAN haya agregado el ruteo estático hacia la WAN. Esto es correcto? Para que veas los puertos abiertos en el host de la LAN es necesario que se pueda pasar a través del router. Si el router corta las comunicaciones, no. Es correcto tener que agregar un ruteo estático en un host de la LAN para que pueda ser accesible de la WAN? Para que puedas acceder al host de la LAN desde la WAN se deben cumplir dos cosas: 1. Que el host de la LAN sepa cuál es su puerta de enlace. 2. Que el host de la WAN sepa que detrás de ese router esta esa LAN, o bien que ese router sea su única puerta de enlace con lo cual cualquier paquete cuyo destino no sea su red lo enviará a ese router. Cuando no se controla la WAN (por ejemplo, la WAN es internet), y se quiere hacer accesible el servicio de un host de la LAN, lo que se hace es lo que vulgarmente se llama redireccionar puertos en el router, o sea, un DNAT en la cadena PREROUTING del router hacia el host cuyo servicio que quiere hacer accesible. Un saludo. -- Vine a desembuchar y desembucho. --- Muñoz Seca --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20141108173048.ga24...@cubo.casa
Re: Dudas y problemas con firewall y ruteos
Los equipos están en redes físicas distintas o en diferentes VLAN? El miércoles, 5 de noviembre de 2014 09:20:04 UTC-4:30, tq escribió: Lista, buen día. Tengo un equipo simple con 3 interfaces de red haciendo las veces de firewall: eth0: Internet eth1: red LAN - 192.168.0.x/24 - Gateway 192.168.0.254 eth2: red WAN - 192.168.5.x/24 - Gateway 192.168.5.254 Osea que el firewall tiene las siguientes IPs: eth0: DHCP de un modem router eth1: 192.168.0.254 eth2: 192.168.5.254 Ahora bien, dados 2 equipos: Equipo 1 (conectado a la LAN): 192.168.0.10 Equipo 2 (conectado a la WAN): 192.168.5.20 Si desde equipo 2 (192.168.5.20) hago un ping a equipo 1 (192.168.0.10) logicamente el ping no llega por estar en redes diferentes. Ahora, si en equipo 1 hago: # route add -net 192.168.5.0 netmask 255.255.255.0 gw 192.168.0.254 dev eth1 Si habilito esto puedo pingear desde los equipos de la WAN (192.168.5.x/24) al equipo 1 (192.168.0.10) y viceversa. Es como si los paquetes pasaran libremente por el firewall. En el firewall tengo como DROP la Policy de INPUT y de FORWARD. Alguien sabe donde puede estar el problema? Muchas Gracias! Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/545a23f9.2080...@gmail.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/fa30f574-505a-4934-8765-5f415e9e6...@googlegroups.com
Re: Dudas y problemas con firewall y ruteos
Carlos, buen día, gracias por tu respuesta. Los equipos estan conectados a redes diferentes, tal cual mencionaba. Osea, equipo 1 está conectado a la interface eth1 de mi Firewall Debian, y equipo 2 está conectado a eth2. Osea, redes fisicamente distintas. Que opinas? Muchas Gracias. Saludos. On 06/11/14 10:34, Carlos Alvarado wrote: Los equipos están en redes físicas distintas o en diferentes VLAN? El miércoles, 5 de noviembre de 2014 09:20:04 UTC-4:30, tq escribió: Lista, buen día. Tengo un equipo simple con 3 interfaces de red haciendo las veces de firewall: eth0: Internet eth1: red LAN - 192.168.0.x/24 - Gateway 192.168.0.254 eth2: red WAN - 192.168.5.x/24 - Gateway 192.168.5.254 Osea que el firewall tiene las siguientes IPs: eth0: DHCP de un modem router eth1: 192.168.0.254 eth2: 192.168.5.254 Ahora bien, dados 2 equipos: Equipo 1 (conectado a la LAN): 192.168.0.10 Equipo 2 (conectado a la WAN): 192.168.5.20 Si desde equipo 2 (192.168.5.20) hago un ping a equipo 1 (192.168.0.10) logicamente el ping no llega por estar en redes diferentes. Ahora, si en equipo 1 hago: # route add -net 192.168.5.0 netmask 255.255.255.0 gw 192.168.0.254 dev eth1 Si habilito esto puedo pingear desde los equipos de la WAN (192.168.5.x/24) al equipo 1 (192.168.0.10) y viceversa. Es como si los paquetes pasaran libremente por el firewall. En el firewall tengo como DROP la Policy de INPUT y de FORWARD. Alguien sabe donde puede estar el problema? Muchas Gracias! Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/545a23f9.2080...@gmail.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/545b8c6e.3030...@gmail.com
Re: Dudas y problemas con firewall y ruteos
El Wed, 05 Nov 2014 10:19:53 -0300, tq escribió: Tengo un equipo simple con 3 interfaces de red haciendo las veces de firewall: (...) Si habilito esto puedo pingear desde los equipos de la WAN (192.168.5.x/24) al equipo 1 (192.168.0.10) y viceversa. Es como si los paquetes pasaran libremente por el firewall. En el firewall tengo como DROP la Policy de INPUT y de FORWARD. Alguien sabe donde puede estar el problema? Antes de nada, manda la salida de las reglas de iptables que tienes habilitadas. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.11.06.15.20...@gmail.com
Re: Dudas y problemas con firewall y ruteos
On 06/11/14 12:20, Camaleón wrote: El Wed, 05 Nov 2014 10:19:53 -0300, tq escribió: Tengo un equipo simple con 3 interfaces de red haciendo las veces de firewall: (...) Si habilito esto puedo pingear desde los equipos de la WAN (192.168.5.x/24) al equipo 1 (192.168.0.10) y viceversa. Es como si los paquetes pasaran libremente por el firewall. En el firewall tengo como DROP la Policy de INPUT y de FORWARD. Alguien sabe donde puede estar el problema? Antes de nada, manda la salida de las reglas de iptables que tienes habilitadas. Saludos, Camaleón, adjunto la salida de /etc/network/interfaces [1] (la cual me pidió otro compañero) y las reglas de iptables [2]. Muchas Gracias. [1] http://pastebin.com/gH3xSZJC [2] http://pastebin.com/zMX8tFc7 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/545b9757.7090...@gmail.com
Dudas y problemas con firewall y ruteos
Lista, buen día. Tengo un equipo simple con 3 interfaces de red haciendo las veces de firewall: eth0: Internet eth1: red LAN - 192.168.0.x/24 - Gateway 192.168.0.254 eth2: red WAN - 192.168.5.x/24 - Gateway 192.168.5.254 Osea que el firewall tiene las siguientes IPs: eth0: DHCP de un modem router eth1: 192.168.0.254 eth2: 192.168.5.254 Ahora bien, dados 2 equipos: Equipo 1 (conectado a la LAN): 192.168.0.10 Equipo 2 (conectado a la WAN): 192.168.5.20 Si desde equipo 2 (192.168.5.20) hago un ping a equipo 1 (192.168.0.10) logicamente el ping no llega por estar en redes diferentes. Ahora, si en equipo 1 hago: # route add -net 192.168.5.0 netmask 255.255.255.0 gw 192.168.0.254 dev eth1 Si habilito esto puedo pingear desde los equipos de la WAN (192.168.5.x/24) al equipo 1 (192.168.0.10) y viceversa. Es como si los paquetes pasaran libremente por el firewall. En el firewall tengo como DROP la Policy de INPUT y de FORWARD. Alguien sabe donde puede estar el problema? Muchas Gracias! Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/545a23f9.2080...@gmail.com
Re: Dudas y problemas con firewall y ruteos
Saludos. Primero que nada: Esta habilitado el ruteo? (# cat /proc/sys/net/ipv4/ip_forward) Si la salida es 0, no lo esta. Segundo: Pues habria que ver que tienes configurado con iptables. Att. Adolfo Maltez El 5 de noviembre de 2014, 7:19, tq tqlis...@gmail.com escribió: Lista, buen día. Tengo un equipo simple con 3 interfaces de red haciendo las veces de firewall: eth0: Internet eth1: red LAN - 192.168.0.x/24 - Gateway 192.168.0.254 eth2: red WAN - 192.168.5.x/24 - Gateway 192.168.5.254 Osea que el firewall tiene las siguientes IPs: eth0: DHCP de un modem router eth1: 192.168.0.254 eth2: 192.168.5.254 Ahora bien, dados 2 equipos: Equipo 1 (conectado a la LAN): 192.168.0.10 Equipo 2 (conectado a la WAN): 192.168.5.20 Si desde equipo 2 (192.168.5.20) hago un ping a equipo 1 (192.168.0.10) logicamente el ping no llega por estar en redes diferentes. Ahora, si en equipo 1 hago: # route add -net 192.168.5.0 netmask 255.255.255.0 gw 192.168.0.254 dev eth1 Si habilito esto puedo pingear desde los equipos de la WAN (192.168.5.x/24) al equipo 1 (192.168.0.10) y viceversa. Es como si los paquetes pasaran libremente por el firewall. En el firewall tengo como DROP la Policy de INPUT y de FORWARD. Alguien sabe donde puede estar el problema? Muchas Gracias! Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/545a23f9.2080...@gmail.com -- Adolfo Maltez.
Re: Enrutar tráfico VPN a través de 2 firewall desde la misma máquina en Debian Wheezy
El 08/10/14 16:35, C. L. Martinez escribió: 2014-10-08 13:49 GMT+00:00 Maykel Franco maykeldeb...@gmail.com: Muy buenas lista, actualmente tengo un servidor openvpn y me gustaría que diera servicio a 2 firewall, como el siguiente esquema: IP INTERNA:10.10.10.1 IP INTERNA:172.16.10.1 FIREWALL1FIREWALL2 || || | | | | |___ OPENVPN_| Ahora mismo la máquina openvpn tiene como gateway el firewall1, con lo cual la vpn funciona bien a través del firewall1. Pero claro, por defecto saca todo el tráfico por el firewall1, con lo cual a través del firewall2 aunque intente conectarme desde fuera (WAN), no funciona ... Estoy mirando como añadir una regla a iptables para que en función de donde venga el tráfico, lo enrute por el firewall2. Por ejemplo, si el tráfico por udp llega desde 172.16.10.1, lo envíe por alli y no por el default gateway... ¿Alguna idea? Saludos. Necesitas algo parecido a esto: http://lartc.org/howto/lartc.rpdb.multiple-links.html Pero olvida la parte del balanceo, te interesa la parte de las rutas. Tendrás que asignar una prioridad a cada ruta y después con una regla de iptables tipo MANGLE, lo gestionarás ... Añado: con sistemas BSD esto es más sencillo, sobretodo con PFSense :)) Menuda bobada de respuesta. A ver, si el servidor con openvpn está conectado al a red 172.16.10.1, ya sea directamente o mediante un tun o tap o lo que sea, tendrá una ruta explcíta para alcanzar esta red, y te da exactamente igual cual sea su puerta de enlace por defecto. Un saludo. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/54365f2a.7040...@limbo.deathwing.net
Re: Enrutar tráfico VPN a través de 2 firewall desde la misma máquina en Debian Wheezy
2014-10-09 10:10 GMT+00:00 Juan Antonio push...@limbo.deathwing.net: El 08/10/14 16:35, C. L. Martinez escribió: 2014-10-08 13:49 GMT+00:00 Maykel Franco maykeldeb...@gmail.com: Muy buenas lista, actualmente tengo un servidor openvpn y me gustaría que diera servicio a 2 firewall, como el siguiente esquema: IP INTERNA:10.10.10.1 IP INTERNA:172.16.10.1 FIREWALL1FIREWALL2 | | | | | | | | |___ OPENVPN_| Ahora mismo la máquina openvpn tiene como gateway el firewall1, con lo cual la vpn funciona bien a través del firewall1. Pero claro, por defecto saca todo el tráfico por el firewall1, con lo cual a través del firewall2 aunque intente conectarme desde fuera (WAN), no funciona ... Estoy mirando como añadir una regla a iptables para que en función de donde venga el tráfico, lo enrute por el firewall2. Por ejemplo, si el tráfico por udp llega desde 172.16.10.1, lo envíe por alli y no por el default gateway... ¿Alguna idea? Saludos. Necesitas algo parecido a esto: http://lartc.org/howto/lartc.rpdb.multiple-links.html Pero olvida la parte del balanceo, te interesa la parte de las rutas. Tendrás que asignar una prioridad a cada ruta y después con una regla de iptables tipo MANGLE, lo gestionarás ... Añado: con sistemas BSD esto es más sencillo, sobretodo con PFSense :)) Menuda bobada de respuesta. A ver, si el servidor con openvpn está conectado al a red 172.16.10.1, ya sea directamente o mediante un tun o tap o lo que sea, tendrá una ruta explcíta para alcanzar esta red, y te da exactamente igual cual sea su puerta de enlace por defecto. Un saludo. La primera respuesta será una bobada, pero la tuya es directamente estúpida ... Según el dibujo inicial el servidor OpenVPN estaba conectado a dos fws ... ¿Que tiene que ver aquí ni el tun ni el tap ni leches (a ver si te lees la documentación de openvpn y de paso del routing del kernel)?. Su problema inicial, es un simple problema de enrutamiento. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CAEjQA5LUMihAengfUpJTr4NA1twig_Kysw-_vg7G-TOJ=mx...@mail.gmail.com
Re: Enrutar tráfico VPN a través de 2 firewall desde la misma máquina en Debian Wheezy
El día 9 de octubre de 2014, 12:27, C. L. Martinez carlopm...@gmail.com escribió: 2014-10-09 10:10 GMT+00:00 Juan Antonio push...@limbo.deathwing.net: El 08/10/14 16:35, C. L. Martinez escribió: 2014-10-08 13:49 GMT+00:00 Maykel Franco maykeldeb...@gmail.com: Muy buenas lista, actualmente tengo un servidor openvpn y me gustaría que diera servicio a 2 firewall, como el siguiente esquema: IP INTERNA:10.10.10.1 IP INTERNA:172.16.10.1 FIREWALL1FIREWALL2 | | | | | | | | |___ OPENVPN_| Ahora mismo la máquina openvpn tiene como gateway el firewall1, con lo cual la vpn funciona bien a través del firewall1. Pero claro, por defecto saca todo el tráfico por el firewall1, con lo cual a través del firewall2 aunque intente conectarme desde fuera (WAN), no funciona ... Estoy mirando como añadir una regla a iptables para que en función de donde venga el tráfico, lo enrute por el firewall2. Por ejemplo, si el tráfico por udp llega desde 172.16.10.1, lo envíe por alli y no por el default gateway... ¿Alguna idea? Saludos. Necesitas algo parecido a esto: http://lartc.org/howto/lartc.rpdb.multiple-links.html Pero olvida la parte del balanceo, te interesa la parte de las rutas. Tendrás que asignar una prioridad a cada ruta y después con una regla de iptables tipo MANGLE, lo gestionarás ... Añado: con sistemas BSD esto es más sencillo, sobretodo con PFSense :)) Menuda bobada de respuesta. Para nada, date cuenta que solo hay una tarjeta de red, y son 2 redes diferentes. A ver, si el servidor con openvpn está conectado al a red 172.16.10.1, ya sea directamente o mediante un tun o tap o lo que sea, tendrá una ruta explcíta para alcanzar esta red, y te da exactamente igual cual sea su puerta de enlace por defecto. Están conectados al mismo switch, pero la máscara y red son diferentes...No vas a llegar... Todo el tráfico lo saca por su gateway predeterminada. Con lo cual si te viene una petición por el otro lado no va a llegar... Otra cosa sería que tuviera 2 interfaces de red, que openvpn escuchara en 0.0.0.0:1194 udp , entonces si funcionaría, porque la otra tarjeta de red tendría como gateway predeterminado el FIREWALL2, con lo cual cuando le llegue tráfico desde FIREWALL2, lo meterá por FIREWALL2, lógico y evidente pero no es el caso. Un saludo. La primera respuesta será una bobada, pero la tuya es directamente estúpida ... Según el dibujo inicial el servidor OpenVPN estaba conectado a dos fws ... ¿Que tiene que ver aquí ni el tun ni el tap ni leches (a ver si te lees la documentación de openvpn y de paso del routing del kernel)?. Su problema inicial, es un simple problema de enrutamiento. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caejqa5lumihaengfupjtr4na1twig_kysw-_vg7g-tojmx...@mail.gmail.com Lo pongo aún más fácil, si el FIREWALL2 si tuviera el mismo rango de red que FIREWALL1, añado el switch... IP INTERNA:10.10.10.1 IP INTERNA:10.10.10.2 FIREWALL1FIREWALL2 || || || |__| | SWITCH | | OPENVPN GW: 10.10.10.1 Ya sé que cambiando la gateway de openvpn y poniendo la del FIREWALL2, 10.10.10.2, funcionaría la vpn por ahí, pero mi idea es que esté automático... Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caj2aoa_2_lv6sok+mqgw6_g4e7lq9e4obza3mjvj3iox3vh...@mail.gmail.com
Re: Enrutar tráfico VPN a través de 2 firewall desde la misma máquina en Debian Wheezy
Lo pongo aún más fácil, si el FIREWALL2 si tuviera el mismo rango de red que FIREWALL1, añado el switch... IP INTERNA:10.10.10.1 IP INTERNA:10.10.10.2 FIREWALL1FIREWALL2 | | | | | | |__| | SWITCH | | OPENVPN GW: 10.10.10.1 Ya sé que cambiando la gateway de openvpn y poniendo la del FIREWALL2, 10.10.10.2, funcionaría la vpn por ahí, pero mi idea es que esté automático... Saludos. Para que sea automático, las interfaces internas de los fws deben estar en segmentos distintos de red, el servidor OpenVPN deberá tener 2 interfaces de red y en el servidor OpenVPN tendrás que implementar un mecanismo de check de salida hacia Internet para detectar cuando uno de los fws no está operativo. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caejqa5ln3qzadyynxa-uhlrt1viiwy66+p1xdm1pzm0ywpy...@mail.gmail.com
Re: Enrutar tráfico VPN a través de 2 firewall desde la misma máquina en Debian Wheezy
El día 9 de octubre de 2014, 12:46, C. L. Martinez carlopm...@gmail.com escribió: Lo pongo aún más fácil, si el FIREWALL2 si tuviera el mismo rango de red que FIREWALL1, añado el switch... IP INTERNA:10.10.10.1 IP INTERNA:10.10.10.2 FIREWALL1FIREWALL2 | | | | | | |__| | SWITCH | | OPENVPN GW: 10.10.10.1 Ya sé que cambiando la gateway de openvpn y poniendo la del FIREWALL2, 10.10.10.2, funcionaría la vpn por ahí, pero mi idea es que esté automático... Saludos. Para que sea automático, las interfaces internas de los fws deben estar en segmentos distintos de red, el servidor OpenVPN deberá tener 2 interfaces de red y en el servidor OpenVPN tendrás que implementar un mecanismo de check de salida hacia Internet para detectar cuando uno de los fws no está operativo. Exacto. A eso me refería. Y para el segundo caso que e puesto? Están en la misma red... Creo que añadiendo una ruta secundaria, de menos prioridad que en caso de caída tire por la otra gateway... Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caejqa5ln3qzadyynxa-uhlrt1viiwy66+p1xdm1pzm0ywpy...@mail.gmail.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caj2aoa8jcmgszjgnt8l557ukwukwyv9owhuc57zweqfftvk...@mail.gmail.com
Re: Enrutar tráfico VPN a través de 2 firewall desde la misma máquina en Debian Wheezy
2014-10-09 10:49 GMT+00:00 Maykel Franco maykeldeb...@gmail.com: El día 9 de octubre de 2014, 12:46, C. L. Martinez carlopm...@gmail.com escribió: Lo pongo aún más fácil, si el FIREWALL2 si tuviera el mismo rango de red que FIREWALL1, añado el switch... IP INTERNA:10.10.10.1 IP INTERNA:10.10.10.2 FIREWALL1FIREWALL2 | | | | | | |__| | SWITCH | | OPENVPN GW: 10.10.10.1 Ya sé que cambiando la gateway de openvpn y poniendo la del FIREWALL2, 10.10.10.2, funcionaría la vpn por ahí, pero mi idea es que esté automático... Saludos. Para que sea automático, las interfaces internas de los fws deben estar en segmentos distintos de red, el servidor OpenVPN deberá tener 2 interfaces de red y en el servidor OpenVPN tendrás que implementar un mecanismo de check de salida hacia Internet para detectar cuando uno de los fws no está operativo. Exacto. A eso me refería. Y para el segundo caso que e puesto? Están en la misma red... Creo que añadiendo una ruta secundaria, de menos prioridad que en caso de caída tire por la otra gateway... Si ambos fws están en la misma red, tendrás que jugar con la default route. Es decir, deberás primero comprobar que hay salida hacia Internet a través del fw1 y si el resultado es negativo, balancear hacia el fw2. Idem a la inversa. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CAEjQA5Lot7jzXyRw=QTVZH4YxSc�gp1myx+-zk+nvj5yj...@mail.gmail.com
Re: Enrutar tráfico VPN a través de 2 firewall desde la misma máquina en Debian Wheezy
El Wed, 08 Oct 2014 20:39:56 +0200, Maykel Franco escribió: El día 8 de octubre de 2014, 19:56, Camaleón noela...@gmail.com escribió: (...) Estoy mirando como añadir una regla a iptables para que en función de donde venga el tráfico, lo enrute por el firewall2. Por ejemplo, si el tráfico por udp llega desde 172.16.10.1, lo envíe por alli y no por el default gateway... ¿Alguna idea? Los enrutados no son mi fuerte pero creo que me faltan datos de la configuración de tu red para saber exactamente lo que quieres hacer. (...) IP WAN: 82.82.82.82 IP WAN: 82.82.82.83 FIREWALL1FIREWALL2 IP INTERNA:10.10.10.1 IP INTERNA:172.16.10.1 | | | | | | | | IP: 10.10.10.254 |___ OPENVPN | RED INTERNA MISMO RANGO OPENVPN Openvpn está detrás de los cortafuegos, me explicado mal. Aclaro, ahora mismo la default gateway de OPENVPN es el FIREWALL1. El tráfico entra por ahí por udp y funciona perfecto. El tema es que voy actualizar el FIREWALL1, en remoto (no me queda otra, no me pagan las horas extras xD), y quería poder entrar por la VPN por el FIREWALL2 en caso de que el FIREWALL1 debido a la actualización, no arranque. Está en una VM, realizaré un snapshot antes de actualizar, para en caso de problemas, pueda revertir a ese snapshot. Vale, ahora me queda todo (configuración de la red y finalidad del cambio) un poco más claro :-) Dado que tienes una única tarjeta de red en el servidor con OpenVPN, se me ocurren 2 opciones: 1/ Añadir una IP virtual/alias que esté en rango del firewall2, es decir: Firewall2 → 172.16.10.1 +Interfaz del servidor OpenVPN → (tun0) 10.10.10.254, (tun0:1) 172.16.10.5 Lo que no sé es si las interfaces tap/tun y/o OpenVPN permiten esto 2/ Añadir una IP virtual/alias que esté en rango del servidor OpenVPN, es decir: +Firewall2 → (eth0) 172.16.10.1, (eth0:1) 10.10.10.5 Interfaz del servidor OpenVPN → (tun0) 10.10.10.254 Tampoco sé si si lo que sea que tengas haciendo de firewall2 te permite añadir interfaces virtuales. Pero todo el tráfico por defecto, sale por el firewall1, con lo cual no voy a poder tener acceso por el firewall2. Entonces la idea era poner una ruta en el servidor OPENVPN para que si le llega el tráfico desde el FIREWALL2, lo mande por allí. Entiendo que lo que te interesa es la entrada más que la salida en este caso pero dado que tienes conectadas físicamente los cortafuegos con el servidor OpenVPN (van al mismo switch y no hay VLAN) creo que más bien se trata de un problema de enrutado simple, es decir, que no necesitarás manipular/redireccionar los paquetes sólo decirle a cada cual por dónde tirar. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.10.09.14.52...@gmail.com
Re: Enrutar tráfico VPN a través de 2 firewall desde la misma máquina en Debian Wheezy
El día 9 de octubre de 2014, 16:52, Camaleón noela...@gmail.com escribió: El Wed, 08 Oct 2014 20:39:56 +0200, Maykel Franco escribió: El día 8 de octubre de 2014, 19:56, Camaleón noela...@gmail.com escribió: (...) Estoy mirando como añadir una regla a iptables para que en función de donde venga el tráfico, lo enrute por el firewall2. Por ejemplo, si el tráfico por udp llega desde 172.16.10.1, lo envíe por alli y no por el default gateway... ¿Alguna idea? Los enrutados no son mi fuerte pero creo que me faltan datos de la configuración de tu red para saber exactamente lo que quieres hacer. (...) IP WAN: 82.82.82.82 IP WAN: 82.82.82.83 FIREWALL1FIREWALL2 IP INTERNA:10.10.10.1 IP INTERNA:172.16.10.1 | | | | | | | | IP: 10.10.10.254 |___ OPENVPN | RED INTERNA MISMO RANGO OPENVPN Openvpn está detrás de los cortafuegos, me explicado mal. Aclaro, ahora mismo la default gateway de OPENVPN es el FIREWALL1. El tráfico entra por ahí por udp y funciona perfecto. El tema es que voy actualizar el FIREWALL1, en remoto (no me queda otra, no me pagan las horas extras xD), y quería poder entrar por la VPN por el FIREWALL2 en caso de que el FIREWALL1 debido a la actualización, no arranque. Está en una VM, realizaré un snapshot antes de actualizar, para en caso de problemas, pueda revertir a ese snapshot. Vale, ahora me queda todo (configuración de la red y finalidad del cambio) un poco más claro :-) Dado que tienes una única tarjeta de red en el servidor con OpenVPN, se me ocurren 2 opciones: 1/ Añadir una IP virtual/alias que esté en rango del firewall2, es decir: Firewall2 → 172.16.10.1 +Interfaz del servidor OpenVPN → (tun0) 10.10.10.254, (tun0:1) 172.16.10.5 Lo que no sé es si las interfaces tap/tun y/o OpenVPN permiten esto 2/ Añadir una IP virtual/alias que esté en rango del servidor OpenVPN, es decir: +Firewall2 → (eth0) 172.16.10.1, (eth0:1) 10.10.10.5 Interfaz del servidor OpenVPN → (tun0) 10.10.10.254 Está claro que es un problema de enrutamiento, pero digo yo, a las interfaces virtuales no se les puede poner gateway no? Al menos nunca lo e visto... Tampoco sé si si lo que sea que tengas haciendo de firewall2 te permite añadir interfaces virtuales. Si el firewall2 permite crear interfaces virtuales. Seguiré mirando Gracias. Pero todo el tráfico por defecto, sale por el firewall1, con lo cual no voy a poder tener acceso por el firewall2. Entonces la idea era poner una ruta en el servidor OPENVPN para que si le llega el tráfico desde el FIREWALL2, lo mande por allí. Entiendo que lo que te interesa es la entrada más que la salida en este caso pero dado que tienes conectadas físicamente los cortafuegos con el servidor OpenVPN (van al mismo switch y no hay VLAN) creo que más bien se trata de un problema de enrutado simple, es decir, que no necesitarás manipular/redireccionar los paquetes sólo decirle a cada cual por dónde tirar. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.10.09.14.52...@gmail.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CAJ2aOA9K1+xS1oq2Nw=cu_vokr0fctooh9c2fo85g3exh5n...@mail.gmail.com
Re: Enrutar tráfico VPN a través de 2 firewall desde la misma máquina en Debian Wheezy
El Thu, 09 Oct 2014 16:58:11 +0200, Maykel Franco escribió: El día 9 de octubre de 2014, 16:52, Camaleón noela...@gmail.com escribió: (...) Aclaro, ahora mismo la default gateway de OPENVPN es el FIREWALL1. El tráfico entra por ahí por udp y funciona perfecto. El tema es que voy actualizar el FIREWALL1, en remoto (no me queda otra, no me pagan las horas extras xD), y quería poder entrar por la VPN por el FIREWALL2 en caso de que el FIREWALL1 debido a la actualización, no arranque. Está en una VM, realizaré un snapshot antes de actualizar, para en caso de problemas, pueda revertir a ese snapshot. Vale, ahora me queda todo (configuración de la red y finalidad del cambio) un poco más claro :-) Dado que tienes una única tarjeta de red en el servidor con OpenVPN, se me ocurren 2 opciones: (...) Está claro que es un problema de enrutamiento, pero digo yo, a las interfaces virtuales no se les puede poner gateway no? Al menos nunca lo e visto... No debería ser un problema. Googleo un poco... mutliple default gateways for alias interfaces (SOLVED) http://unix.stackexchange.com/questions/126306/mutliple-default-gateways-for-alias-interfaces-solved Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.10.09.15.24...@gmail.com
Enrutar tráfico VPN a través de 2 firewall desde la misma máquina en Debian Wheezy
Muy buenas lista, actualmente tengo un servidor openvpn y me gustaría que diera servicio a 2 firewall, como el siguiente esquema: IP INTERNA:10.10.10.1 IP INTERNA:172.16.10.1 FIREWALL1FIREWALL2 || || | | | | |___ OPENVPN_| Ahora mismo la máquina openvpn tiene como gateway el firewall1, con lo cual la vpn funciona bien a través del firewall1. Pero claro, por defecto saca todo el tráfico por el firewall1, con lo cual a través del firewall2 aunque intente conectarme desde fuera (WAN), no funciona ... Estoy mirando como añadir una regla a iptables para que en función de donde venga el tráfico, lo enrute por el firewall2. Por ejemplo, si el tráfico por udp llega desde 172.16.10.1, lo envíe por alli y no por el default gateway... ¿Alguna idea? Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caj2aoa9o_zbofmzx1zclhx5kzpx1va5x-3eytbme_i5rpfr...@mail.gmail.com
Re: Enrutar tráfico VPN a través de 2 firewall desde la misma máquina en Debian Wheezy
2014-10-08 13:49 GMT+00:00 Maykel Franco maykeldeb...@gmail.com: Muy buenas lista, actualmente tengo un servidor openvpn y me gustaría que diera servicio a 2 firewall, como el siguiente esquema: IP INTERNA:10.10.10.1 IP INTERNA:172.16.10.1 FIREWALL1FIREWALL2 || || | | | | |___ OPENVPN_| Ahora mismo la máquina openvpn tiene como gateway el firewall1, con lo cual la vpn funciona bien a través del firewall1. Pero claro, por defecto saca todo el tráfico por el firewall1, con lo cual a través del firewall2 aunque intente conectarme desde fuera (WAN), no funciona ... Estoy mirando como añadir una regla a iptables para que en función de donde venga el tráfico, lo enrute por el firewall2. Por ejemplo, si el tráfico por udp llega desde 172.16.10.1, lo envíe por alli y no por el default gateway... ¿Alguna idea? Saludos. Necesitas algo parecido a esto: http://lartc.org/howto/lartc.rpdb.multiple-links.html Pero olvida la parte del balanceo, te interesa la parte de las rutas. Tendrás que asignar una prioridad a cada ruta y después con una regla de iptables tipo MANGLE, lo gestionarás ... Añado: con sistemas BSD esto es más sencillo, sobretodo con PFSense :)) -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caejqa5jso14akkdbsfqklnj_1lbksm49t9+tf24okj9g2km...@mail.gmail.com
Re: Enrutar tráfico VPN a través de 2 firewall desde la misma máquina en Debian Wheezy
El Wed, 08 Oct 2014 15:49:47 +0200, Maykel Franco escribió: Muy buenas lista, actualmente tengo un servidor openvpn y me gustaría que diera servicio a 2 firewall, como el siguiente esquema: IP INTERNA:10.10.10.1 IP INTERNA:172.16.10.1 FIREWALL1FIREWALL2 | | | | | | | | |___ OPENVPN_| ¿OpenVPN delante de los cortafuegos? Supongo que el gráfico simplemente representa un enlace y no es literal :-? Ahora mismo la máquina openvpn tiene como gateway el firewall1, con lo cual la vpn funciona bien a través del firewall1. Pero claro, por defecto saca todo el tráfico por el firewall1, con lo cual a través del firewall2 aunque intente conectarme desde fuera (WAN), no funciona ... Estoy mirando como añadir una regla a iptables para que en función de donde venga el tráfico, lo enrute por el firewall2. Por ejemplo, si el tráfico por udp llega desde 172.16.10.1, lo envíe por alli y no por el default gateway... ¿Alguna idea? Los enrutados no son mi fuerte pero creo que me faltan datos de la configuración de tu red para saber exactamente lo que quieres hacer. Entiendo que tienes un servidor con ¿2? tarjetas de red dando servicio a dos redes ¿separadas físicamente o virtualmente? y con OpenVPN configurado. Que quieres que la VPN funcione correctamente entre las dos redes (internamente) y desde el exterior, pero ¿cuál es la salida (gateway) del servidor, cómo lo conectas al exterior? Deduzco el delante del firewall1 (¿se trata de un equipo, un appliance, iptables...?) tienes ¿un? router ADSL/cable/FTTH y quieres que se permita el tráfico hacia cualquiera de las dos VPN. Demasiadas preguntas como para darte una respuesta :-) Quizá lo primero que tenías que pensar es en definir las rutas de los paquetes de las redes, independientemente de la red privada, es decir, definir las pasarelas (gateway) para cada una de ellas y eso con iproute2 podrás hacerlo. Para manipular los paquetes y configuraciones más complejas (marcar, lavar y cortar cual peluquería) tirar de iptables como te dice carlopmart. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.10.08.17.56...@gmail.com
Re: Enrutar tráfico VPN a través de 2 firewall desde la misma máquina en Debian Wheezy
El día 8 de octubre de 2014, 19:56, Camaleón noela...@gmail.com escribió: El Wed, 08 Oct 2014 15:49:47 +0200, Maykel Franco escribió: Muy buenas lista, actualmente tengo un servidor openvpn y me gustaría que diera servicio a 2 firewall, como el siguiente esquema: IP INTERNA:10.10.10.1 IP INTERNA:172.16.10.1 FIREWALL1FIREWALL2 | | | | | | | | |___ OPENVPN_| ¿OpenVPN delante de los cortafuegos? Supongo que el gráfico simplemente representa un enlace y no es literal :-? Ahora mismo la máquina openvpn tiene como gateway el firewall1, con lo cual la vpn funciona bien a través del firewall1. Pero claro, por defecto saca todo el tráfico por el firewall1, con lo cual a través del firewall2 aunque intente conectarme desde fuera (WAN), no funciona ... Estoy mirando como añadir una regla a iptables para que en función de donde venga el tráfico, lo enrute por el firewall2. Por ejemplo, si el tráfico por udp llega desde 172.16.10.1, lo envíe por alli y no por el default gateway... ¿Alguna idea? Los enrutados no son mi fuerte pero creo que me faltan datos de la configuración de tu red para saber exactamente lo que quieres hacer. Entiendo que tienes un servidor con ¿2? tarjetas de red dando servicio a dos redes ¿separadas físicamente o virtualmente? y con OpenVPN configurado. Que quieres que la VPN funcione correctamente entre las dos redes (internamente) y desde el exterior, pero ¿cuál es la salida (gateway) del servidor, cómo lo conectas al exterior? Deduzco el delante del firewall1 (¿se trata de un equipo, un appliance, iptables...?) tienes ¿un? router ADSL/cable/FTTH y quieres que se permita el tráfico hacia cualquiera de las dos VPN. Demasiadas preguntas como para darte una respuesta :-) Tienes razón, el esquema puede dar lugar a confusión. Quizá lo primero que tenías que pensar es en definir las rutas de los paquetes de las redes, independientemente de la red privada, es decir, definir las pasarelas (gateway) para cada una de ellas y eso con iproute2 podrás hacerlo. Para manipular los paquetes y configuraciones más complejas (marcar, lavar y cortar cual peluquería) tirar de iptables como te dice carlopmart. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.10.08.17.56...@gmail.com IP WAN: 82.82.82.82 IP WAN: 82.82.82.83 FIREWALL1FIREWALL2 IP INTERNA:10.10.10.1 IP INTERNA:172.16.10.1 | | | | | | | | IP: 10.10.10.254 |___ OPENVPN | RED INTERNA MISMO RANGO OPENVPN Openvpn está detrás de los cortafuegos, me explicado mal. Aclaro, ahora mismo la default gateway de OPENVPN es el FIREWALL1. El tráfico entra por ahí por udp y funciona perfecto. El tema es que voy actualizar el FIREWALL1, en remoto (no me queda otra, no me pagan las horas extras xD), y quería poder entrar por la VPN por el FIREWALL2 en caso de que el FIREWALL1 debido a la actualización, no arranque. Está en una VM, realizaré un snapshot antes de actualizar, para en caso de problemas, pueda revertir a ese snapshot. Pero todo el tráfico por defecto, sale por el firewall1, con lo cual no voy a poder tener acceso por el firewall2. Entonces la idea era poner una ruta en el servidor OPENVPN para que si le llega el tráfico desde el FIREWALL2, lo mande por allí. Gracias. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caj2aoa_w6jmzw+7_9iq1xdttqgvyey3jjazur-repvekkx8...@mail.gmail.com
Re: Enrutar tráfico VPN a través de 2 firewall desde la misma máquina en Debian Wheezy
2014-10-08 18:39 GMT+00:00 Maykel Franco maykeldeb...@gmail.com: El día 8 de octubre de 2014, 19:56, Camaleón noela...@gmail.com escribió: El Wed, 08 Oct 2014 15:49:47 +0200, Maykel Franco escribió: Muy buenas lista, actualmente tengo un servidor openvpn y me gustaría que diera servicio a 2 firewall, como el siguiente esquema: IP INTERNA:10.10.10.1 IP INTERNA:172.16.10.1 FIREWALL1FIREWALL2 | | | | | | | | |___ OPENVPN_| ¿OpenVPN delante de los cortafuegos? Supongo que el gráfico simplemente representa un enlace y no es literal :-? Ahora mismo la máquina openvpn tiene como gateway el firewall1, con lo cual la vpn funciona bien a través del firewall1. Pero claro, por defecto saca todo el tráfico por el firewall1, con lo cual a través del firewall2 aunque intente conectarme desde fuera (WAN), no funciona ... Estoy mirando como añadir una regla a iptables para que en función de donde venga el tráfico, lo enrute por el firewall2. Por ejemplo, si el tráfico por udp llega desde 172.16.10.1, lo envíe por alli y no por el default gateway... ¿Alguna idea? Los enrutados no son mi fuerte pero creo que me faltan datos de la configuración de tu red para saber exactamente lo que quieres hacer. Entiendo que tienes un servidor con ¿2? tarjetas de red dando servicio a dos redes ¿separadas físicamente o virtualmente? y con OpenVPN configurado. Que quieres que la VPN funcione correctamente entre las dos redes (internamente) y desde el exterior, pero ¿cuál es la salida (gateway) del servidor, cómo lo conectas al exterior? Deduzco el delante del firewall1 (¿se trata de un equipo, un appliance, iptables...?) tienes ¿un? router ADSL/cable/FTTH y quieres que se permita el tráfico hacia cualquiera de las dos VPN. Demasiadas preguntas como para darte una respuesta :-) Tienes razón, el esquema puede dar lugar a confusión. Quizá lo primero que tenías que pensar es en definir las rutas de los paquetes de las redes, independientemente de la red privada, es decir, definir las pasarelas (gateway) para cada una de ellas y eso con iproute2 podrás hacerlo. Para manipular los paquetes y configuraciones más complejas (marcar, lavar y cortar cual peluquería) tirar de iptables como te dice carlopmart. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.10.08.17.56...@gmail.com IP WAN: 82.82.82.82 IP WAN: 82.82.82.83 FIREWALL1FIREWALL2 IP INTERNA:10.10.10.1 IP INTERNA:172.16.10.1 | | | | | | | | IP: 10.10.10.254 |___ OPENVPN | RED INTERNA MISMO RANGO OPENVPN Openvpn está detrás de los cortafuegos, me explicado mal. Aclaro, ahora mismo la default gateway de OPENVPN es el FIREWALL1. El tráfico entra por ahí por udp y funciona perfecto. El tema es que voy actualizar el FIREWALL1, en remoto (no me queda otra, no me pagan las horas extras xD), y quería poder entrar por la VPN por el FIREWALL2 en caso de que el FIREWALL1 debido a la actualización, no arranque. Está en una VM, realizaré un snapshot antes de actualizar, para en caso de problemas, pueda revertir a ese snapshot. Pero todo el tráfico por defecto, sale por el firewall1, con lo cual no voy a poder tener acceso por el firewall2. Entonces la idea era poner una ruta en el servidor OPENVPN para que si le llega el tráfico desde el FIREWALL2, lo mande por allí. Si no dispones de 2 interfaces de red en el servidor openvpn, no vas a poder hacerlo de forma automática. Tendrás que reconfigurar el servidor openvpn con una IP en el segmento 172.16.10.x/x (y obviamente conectarlo a la pata interna del fw2). Si puedes disponer de 2 interfaces en dicho servidor, con unas simples reglas de iproute2+iptables (solo para la tabla mangle) podrías tener controlado el flujo de tráfico de forma automática. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caejqa5lpqhfxvkg4ournphdtemxb4w3h1a6njfkcre-p79o...@mail.gmail.com
Re: [OT] Re: Problemas Nat Asterisk en Debian atravesando 2 firewall
El día 1 de mayo de 2014, 17:48, Camaleón noela...@gmail.com escribió:
El Wed, 30 Apr 2014 16:53:39 +0200, Maykel Franco escribió:
El día 24 de abril de 2014, 15:44, Camaleón noela...@gmail.com
escribió:
(...)
Alguien ha tenido problemas con asterisk en debian atravesando por
varios firewall?
Que la santa espiral te asista, amigo :-)
Vas a tener que hilar fino, fino para ajustar los cortafuegos con el
voip, yo me las veo y me las deseo con los terminales Cisco SPA5xx (hay
varios terminales con varias extensiones registradas...) y eso que sólo
hay un cortafuegos y un NAT de por medio.
Al final tuve que llegar a un consenso: unos terminales usan servidores
STUN y otros están configurados para hacer NAT traversal con reenvío de
puerto.
Gracias por contestar Camaleón.
(...)
Ah, vale, que eras tú el del otro mensaje camuflado cual ninja :-)
(te respondí en el otro mensaje, lo siento, lo leí antes y no me di
cuenta de que estaba deshilado)
Saludos,
--
Camaleón
--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/pan.2014.05.01.15.48...@gmail.com
Gracias por contestar, tenías razón camaleón menudo tinglado...
Esta es mi arquitectura de red:
WAN
_|_
| FIREWALL1|
|__|
LAN __|__
| FIREWALL2 |
||
|
ASTERISK
Lo más sorprendente de todo es que por WAN, funciona perfectamente,
que en teoría es para lo que se suele usar STUN, para que el servidor
sepa cuál es la ip publica y puerto usado por el cliente.
El caso es que he probado a meter el servidor stun en la red lan, he
probado a meter el servidor stun entre los 2 firewall, metiendolo en
la misma red, y he probado meter el servidor stun directamente en
asterisk y nateando puertos 3478, evidentemente y sigo sin escuchar
nada. El cliente desde la LAN se registra bien en asterisk, pero
cuando hago por ejemplo una prueba de eco con *43, a los 7 seg se
corta. Y cuando llamo alguna extensión ellos si me oyen pero yo a
ellos no... Es una cosa muy rara...
De qué manera puedo ver dónde se queda el tráfico? Es decir, porque no
escucho el streaming de voz? Por qué se corta el eco?
Esto es lo que dice el log de asterisk:
Connected to Asterisk 11.8.1 currently running on localhost (pid = 1689)
== Using SIP RTP TOS bits 184
== Using SIP RTP CoS mark 5
[INSERT INTO cel
(eventtype,eventtime,cid_name,cid_num,cid_ani,cid_rdnis,cid_dnid,exten,context,channame,appname,appdata,amaflags,accountcode,uniqueid,linkedid,peer,userdeftype,userfield)
VALUES ('CHAN_START',{ts '2014-05-07 13:42:44'},'Maykel
Franco','100','','','','*43','from-internal','SIP/100-0003','','',3,'','1399462964.3','1399462964.3','','','')]
-- Executing [*43@from-internal:1] Answer(SIP/100-0003, )
in new stack
[INSERT INTO cel
(eventtype,eventtime,cid_name,cid_num,cid_ani,cid_rdnis,cid_dnid,exten,context,channame,appname,appdata,amaflags,accountcode,uniqueid,linkedid,peer,userdeftype,userfield)
VALUES ('ANSWER',{ts '2014-05-07 13:42:44'},'Maykel
Franco','100','100','','*43','*43','from-internal','SIP/100-0003','Answer','',3,'','1399462964.3','1399462964.3','','','')]
-- Executing [*43@from-internal:2] Wait(SIP/100-0003, 1)
in new stack
-- Executing [*43@from-internal:3] Playback(SIP/100-0003,
demo-echotest) in new stack
-- SIP/100-0003 Playing 'demo-echotest.ulaw' (language 'en')
== Spawn extension (from-internal, *43, 3) exited non-zero on
'SIP/100-0003'
-- Executing [h@from-internal:1] Hangup(SIP/100-0003, ) in new stack
== Spawn extension (from-internal, h, 1) exited non-zero on 'SIP/100-0003'
[INSERT INTO cel
(eventtype,eventtime,cid_name,cid_num,cid_ani,cid_rdnis,cid_dnid,exten,context,channame,appname,appdata,amaflags,accountcode,uniqueid,linkedid,peer,userdeftype,userfield)
VALUES ('HANGUP',{ts '2014-05-07 13:42:50'},'Maykel
Franco','100','100','','*43','h','from-internal','SIP/100-0003','','',3,'','1399462964.3','1399462964.3','','','')]
[INSERT INTO cdr
(calldate,clid,src,dst,dcontext,channel,lastapp,lastdata,duration,billsec,disposition,amaflags,uniqueid)
VALUES ({ ts '2014-05-07 13:42:44' },'Maykel Franco
100','100','*43','from-internal','SIP/100-0003','Playback','demo-echotest',6,6,'ANSWERED',3,'1399462964.3')]
[INSERT INTO cel
(eventtype,eventtime,cid_name,cid_num,cid_ani,cid_rdnis,cid_dnid,exten,context,channame,appname,appdata,amaflags,accountcode,uniqueid
Re: [OT] Re: Problemas Nat Asterisk en Debian atravesando 2 firewall
El Wed, 07 May 2014 13:44:51 +0200, Maykel Franco escribió: El día 1 de mayo de 2014, 17:48, Camaleón noela...@gmail.com escribió: El Wed, 30 Apr 2014 16:53:39 +0200, Maykel Franco escribió: (...) (te respondí en el otro mensaje, lo siento, lo leí antes y no me di cuenta de que estaba deshilado) Gracias por contestar, tenías razón camaleón menudo tinglado... De traca. De veras que te compadezco :-) Esta es mi arquitectura de red: (...) Dos cortafuegos, uno detrás de la WAN y otro dentro de la LAN y delante de asterisk. Lo primero que probaría es la configuración del servidor STUN *sin* cortafuegos de por medio. Cuando sepas que te funciona perfectamente, vete añadiendo obstáculos (de dentro hacia fuera, primero el cortafuegos de LAN, vuleves a probar la configuración y si funciona sigues con el cortafuegos de la WAN). También podrías hacer una prueba sin asterisk, es decir, configurar un cliente SIP para que use un servidor STUN y hacer pruebas de audio con los dos cortafuegos activados. Si también falla, ya sabes dónde está el problema. Para hacer pruebas de voz, eco y calidad (pérdida de paquetes) puedes llamar a servidores/números remotos: http://www.voip-info.org/wiki/view/Phone+Numbers Lo más sorprendente de todo es que por WAN, funciona perfectamente, que en teoría es para lo que se suele usar STUN, para que el servidor sepa cuál es la ip publica y puerto usado por el cliente. El caso es que he probado a meter el servidor stun en la red lan, he probado a meter el servidor stun entre los 2 firewall, metiendolo en la misma red, y he probado meter el servidor stun directamente en asterisk y nateando puertos 3478, evidentemente y sigo sin escuchar nada. El cliente desde la LAN se registra bien en asterisk, pero cuando hago por ejemplo una prueba de eco con *43, a los 7 seg se corta. Y cuando llamo alguna extensión ellos si me oyen pero yo a ellos no... Es una cosa muy rara... El registro con el servidor SIP sigue otros derroteros, es decir, puedes estar registrado pero tener problemas de voz (la voz va por otros puertos). De qué manera puedo ver dónde se queda el tráfico? Es decir, porque no escucho el streaming de voz? Por qué se corta el eco? Esto es lo que dice el log de asterisk: (...) -- Executing [*43@from-internal:2] Wait(SIP/100-0003, 1) in new stack -- Executing [*43@from-internal:3] Playback(SIP/100-0003, demo-echotest) in new stack -- SIP/100-0003 Playing 'demo-echotest.ulaw' (language 'en') == Spawn extension (from-internal, *43, 3) exited non-zero on 'SIP/100-0003' -- Executing [h@from-internal:1] Hangup(SIP/100-0003, ) in new stack == Spawn extension (from-internal, h, 1) exited non-zero on 'SIP/100-0003' (...) A primera visto no veo ningún error en el registro de Asterisk, parece que ejecuta la prueba de eco correctamente y cuelga, todo normal. Me he configurado en el cliente el servidor stun y en teoría está corriendo, he seguido esta guía aunque sea para centos la he implementado en debian: http://elastixtech.com/servidor-stun/ [root@localhost ~]# netstat -an | grep :3478 udp0 0 10.116.6.68:34780.0.0.0:* udp0 0 10.116.6.66:34780.0.0.0:* Lo que sí me dado cuenta, es que al hacer el netstat y realizar una prueba de eco o una llamada a otra extensión, no debería aparecer la conexión con el netstat -an | grep :3478 en ese puerto? Bueno, el puerto aparece asignado/escuchando en el servidor local, si la llamada la ejecutas desde un equipo cliente, el servidor no la registra ¿no? :-? Te recomendaría que te pases por los foros o la lista de correo de Asterisk, te podrán dar consejos más afinados sobre la configuración de STUN y las pruebas que puedes hacer para depurar el problema con el audio. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.05.07.14.22...@gmail.com
Re: [OT] Re: Problemas Nat Asterisk en Debian atravesando 2 firewall
El 7 de mayo de 2014, 16:22, Camaleón noela...@gmail.com escribió: El Wed, 07 May 2014 13:44:51 +0200, Maykel Franco escribió: El día 1 de mayo de 2014, 17:48, Camaleón noela...@gmail.com escribió: El Wed, 30 Apr 2014 16:53:39 +0200, Maykel Franco escribió: (...) (te respondí en el otro mensaje, lo siento, lo leí antes y no me di cuenta de que estaba deshilado) Gracias por contestar, tenías razón camaleón menudo tinglado... De traca. De veras que te compadezco :-) Esta es mi arquitectura de red: (...) Dos cortafuegos, uno detrás de la WAN y otro dentro de la LAN y delante de asterisk. Lo primero que probaría es la configuración del servidor STUN *sin* cortafuegos de por medio. Cuando sepas que te funciona perfectamente, vete añadiendo obstáculos (de dentro hacia fuera, primero el cortafuegos de LAN, vuleves a probar la configuración y si funciona sigues con el cortafuegos de la WAN). También podrías hacer una prueba sin asterisk, es decir, configurar un cliente SIP para que use un servidor STUN y hacer pruebas de audio con los dos cortafuegos activados. Si también falla, ya sabes dónde está el problema. Para hacer pruebas de voz, eco y calidad (pérdida de paquetes) puedes llamar a servidores/números remotos: http://www.voip-info.org/wiki/view/Phone+Numbers Lo más sorprendente de todo es que por WAN, funciona perfectamente, que en teoría es para lo que se suele usar STUN, para que el servidor sepa cuál es la ip publica y puerto usado por el cliente. El caso es que he probado a meter el servidor stun en la red lan, he probado a meter el servidor stun entre los 2 firewall, metiendolo en la misma red, y he probado meter el servidor stun directamente en asterisk y nateando puertos 3478, evidentemente y sigo sin escuchar nada. El cliente desde la LAN se registra bien en asterisk, pero cuando hago por ejemplo una prueba de eco con *43, a los 7 seg se corta. Y cuando llamo alguna extensión ellos si me oyen pero yo a ellos no... Es una cosa muy rara... El registro con el servidor SIP sigue otros derroteros, es decir, puedes estar registrado pero tener problemas de voz (la voz va por otros puertos). De qué manera puedo ver dónde se queda el tráfico? Es decir, porque no escucho el streaming de voz? Por qué se corta el eco? Esto es lo que dice el log de asterisk: (...) -- Executing [*43@from-internal:2] Wait(SIP/100-0003, 1) in new stack -- Executing [*43@from-internal:3] Playback(SIP/100-0003, demo-echotest) in new stack -- SIP/100-0003 Playing 'demo-echotest.ulaw' (language 'en') == Spawn extension (from-internal, *43, 3) exited non-zero on 'SIP/100-0003' -- Executing [h@from-internal:1] Hangup(SIP/100-0003, ) in new stack == Spawn extension (from-internal, h, 1) exited non-zero on 'SIP/100-0003' (...) A primera visto no veo ningún error en el registro de Asterisk, parece que ejecuta la prueba de eco correctamente y cuelga, todo normal. Me he configurado en el cliente el servidor stun y en teoría está corriendo, he seguido esta guía aunque sea para centos la he implementado en debian: http://elastixtech.com/servidor-stun/ [root@localhost ~]# netstat -an | grep :3478 udp0 0 10.116.6.68:34780.0.0.0:* udp0 0 10.116.6.66:34780.0.0.0:* Lo que sí me dado cuenta, es que al hacer el netstat y realizar una prueba de eco o una llamada a otra extensión, no debería aparecer la conexión con el netstat -an | grep :3478 en ese puerto? Bueno, el puerto aparece asignado/escuchando en el servidor local, si la llamada la ejecutas desde un equipo cliente, el servidor no la registra ¿no? :-? Te recomendaría que te pases por los foros o la lista de correo de Asterisk, te podrán dar consejos más afinados sobre la configuración de STUN y las pruebas que puedes hacer para depurar el problema con el audio. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.05.07.14.22...@gmail.com Muchas gracias, continúo con ello. Saludos.
Re: [OT] Re: Problemas Nat Asterisk en Debian atravesando 2 firewall
El 7 de mayo de 2014, 16:31, Maykel Franco maykeldeb...@gmail.comescribió: El 7 de mayo de 2014, 16:22, Camaleón noela...@gmail.com escribió: El Wed, 07 May 2014 13:44:51 +0200, Maykel Franco escribió: El día 1 de mayo de 2014, 17:48, Camaleón noela...@gmail.com escribió: El Wed, 30 Apr 2014 16:53:39 +0200, Maykel Franco escribió: (...) (te respondí en el otro mensaje, lo siento, lo leí antes y no me di cuenta de que estaba deshilado) Gracias por contestar, tenías razón camaleón menudo tinglado... De traca. De veras que te compadezco :-) Esta es mi arquitectura de red: (...) Dos cortafuegos, uno detrás de la WAN y otro dentro de la LAN y delante de asterisk. Lo primero que probaría es la configuración del servidor STUN *sin* cortafuegos de por medio. Cuando sepas que te funciona perfectamente, vete añadiendo obstáculos (de dentro hacia fuera, primero el cortafuegos de LAN, vuleves a probar la configuración y si funciona sigues con el cortafuegos de la WAN). También podrías hacer una prueba sin asterisk, es decir, configurar un cliente SIP para que use un servidor STUN y hacer pruebas de audio con los dos cortafuegos activados. Si también falla, ya sabes dónde está el problema. Para hacer pruebas de voz, eco y calidad (pérdida de paquetes) puedes llamar a servidores/números remotos: http://www.voip-info.org/wiki/view/Phone+Numbers Lo más sorprendente de todo es que por WAN, funciona perfectamente, que en teoría es para lo que se suele usar STUN, para que el servidor sepa cuál es la ip publica y puerto usado por el cliente. El caso es que he probado a meter el servidor stun en la red lan, he probado a meter el servidor stun entre los 2 firewall, metiendolo en la misma red, y he probado meter el servidor stun directamente en asterisk y nateando puertos 3478, evidentemente y sigo sin escuchar nada. El cliente desde la LAN se registra bien en asterisk, pero cuando hago por ejemplo una prueba de eco con *43, a los 7 seg se corta. Y cuando llamo alguna extensión ellos si me oyen pero yo a ellos no... Es una cosa muy rara... El registro con el servidor SIP sigue otros derroteros, es decir, puedes estar registrado pero tener problemas de voz (la voz va por otros puertos). De qué manera puedo ver dónde se queda el tráfico? Es decir, porque no escucho el streaming de voz? Por qué se corta el eco? Esto es lo que dice el log de asterisk: (...) -- Executing [*43@from-internal:2] Wait(SIP/100-0003, 1) in new stack -- Executing [*43@from-internal:3] Playback(SIP/100-0003, demo-echotest) in new stack -- SIP/100-0003 Playing 'demo-echotest.ulaw' (language 'en') == Spawn extension (from-internal, *43, 3) exited non-zero on 'SIP/100-0003' -- Executing [h@from-internal:1] Hangup(SIP/100-0003, ) in new stack == Spawn extension (from-internal, h, 1) exited non-zero on 'SIP/100-0003' (...) A primera visto no veo ningún error en el registro de Asterisk, parece que ejecuta la prueba de eco correctamente y cuelga, todo normal. Me he configurado en el cliente el servidor stun y en teoría está corriendo, he seguido esta guía aunque sea para centos la he implementado en debian: http://elastixtech.com/servidor-stun/ [root@localhost ~]# netstat -an | grep :3478 udp0 0 10.116.6.68:34780.0.0.0:* udp0 0 10.116.6.66:34780.0.0.0:* Lo que sí me dado cuenta, es que al hacer el netstat y realizar una prueba de eco o una llamada a otra extensión, no debería aparecer la conexión con el netstat -an | grep :3478 en ese puerto? Bueno, el puerto aparece asignado/escuchando en el servidor local, si la llamada la ejecutas desde un equipo cliente, el servidor no la registra ¿no? :-? Te recomendaría que te pases por los foros o la lista de correo de Asterisk, te podrán dar consejos más afinados sobre la configuración de STUN y las pruebas que puedes hacer para depurar el problema con el audio. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.05.07.14.22...@gmail.com Muchas gracias, continúo con ello. Saludos. Curiosa la prueba que he realizado: WAN _|_ | FIREWALL1| |__| LAN 10.1.0.0 __| |172.31.10.0__ | ASTERISK| || Curiosa la prueba que he realizado, sino atraviesa ningún nat, funciona bien llegando desde la red 10.1.0.0/16 hacia 172.31.10.0/24. Se escucha perfecto la
Sobre estadísticas de container OpenVZ y firewall en el container
Hola Lista. Tengo creado un container OpenVZ. Es posible desde el anfitrión ver los parámetros con que fue creado oportunamente? (memoria asignada, etc, etc). Por otro lado, al ejecutar un nmap contra el container openvz desde otra pc de la red veo: 21/tcp open ftp 22/tcp open ssh 80/tcp open http 631/tcp open ipp 1025/tcp open NFS-or-IIS 1026/tcp open LSA-or-nterm 1027/tcp open IIS 1028/tcp open unknown 1029/tcp open ms-lsa 1030/tcp open iad1 1031/tcp open iad2 1032/tcp open iad3 1033/tcp open netinfo 1034/tcp open zincite-a 1035/tcp open multidropper 1036/tcp open unknown Será necesario securizarlo? Muchas Gracias. Salu2. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5364f770.7060...@gmail.com
Re: Sobre estadísticas de container OpenVZ y firewall en el container
El Sat, 03 May 2014 11:04:32 -0300, ciracusa escribió: Hola Lista. Tengo creado un container OpenVZ. Es posible desde el anfitrión ver los parámetros con que fue creado oportunamente? (memoria asignada, etc, etc). http://openvz.org/User_Guide/Operations_on_Containers#Listing_Containers Por otro lado, al ejecutar un nmap contra el container openvz desde otra pc de la red veo: 21/tcp open ftp 22/tcp open ssh 80/tcp open http (...) Será necesario securizarlo? Si está configurado para ser un equipo más de la red (es decir, si no está aislado) tienes que tratarlo como un equipo real más y tomar las mismas precauciones de seguridad. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.05.03.14.31...@gmail.com
Re: [OT] Re: Problemas Nat Asterisk en Debian atravesando 2 firewall
El Wed, 30 Apr 2014 15:31:37 -0430, Yacton Richol escribió: Maykel Franco maykeldeb...@gmail.com wrote: El día 24 de abril de 2014, 15:44, Camaleón noela...@gmail.com escribió: (...) Alguien ha tenido problemas con asterisk en debian atravesando por varios firewall? Que la santa espiral te asista, amigo :-) Vas a tener que hilar fino, fino para ajustar los cortafuegos con el voip, yo me las veo y me las deseo con los terminales Cisco SPA5xx (hay varios terminales con varias extensiones registradas...) y eso que sólo hay un cortafuegos y un NAT de por medio. Al final tuve que llegar a un consenso: unos terminales usan servidores STUN y otros están configurados para hacer NAT traversal con reenvío de puerto. Gracias por contestar Camaleón. ¿Yacton = Maykel? Y otra cosa, el servidor stun tiene que estar en el mismo firewall donde tienes nateado el puerto 5060 de registro y el de streaming 1:2? O el servidor stun puede estar en otro firewall que no sea ese? Imaginaros que el firewall por donde pasa el tráfico de asterisk no tenga para montar un servidor stun... Saludos y gracias como siempre. En mi caso, al menos, no. Lo ideal es usar un servidor STUN propio (del mismo proveedor que te proporciona el servicio SIP) pero en mi caso no tiene, así que uso el de voipbuster (stun.voipbuster.com). a mi paso así pero cuando usaba SIP yo cambien al IAX2 y se acabo el problema ... No sé qué restricciones o limitaciones tendrá Maykel, yo al menos tengo que usar SIP porque tengo numeración (convencional e inum) contratada con los proveedores y necesito entrada/salida con redes de telefonía convencional (pasarela). Para llamadas de tipo centralita (locales) si el otro extremo habla IAX2 pues perfecto :-) Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.05.01.15.46...@gmail.com
Re: [OT] Re: Problemas Nat Asterisk en Debian atravesando 2 firewall
El Wed, 30 Apr 2014 16:53:39 +0200, Maykel Franco escribió: El día 24 de abril de 2014, 15:44, Camaleón noela...@gmail.com escribió: (...) Alguien ha tenido problemas con asterisk en debian atravesando por varios firewall? Que la santa espiral te asista, amigo :-) Vas a tener que hilar fino, fino para ajustar los cortafuegos con el voip, yo me las veo y me las deseo con los terminales Cisco SPA5xx (hay varios terminales con varias extensiones registradas...) y eso que sólo hay un cortafuegos y un NAT de por medio. Al final tuve que llegar a un consenso: unos terminales usan servidores STUN y otros están configurados para hacer NAT traversal con reenvío de puerto. Gracias por contestar Camaleón. (...) Ah, vale, que eras tú el del otro mensaje camuflado cual ninja :-) (te respondí en el otro mensaje, lo siento, lo leí antes y no me di cuenta de que estaba deshilado) Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.05.01.15.48...@gmail.com
Re: [OT] Re: Problemas Nat Asterisk en Debian atravesando 2 firewall
El día 24 de abril de 2014, 15:44, Camaleón noela...@gmail.com escribió: El Thu, 24 Apr 2014 10:17:51 +0200, Maykel Franco escribió: Hola buenas, tengo un servidor asterisk bajo debian. En la misma red funciona perfecto e incluso en otra red que pasa por el mismo firewall también funciona. El problema viene cuando se realizan llamadas atravesando 2 firewall(2 nat), que no se escucha la voz...Según he estado mirando en internet puede deberse a que necesite utilizar stun. Uso puertos por defecto 5060 para registro de los clientes y 1:2 para streaming de voz. Alguien ha tenido problemas con asterisk en debian atravesando por varios firewall? Que la santa espiral te asista, amigo :-) Vas a tener que hilar fino, fino para ajustar los cortafuegos con el voip, yo me las veo y me las deseo con los terminales Cisco SPA5xx (hay varios terminales con varias extensiones registradas...) y eso que sólo hay un cortafuegos y un NAT de por medio. Al final tuve que llegar a un consenso: unos terminales usan servidores STUN y otros están configurados para hacer NAT traversal con reenvío de puerto. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.04.24.13.44...@gmail.com Gracias por contestar Camaleón. Y otra cosa, el servidor stun tiene que estar en el mismo firewall donde tienes nateado el puerto 5060 de registro y el de streaming 1:2? O el servidor stun puede estar en otro firewall que no sea ese? Imaginaros que el firewall por donde pasa el tráfico de asterisk no tenga para montar un servidor stun... Saludos y gracias como siempre. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CAJ2aOA9qLC4MZc=nf+drifz34cf12t5crpmut-834-ggo...@mail.gmail.com
Re: [OT] Re: Problemas Nat Asterisk en Debian atravesando 2 firewall
Maykel Franco maykeldeb...@gmail.com wrote: El día 24 de abril de 2014, 15:44, Camaleón noela...@gmail.com escribió: El Thu, 24 Apr 2014 10:17:51 +0200, Maykel Franco escribió: Hola buenas, tengo un servidor asterisk bajo debian. En la misma red funciona perfecto e incluso en otra red que pasa por el mismo firewall también funciona. El problema viene cuando se realizan llamadas atravesando 2 firewall(2 nat), que no se escucha la voz...Según he estado mirando en internet puede deberse a que necesite utilizar stun. Uso puertos por defecto 5060 para registro de los clientes y 1:2 para streaming de voz. Alguien ha tenido problemas con asterisk en debian atravesando por varios firewall? Que la santa espiral te asista, amigo :-) Vas a tener que hilar fino, fino para ajustar los cortafuegos con el voip, yo me las veo y me las deseo con los terminales Cisco SPA5xx (hay varios terminales con varias extensiones registradas...) y eso que sólo hay un cortafuegos y un NAT de por medio. Al final tuve que llegar a un consenso: unos terminales usan servidores STUN y otros están configurados para hacer NAT traversal con reenvío de puerto. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.04.24.13.44...@gmail.com Gracias por contestar Camaleón. Y otra cosa, el servidor stun tiene que estar en el mismo firewall donde tienes nateado el puerto 5060 de registro y el de streaming 1:2? O el servidor stun puede estar en otro firewall que no sea ese? Imaginaros que el firewall por donde pasa el tráfico de asterisk no tenga para montar un servidor stun... Saludos y gracias como siempre. a mi paso así pero cuando usaba SIP yo cambien al IAX2 y se acabo el problema ... -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CAJ2aOA9qLC4MZc=+drifz34cf12t5crpmut-834-ggo...@mail.gmail.com
Problemas Nat Asterisk en Debian atravesando 2 firewall
Hola buenas, tengo un servidor asterisk bajo debian. En la misma red funciona perfecto e incluso en otra red que pasa por el mismo firewall también funciona. El problema viene cuando se realizan llamadas atravesando 2 firewall(2 nat), que no se escucha la voz...Según he estado mirando en internet puede deberse a que necesite utilizar stun. Uso puertos por defecto 5060 para registro de los clientes y 1:2 para streaming de voz. Alguien ha tenido problemas con asterisk en debian atravesando por varios firewall? Gracias de antemano. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CAJ2aOA_=epdjasquq+cjdsrkdsjdkob6qomomj5rg4o14og...@mail.gmail.com
[OT] Re: Problemas Nat Asterisk en Debian atravesando 2 firewall
El Thu, 24 Apr 2014 10:17:51 +0200, Maykel Franco escribió: Hola buenas, tengo un servidor asterisk bajo debian. En la misma red funciona perfecto e incluso en otra red que pasa por el mismo firewall también funciona. El problema viene cuando se realizan llamadas atravesando 2 firewall(2 nat), que no se escucha la voz...Según he estado mirando en internet puede deberse a que necesite utilizar stun. Uso puertos por defecto 5060 para registro de los clientes y 1:2 para streaming de voz. Alguien ha tenido problemas con asterisk en debian atravesando por varios firewall? Que la santa espiral te asista, amigo :-) Vas a tener que hilar fino, fino para ajustar los cortafuegos con el voip, yo me las veo y me las deseo con los terminales Cisco SPA5xx (hay varios terminales con varias extensiones registradas...) y eso que sólo hay un cortafuegos y un NAT de por medio. Al final tuve que llegar a un consenso: unos terminales usan servidores STUN y otros están configurados para hacer NAT traversal con reenvío de puerto. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.04.24.13.44...@gmail.com
Re: Arno-Iptables-Firewall en Debian 7.1
On Tue, 22 Apr 2014 10:21:19 -0500, Richard Díaz Rodríguez wrote: (no te olvides de desactivar el hmtl en los mensajes) Hola tengo arno-iptables-firewall instalado y configurado para hacer nat a mi LAN me gustaria hacer con el que todo el trafico que venga destinado para ese server donde tengo arno-iptables-firewall instaldo por puero 80 me lo mande para otro server que se encuentra dentro de mi LAN y viceversa todo el trafico que venga de ese server por el puerto 80 me lo mande para internet uso Debian 7.1 La generación de reglas en cortafuegos se me da muy mal, así que en lugar de lanzarme a la piscina sin flotador recomendaría que revisaras la documentación oficial, por ejemplo: http://rocky.eld.leidenuniv.nl/joomla/index.php?option=com_contentview=articleid=50Itemid=81 Q: How can I forward port 21 and 25 to 192.168.0.5 and forward port 5000-5010 to 192.168.0.6? A: Use NAT_FORWARD_TCP and/or NAT_FORWARD_UDP variable(s) in this way: NAT_FORWARD_TCP=21,25192.168.0.5 5000:5010192.168.0.6 NAT_FORWARD_UDP=21,25192.168.0.5 5000:5010192.168.0.6 Entiendo que para tu caso sería algo similar ya que quieres que el tráfico de entrada dirigido al puerto 80 del servidor1 donde tienes el cortafuegos, lo quieres reenviar a otro servidor2 de la red interna y el tráfico de salida por el puerto 80 del servidor2 se vaya a la pasarela de salida a Internet que entiendo será un módem u otro enrutador. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.04.24.14.45...@gmail.com
Arno-Iptables-Firewall en Debian 7.1
Hola tengo arno-iptables-firewall instalado y configurado para hacer nat a mi LAN me gustaria hacer con el que todo el trafico que venga destinado para ese server donde tengo arno-iptables-firewall instaldo por puero 80 me lo mande para otro server que se encuentra dentro de mi LAN y viceversa todo el trafico que venga de ese server por el puerto 80 me lo mande para internet uso Debian 7.1 Esp.Richard Díaz Rodríguez Administrador de Red y Sistemas UEB Fibrocemento Sancti Spíritus.Cuba. Teléfono Trabajo: (53)41-861603 www.LinuxCounter.net Registered user #567498
Re: [OFF-TOPIC] Mini ITX para firewall Debian, Pfsense o routerOS
El día 17 de febrero de 2014, 16:15, Camaleón noela...@gmail.com escribió: El Mon, 17 Feb 2014 16:04:16 +0100, Maykel Franco escribió: El 17/02/2014 15:31, Camaleón noela...@gmail.com escribió: El Mon, 17 Feb 2014 07:19:26 +, C. L. Martinez escribió: (...) Y además te permite ver lo que realmente pasa ... Pero vamos, creo que Maykel buscaba un cacharro para casa ... Por ende, puede que le sea suficiente. Para casa, si es de verdad para casa, no necesita un aparato de esos. Así que supongo que lo quiere para jugar/experimentar en casa y si le da buen resultado, trasladar el invento a la oficina. Lo quiero para casa, si lo quisiera para la oficina lo diria. Bien... entonces ¿qué uso vas a darle en tu casa? ¿para qué quieres 4 interfaces de red? Y cuantos más detalles des, mejor. Quiero 3, pero con 2 me apañaba. Pero encontré este cacharro. Para qué quiero 3/4 interfaces de red?? Para jugar un poquito en casa y aprender y sí, si lo que hago en casa me funciona en un futuro quién no lo aplicaría en el trabajo?? Creo que lo puse en el primer correo, sino es así lo vuelvo a poner: 1- Tarjeta de red para engancharla al router ono y ponerlo en modo NAPT, para que deje pasar todo el tráfico y sea este cacharro quien lo controle por WAN. 2- Tarjeta de red para dmz, ahí tendre mi hp microproliant. 3- Tarjeta de red por donde yo me conectaré con mi portatil, para simular se parar la red de la dmz. (...) Insisto camaleon si lo quisiera para la oficina lo diria, igual que comente lo de la cabina de discos para 35 usuarios y para la ofi. Ya me gustaría ver esa insistencia con el formato de tus mensajes ;-) Si contesto desde el móvil que solo tiene el maldito formato html, no lo hago aposta. LO SIENTO. Con 2 tarjetas de red y siendo para casa, qué me aconsejas Camaleon?? Pues ahora mismo no sé ni para qué quieres un cortafuegos. Para aprender y todo lo que haga en casa en un futuro tener más soltura en el trabajo. Desde luego para casa y sin aportar más detalles no le veo ningún sentido a ese aparato salvo gastar por gastar ya que con el modem-router que pone cualquier ISP y el iptables de tu Debian te vale y te sobra. Gastar por aprender. El router ISP e iptables lo tiene cualquiera, me gusta montarme algo más serio y de echo lo tengo montado, pero todo en el HP Microproliant con proxmox como he comentado, y quiero separarlo para darle más soltura al HP y tener el mini ITX que me mola un huevo. Saludos, -- Camaleón Gracias Camaleón. Ya me apaño. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2014.02.17.15.15...@gmail.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/caj2aoa8amq3hcnej0ky9_0++ofzhtyt1iujrgbv_iffbcd7...@mail.gmail.com
Re: [OFF-TOPIC] Mini ITX para firewall Debian, Pfsense o routerOS
El Tue, 18 Feb 2014 10:50:13 +0100, Maykel Franco escribió: El día 17 de febrero de 2014, 16:15, Camaleón noela...@gmail.com escribió: (...) Lo quiero para casa, si lo quisiera para la oficina lo diria. Bien... entonces ¿qué uso vas a darle en tu casa? ¿para qué quieres 4 interfaces de red? Y cuantos más detalles des, mejor. Quiero 3, pero con 2 me apañaba. Vale pero ¿por qué 3 y no 1 o 4 o 6...? ¿Responde a alguna razón de índole técnica o se trata de un mero capricho? Pero encontré este cacharro. Para qué quiero 3/4 interfaces de red?? Para jugar un poquito en casa y aprender y sí, si lo que hago en casa me funciona en un futuro quién no lo aplicaría en el trabajo?? Leñe, pues eso es lo que dije. Con 2 tarjetas de red y siendo para casa, qué me aconsejas Camaleon?? Pues ahora mismo no sé ni para qué quieres un cortafuegos. Para aprender y todo lo que haga en casa en un futuro tener más soltura en el trabajo. Bien, eso era lo que pensaba. Desde luego para casa y sin aportar más detalles no le veo ningún sentido a ese aparato salvo gastar por gastar ya que con el modem-router que pone cualquier ISP y el iptables de tu Debian te vale y te sobra. Gastar por aprender. El router ISP e iptables lo tiene cualquiera, Si, tener lo tenemos pero tenerlo configurado al gusto es otra cosa. Y una tarjeta de red gigabit tiene un precio de 20€ (x4 80€) y no los 300€ a los que te sube la compra de ese cacharrico, peor bueno, le veo sus ventajas, no creas. me gusta montarme algo más serio y de echo lo tengo montado, pero todo en el HP Microproliant con proxmox como he comentado, y quiero separarlo para darle más soltura al HP y tener el mini ITX que me mola un huevo. Perfecto, pues yo tiraría por alguno con 4 interfaces de red (o 3 y uno wifi). ¿Motivos? 1/ Seguridad física real 2/ Posibilidad de usar bonding (link aggregation/load balance) 3/ Si te falla físicamente alguno de los 4 puertos tienes el resto disponibles (recuerda que estos dispositivos no admiten ampliaciones) 4/ Posibilidad de mezclar varias configuraciones: 2 interfaces en bonding, 1 como DMZ, otra independiente para la red local... Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2014.02.18.15.17...@gmail.com
Re: [OFF-TOPIC] Mini ITX para firewall Debian, Pfsense o routerOS
El día 18 de febrero de 2014, 16:17, Camaleón noela...@gmail.com escribió: El Tue, 18 Feb 2014 10:50:13 +0100, Maykel Franco escribió: El día 17 de febrero de 2014, 16:15, Camaleón noela...@gmail.com escribió: (...) Lo quiero para casa, si lo quisiera para la oficina lo diria. Bien... entonces ¿qué uso vas a darle en tu casa? ¿para qué quieres 4 interfaces de red? Y cuantos más detalles des, mejor. Quiero 3, pero con 2 me apañaba. Vale pero ¿por qué 3 y no 1 o 4 o 6...? ¿Responde a alguna razón de índole técnica o se trata de un mero capricho? Pues para separar el tráfico de manera real y realizar pruebas de filtros, rutas...etc. La cuestión aquí no es si necesito 3 o 4 tarjetas de red o el porque, sino que quiero un cacharro micro itx ni más ni menos Camaleón. No entiendo la insistencia, creo que es lo de menos lo que necesite o no. Si digo que quiero 3 pero por presupuesto me puedo apañar con 2, no veo más motivos de insistir en esto (ni tampoco en el html jejeje). Pero encontré este cacharro. Para qué quiero 3/4 interfaces de red?? Para jugar un poquito en casa y aprender y sí, si lo que hago en casa me funciona en un futuro quién no lo aplicaría en el trabajo?? Leñe, pues eso es lo que dije. Sí pero la finalidad no es lo que haga aquí lo hago en el trabajo, la finalidad es aprender aquí y si algún día tengo que hacerlo en este trabajo, en otro, en un curso... saberlo y aprender ni más ni menos. Además que me gusta mucho tener esto en casa, me da más seguridad. Con 2 tarjetas de red y siendo para casa, qué me aconsejas Camaleon?? Pues ahora mismo no sé ni para qué quieres un cortafuegos. Para aprender y todo lo que haga en casa en un futuro tener más soltura en el trabajo. Bien, eso era lo que pensaba. Sí ya sea aplicar en el trabajo, o donde sea pero el caso es aprender. Desde luego para casa y sin aportar más detalles no le veo ningún sentido a ese aparato salvo gastar por gastar ya que con el modem-router que pone cualquier ISP y el iptables de tu Debian te vale y te sobra. Gastar por aprender. El router ISP e iptables lo tiene cualquiera, Si, tener lo tenemos pero tenerlo configurado al gusto es otra cosa. Y una tarjeta de red gigabit tiene un precio de 20 EURO (x4 80 EURO) y no los 300 EURO a los que te sube la compra de ese cacharrico, peor bueno, le veo sus ventajas, no creas. me gusta montarme algo más serio y de echo lo tengo montado, pero todo en el HP Microproliant con proxmox como he comentado, y quiero separarlo para darle más soltura al HP y tener el mini ITX que me mola un huevo. Perfecto, pues yo tiraría por alguno con 4 interfaces de red (o 3 y uno wifi). ¿Motivos? 1/ Seguridad física real 2/ Posibilidad de usar bonding (link aggregation/load balance) 3/ Si te falla físicamente alguno de los 4 puertos tienes el resto disponibles (recuerda que estos dispositivos no admiten ampliaciones) 4/ Posibilidad de mezclar varias configuraciones: 2 interfaces en bonding, 1 como DMZ, otra independiente para la red local... La verdad es que no se puede comparar en funcionalidad y seguridad un router que te da el ISP contratado, a un router por software como pfsense...Es comparar a dios con un gitano. Tengo todo el control de la red sobre ese firewall y además pruebas cositas, testing...etc. Saludos, Saludos. -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2014.02.18.15.17...@gmail.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CAJ2aOA91AP8mYhsQOYD7jQcudYU3aO=Xgbhv=nbwaukjarp...@mail.gmail.com
Re: [OFF-TOPIC] Mini ITX para firewall Debian, Pfsense o routerOS
El Tue, 18 Feb 2014 16:35:42 +0100, Maykel Franco escribió: El día 18 de febrero de 2014, 16:17, Camaleón noela...@gmail.com escribió: (...) me gusta montarme algo más serio y de echo lo tengo montado, pero todo en el HP Microproliant con proxmox como he comentado, y quiero separarlo para darle más soltura al HP y tener el mini ITX que me mola un huevo. Perfecto, pues yo tiraría por alguno con 4 interfaces de red (o 3 y uno wifi). ¿Motivos? 1/ Seguridad física real 2/ Posibilidad de usar bonding (link aggregation/load balance) 3/ Si te falla físicamente alguno de los 4 puertos tienes el resto disponibles (recuerda que estos dispositivos no admiten ampliaciones) 4/ Posibilidad de mezclar varias configuraciones: 2 interfaces en bonding, 1 como DMZ, otra independiente para la red local... La verdad es que no se puede comparar en funcionalidad y seguridad un router que te da el ISP contratado, a un router por software como pfsense...Es comparar a dios con un gitano. Tengo todo el control de la red sobre ese firewall y además pruebas cositas, testing...etc. Yo no he establecido esa comparativa. Sólo he dicho que no necesitas más seguridad que la que ya tienes y que si quieres algo distinto o superior es por otro motivo más allá de la necesidad de un entorno seguro. Y por eso mismo te recomiendo un cacharro con al menos 4 interfaces de red, el resto son juguetes. Ya que quieres algo con lo que experimentar y que tenga cierto nivel, con dos conexiones de red te va a saber a poco. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2014.02.18.15.41...@gmail.com
Re: [OFF-TOPIC] Mini ITX para firewall Debian, Pfsense o routerOS
2014-02-18 15:35 GMT+00:00 Maykel Franco maykeldeb...@gmail.com: El día 18 de febrero de 2014, 16:17, Camaleón noela...@gmail.com escribió: El Tue, 18 Feb 2014 10:50:13 +0100, Maykel Franco escribió: El día 17 de febrero de 2014, 16:15, Camaleón noela...@gmail.com escribió: (...) Lo quiero para casa, si lo quisiera para la oficina lo diria. Bien... entonces ¿qué uso vas a darle en tu casa? ¿para qué quieres 4 interfaces de red? Y cuantos más detalles des, mejor. Quiero 3, pero con 2 me apañaba. Vale pero ¿por qué 3 y no 1 o 4 o 6...? ¿Responde a alguna razón de índole técnica o se trata de un mero capricho? Pues para separar el tráfico de manera real y realizar pruebas de filtros, rutas...etc. La cuestión aquí no es si necesito 3 o 4 tarjetas de red o el porque, sino que quiero un cacharro micro itx ni más ni menos Camaleón. No entiendo la insistencia, creo que es lo de menos lo que necesite o no. Si digo que quiero 3 pero por presupuesto me puedo apañar con 2, no veo más motivos de insistir en esto (ni tampoco en el html jejeje). Pero encontré este cacharro. Para qué quiero 3/4 interfaces de red?? Para jugar un poquito en casa y aprender y sí, si lo que hago en casa me funciona en un futuro quién no lo aplicaría en el trabajo?? Leñe, pues eso es lo que dije. Sí pero la finalidad no es lo que haga aquí lo hago en el trabajo, la finalidad es aprender aquí y si algún día tengo que hacerlo en este trabajo, en otro, en un curso... saberlo y aprender ni más ni menos. Además que me gusta mucho tener esto en casa, me da más seguridad. Con 2 tarjetas de red y siendo para casa, qué me aconsejas Camaleon?? Pues ahora mismo no sé ni para qué quieres un cortafuegos. Para aprender y todo lo que haga en casa en un futuro tener más soltura en el trabajo. Bien, eso era lo que pensaba. Sí ya sea aplicar en el trabajo, o donde sea pero el caso es aprender. Desde luego para casa y sin aportar más detalles no le veo ningún sentido a ese aparato salvo gastar por gastar ya que con el modem-router que pone cualquier ISP y el iptables de tu Debian te vale y te sobra. Gastar por aprender. El router ISP e iptables lo tiene cualquiera, Si, tener lo tenemos pero tenerlo configurado al gusto es otra cosa. Y una tarjeta de red gigabit tiene un precio de 20 EURO (x4 80 EURO) y no los 300 EURO a los que te sube la compra de ese cacharrico, peor bueno, le veo sus ventajas, no creas. me gusta montarme algo más serio y de echo lo tengo montado, pero todo en el HP Microproliant con proxmox como he comentado, y quiero separarlo para darle más soltura al HP y tener el mini ITX que me mola un huevo. Perfecto, pues yo tiraría por alguno con 4 interfaces de red (o 3 y uno wifi). ¿Motivos? 1/ Seguridad física real 2/ Posibilidad de usar bonding (link aggregation/load balance) 3/ Si te falla físicamente alguno de los 4 puertos tienes el resto disponibles (recuerda que estos dispositivos no admiten ampliaciones) 4/ Posibilidad de mezclar varias configuraciones: 2 interfaces en bonding, 1 como DMZ, otra independiente para la red local... La verdad es que no se puede comparar en funcionalidad y seguridad un router que te da el ISP contratado, a un router por software como pfsense...Es comparar a dios con un gitano. Tengo todo el control de la red sobre ese firewall y además pruebas cositas, testing...etc. Haya calma señores ... Yo creo que los puntos de vista de Maykel son claros: va a aprender más con un equipo real que con virtualización o haciendo el invento de las vlans, a parte de que va a tener mucho más juego ... Pero a todo esto, que me he perdido. Al final Maykel, ¿con que cacharro te has quedado?? Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CAEjQA5K4w=z8ebgmduno1ps_sghq5osqkacy0povwoga-b9...@mail.gmail.com
Re: [OFF-TOPIC] Mini ITX para firewall Debian, Pfsense o routerOS
El día 18 de febrero de 2014, 16:41, Camaleón noela...@gmail.com escribió: El Tue, 18 Feb 2014 16:35:42 +0100, Maykel Franco escribió: El día 18 de febrero de 2014, 16:17, Camaleón noela...@gmail.com escribió: (...) me gusta montarme algo más serio y de echo lo tengo montado, pero todo en el HP Microproliant con proxmox como he comentado, y quiero separarlo para darle más soltura al HP y tener el mini ITX que me mola un huevo. Perfecto, pues yo tiraría por alguno con 4 interfaces de red (o 3 y uno wifi). ¿Motivos? 1/ Seguridad física real 2/ Posibilidad de usar bonding (link aggregation/load balance) 3/ Si te falla físicamente alguno de los 4 puertos tienes el resto disponibles (recuerda que estos dispositivos no admiten ampliaciones) 4/ Posibilidad de mezclar varias configuraciones: 2 interfaces en bonding, 1 como DMZ, otra independiente para la red local... La verdad es que no se puede comparar en funcionalidad y seguridad un router que te da el ISP contratado, a un router por software como pfsense...Es comparar a dios con un gitano. Tengo todo el control de la red sobre ese firewall y además pruebas cositas, testing...etc. Yo no he establecido esa comparativa. Sólo he dicho que no necesitas más seguridad que la que ya tienes y que si quieres algo distinto o superior es por otro motivo más allá de la necesidad de un entorno seguro. Y por eso mismo te recomiendo un cacharro con al menos 4 interfaces de red, el resto son juguetes. Ya que quieres algo con lo que experimentar y que tenga cierto nivel, con dos conexiones de red te va a saber a poco. Gracias por contestar. Sí a eso me refería que quiero mínimo 3 tarjetas de red más 1 wifi pero como veía que se iba de precio tampoco quería gastarme mucho para un firewall por software, pero todos sabemos que las tarjetas de red en placa suben el precio. Saludos, Saludos. -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2014.02.18.15.41...@gmail.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/caj2aoa9vrd_dthbzmhszoogcii0-gabjcrillh_yod7mca-...@mail.gmail.com
Re: [OFF-TOPIC] Mini ITX para firewall Debian, Pfsense o routerOS
El día 18 de febrero de 2014, 16:51, C. L. Martinez carlopm...@gmail.com escribió: 2014-02-18 15:35 GMT+00:00 Maykel Franco maykeldeb...@gmail.com: El día 18 de febrero de 2014, 16:17, Camaleón noela...@gmail.com escribió: El Tue, 18 Feb 2014 10:50:13 +0100, Maykel Franco escribió: El día 17 de febrero de 2014, 16:15, Camaleón noela...@gmail.com escribió: (...) Lo quiero para casa, si lo quisiera para la oficina lo diria. Bien... entonces ¿qué uso vas a darle en tu casa? ¿para qué quieres 4 interfaces de red? Y cuantos más detalles des, mejor. Quiero 3, pero con 2 me apañaba. Vale pero ¿por qué 3 y no 1 o 4 o 6...? ¿Responde a alguna razón de índole técnica o se trata de un mero capricho? Pues para separar el tráfico de manera real y realizar pruebas de filtros, rutas...etc. La cuestión aquí no es si necesito 3 o 4 tarjetas de red o el porque, sino que quiero un cacharro micro itx ni más ni menos Camaleón. No entiendo la insistencia, creo que es lo de menos lo que necesite o no. Si digo que quiero 3 pero por presupuesto me puedo apañar con 2, no veo más motivos de insistir en esto (ni tampoco en el html jejeje). Pero encontré este cacharro. Para qué quiero 3/4 interfaces de red?? Para jugar un poquito en casa y aprender y sí, si lo que hago en casa me funciona en un futuro quién no lo aplicaría en el trabajo?? Leñe, pues eso es lo que dije. Sí pero la finalidad no es lo que haga aquí lo hago en el trabajo, la finalidad es aprender aquí y si algún día tengo que hacerlo en este trabajo, en otro, en un curso... saberlo y aprender ni más ni menos. Además que me gusta mucho tener esto en casa, me da más seguridad. Con 2 tarjetas de red y siendo para casa, qué me aconsejas Camaleon?? Pues ahora mismo no sé ni para qué quieres un cortafuegos. Para aprender y todo lo que haga en casa en un futuro tener más soltura en el trabajo. Bien, eso era lo que pensaba. Sí ya sea aplicar en el trabajo, o donde sea pero el caso es aprender. Desde luego para casa y sin aportar más detalles no le veo ningún sentido a ese aparato salvo gastar por gastar ya que con el modem-router que pone cualquier ISP y el iptables de tu Debian te vale y te sobra. Gastar por aprender. El router ISP e iptables lo tiene cualquiera, Si, tener lo tenemos pero tenerlo configurado al gusto es otra cosa. Y una tarjeta de red gigabit tiene un precio de 20 EURO (x4 80 EURO) y no los 300 EURO a los que te sube la compra de ese cacharrico, peor bueno, le veo sus ventajas, no creas. me gusta montarme algo más serio y de echo lo tengo montado, pero todo en el HP Microproliant con proxmox como he comentado, y quiero separarlo para darle más soltura al HP y tener el mini ITX que me mola un huevo. Perfecto, pues yo tiraría por alguno con 4 interfaces de red (o 3 y uno wifi). ¿Motivos? 1/ Seguridad física real 2/ Posibilidad de usar bonding (link aggregation/load balance) 3/ Si te falla físicamente alguno de los 4 puertos tienes el resto disponibles (recuerda que estos dispositivos no admiten ampliaciones) 4/ Posibilidad de mezclar varias configuraciones: 2 interfaces en bonding, 1 como DMZ, otra independiente para la red local... La verdad es que no se puede comparar en funcionalidad y seguridad un router que te da el ISP contratado, a un router por software como pfsense...Es comparar a dios con un gitano. Tengo todo el control de la red sobre ese firewall y además pruebas cositas, testing...etc. Haya calma señores ... Yo creo que los puntos de vista de Maykel son claros: va a aprender más con un equipo real que con virtualización o haciendo el invento de las vlans, a parte de que va a tener mucho más juego ... Sí a eso me refería que quería hacerlo lo más real posible. Es lógico que se pregunte la finalidad del para que lo quiero para que m epuedan ayudar, a lo mejor no he sido tan preciso a la hora de explicarme. No obstante, gracias por la ayuda Camaleón. Pero a todo esto, que me he perdido. Al final Maykel, ¿con que cacharro te has quedado?? Jeje pues no lo sé, sigo mirando pero el cacharrito ese con 4 interfaces de red no está nada mal. El tema es que me han operado de la rodilla y como tengo tiempo libre me da mirar estas cosas...si es que jejejeje. Simplemente es un cacharro con 3 tarjetas de red minimo y 1 wifi para los dispositivos que conecte por móvil. Seguiré mirando. La finalidad es jugar entre las redes, aprender y tener un firewall como dios manda. Saludos. Gracias a todos por las sugerencias. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/caejqa5k4wz8ebgmduno1ps_sghq5osqkacy0povwoga-b9...@mail.gmail.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org
Re: [OFF-TOPIC] Mini ITX para firewall Debian, Pfsense o routerOS
On 18 de febrero de 2014 16:57:40 CET, Maykel Franco maykeldeb...@gmail.com wrote: El día 18 de febrero de 2014, 16:51, C. L. Martinez carlopm...@gmail.com escribió: 2014-02-18 15:35 GMT+00:00 Maykel Franco maykeldeb...@gmail.com: El día 18 de febrero de 2014, 16:17, Camaleón noela...@gmail.com escribió: El Tue, 18 Feb 2014 10:50:13 +0100, Maykel Franco escribió: El día 17 de febrero de 2014, 16:15, Camaleón noela...@gmail.com escribió: (...) Lo quiero para casa, si lo quisiera para la oficina lo diria. Bien... entonces ¿qué uso vas a darle en tu casa? ¿para qué quieres 4 interfaces de red? Y cuantos más detalles des, mejor. Quiero 3, pero con 2 me apañaba. Vale pero ¿por qué 3 y no 1 o 4 o 6...? ¿Responde a alguna razón de índole técnica o se trata de un mero capricho? Pues para separar el tráfico de manera real y realizar pruebas de filtros, rutas...etc. La cuestión aquí no es si necesito 3 o 4 tarjetas de red o el porque, sino que quiero un cacharro micro itx ni más ni menos Camaleón. No entiendo la insistencia, creo que es lo de menos lo que necesite o no. Si digo que quiero 3 pero por presupuesto me puedo apañar con 2, no veo más motivos de insistir en esto (ni tampoco en el html jejeje). Pero encontré este cacharro. Para qué quiero 3/4 interfaces de red?? Para jugar un poquito en casa y aprender y sí, si lo que hago en casa me funciona en un futuro quién no lo aplicaría en el trabajo?? Leñe, pues eso es lo que dije. Sí pero la finalidad no es lo que haga aquí lo hago en el trabajo, la finalidad es aprender aquí y si algún día tengo que hacerlo en este trabajo, en otro, en un curso... saberlo y aprender ni más ni menos. Además que me gusta mucho tener esto en casa, me da más seguridad. Con 2 tarjetas de red y siendo para casa, qué me aconsejas Camaleon?? Pues ahora mismo no sé ni para qué quieres un cortafuegos. Para aprender y todo lo que haga en casa en un futuro tener más soltura en el trabajo. Bien, eso era lo que pensaba. Sí ya sea aplicar en el trabajo, o donde sea pero el caso es aprender. Desde luego para casa y sin aportar más detalles no le veo ningún sentido a ese aparato salvo gastar por gastar ya que con el modem-router que pone cualquier ISP y el iptables de tu Debian te vale y te sobra. Gastar por aprender. El router ISP e iptables lo tiene cualquiera, Si, tener lo tenemos pero tenerlo configurado al gusto es otra cosa. Y una tarjeta de red gigabit tiene un precio de 20 EURO (x4 80 EURO) y no los 300 EURO a los que te sube la compra de ese cacharrico, peor bueno, le veo sus ventajas, no creas. me gusta montarme algo más serio y de echo lo tengo montado, pero todo en el HP Microproliant con proxmox como he comentado, y quiero separarlo para darle más soltura al HP y tener el mini ITX que me mola un huevo. Perfecto, pues yo tiraría por alguno con 4 interfaces de red (o 3 y uno wifi). ¿Motivos? 1/ Seguridad física real 2/ Posibilidad de usar bonding (link aggregation/load balance) 3/ Si te falla físicamente alguno de los 4 puertos tienes el resto disponibles (recuerda que estos dispositivos no admiten ampliaciones) 4/ Posibilidad de mezclar varias configuraciones: 2 interfaces en bonding, 1 como DMZ, otra independiente para la red local... La verdad es que no se puede comparar en funcionalidad y seguridad un router que te da el ISP contratado, a un router por software como pfsense...Es comparar a dios con un gitano. Tengo todo el control de la red sobre ese firewall y además pruebas cositas, testing...etc. Haya calma señores ... Yo creo que los puntos de vista de Maykel son claros: va a aprender más con un equipo real que con virtualización o haciendo el invento de las vlans, a parte de que va a tener mucho más juego ... Sí a eso me refería que quería hacerlo lo más real posible. Es lógico que se pregunte la finalidad del para que lo quiero para que m epuedan ayudar, a lo mejor no he sido tan preciso a la hora de explicarme. No obstante, gracias por la ayuda Camaleón. Pero a todo esto, que me he perdido. Al final Maykel, ¿con que cacharro te has quedado?? Jeje pues no lo sé, sigo mirando pero el cacharrito ese con 4 interfaces de red no está nada mal. El tema es que me han operado de la rodilla y como tengo tiempo libre me da mirar estas cosas...si es que jejejeje. Simplemente es un cacharro con 3 tarjetas de red minimo y 1 wifi para los dispositivos que conecte por móvil. Seguiré mirando. La finalidad es jugar entre las redes, aprender y tener un firewall como dios manda. Saludos. Gracias a todos por las sugerencias. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/caejqa5k4wz8ebgmduno1ps_sghq5osqkacy0povwoga-b9...@mail.gmail.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe
Re: [OFF-TOPIC] Mini ITX para firewall Debian, Pfsense o routerOS
El día 17 de febrero de 2014, 8:19, C. L. Martinez carlopm...@gmail.com escribió: 2014-02-16 18:16 GMT+00:00 Camaleón noela...@gmail.com: El Sun, 16 Feb 2014 16:02:20 -0200, Luis Eduardo Cortes escribió: El día 16 de febrero de 2014, 14:37, Camaleón noela...@gmail.com escribió: El Sun, 16 Feb 2014 12:45:58 -0200, Luis Eduardo Cortes escribió: Prefiero hacerlo un poquito real y usar 2 tarjetas de red minimo. ¿Le encuentras algún problema técnico o de seguridad? ¿o es que te sientes más seguro viendo los cables conectados? (...) ¡Obviamente lo hay! Una interfaz de red virtual (o una vlan) basa su seguridad en el software que lo gestiona que puede ser vulnerable a bugs o errores del firmware, etc, por lo que si existe una ruta física (esos cables conectados de los que hablas) que permita la conexión a un equipo se puede explotar de manera remota. El ataque de VLAN hopping puede ser mitigado tomando ciertas precauciones en la configuración del o los switches, además, obviamente depende también de la calidad de los mismos: http://en.wikipedia.org/wiki/VLAN_hopping No me refería a una vulnerabilidad en concreto. El firmware de un enrutador puede tener un bug y se podría aprovechar ese fallo para acceder a cualquiera de las redes internas que se tengan definidas por software. No hay un único vector de ataque, desgraciadamente. Es como toda decisión de tecnología (y otras), hay que sopesar riesgos y beneficios. Por eso mismo considero que merece la pena separar físicamente las redes, siempre te dará más juego: podrás usarlas por separado, generar otras virtuales, unirlas... Saludos, -- Y además te permite ver lo que realmente pasa ... Pero vamos, creo que Maykel buscaba un cacharro para casa ... Por ende, puede que le sea suficiente. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/caejqa5lanu+vrgjjxksmev_sfmu-htqs-p+j07y7ktzojy3...@mail.gmail.com Gracias a todos por la ayuda y las sugerencias. La verdad es que no me gusta la idea de meter varias redes por la misma interfaz de red, nunca me ha gustado ese concepto. Me gusta separarlo y hacerlo real, me quiero evitar problemas. Con 2 tarjetas de red también podría valerme. Tendría los usuarios y la dmz en el mismo rango pero bueno... Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CAJ2aOA_bSjksjFRd_HjH8x++vgc8cB2aK6-R7ok8zq-=jc9...@mail.gmail.com
Re: [OFF-TOPIC] Mini ITX para firewall Debian, Pfsense o routerOS
El día 17 de febrero de 2014, 14:13, Maykel Franco maykeldeb...@gmail.com escribió: El día 17 de febrero de 2014, 8:19, C. L. Martinez carlopm...@gmail.com escribió: 2014-02-16 18:16 GMT+00:00 Camaleón noela...@gmail.com: El Sun, 16 Feb 2014 16:02:20 -0200, Luis Eduardo Cortes escribió: El día 16 de febrero de 2014, 14:37, Camaleón noela...@gmail.com escribió: El Sun, 16 Feb 2014 12:45:58 -0200, Luis Eduardo Cortes escribió: Prefiero hacerlo un poquito real y usar 2 tarjetas de red minimo. ¿Le encuentras algún problema técnico o de seguridad? ¿o es que te sientes más seguro viendo los cables conectados? (...) ¡Obviamente lo hay! Una interfaz de red virtual (o una vlan) basa su seguridad en el software que lo gestiona que puede ser vulnerable a bugs o errores del firmware, etc, por lo que si existe una ruta física (esos cables conectados de los que hablas) que permita la conexión a un equipo se puede explotar de manera remota. El ataque de VLAN hopping puede ser mitigado tomando ciertas precauciones en la configuración del o los switches, además, obviamente depende también de la calidad de los mismos: http://en.wikipedia.org/wiki/VLAN_hopping No me refería a una vulnerabilidad en concreto. El firmware de un enrutador puede tener un bug y se podría aprovechar ese fallo para acceder a cualquiera de las redes internas que se tengan definidas por software. No hay un único vector de ataque, desgraciadamente. Es como toda decisión de tecnología (y otras), hay que sopesar riesgos y beneficios. Por eso mismo considero que merece la pena separar físicamente las redes, siempre te dará más juego: podrás usarlas por separado, generar otras virtuales, unirlas... Saludos, -- Y además te permite ver lo que realmente pasa ... Pero vamos, creo que Maykel buscaba un cacharro para casa ... Por ende, puede que le sea suficiente. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/caejqa5lanu+vrgjjxksmev_sfmu-htqs-p+j07y7ktzojy3...@mail.gmail.com Gracias a todos por la ayuda y las sugerencias. La verdad es que no me gusta la idea de meter varias redes por la misma interfaz de red, nunca me ha gustado ese concepto. Me gusta separarlo y hacerlo real, me quiero evitar problemas. Con 2 tarjetas de red también podría valerme. Tendría los usuarios y la dmz en el mismo rango pero bueno... Saludos. Ummm muy chulo este, lo acabo de encontrar: http://www.amazon.com/Intel-Networking-Appliance-Embedded-JBC373F38W-525/dp/B00ESMUF7O/ref=pd_sim_sbs_pc_7?ie=UTF8refRID=1FMK7SCP2WJMGS92XW2A Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/caj2aoa9w2anfwvxk3cpmjyfw8uxk+qfjxd7md-9tyh1wyc2...@mail.gmail.com
Re: [OFF-TOPIC] Mini ITX para firewall Debian, Pfsense o routerOS
On 17 de febrero de 2014 14:22:25 CET, Maykel Franco maykeldeb...@gmail.com wrote: El día 17 de febrero de 2014, 14:13, Maykel Franco maykeldeb...@gmail.com escribió: El día 17 de febrero de 2014, 8:19, C. L. Martinez carlopm...@gmail.com escribió: 2014-02-16 18:16 GMT+00:00 Camaleón noela...@gmail.com: El Sun, 16 Feb 2014 16:02:20 -0200, Luis Eduardo Cortes escribió: El día 16 de febrero de 2014, 14:37, Camaleón noela...@gmail.com escribió: El Sun, 16 Feb 2014 12:45:58 -0200, Luis Eduardo Cortes escribió: Prefiero hacerlo un poquito real y usar 2 tarjetas de red minimo. ¿Le encuentras algún problema técnico o de seguridad? ¿o es que te sientes más seguro viendo los cables conectados? (...) ¡Obviamente lo hay! Una interfaz de red virtual (o una vlan) basa su seguridad en el software que lo gestiona que puede ser vulnerable a bugs o errores del firmware, etc, por lo que si existe una ruta física (esos cables conectados de los que hablas) que permita la conexión a un equipo se puede explotar de manera remota. El ataque de VLAN hopping puede ser mitigado tomando ciertas precauciones en la configuración del o los switches, además, obviamente depende también de la calidad de los mismos: http://en.wikipedia.org/wiki/VLAN_hopping No me refería a una vulnerabilidad en concreto. El firmware de un enrutador puede tener un bug y se podría aprovechar ese fallo para acceder a cualquiera de las redes internas que se tengan definidas por software. No hay un único vector de ataque, desgraciadamente. Es como toda decisión de tecnología (y otras), hay que sopesar riesgos y beneficios. Por eso mismo considero que merece la pena separar físicamente las redes, siempre te dará más juego: podrás usarlas por separado, generar otras virtuales, unirlas... Saludos, -- Y además te permite ver lo que realmente pasa ... Pero vamos, creo que Maykel buscaba un cacharro para casa ... Por ende, puede que le sea suficiente. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/caejqa5lanu+vrgjjxksmev_sfmu-htqs-p+j07y7ktzojy3...@mail.gmail.com Gracias a todos por la ayuda y las sugerencias. La verdad es que no me gusta la idea de meter varias redes por la misma interfaz de red, nunca me ha gustado ese concepto. Me gusta separarlo y hacerlo real, me quiero evitar problemas. Con 2 tarjetas de red también podría valerme. Tendría los usuarios y la dmz en el mismo rango pero bueno... Saludos. Ummm muy chulo este, lo acabo de encontrar: http://www.amazon.com/Intel-Networking-Appliance-Embedded-JBC373F38W-525/dp/B00ESMUF7O/ref=pd_sim_sbs_pc_7?ie=UTF8refRID=1FMK7SCP2WJMGS92XW2A Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/caj2aoa9w2anfwvxk3cpmjyfw8uxk+qfjxd7md-9tyh1wyc2...@mail.gmail.com Una de las críticas no lo deja en muy buen sitio en cuanto a temperatura (70-80° en idle en invierno), pero quién sabe... Salut, jors -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/99a8cfbf-3c22-42cd-978a-7b8959d64...@email.android.com
Re: [OFF-TOPIC] Mini ITX para firewall Debian, Pfsense o routerOS
El Mon, 17 Feb 2014 07:19:26 +, C. L. Martinez escribió: 2014-02-16 18:16 GMT+00:00 Camaleón noela...@gmail.com: El Sun, 16 Feb 2014 16:02:20 -0200, Luis Eduardo Cortes escribió: (...) Es como toda decisión de tecnología (y otras), hay que sopesar riesgos y beneficios. Por eso mismo considero que merece la pena separar físicamente las redes, siempre te dará más juego: podrás usarlas por separado, generar otras virtuales, unirlas... Y además te permite ver lo que realmente pasa ... Pero vamos, creo que Maykel buscaba un cacharro para casa ... Por ende, puede que le sea suficiente. Para casa, si es de verdad para casa, no necesita un aparato de esos. Así que supongo que lo quiere para jugar/experimentar en casa y si le da buen resultado, trasladar el invento a la oficina. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2014.02.17.14.31...@gmail.com
Re: [OFF-TOPIC] Mini ITX para firewall Debian, Pfsense o routerOS
El 17/02/2014 15:31, Camaleón noela...@gmail.com escribió: El Mon, 17 Feb 2014 07:19:26 +, C. L. Martinez escribió: 2014-02-16 18:16 GMT+00:00 Camaleón noela...@gmail.com: El Sun, 16 Feb 2014 16:02:20 -0200, Luis Eduardo Cortes escribió: (...) Es como toda decisión de tecnología (y otras), hay que sopesar riesgos y beneficios. Por eso mismo considero que merece la pena separar físicamente las redes, siempre te dará más juego: podrás usarlas por separado, generar otras virtuales, unirlas... Y además te permite ver lo que realmente pasa ... Pero vamos, creo que Maykel buscaba un cacharro para casa ... Por ende, puede que le sea suficiente. Para casa, si es de verdad para casa, no necesita un aparato de esos. Así que supongo que lo quiere para jugar/experimentar en casa y si le da buen resultado, trasladar el invento a la oficina. Lo quiero para casa, si lo quisiera para la oficina lo diria. Ademas en la oficina los firewall estan virtualizados bajo esxi. Yo en casa es lo que he comentado que lo tengo todo metido en el hp proliant pequeñin con proxmox, pero queria quitar la parte de firewall kvm porque si sumamos apache+php+mysql+raid5+samba+kvm pfsense...al final la maquina se nota que no va lo fluida que deberia, con owncloud. Insisto camaleon si lo quisiera para la oficina lo diria, igual que comente lo de la cabina de discos para 35 usuarios y para la ofi. Con 2 tarjetas de red y siendo para casa, qué me aconsejas Camaleon?? Gracias por todo. Saludos. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2014.02.17.14.31...@gmail.com
Re: [OFF-TOPIC] Mini ITX para firewall Debian, Pfsense o routerOS
El Mon, 17 Feb 2014 16:04:16 +0100, Maykel Franco escribió: El 17/02/2014 15:31, Camaleón noela...@gmail.com escribió: El Mon, 17 Feb 2014 07:19:26 +, C. L. Martinez escribió: (...) Y además te permite ver lo que realmente pasa ... Pero vamos, creo que Maykel buscaba un cacharro para casa ... Por ende, puede que le sea suficiente. Para casa, si es de verdad para casa, no necesita un aparato de esos. Así que supongo que lo quiere para jugar/experimentar en casa y si le da buen resultado, trasladar el invento a la oficina. Lo quiero para casa, si lo quisiera para la oficina lo diria. Bien... entonces ¿qué uso vas a darle en tu casa? ¿para qué quieres 4 interfaces de red? Y cuantos más detalles des, mejor. (...) Insisto camaleon si lo quisiera para la oficina lo diria, igual que comente lo de la cabina de discos para 35 usuarios y para la ofi. Ya me gustaría ver esa insistencia con el formato de tus mensajes ;-) Con 2 tarjetas de red y siendo para casa, qué me aconsejas Camaleon?? Pues ahora mismo no sé ni para qué quieres un cortafuegos. Desde luego para casa y sin aportar más detalles no le veo ningún sentido a ese aparato salvo gastar por gastar ya que con el modem-router que pone cualquier ISP y el iptables de tu Debian te vale y te sobra. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2014.02.17.15.15...@gmail.com
Re: [OFF-TOPIC] Mini ITX para firewall Debian, Pfsense o routerOS
El día 16 de febrero de 2014, 2:06, Luis Eduardo Cortes luedcor...@gmail.com escribió: Por la experiencia de ustedes, me aconsejan algo mejor?? Podría montarlo sobre un micro atx, un sobremesa pequeñito pero no quiero ahí otro servidor encendido, que ya tengo 1...Por eso pensé en un mini itx, que parece un router y no suena a penas. Yo lo estoy haciendo con un minipc similar a este, con interfaces virtuales sobre eth0 y vlans (también se necesita un switch administrable pequeño que soporte vlans): http://www.foxconnchannel.com/ProductDetail.aspx?T=NanoPCU=en-us022 Había pensado hacerlo con un raspberry, pero decidí usarlo para dhcp, concentrador vpn y acceso wifi a mi red interna Saludos. -- Usuario Linux Registrado # 342019 -- http://linuxcounter.net/ -- skype -- luedcortes gtalk -- luedcor...@gmail.com msn -- luedcor...@gmail.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/cafkppbywozcwxfffodtepk5vjhgv5v_ka7gulgpeczcfvz...@mail.gmail.com Gracias. Lo había visto en pccomponentes, pero meter todo por una interfaz de red... no lo veo. Prefiero hacerlo un poquito real y usar 2 tarjetas de red minimo. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CAJ2aOA_DKQ_o-DzRcRJ=gummoh3sijujnjffamf-akibu9t...@mail.gmail.com
Re: [OFF-TOPIC] Mini ITX para firewall Debian, Pfsense o routerOS
El 16/02/14 13:04, Maykel Franco escribió: El día 16 de febrero de 2014, 2:06, Luis Eduardo Cortes luedcor...@gmail.com escribió: Por la experiencia de ustedes, me aconsejan algo mejor?? Podría montarlo sobre un micro atx, un sobremesa pequeñito pero no quiero ahí otro servidor encendido, que ya tengo 1...Por eso pensé en un mini itx, que parece un router y no suena a penas. Mi recomendación: http://www.tp-link.es/products/details/?model=TL-WDR3600 con OpenWRT saludos, -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5300ae30.4090...@bersol.info
Re: [OFF-TOPIC] Mini ITX para firewall Debian, Pfsense o routerOS
Prefiero hacerlo un poquito real y usar 2 tarjetas de red minimo. ¿Le encuentras algún problema técnico o de seguridad? ¿o es que te sientes más seguro viendo los cables conectados? En una empresa que instalé un firewall con estas características, tenía casi 20 interfaces virtuales (una para cada subred) definidas sobre eth0 (mejor dicho bond0), que a la vez era un bonding de 4Gb/s con 4 placas físicas de 1Gb/s, y en el caso de que una de ellas se dañara, a lo sumo bajaría a 3Gb/s sin perder el link, así que ya ves, es bastante real. Saludos. -- Usuario Linux Registrado # 342019 -- http://linuxcounter.net/ -- skype -- luedcortes gtalk -- luedcor...@gmail.com msn -- luedcor...@gmail.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CAFkPpbzxVP4xsUKNP9DgtpHfu1058ELOÃqtgqqidlpea-...@mail.gmail.com
Re: [OFF-TOPIC] Mini ITX para firewall Debian, Pfsense o routerOS
El Sun, 16 Feb 2014 12:45:58 -0200, Luis Eduardo Cortes escribió: Prefiero hacerlo un poquito real y usar 2 tarjetas de red minimo. ¿Le encuentras algún problema técnico o de seguridad? ¿o es que te sientes más seguro viendo los cables conectados? (...) ¡Obviamente lo hay! Una interfaz de red virtual (o una vlan) basa su seguridad en el software que lo gestiona que puede ser vulnerable a bugs o errores del firmware, etc, por lo que si existe una ruta física (esos cables conectados de los que hablas) que permita la conexión a un equipo se puede explotar de manera remota. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2014.02.16.16.38...@gmail.com
Re: [OFF-TOPIC] Mini ITX para firewall Debian, Pfsense o routerOS
El día 16 de febrero de 2014, 14:37, Camaleón noela...@gmail.com escribió: El Sun, 16 Feb 2014 12:45:58 -0200, Luis Eduardo Cortes escribió: Prefiero hacerlo un poquito real y usar 2 tarjetas de red minimo. ¿Le encuentras algún problema técnico o de seguridad? ¿o es que te sientes más seguro viendo los cables conectados? (...) ¡Obviamente lo hay! Una interfaz de red virtual (o una vlan) basa su seguridad en el software que lo gestiona que puede ser vulnerable a bugs o errores del firmware, etc, por lo que si existe una ruta física (esos cables conectados de los que hablas) que permita la conexión a un equipo se puede explotar de manera remota. El ataque de VLAN hopping puede ser mitigado tomando ciertas precauciones en la configuración del o los switches, además, obviamente depende también de la calidad de los mismos: http://en.wikipedia.org/wiki/VLAN_hopping Es como toda decisión de tecnología (y otras), hay que sopesar riesgos y beneficios. Saludos. -- Usuario Linux Registrado # 342019 -- http://linuxcounter.net/ -- skype -- luedcortes gtalk -- luedcor...@gmail.com msn -- luedcor...@gmail.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/cafkppbyp7ahmzc3ow2u+f5r7-pdad3v+9zwi0wwt1romyfe...@mail.gmail.com
Re: [OFF-TOPIC] Mini ITX para firewall Debian, Pfsense o routerOS
El Sun, 16 Feb 2014 16:02:20 -0200, Luis Eduardo Cortes escribió: El día 16 de febrero de 2014, 14:37, Camaleón noela...@gmail.com escribió: El Sun, 16 Feb 2014 12:45:58 -0200, Luis Eduardo Cortes escribió: Prefiero hacerlo un poquito real y usar 2 tarjetas de red minimo. ¿Le encuentras algún problema técnico o de seguridad? ¿o es que te sientes más seguro viendo los cables conectados? (...) ¡Obviamente lo hay! Una interfaz de red virtual (o una vlan) basa su seguridad en el software que lo gestiona que puede ser vulnerable a bugs o errores del firmware, etc, por lo que si existe una ruta física (esos cables conectados de los que hablas) que permita la conexión a un equipo se puede explotar de manera remota. El ataque de VLAN hopping puede ser mitigado tomando ciertas precauciones en la configuración del o los switches, además, obviamente depende también de la calidad de los mismos: http://en.wikipedia.org/wiki/VLAN_hopping No me refería a una vulnerabilidad en concreto. El firmware de un enrutador puede tener un bug y se podría aprovechar ese fallo para acceder a cualquiera de las redes internas que se tengan definidas por software. No hay un único vector de ataque, desgraciadamente. Es como toda decisión de tecnología (y otras), hay que sopesar riesgos y beneficios. Por eso mismo considero que merece la pena separar físicamente las redes, siempre te dará más juego: podrás usarlas por separado, generar otras virtuales, unirlas... Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2014.02.16.18.16...@gmail.com
Re: [OFF-TOPIC] Mini ITX para firewall Debian, Pfsense o routerOS
2014-02-16 18:16 GMT+00:00 Camaleón noela...@gmail.com: El Sun, 16 Feb 2014 16:02:20 -0200, Luis Eduardo Cortes escribió: El día 16 de febrero de 2014, 14:37, Camaleón noela...@gmail.com escribió: El Sun, 16 Feb 2014 12:45:58 -0200, Luis Eduardo Cortes escribió: Prefiero hacerlo un poquito real y usar 2 tarjetas de red minimo. ¿Le encuentras algún problema técnico o de seguridad? ¿o es que te sientes más seguro viendo los cables conectados? (...) ¡Obviamente lo hay! Una interfaz de red virtual (o una vlan) basa su seguridad en el software que lo gestiona que puede ser vulnerable a bugs o errores del firmware, etc, por lo que si existe una ruta física (esos cables conectados de los que hablas) que permita la conexión a un equipo se puede explotar de manera remota. El ataque de VLAN hopping puede ser mitigado tomando ciertas precauciones en la configuración del o los switches, además, obviamente depende también de la calidad de los mismos: http://en.wikipedia.org/wiki/VLAN_hopping No me refería a una vulnerabilidad en concreto. El firmware de un enrutador puede tener un bug y se podría aprovechar ese fallo para acceder a cualquiera de las redes internas que se tengan definidas por software. No hay un único vector de ataque, desgraciadamente. Es como toda decisión de tecnología (y otras), hay que sopesar riesgos y beneficios. Por eso mismo considero que merece la pena separar físicamente las redes, siempre te dará más juego: podrás usarlas por separado, generar otras virtuales, unirlas... Saludos, -- Y además te permite ver lo que realmente pasa ... Pero vamos, creo que Maykel buscaba un cacharro para casa ... Por ende, puede que le sea suficiente. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/caejqa5lanu+vrgjjxksmev_sfmu-htqs-p+j07y7ktzojy3...@mail.gmail.com
Re: [OFF-TOPIC] Mini ITX para firewall Debian, Pfsense o routerOS
El Fri, 14 Feb 2014 22:29:42 +0100, Maykel Franco escribió: Grrr... Y dale con el html. Hola buenas, estoy pensando en comprarme un mini itx para meter un firewall en casa. Actualmente tengo un hp proliant n36l microserver con 6 GB de ram pero le tengo metido un pfsense bajo KVM(con proxmox) pero tengo metido en HP Proliant y un openvz con debian+apache+php+mysql+owncloud+samba, etc,etc y la verdad en cuanto le doy bastante traya se me queda...Por eso quería liberarlo y dejarlo solo para servicio y quitar el firewall de ahí, ya que un KVM en ésa máquina me la deja calentita... jejeje. (...) Y el que más me convencio es este, pero a simple vista no tiene wifi: http://www.amazon.com/Barebone-Embedded-NF9D-2550-Motherboard-AD3RTLANG/ dp/B007GGGBM2/ref=pd_sim_sbs_pc_5 Sólo un apunte con este. No tiene wifi integrada pero sí dispone de puertos USB y una ranura PCI disponible, podrías pincharle una wifi sin problemas. Especificaciones de la placa base: http://www.jetway.com.tw/jw/ipcboard_view.asp?productid=937proname=NF9D-2550 Aunque la cajita roja con pfSense de serie es muy mona 8:-) Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2014.02.15.14.50...@gmail.com
Re: [OFF-TOPIC] Mini ITX para firewall Debian, Pfsense o routerOS
El día 15 de febrero de 2014, 15:50, Camaleón noela...@gmail.com escribió: El Fri, 14 Feb 2014 22:29:42 +0100, Maykel Franco escribió: Grrr... Y dale con el html. Lo siento lo deje activado hace tiempo. Hola buenas, estoy pensando en comprarme un mini itx para meter un firewall en casa. Actualmente tengo un hp proliant n36l microserver con 6 GB de ram pero le tengo metido un pfsense bajo KVM(con proxmox) pero tengo metido en HP Proliant y un openvz con debian+apache+php+mysql+owncloud+samba, etc,etc y la verdad en cuanto le doy bastante traya se me queda...Por eso quería liberarlo y dejarlo solo para servicio y quitar el firewall de ahí, ya que un KVM en ésa máquina me la deja calentita... jejeje. (...) Y el que más me convencio es este, pero a simple vista no tiene wifi: http://www.amazon.com/Barebone-Embedded-NF9D-2550-Motherboard-AD3RTLANG/ dp/B007GGGBM2/ref=pd_sim_sbs_pc_5 Sólo un apunte con este. No tiene wifi integrada pero sí dispone de puertos USB y una ranura PCI disponible, podrías pincharle una wifi sin problemas. Especificaciones de la placa base: http://www.jetway.com.tw/jw/ipcboard_view.asp?productid=937proname=NF9D-2550 Gracias Camaleón, de momento me he decantado por ese aunque entre tarjeta pci y demás se me va un poco de presupuesto. He comentado esos pero si conocéis otros itx que sean más baratos...Me podría adaptar con 2 tarjetas de red, porque he visto que ya una 3º se va de precio. Aunque la cajita roja con pfSense de serie es muy mona 8:-) Si muy mona y muy chula pero de 10/100 las tarjetas jeje. Y en casa tengo 100MB con ONO, una oferta, y dentro de poco aumentarán al doble las lineas...Coger un router de 100 hoy en día es pan para hoy y hambre para mañana. Saludos, -- Camaleón Gracias como siempre Camaleón. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2014.02.15.14.50...@gmail.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/caj2aoa9gbb+jcncbr7gpusvf6ebw0u23kf-vsom6dh10ddf...@mail.gmail.com
Re: [OFF-TOPIC] Mini ITX para firewall Debian, Pfsense o routerOS
El Sat, 15 Feb 2014 19:55:38 +0100, Maykel Franco escribió: El día 15 de febrero de 2014, 15:50, Camaleón noela...@gmail.com escribió: (...) Sólo un apunte con este. No tiene wifi integrada pero sí dispone de puertos USB y una ranura PCI disponible, podrías pincharle una wifi sin problemas. Especificaciones de la placa base: http://www.jetway.com.tw/jw/ipcboard_view.asp? productid=937proname=NF9D-2550 Gracias Camaleón, de momento me he decantado por ese aunque entre tarjeta pci y demás se me va un poco de presupuesto. He comentado esos pero si conocéis otros itx que sean más baratos...Me podría adaptar con 2 tarjetas de red, porque he visto que ya una 3º se va de precio. Mira también algún dispositivo de los que monten m0n0wall que también podrían interesantes: http://m0n0.ch/wall/hardware.php Y bueno, se habla bien de Microtik aunque estos parecen más enfocados a enrutadores que cortafuegos: http://www.mikrotik.com/ Aunque la cajita roja con pfSense de serie es muy mona 8:-) Si muy mona y muy chula pero de 10/100 las tarjetas jeje. Y en casa tengo 100MB con ONO, una oferta, y dentro de poco aumentarán al doble las lineas...Coger un router de 100 hoy en día es pan para hoy y hambre para mañana. Sí, cierto, es un handicap. A ver si Telefónica se pone las pilas con la fibra y nos sube los 100/10 Mbps. O:-) Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2014.02.15.21.27...@gmail.com
