Consulta sobre OpenVPN y Shorewall
Estimados, hace tiempo me estoy volviendo loco y no puedo lograr hacer que shorewall me filtre los clientes de OpenVPN!! Les cuento como viene la cosa: Tengo mi OpenVPN con la siguiente configuracion: server.cfg script-security 2 port 1194 proto udp dev tun0 management localhost 7794 crl-verify /etc/openvpn/easy-rsa/keys/crl.pem ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt key /etc/openvpn/keys/server.key dh /etc/openvpn/keys/dh2048.pem plugin /usr/lib/openvpn/openvpn-auth-ldap.so auth/auth-ldap.conf username-as-common-name auth-user-pass-verify auth/auth.pl via-env server 10.21.0.0 255.255.0.0 ifconfig 10.21.0.1 255.255.0.0 client-config-dir /etc/openvpn/ccd ifconfig-pool-persist ipp.txt client-to-client keepalive 10 120 comp-lzo max-clients 200 persist-key persist-tun status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn.log log-append /var/log/openvpn/openvpn.log verb 5 ping-restart 0 El archivo ccd de mi usuario es: marc.ccd ifconfig-push 10.21.44.85 10.21.44.86 push "route 192.168.0.0 255.255.255.0" push "route 172.16.0.0 255.255.0.0" push "route 192.168.254.0 255.255.255.0" Hasta aqui todo bien, llego bien a la LOC (asi llame a mi red local en shorewall) y a la DMZ. Si pongo en las rules de shorewall: DROP vpn:10.21.44.85 dmz all Me bloquea perfectamente! Pero si pongo: DROP vpn:10.21.44.85 loc all No surte efecto, y de echo agregue info en todas las polices y no tengo informacion de nada sobre ese IP en los logs!!! En el shorewall lo tengo configurado asi: tunnels openvpnserver:1194 dmz0.0.0.0/0 ### interfaces -tun0detect tcpflags # hosts vpn tun0:10.21.0.0/16 # zones vpn ipv4 # Intente agregar un host que sea vpn44 con el rango de mi IP, ya que uso multiples subnets porque uso la topology vieja de OpenVPN net30 y me quedaba corto con los hosts, agregue las polices en DROP, reglas y demas, y sigue pasando lo mismo! Alguien sabe que puede ser lo que este sucediendo? Ya me estoy comiendo la cabeza y no logro hacerlo funcionar!!! Desde ya agradezco toda informacion que sea util!!! Saludos! MarC
Re: Shorewall duda ban automatico
2016-09-30 18:40 GMT-05:00 OddieX <odd...@gmail.com>: > El día 30 de septiembre de 2016, 18:40, del tonos > <deltono...@gmail.com> escribió: > > Aunque sea offtopic, la solución es sencilla: bloquea a nivel de host con > > fail2ban en tu debian. > > Saludos > > > > El 30 de septiembre de 2016, 16:29, Epsilon Minus<theepsilonminus@gmail. > com> > > escribió: > >> > >> Estimados, > >> > >> Estoy trabajando con shorewall 5.0, estoy teniendo muchos ataques de > >> ip de chinas. Quiero que se bloquee la conexión ssh al fallar 3 veces. > >> > >> Hace un rato que estoy dando vueltas con shorewall como hacerlo con > >> las actions pero no logro hacerlo. > >> > >> Estoy dandole vueltas a la documentación de Shorewall pero no > >> encuentro la solución. Seguí un poco el ejemplo que da abajo: > >> > >> http://shorewall.net/Events.html > >> > >> Pero me devuelve: WARNING: Log Prefix shortened to > >> "Shorewall:SSH_BLACKLIST:LOG: " /etc/shorewall/action.SSH_BLACKLIST > >> > >> también estuve leyendo la opción de AutoBL pero no comprendo del todo > que > >> hacer. > >> > >> Saludos > >> > > > > > Si tal cual, la mejor que podes hacer es usar fail2ban, aunque > deberias ver a que servicio te estan atacando para analizar la posible > solucion. > > Este. Yo he usado fail2ban, si bien es muy bueno, funciona casi magicamente. El tema es cuando los hosts atacantes son super reincidentes, por defecto fail2ban banea las IPs por 10 min, y luego las libera. Puedes aumentar este intervalo, a que sea por minutos, horas o dias (esto ultimo es mejor, esas IPs chinas y rusas son muy reincidentes). Personalmente prefiero usar tcpwrappers (hosts.deny), ya que asi quedan bloqueadas indefinidamente, y puede sobrevivir al reboot tambien. -- Erick. --- IRC : zerick Blog: http://zerick.me About : http://about.me/zerick Linux User ID : 549567
Re: Shorewall duda ban automatico
El día 30 de septiembre de 2016, 18:40, del tonos <deltono...@gmail.com> escribió: > Aunque sea offtopic, la solución es sencilla: bloquea a nivel de host con > fail2ban en tu debian. > Saludos > > El 30 de septiembre de 2016, 16:29, Epsilon Minus<theepsilonmi...@gmail.com> > escribió: >> >> Estimados, >> >> Estoy trabajando con shorewall 5.0, estoy teniendo muchos ataques de >> ip de chinas. Quiero que se bloquee la conexión ssh al fallar 3 veces. >> >> Hace un rato que estoy dando vueltas con shorewall como hacerlo con >> las actions pero no logro hacerlo. >> >> Estoy dandole vueltas a la documentación de Shorewall pero no >> encuentro la solución. Seguí un poco el ejemplo que da abajo: >> >> http://shorewall.net/Events.html >> >> Pero me devuelve: WARNING: Log Prefix shortened to >> "Shorewall:SSH_BLACKLIST:LOG: " /etc/shorewall/action.SSH_BLACKLIST >> >> también estuve leyendo la opción de AutoBL pero no comprendo del todo que >> hacer. >> >> Saludos >> > Si tal cual, la mejor que podes hacer es usar fail2ban, aunque deberias ver a que servicio te estan atacando para analizar la posible solucion.
Re: Shorewall duda ban automatico
Aunque sea offtopic, la solución es sencilla: bloquea a nivel de host con fail2ban en tu debian. Saludos El 30 de septiembre de 2016, 16:29, Epsilon Minus<theepsilonmi...@gmail.com> escribió: > Estimados, > > Estoy trabajando con shorewall 5.0, estoy teniendo muchos ataques de > ip de chinas. Quiero que se bloquee la conexión ssh al fallar 3 veces. > > Hace un rato que estoy dando vueltas con shorewall como hacerlo con > las actions pero no logro hacerlo. > > Estoy dandole vueltas a la documentación de Shorewall pero no > encuentro la solución. Seguí un poco el ejemplo que da abajo: > > http://shorewall.net/Events.html > > Pero me devuelve: WARNING: Log Prefix shortened to > "Shorewall:SSH_BLACKLIST:LOG: " /etc/shorewall/action.SSH_BLACKLIST > > también estuve leyendo la opción de AutoBL pero no comprendo del todo que > hacer. > > Saludos > >
Shorewall duda ban automatico
Estimados, Estoy trabajando con shorewall 5.0, estoy teniendo muchos ataques de ip de chinas. Quiero que se bloquee la conexión ssh al fallar 3 veces. Hace un rato que estoy dando vueltas con shorewall como hacerlo con las actions pero no logro hacerlo. Estoy dandole vueltas a la documentación de Shorewall pero no encuentro la solución. Seguí un poco el ejemplo que da abajo: http://shorewall.net/Events.html Pero me devuelve: WARNING: Log Prefix shortened to "Shorewall:SSH_BLACKLIST:LOG: " /etc/shorewall/action.SSH_BLACKLIST también estuve leyendo la opción de AutoBL pero no comprendo del todo que hacer. Saludos
Re: Consulta sobre port forward con shorewall
El 12 sept. 2016 10:53, "Camaleón" <noela...@gmail.com> escribió: > > El Sun, 11 Sep 2016 19:39:59 -0300, OddieX escribió: > > > Estimados, estoy teniendo un tema con shorewall y ya me he quemado la > > cabeza... > > > > Necesito hacer un forward de un puerto a otro ip... > > > > Es algo sencillo pero no esta funcionando y ya me he vuelto loco... > > (...) > > Los ejemplos y la documentación son bastante claros pero ojo con la nota > que avisa de que no funciona desde la red local: > > http://shorewall.net/FAQ.htm#PortForwarding > > Nota 1: Asegúrate de que lo has habilitado en el kernel > Nota 2: Revisa los registros de shorewall/iptables > > Saludos, > > -- > Camaleón > Si, esta habilitado el ip_forward, y las reglas estan bien... Los registros de iptables me muestran la regla bien echa, y sabes que la agregue manual con iptables y no anda... Algp raro tiene ese equipo...
Re: Consulta sobre port forward con shorewall
El Sun, 11 Sep 2016 19:39:59 -0300, OddieX escribió: > Estimados, estoy teniendo un tema con shorewall y ya me he quemado la > cabeza... > > Necesito hacer un forward de un puerto a otro ip... > > Es algo sencillo pero no esta funcionando y ya me he vuelto loco... (...) Los ejemplos y la documentación son bastante claros pero ojo con la nota que avisa de que no funciona desde la red local: http://shorewall.net/FAQ.htm#PortForwarding Nota 1: Asegúrate de que lo has habilitado en el kernel Nota 2: Revisa los registros de shorewall/iptables Saludos, -- Camaleón
Consulta sobre port forward con shorewall
Estimados, estoy teniendo un tema con shorewall y ya me he quemado la cabeza... Necesito hacer un forward de un puerto a otro ip... Es algo sencillo pero no esta funcionando y ya me he vuelto loco... Necesito que, cuando se haga una consulta al puerto de LDAP "389" desde cualquier IP hacia "192.168.0.249", este lo forwardee a "192.168.0.50" Cree la regla del shorewall: DNATloc loc:192.168.0.50:389tcp 389 - 192.168.0.249 Cuando tiro iptables -t nat -L me tira: target prot opt source destination DNAT tcp -- anywhere 192.168.0.249tcp dpt:ldap to:192.168.0.50:389 Ahora bien, no funciona... Intente hacerlo con la variable $FW y me pone target prot opt source destination DNAT tcp -- anywhere 192.168.0.249tcp dpt:ldap to:0.0.1.133 He intentado hacerlo de diversas formas y nada funciona! Es muy raro... #REDIRECT $FW:389 loc:192.168.0.50:389 #DNAT all $FW:389 tcp 389 - 192.168.0.50 #DNAT $FW loc:192.168.0.50tcp 389 #ACCEPT all $FW tcp 389 #DNATdmzloc:192.168.0.50tcp 389 #DNATloc loc:192.168.0.50:389tcp 389 - 192.168.0.249 #DNATlan loc:192.168.0.50tcp 389 #DNAT $FW loc:192.168.0.50tcp 389 Ya no se que mas probar... Alguien me podria sacar la duda, de si esta mal el forward o el shorewall tiene algo raro?
Re: shorewall problemas
El Thu, 03 Sep 2015 17:08:54 -0400, luis escribió: > He instalado shorewall y no me deja navegar las pc de la lan, el hard es > nuevo navego al principio desde el mismo server > > Le monto las mismas reglas y todas las configuraciones que tenía cuando > funcionaba y ahora no me funciona el tráfico hacia la lan. > > No se como ver que es lo que sucede ni el por qué > > Luego instalé Debian Jessie amd64 y el shorewall es la 4.6 y me da > deprecate es decir obsoleto y al parecer hay cambios > > Estoy en líos > > Alguna idea o sitios o algo ?? Yo empezaría por revisar la configuración básica: https://wiki.debian.org/HowTo/shorewall Si estabas usando un archivo de configuración para una versión anterior pues es normal que haya habido cambios. Saludos, -- Camaleón
shorewall problemas
Buenos días a todos He instalado shorewall y no me deja navegar las pc de la lan, el hard es nuevo navego al principio desde el mismo server Le monto las mismas reglas y todas las configuraciones que tenía cuando funcionaba y ahora no me funciona el tráfico hacia la lan. No se como ver que es lo que sucede ni el por qué Luego instalé Debian Jessie amd64 y el shorewall es la 4.6 y me da deprecate es decir obsoleto y al parecer hay cambios Estoy en líos Alguna idea o sitios o algo ??
Re: Consulta sobre Shorewall y RT Tables
El Thu, 11 Jun 2015 18:20:07 -0300, OddieX escribió: Estimados, les hago una consulta rapido! Ese html... Cuando tengo una interfaz, con varias IP aliases, que tengo que poner en GATEWAY en el archivo providers??? Yo lo tengo asi y no me funciona cuando hago shorewall restart me tira error que no puede remplazar el gateway para la segunda IP alias. (...) Acostumbraos a poner el comando que ejecutáis y el mensaje de error exacto. El archivo /etc/network/interfaces lo tengo asi: (...) Comprueba que esa configuración sea la correcta, por aquí indican otra forma: Multiple IP addresses on One Interface (iproute2 method / Manual approach) https://wiki.debian.org/ NetworkConfiguration#Multiple_IP_addresses_on_One_Interface Adding Addresses to Interfaces http://shorewall.net/Shorewall_and_Aliased_Interfaces.html#Adding Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2015.06.12.14.01...@gmail.com
Consulta sobre Shorewall y RT Tables
Estimados, les hago una consulta rapido! Cuando tengo una interfaz, con varias IP aliases, que tengo que poner en GATEWAY en el archivo providers??? Yo lo tengo asi y no me funciona cuando hago shorewall restart me tira error que no puede remplazar el gateway para la segunda IP alias. #NAME NUMBER MARKDUPLICATE INTERFACE GATEWAY OPTIONS COPY TELEF011 1 main eth0:201.41.93.210 201.41.93.209 track,balance=1 eth3 TELEF022 2 main eth0:201.41.93.211 201.41.93.209 track,balance=0 eth3 TELEF033 3 main eth0:201.41.93.212 201.41.93.209 track,balance=0 eth3 TELEF044 4 main eth0:201.41.93.213 201.41.93.209 track,balance=0 eth3 IPLAN01 5 5 maineth1 200.41.183.22 track,balance=2 eth3 El archivo /etc/network/interfaces lo tengo asi: auto eth0 iface eth0 inet static address 201.41.93.210 netmask 255.255.255.248 post-up ip route add 201.41.93.210/32 dev eth0 src 201.41.93.210 table TELEF01 post-up ip route add default via 201.41.93.209 table TELEF01 post-up ip rule add from 201.41.93.210 table TELEF01 post-down ip rule del from 201.41.93.210 table TELEF01 auto eth0:1 iface eth0:1 inet static address 201.41.93.211 netmask 255.255.255.248 post-up ip route add 201.41.93.211/32 dev eth0:1 src 201.41.93.211 table TELEF02 post-up ip route add default via 201.41.93.209 table TELEF02 post-up ip rule add from 201.41.93.211 table TELEF02 post-down ip rule del from 201.41.93.211 table TELEF02 auto eth0:2 iface eth0:2 inet static address 201.41.93.212 netmask 255.255.255.248 post-up ip route add 201.41.93.212/32 dev eth0:2 src 201.41.93.212 table TELEF03 post-up ip route add default via 201.41.93.209 table TELEF03 post-up ip rule add from 201.41.93.212 table TELEF03 post-down ip rule del from 201.41.93.212 table TELEF03 auto eth0:3 iface eth0:3 inet static address 201.41.93.213 netmask 255.255.255.248 post-up ip route add 201.41.93.213/32 dev eth0:3 src 201.41.93.213 table TELEF04 post-up ip route add default via 201.41.93.209 table TELEF04 post-up ip rule add from 201.41.93.213 table TELEF04 post-down ip rule del from 201.41.93.213 table TELEF04 auto eth1 iface eth1 inet static address 200.41.183.21 netmask 255.255.255.252 post-up ip route add 200.41.183.21 dev eth1 src 200.41.183.21 table IPLAN01 post-up ip route add default via 200.41.183.22 table IPLAN01 post-up ip rule add from 200.41.183.21 table IPLAN01 post-down ip rule del from 200.41.183.21 table IPLAN01 allow-hotplug eth2 iface eth2 inet static address 172.16.0.183 netmask 255.255.255.0 network 172.16.0.0 broadcast 172.16.0.255 Saludos y gracias!
Problema con shorewall y iproute2 con varias IP Alias por interfaz
Chicos comento aca porque como soy nuevo no me deja postear!!! Mi problema es el siguiente: Tengo 2 ISP y DMZ, 3 Interfaz, en una interfaz tengo 4 IP, eth0 y los alias :1 :2 :3 y en las otras interfaz solo 1 IP La cosa es que me estoy volviendo loco! Cuando recien prendo el equipo inicio shorewall y todo OK, pero cuando hago restart me tira un error remplazando el gateway para el primer IP Alias, o sea para eth0:1... Y otro tema, es que siempre salgo por eth0, por mas que agregue la ip rule from 172.16.0.35 table TELEF04, siempre salgo por TELEF01!!! Probe dejando providers de shorewall vacio poniendo USE_DEFAULT_RT = Yes, no me tira el error, pero es lo mismo! Ademas asi se me complica hacer el balanceo desde Shorewall Les muestro la config! /etc/network/interfaces (Tengo 4 IP en la primer interfaz con el mismo gateway y 1 ip en la segunda interfaz con gw distinto) auto eth0 iface eth0 inet static address 201.41.93.210 netmask 255.255.255.248 post-up ip route add 201.41.93.210/32 dev eth0 src 201.41.93.210 table TELEF01 post-up ip route add default via 201.41.93.209 table TELEF01 post-up ip rule add from 201.41.93.210 table TELEF01 post-down ip rule del from 201.41.93.210 table TELEF01 auto eth0:1 iface eth0:1 inet static address 201.41.93.211 netmask 255.255.255.248 post-up ip route add 201.41.93.211/32 dev eth0:1 src 201.41.93.211 table TELEF02 post-up ip route add default via 201.41.93.209 table TELEF02 post-up ip rule add from 201.41.93.211 table TELEF02 post-down ip rule del from 201.41.93.211 table TELEF02 auto eth0:2 iface eth0:2 inet static address 201.41.93.212 netmask 255.255.255.248 post-up ip route add 201.41.93.212/32 dev eth0:2 src 201.41.93.212 table TELEF03 post-up ip route add default via 201.41.93.209 table TELEF03 post-up ip rule add from 201.41.93.212 table TELEF03 post-down ip rule del from 201.41.93.212 table TELEF03 auto eth0:3 iface eth0:3 inet static address 201.41.93.213 netmask 255.255.255.248 post-up ip route add 201.41.93.213/32 dev eth0:3 src 201.41.93.213 table TELEF04 post-up ip route add default via 201.41.93.209 table TELEF04 post-up ip rule add from 201.41.93.213 table TELEF04 post-down ip rule del from 201.41.93.213 table TELEF04 auto eth1 iface eth1 inet static address 200.41.183.21 netmask 255.255.255.252 post-up ip route add 200.41.183.21 dev eth1 src 200.41.183.21 table IPLAN01 post-up ip route add default via 200.41.183.22 table IPLAN01 post-up ip rule add from 200.41.183.21 table IPLAN01 post-down ip rule del from 200.41.183.21 table IPLAN01 allow-hotplug eth2 iface eth2 inet static address 172.16.0.183 netmask 255.255.255.0 network 172.16.0.0 broadcast 172.16.0.255 - /etc/iproute2/rt_tables # # reserved values # 255 local 254 main 253 default 0 unspec # # local # 1 TELEF01 2 TELEF02 3 TELEF03 4 TELEF04 5 IPLAN01 - shorewall.conf con USE_DEFAULT_RT=No - /etc/shorewall/providers (Solo necesito balancear con TELEF01 y IPLAN01, ahora lo configure para que salga solo por TELEF01, despues le cambio el balance) #NAME NUMBER MARKDUPLICATE INTERFACE GATEWAY OPTIONS COPY TELEF011 1 main eth0:201.41.93.210 201.41.93.209 track,balance=1 eth3 TELEF022 2 main eth0:201.41.93.211 201.41.93.209 track,balance=0 eth3 TELEF033 3 main eth0:201.41.93.212 201.41.93.209 track,balance=0 eth3 TELEF044 4 main eth0:201.41.93.213 201.41.93.209 track,balance=0 eth3 IPLAN01 5 5 maineth1 200.41.183.22 track,balance=0 eth3 /etc/shorewall/interfaces net eth0 tcpflags,nosmurfs,routefilter=1,sourceroute=1 net eth1 tcpflags,nosmurfs,routefilter=1,sourceroute=1 dmz eth2 tcpflags,nosmurfs,routefilter=1,logmartians,sourceroute=1 --- Cuando inicio shorewall la primera vez todo OK, pero no me funciona el ruteo de algunos equipos por las tabalas TELEF02 03 y 04 que son los alias por mas que ponga ip rule add from 172.16.0.35 table TELEF03, cuando hago un restart me tira este error: ERROR: Command ip -4 route replace 201.41.93.211 gateway 201.41.93.209 Gracias MarC
Problema con Shorewall y IPRoute2 con 2 ISP y multiples ip alias
Chicos comento aca porque como soy nuevo no me deja postear!!! Mi problema es el siguiente: Tengo 2 ISP y DMZ, 3 Interfaz, en una interfaz tengo 4 IP, eth0 y los alias :1 :2 :3 y en las otras interfaz solo 1 IP La cosa es que me estoy volviendo loco! Cuando recien prendo el equipo inicio shorewall y todo OK, pero cuando hago restart me tira un error remplazando el gateway para el primer IP Alias, o sea para eth0:1... Y otro tema, es que siempre salgo por eth0, por mas que agregue la ip rule from 172.16.0.35 table TELEF04, siempre salgo por TELEF01!!! Probe dejando providers de shorewall vacio poniendo USE_DEFAULT_RT = Yes, no me tira el error, pero es lo mismo! Ademas asi se me complica hacer el balanceo desde Shorewall Les muestro la config! /etc/network/interfaces (Tengo 4 IP en la primer interfaz con el mismo gateway y 1 ip en la segunda interfaz con gw distinto) auto eth0 iface eth0 inet static address 201.41.93.210 netmask 255.255.255.248 post-up ip route add 201.41.93.210/32 dev eth0 src 201.41.93.210 table TELEF01 post-up ip route add default via 201.41.93.209 table TELEF01 post-up ip rule add from 201.41.93.210 table TELEF01 post-down ip rule del from 201.41.93.210 table TELEF01 auto eth0:1 iface eth0:1 inet static address 201.41.93.211 netmask 255.255.255.248 post-up ip route add 201.41.93.211/32 dev eth0:1 src 201.41.93.211 table TELEF02 post-up ip route add default via 201.41.93.209 table TELEF02 post-up ip rule add from 201.41.93.211 table TELEF02 post-down ip rule del from 201.41.93.211 table TELEF02 auto eth0:2 iface eth0:2 inet static address 201.41.93.212 netmask 255.255.255.248 post-up ip route add 201.41.93.212/32 dev eth0:2 src 201.41.93.212 table TELEF03 post-up ip route add default via 201.41.93.209 table TELEF03 post-up ip rule add from 201.41.93.212 table TELEF03 post-down ip rule del from 201.41.93.212 table TELEF03 auto eth0:3 iface eth0:3 inet static address 201.41.93.213 netmask 255.255.255.248 post-up ip route add 201.41.93.213/32 dev eth0:3 src 201.41.93.213 table TELEF04 post-up ip route add default via 201.41.93.209 table TELEF04 post-up ip rule add from 201.41.93.213 table TELEF04 post-down ip rule del from 201.41.93.213 table TELEF04 auto eth1 iface eth1 inet static address 200.41.183.21 netmask 255.255.255.252 post-up ip route add 200.41.183.21 dev eth1 src 200.41.183.21 table IPLAN01 post-up ip route add default via 200.41.183.22 table IPLAN01 post-up ip rule add from 200.41.183.21 table IPLAN01 post-down ip rule del from 200.41.183.21 table IPLAN01 allow-hotplug eth2 iface eth2 inet static address 172.16.0.183 netmask 255.255.255.0 network 172.16.0.0 broadcast 172.16.0.255 - /etc/iproute2/rt_tables # # reserved values # 255 local 254 main 253 default 0 unspec # # local # 1 TELEF01 2 TELEF02 3 TELEF03 4 TELEF04 5 IPLAN01 - shorewall.conf con USE_DEFAULT_RT=No - /etc/shorewall/providers (Solo necesito balancear con TELEF01 y IPLAN01, ahora lo configure para que salga solo por TELEF01, despues le cambio el balance) #NAME NUMBER MARKDUPLICATE INTERFACE GATEWAY OPTIONS COPY TELEF011 1 main eth0:201.41.93.210 201.41.93.209 track,balance=1 eth3 TELEF022 2 main eth0:201.41.93.211 201.41.93.209 track,balance=0 eth3 TELEF033 3 main eth0:201.41.93.212 201.41.93.209 track,balance=0 eth3 TELEF044 4 main eth0:201.41.93.213 201.41.93.209 track,balance=0 eth3 IPLAN01 5 5 maineth1 200.41.183.22 track,balance=0 eth3 /etc/shorewall/interfaces net eth0 tcpflags,nosmurfs,routefilter=1,sourceroute=1 net eth1 tcpflags,nosmurfs,routefilter=1,sourceroute=1 dmz eth2 tcpflags,nosmurfs,routefilter=1,logmartians,sourceroute=1 --- Cuando inicio shorewall la primera vez todo OK, pero no me funciona el ruteo de algunos equipos por las tabalas TELEF02 03 y 04 que son los alias por mas que ponga ip rule add from 172.16.0.35 table TELEF03, cuando hago un restart me tira este error: ERROR: Command ip -4 route replace 201.41.93.211 gateway 201.41.93.209 Gracias MarC
Shorewall
En la reorganización que estoy acometiendo en mi servidores (a proxmox) uno de los contenedores en el que estoy instalando el gateway de la institución no me permite instalar shorewall y me indica el siguiente error May 13 14:17:07 Processing /etc/shorewall/params ... May 13 14:17:07 Processing /etc/shorewall/shorewall.conf... May 13 14:17:07ERROR: Your kernel/iptables do not include state match support. No version of Shorewall will run on this system no cuento con acceso a internet puro solo algunos accesos que me permite mi isp aparte que con el shorewall gestiono el pop3 y smtp de isp This message was sent using IMP, the Internet Messaging Program. -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150513084112.887472vyiwhd4...@webmail.sld.cu
[OT-Proxmox] Re: Shorewall
El Wed, 13 May 2015 08:41:12 -0400, alfredop escribió: En la reorganización que estoy acometiendo en mi servidores (a proxmox) uno de los contenedores en el que estoy instalando el gateway de la institución no me permite instalar shorewall y me indica el siguiente error May 13 14:17:07 Processing /etc/shorewall/params ... May 13 14:17:07 Processing /etc/shorewall/shorewall.conf... May 13 14:17:07ERROR: Your kernel/iptables do not include state match support. No version of Shorewall will run on this system no cuento con acceso a internet puro solo algunos accesos que me permite mi isp aparte que con el shorewall gestiono el pop3 y smtp de isp Esto es lo que dicen en Google: *** http://forum.proxmox.com/threads/1936-Shorewall-on-OpenVZ-containers Default Shorewall on OpenVZ containers Hi. I need to install Shorewall on a OpenVZ virtual machine running on Proxmox, but I receive this error: ERROR: Your kernel/iptables do not include state match support. No version of Shorewall will run on this system How I can enable the support on the kernel to let me use Shorewall without problems? Thank you very much! Bye. *** you have to add in /etc/vz/vz.conf in the IPTABLES variables (at very end of the vz.conf) ipt_state *** Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2015.05.13.13.33...@gmail.com
Shorewall (ers: Gateway Postfix para varios dominios)
El Sat, 13 Dec 2014 10:50:14 -0500, Lic. Manuel Salgado escribió: Te corrijo el top-posting y edito el asunto para reflejar el cambio de tema. El 6/12/14, Camaleón noela...@gmail.com escribió: El Fri, 05 Dec 2014 16:00:17 -0500, Lic. Manuel Salgado escribió: Alguien me podria ayudar en mi proposito? Tengo una pasarela con postfix en mi red. Esta gestiona el correo del dominio dominio1.com. Necesito que esta pasarela sea capaz de gestionar el correo de otros dos dominios, por ejemplo dominio2.com, dominio3.com http://www.postfix.org/VIRTUAL_README.html No te puedo especificar más porque según el tipo de cuentas que uses tendrás que editar una variable u otra. Gracias por tu atención, colega y a los demás por su tiempo. ya he revisado la configuración de Postfix al respecto y me he percatado que esta funcionando Ok. Pues muy bien :-) El problema ahora es con Shorewall. Resulta que en esta pasarela también hay filtrado de paquetes y se hace NAT hacia una DMZ. Alguien podría darme una mano en esta parte, pues realmente no tengo idea de como lograrlo. Tienes documentación en la web de Shorewall, con ejemplos de instalaciones y configuraciones varias: http://shorewall.net/GettingStarted.html Les ilustro un poco más mi escenario: Tengo el postfix en cuestion en un server que hace funcion de gateway en mi red hacia LAN, DMZ y WAN. Tengo en la DMZ dos servidores de correo que responden a dos dominios distintos del mismo nivel: dominio1.com y dominio2.com. Ya en el postfix de la pasarela se han configurado los transport maps y se ha comprobado su correcto funcionamiento hacia los dos dominios de la DMZ, pero estoy haciendo NAT hacia el puerto 25 de uno de esos servidores. Creo que la solución podría estar en decirle a shorewall que redirija a los puertos 25 en funcion del dominio que se trate. Tal vez este hablando burradas, pero estoy abierto a sugerencias y / o criticas en busca de una solución. Gracias a todos una vez mas. ¿Cuál es el problema que tienes, exactamente? Una DMZ es una zona completamente abierta en el cortafuegos donde se permite todo el tráfico (entrada/salida) sin restricciones. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.12.14.16.09...@gmail.com
Pasar reglas de Shorewall a Iptables
Buen dia lista. Alguien podria guiarme en pasar las reglas de shorewall hacia iptables, tal vez alguna informacion que me podria ayudar a tener una idea. Saludos William Romero C
Re: Pasar reglas de Shorewall a Iptables
El Tue, 19 Nov 2013 12:23:04 -0500, William Romero escribió: Buen dia lista. Buenas... pero mejor si dejas el html en casa ;-) Alguien podria guiarme en pasar las reglas de shorewall hacia iptables, tal vez alguna informacion que me podria ayudar a tener una idea. Si subes a www.pastebin.com (o adjuntas en un mensaje) tu archivo de reglas seguramente te podrán ayudar mejor o al menos darte alguna idea para pasarlo de un sistema a otro ya que me parece que no son compatibles 1:1. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2013.11.19.17.38...@gmail.com
Re: Pasar reglas de Shorewall a Iptables
On 20131119 at 12:23PM, William Romero wrote: Buen dia lista. Alguien podria guiarme en pasar las reglas de shorewall hacia iptables, tal vez alguna informacion que me podria ayudar a tener una idea. Saludos William Romero C Buenas: así, a botepronto, se me ocurre que con un 'iptables-save' ya lo tienes. Es decir, con el shorewall arriba, ejecutas lo que te menciono anteriormente, y lo rediriges a un archivo, p.e. 'iptables-save reglas'. Luego, con un 'iptables-restore reglas' las tendrías aplicadas de nuevo. Salud, barbolbin -- 0xDDEBAB44 / EBF0 8370 8D48 1D74 ADF9 80AC 4ADF 0F4F DDEB AB44 pgpKWT3WIyj_X.pgp Description: PGP signature
RE: Pasar reglas de Shorewall a Iptables
Date: Tue, 19 Nov 2013 18:43:58 +0100 From: barbol...@googlemail.com To: debian-user-spanish@lists.debian.org CC: wromer...@hotmail.com Subject: Re: Pasar reglas de Shorewall a Iptables On 20131119 at 12:23PM, William Romero wrote: Buen dia lista. Alguien podria guiarme en pasar las reglas de shorewall hacia iptables, tal vez alguna informacion que me podria ayudar a tener una idea. Saludos William Romero C Buenas: así, a botepronto, se me ocurre que con un 'iptables-save' ya lo tienes. Es decir, con el shorewall arriba, ejecutas lo que te menciono anteriormente, y lo rediriges a un archivo, p.e. 'iptables-save reglas'. Luego, con un 'iptables-restore reglas' las tendrías aplicadas de nuevo. Salud, barbolbin Gracias , lo voy a probar a ver que me resulta , ayer hice service iptables restore y corte el internet a todo el personal luego me di cuenta que tenia a shorewall configurado. lo voy a probar ahora mismo . mi intension es jalar la reglas de shorewall q esta funcionando a lo iptables para ver mejor la configuracion que tiene. saludos William Romero 0xDDEBAB44 / EBF0 8370 8D48 1D74 ADF9 80AC 4ADF 0F4F DDEB AB44
Pasar reglas de Shorewall a Iptables
From: wromer...@hotmail.com To: debian-user-spanish@lists.debian.org Subject: RE: Pasar reglas de Shorewall a Iptables Date: Tue, 19 Nov 2013 12:52:46 -0500 Date: Tue, 19 Nov 2013 18:43:58 +0100 From: barbol...@googlemail.com To: debian-user-spanish@lists.debian.org CC: wromer...@hotmail.com Subject: Re: Pasar reglas de Shorewall a Iptables On 20131119 at 12:23PM, William Romero wrote: Buen dia lista. Alguien podria guiarme en pasar las reglas de shorewall hacia iptables, tal vez alguna informacion que me podria ayudar a tener una idea. Saludos William Romero C Buenas: así, a botepronto, se me ocurre que con un 'iptables-save' ya lo tienes. Es decir, con el shorewall arriba, ejecutas lo que te menciono anteriormente, y lo rediriges a un archivo, p.e. 'iptables-save reglas'. Luego, con un 'iptables-restore reglas' las tendrías aplicadas de nuevo. Salud, barbolbin Gracias , lo voy a probar a ver que me resulta , ayer hice service iptables restore y corte el internet a todo el personal luego me di cuenta que tenia a shorewall configurado. lo voy a probar ahora mismo . mi intension es jalar la reglas de shorewall q esta funcionando a lo iptables para ver mejor la configuracion que tiene. saludos William Romero Podria encontrar la regla de iptables en etc/sysonfig/iptables , digamos esa serian tambien de ir a dicha reglas? aunque personalmente no veo muchas reglas ahi. saludos William Romero 0xDDEBAB44 / EBF0 8370 8D48 1D74 ADF9 80AC 4ADF 0F4F DDEB AB44
RE: Pasar reglas de Shorewall a Iptables/ solucionado
From: wromer...@hotmail.com To: debian-user-spanish@lists.debian.org Subject: Pasar reglas de Shorewall a Iptables Date: Tue, 19 Nov 2013 13:03:20 -0500 From: wromer...@hotmail.com To: debian-user-spanish@lists.debian.org Subject: RE: Pasar reglas de Shorewall a Iptables Date: Tue, 19 Nov 2013 12:52:46 -0500 Date: Tue, 19 Nov 2013 18:43:58 +0100 From: barbol...@googlemail.com To: debian-user-spanish@lists.debian.org CC: wromer...@hotmail.com Subject: Re: Pasar reglas de Shorewall a Iptables On 20131119 at 12:23PM, William Romero wrote: Buen dia lista. Alguien podria guiarme en pasar las reglas de shorewall hacia iptables, tal vez alguna informacion que me podria ayudar a tener una idea. Saludos William Romero C Buenas: así, a botepronto, se me ocurre que con un 'iptables-save' ya lo tienes. Es decir, con el shorewall arriba, ejecutas lo que te menciono anteriormente, y lo rediriges a un archivo, p.e. 'iptables-save reglas'. Luego, con un 'iptables-restore reglas' las tendrías aplicadas de nuevo. Salud, barbolbin Gracias , lo voy a probar a ver que me resulta , ayer hice service iptables restore y corte el internet a todo el personal luego me di cuenta que tenia a shorewall configurado. lo voy a probar ahora mismo . mi intension es jalar la reglas de shorewall q esta funcionando a lo iptables para ver mejor la configuracion que tiene. saludos William Romero Podria encontrar la regla de iptables en etc/sysonfig/iptables , digamos esa serian tambien de ir a dicha reglas? aunque personalmente no veo muchas reglas ahi. saludos William Romero puede solucionar esto , ya que el shorewall no funcionaba , pues le hice un shorewall status , y me salie error running. segui buscando el hilo de cada cosa y contre un archivo con la configuracion de iptables. seguire buscando que mas encontrare en este servidor. saludos 0xDDEBAB44 / EBF0 8370 8D48 1D74 ADF9 80AC 4ADF 0F4F DDEB AB44
shorewall + bandwidth
hola lista, alguien a implementado el bandwidth con shorewall o algun otro soft sobre debian? Pues me gustaria limitar un poco algunos servicios como el smtp/pop3 sobre mi red, como mismo lo tengo hecho con mi squid salu2 y gracias de antemano -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51c9b1e2.6060...@gms.minbas.cu
Re: shorewall + bandwidth
El Tue, 25 Jun 2013 11:06:10 -0400, Javier Santiesteban escribió: hola lista, alguien a implementado el bandwidth con shorewall o algun otro soft sobre debian? Pues no :-) Pues me gustaria limitar un poco algunos servicios como el smtp/pop3 sobre mi red, como mismo lo tengo hecho con mi squid Tienes una buena introducción a la gestión del tráfico que usa Shorewall en este documento: http://www.shorewall.net/simple_traffic_shaping.html#id36135246 Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2013.06.25.16.23...@gmail.com
Re: Shorewall como gateway
El 23/01/13, Josué Marrero Bermúdez i...@zetihl.azcuba.cu escribió: Mirando en la red he visto cientos de tutoriales de como configurar una PC con Debian y 2 interfaces de red , usando un script para Iptables convertirla en el gateway de la red local y permitir el uso de internet y demas servicios por los usuarios. Ahora. Quiero hacer eso mismo pero usando shorewall..y la verdad que no he encontrado NADA de como hacerlo. Con iptables es solo dos lineas, shorewall es una herramienta que usa iptables, te recomiendo que aprendas iptables, si lo aprendes bien pues harás buenos muros, nunca he usado shorewall pero leyendo pues es una herramienta que hace firewall y usa al final a iptables. Amigo te recomiendo siempre leer, si hay documentacion y no digas que no. La regla iptables que hace que tu pc sea gateway y router es simple: crea un archivo firewall.sh y escribes: #!/bin/bash iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE echo 1 /proc/sys/net/ipv4/ip_forward Creo que debian usa bash, para asegurarte que shell usa haces echo $SHELL y enter, eth0 es la interfaz de cara a intenet o router, con esa regla cuantas interfaces conectes a redes internas todas salen afuera por eth0. Para que inicie en boot time lo pones en rc.local y ya, debian no trae un muro como CentOS por defecto. Los cubanitos los encuentro en todos lados jejeje, en todas las lista en fin, saludos. Alguien lo ha hecho que me de una luz en el asunto? Saludos Josué -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/86C004BB576E45B1919B0EF4EFF19C02@dbsrv -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/cajsw1spzlcvzcdef2vuaof6sakmhe74phyaxhserxcbxgmu...@mail.gmail.com
Re: Shorewall como gateway
El Wed, 23 Jan 2013 15:38:58 -0500, Josué Marrero Bermúdez escribió: Mirando en la red he visto cientos de tutoriales de como configurar una PC con Debian y 2 interfaces de red , usando un script para Iptables convertirla en el gateway de la red local y permitir el uso de internet y demas servicios por los usuarios. Ahora. Quiero hacer eso mismo pero usando shorewall..y la verdad que no he encontrado NADA de como hacerlo. (...) En la wiki de Debian tienes un How-to (configuración con reenvío de paquetes), no sé si te servirá: http://wiki.debian.org/HowTo/shorewall Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/kdu61u$g09$2...@ger.gmane.org
Re: Shorewall como gateway
El día 23 de enero de 2013 15:38, Josué Marrero Bermúdez i...@zetihl.azcuba.cu escribió: Mirando en la red he visto cientos de tutoriales de como configurar una PC con Debian y 2 interfaces de red , usando un script para Iptables convertirla en el gateway de la red local y permitir el uso de internet y demas servicios por los usuarios. Ahora. Quiero hacer eso mismo pero usando shorewall..y la verdad que no he encontrado NADA de como hacerlo. Alguien lo ha hecho que me de una luz en el asunto? Saludos Josué -- http://www.shorewall.net/Documentation_Index.html -- Gonzalo L. Campos Medina http://www.ubuntu.com | http://www.ubuntu-es.org | http://www.ubuntu-pe.org L.R.U. #344192 | U.R.U. #161 Freenode #ubuntu-es #edubuntu-es #ubuntu-pe -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/caaor6xooemfwkgr3rgjeyimhzh-jf4y005zkjhng61eygtk...@mail.gmail.com
Shorewall como gateway
Mirando en la red he visto cientos de tutoriales de como configurar una PC con Debian y 2 interfaces de red , usando un script para Iptables convertirla en el gateway de la red local y permitir el uso de internet y demas servicios por los usuarios. Ahora. Quiero hacer eso mismo pero usando shorewall..y la verdad que no he encontrado NADA de como hacerlo. Alguien lo ha hecho que me de una luz en el asunto? Saludos Josué -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/86C004BB576E45B1919B0EF4EFF19C02@dbsrv
Re: Shorewall como gateway
Hombre, es abdurso y ridículo que diga que no ha encontrado documentación. Lea la documentación básica de shorewall y en google aparecen miles de resultados de shorewall + gateway. Saludos, 2013/1/23 Josué Marrero Bermúdez i...@zetihl.azcuba.cu Mirando en la red he visto cientos de tutoriales de como configurar una PC con Debian y 2 interfaces de red , usando un script para Iptables convertirla en el gateway de la red local y permitir el uso de internet y demas servicios por los usuarios. Ahora. Quiero hacer eso mismo pero usando shorewall..y la verdad que no he encontrado NADA de como hacerlo. Alguien lo ha hecho que me de una luz en el asunto? Saludos Josué -- To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@**lists.debian.orgdebian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/**86C004BB576E45B1919B0EF4EFF19C** 02@dbsrv http://lists.debian.org/86C004BB576E45B1919B0EF4EFF19C02@dbsrv -- Diego Chacón Rojas diego.cha...@gmail.com San Jose Costa Rica .-. /v\L I N U X // \\ /( )\ ^^-^^ This is Unix-Land. In quiet nights, you can hear the Windows machines reboot USER350910 MACHINE 244435 No me envie correos en formatos propietarios http://www.gnu.org/philosophy/no-word-attachments.es.html http://www.debian.org/intro/about.es.html
Re: NAT con Shorewall
El día 1 de septiembre de 2012 09:47, Josué Marrero Bermúdez i...@zetihl.azcuba.cu escribió: Saludos Necesito enrutar a algunas IP de mi LAN local hacia otras IP externas para un determinado servicio que se encuentra externo a mi red local. En esta direccion encuentras todo lo que necesitas http://shorewall.net/4.2/GettingStarted.html Me pueden enviar al privado si quieren Consejo personal: la lista se alimenta de la ayuda de todos, asi que no tiene sentido enviar las respuestas en privado, pues privarias a usuarios actuales y/o futuros con la misma duda el poder encontrar una solucion. saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CAJ=uqg6q-ncwrwi-7n+lszukexvoaatam6cjkscwdrm_r9k...@mail.gmail.com
Re: NAT con Shorewall
El Sun, 02 Sep 2012 09:21:09 -0500, PedroTron escribió: El día 1 de septiembre de 2012 09:47, Josué Marrero Bermúdez (...) Me pueden enviar al privado si quieren Consejo personal: la lista se alimenta de la ayuda de todos, asi que no tiene sentido enviar las respuestas en privado, pues privarias a usuarios actuales y/o futuros con la misma duda el poder encontrar una solucion. Creo que no lo has entendido: no pide que le respondan en privado sino que le manden los documentos a su dirección de correo y esto tiene sentido cuando el usuario no dispone de acceso a Internet, por lo que no puede navegar y no puede acceder a los recursos que le dicen ;-) Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/k1vqd7$tli$6...@ger.gmane.org
NAT con Shorewall
Saludos Necesito enrutar a algunas IP de mi LAN local hacia otras IP externas para un determinado servicio que se encuentra externo a mi red local. Hace unos meses lo lograba con el ISA server en una PC con windows server 2003, ahora que tengo debian 6 quiero lograr lo mismo. Me dijeron que con Shorewall o Iptables se puede hacer los mismo y mejor, por el momento me decido por shorewall, lo encuentro mas facil de configurar y mas cercano a mis conocimientos. Ahora, no tengo ni idea de las reglas que necesito implementar para lograrlo. Alguien con documentacion relacionada al tema que me la pueda facilitar??? Me pueden enviar al privado si quieren Gracias de antemano por la ayuda. Josue -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/3FF45A59DFA943C396B601A18CF5B4E6@dbsrv
Re: NAT con Shorewall
On Saturday 01 September 2012 16:47:13 Josué Marrero Bermúdez wrote: Saludos Saludado seas. Necesito enrutar a algunas IP de mi LAN local hacia otras IP externas para un determinado servicio que se encuentra externo a mi red local. Hasta aquí, ningún problema. Hace unos meses lo lograba con el ISA server en una PC con windows server 2003, ahora que tengo debian 6 quiero lograr lo mismo. Irrelevante. Me dijeron que con Shorewall o Iptables se puede hacer los mismo y mejor, por el momento me decido por shorewall, lo encuentro mas facil de configurar y mas cercano a mis conocimientos. Shorewall usa Iptables, nada puede hacer Shorewall que no pueda Iptables, para tu información. Ahora, no tengo ni idea de las reglas que necesito implementar para lograrlo. Alguien con documentacion relacionada al tema que me la pueda facilitar??? ¿Has mirado la documentación de estos proyectos? [1] [2] ¿Como tienes montada la red y el firewall? ¿Que has probado y con que resultados? Así sin más información, pocas respuestas concretas se pueden dar. Me pueden enviar al privado si quieren Gracias de antemano por la ayuda. Josue [1] http://www.shorewall.net/ [2] http://www.netfilter.org/ -- Marc Olivé Blau Advisors www.blauadvisors.com signature.asc Description: This is a digitally signed message part.
Re: NAT con Shorewall
No tengo acceso a internet. Pregunto a la lista porque no tengo ninguna documentacion disponible. Para mas detalles..tengo una lan local con Ip 192.168.x.x y una lan externa con Ip 172.40.x.x. Necesito que un grupo de PC en la LAN local puedan acceder directamente a un servicio que esta en varias PC de la red 172.40.x.x -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/50366427601E49F9BD8F8218752C39B0@dbsrv
Re: NAT con Shorewall
On Saturday 01 September 2012 17:04:30 Josué Marrero Bermúdez wrote: No tengo acceso a internet. Pregunto a la lista porque no tengo ninguna documentacion disponible. Vamos apañados... Para mas detalles..tengo una lan local con Ip 192.168.x.x y una lan externa con Ip 172.40.x.x. 172.40.0.0/16 no es un rango de IPs privados, no se deberia usar. El rango privado va desde 172.16.0.0 a 172.31.255.255... Necesito que un grupo de PC en la LAN local puedan acceder directamente a un servicio que esta en varias PC de la red 172.40.x.x ¿Y no sirve simplemente enrutar el tráfico entra las dos redes? ¿Es necesario un firewall? -- Marc Olivé Blau Advisors www.blauadvisors.com signature.asc Description: This is a digitally signed message part.
Re: NAT con Shorewall
Bueno..el uso de esas IP no las defino yo...fue una decision cuando se creo la VPN a nivel nacional.. Y en caso de enrutar con firewall..que aplicacion puedo usar? Me gustaria hacerlo con el firewall para controlar mas el trafico..en definitiva solo necesito que accedan a determinados puertos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/D8EC47085ADF4A1CA771BE62402DFEDB@dbsrv
Re: NAT con Shorewall
No cortes la conversación, por favor, si no debo volver atrás para tener el texto. On Saturday 01 September 2012 17:13:12 Josué Marrero Bermúdez wrote: Bueno..el uso de esas IP no las defino yo...fue una decision cuando se creo la VPN a nivel nacional.. Ya he visto que eres de Cuba. Cosas raras que hacen, si algún dia abren su red al mundo van a tener problemas con esas IPs. Y en caso de enrutar con firewall..que aplicacion puedo usar? Me gustaria hacerlo con el firewall para controlar mas el trafico..en definitiva solo necesito que accedan a determinados puertos. Bueno, sigo falto de información para ser de mejor ayuda, pero voy a intentarlo. Además, me despistas con información contradictoria, en el primer correo dijiste: Necesito enrutar a algunas IP de mi LAN local hacia otras IP externas para un determinado servicio que se encuentra externo a mi red local. (por esto no debes cortar el texto). O sea, son los ordenadores de tu red (192.168.x.0/24) los que deben acceder a los servicios de la red 172.40.0.0/24. En tu red no hay ningún peligro y nadie accede a ella, son los de la red 172 los que deben preocuparse (si quieren) de filtrar IPs, puertos, etc. ¿Si tu red tuviera acceso completo a la 172, que mas te da a ti? Imagino que tienes algún ordenador que esté conectado a la red 172.40.0.0/24 ¿verdad? Es decir, tiene que haber algún cable con un router en cada extremo que vaya desde tu red a la suya. ¿Como tienes montada la red? Imagino que debe ser algo como: Red 192 --- tu router/firewall --- su router/firewall --- Red 172 ¿Que cacharro (router/firewall) en tu red tiene acceso a la 172? El cacharro deberia ser el ordenador donde has montado Debian, el que antes tenia Windows, y los ordenadores de tu red deben tener ese cacharro como puerta de enlace (gateway o pasarela) o dirección de enrutado por defecto (si no es un paquete de la red interna o de una red proxima, se envia a la puerta de enlace y ya se encarga ella de hacerla llegar a destino). Entonces puedes hacer NAT (Network Address Translation) en la pasarela (puerta de enlace). Eso es, la pasarela cambia la dirección de orígen del paquete (192.0.x.y) por su IP externa (172.40.x.y) antes de reenviarlo a la red externa, así cuando los ordenadores de esa otra red (172) envian las repuestas, lo hacen a la IP externa de tu pasarela que si conocen. Ellos no pueden enviar paquetes 192.0.x.y y esperar que llegue a tu red interna. Cuando tu pasarela recibe la respuesta, recuerda que es una conexión iniciada en la red interna y cambia la IP de destino (172) por la IP de la máquina de tu red interna (192) y envia el paquete que felizmente llega a quien inició la conversación. Yo uso Iptables directamente, sin Shorewall por en medio, y lo puedes lograr con un par de reglas: Primero, assegurate que tu Debian actue de router y reenvie paquetes: # echo 1 /proc/sys/net/ipv4/ip_forward Luego ya puedes añadir la regla de Iptables para que haga NAT: # /sbin/iptables -t nat -A POSTROUTING -o eth_externa -j MASQUERADE Donde eth_externa es la ethernet conectada a la red que puede acceder a la 172.40.0.0/16, probablemente eth0 o eth1. Con eso, ya tienes acceso desde la red interna a la externa. Si solo quisieras que algunas IPs de tu red interna tuviera acceso (¿pa que?), podrias hacer: # /sbin/iptables -t nat -A POSTROUTING -s rango_con_acceso -o eth_externa -j MASQUERADE Donde rango_con_acceso es el rango de IPs que quieres dejar pasar, como 192.168.12.0/24, o una IP especifica como 192.168.12.12. Si la política por defecto de Iptables fuera DROP, desecharia cualquier conexión que específicamente no estuviera permitida, entonces deberias habilitar estas conexiones para que Iptables no las bloqueara. Presupongo que eth0 es la ethernet con acceso externo, y eth1 la ethernet conectada a la red local: Para habilitar las conexiones de tu red interna hacia la externa: # /sbin/iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT Y también debemos habilitar las conexiones externas que se haya establecido préviamente: # /sbin/iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT Igual que antes, podrias limitar que IPs de tu red interna tienen acceso al exterior. Estas instrucciones deben ejecutarse cuando el firewall se inicie, así que los pones en un script bash y al inicio. Te mando un privado con un docuemtno básico de Iptables adjunto, que por la lista no pasa. Si quieres más información sobre el tema de la que creias posible, dimelo y te mando mas manuales. Saludos, -- Marc Olivé Blau Advisors www.blauadvisors.com signature.asc Description: This is a digitally signed message part.
Re: NAT con Shorewall
No cortes la conversación, por favor, si no debo volver atrás para tener el texto. On Saturday 01 September 2012 17:13:12 Josué Marrero Bermúdez wrote: Bueno..el uso de esas IP no las defino yo...fue una decision cuando se creo la VPN a nivel nacional.. Ya he visto que eres de Cuba. Cosas raras que hacen, si algún dia abren su red al mundo van a tener problemas con esas IPs. Y en caso de enrutar con firewall..que aplicacion puedo usar? Me gustaria hacerlo con el firewall para controlar mas el trafico..en definitiva solo necesito que accedan a determinados puertos. Bueno, sigo falto de información para ser de mejor ayuda, pero voy a intentarlo. Además, me despistas con información contradictoria, en el primer correo dijiste: Necesito enrutar a algunas IP de mi LAN local hacia otras IP externas para un determinado servicio que se encuentra externo a mi red local. (por esto no debes cortar el texto). O sea, son los ordenadores de tu red (192.168.x.0/24) los que deben acceder a los servicios de la red 172.40.0.0/24. En tu red no hay ningún peligro y nadie accede a ella, son los de la red 172 los que deben preocuparse (si quieren) de filtrar IPs, puertos, etc. ¿Si tu red tuviera acceso completo a la 172, que mas te da a ti? Imagino que tienes algún ordenador que esté conectado a la red 172.40.0.0/24 ¿verdad? Es decir, tiene que haber algún cable con un router en cada extremo que vaya desde tu red a la suya. ¿Como tienes montada la red? Imagino que debe ser algo como: Red 192 --- tu router/firewall --- su router/firewall --- Red 172 ¿Que cacharro (router/firewall) en tu red tiene acceso a la 172? El cacharro deberia ser el ordenador donde has montado Debian, el que antes tenia Windows, y los ordenadores de tu red deben tener ese cacharro como puerta de enlace (gateway o pasarela) o dirección de enrutado por defecto (si no es un paquete de la red interna o de una red proxima, se envia a la puerta de enlace y ya se encarga ella de hacerla llegar a destino). Entonces puedes hacer NAT (Network Address Translation) en la pasarela (puerta de enlace). Eso es, la pasarela cambia la dirección de orígen del paquete (192.0.x.y) por su IP externa (172.40.x.y) antes de reenviarlo a la red externa, así cuando los ordenadores de esa otra red (172) envian las repuestas, lo hacen a la IP externa de tu pasarela que si conocen. Ellos no pueden enviar paquetes 192.0.x.y y esperar que llegue a tu red interna. Cuando tu pasarela recibe la respuesta, recuerda que es una conexión iniciada en la red interna y cambia la IP de destino (172) por la IP de la máquina de tu red interna (192) y envia el paquete que felizmente llega a quien inició la conversación. Yo uso Iptables directamente, sin Shorewall por en medio, y lo puedes lograr con un par de reglas: Primero, assegurate que tu Debian actue de router y reenvie paquetes: # echo 1 /proc/sys/net/ipv4/ip_forward Luego ya puedes añadir la regla de Iptables para que haga NAT: # /sbin/iptables -t nat -A POSTROUTING -o eth_externa -j MASQUERADE Donde eth_externa es la ethernet conectada a la red que puede acceder a la 172.40.0.0/16, probablemente eth0 o eth1. Con eso, ya tienes acceso desde la red interna a la externa. Si solo quisieras que algunas IPs de tu red interna tuviera acceso (¿pa que?), podrias hacer: # /sbin/iptables -t nat -A POSTROUTING -s rango_con_acceso -o eth_externa -j MASQUERADE Donde rango_con_acceso es el rango de IPs que quieres dejar pasar, como 192.168.12.0/24, o una IP especifica como 192.168.12.12. Si la política por defecto de Iptables fuera DROP, desecharia cualquier conexión que específicamente no estuviera permitida, entonces deberias habilitar estas conexiones para que Iptables no las bloqueara. Presupongo que eth0 es la ethernet con acceso externo, y eth1 la ethernet conectada a la red local: Para habilitar las conexiones de tu red interna hacia la externa: # /sbin/iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT Y también debemos habilitar las conexiones externas que se haya establecido préviamente: # /sbin/iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT Igual que antes, podrias limitar que IPs de tu red interna tienen acceso al exterior. Estas instrucciones deben ejecutarse cuando el firewall se inicie, así que los pones en un script bash y al inicio. Te mando un privado con un docuemtno básico de Iptables adjunto, que por la lista no pasa. Si quieres más información sobre el tema de la que creias posible, dimelo y te mando mas manuales. Saludos, -- Marc Olivé Blau Advisors www.blauadvisors.com - Eso mismo es lo que queria hacer. Si...entendiste perfectamente la explicacion de la estructura de mi red o al menos la adivinaste Disculpa si no fui preciso en mi mensaje. Un millon de gracias..ahora mismo pruebo y comento los resultados. Josue -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
Re: Shorewall
Que tiene definido en el archivo interfaces, zones, masq y rules?? Interfaces algo asi?? eth0 - loc eth1 - net Masq algo asi? eth1 eth0 rules?? Efectivamente el error esta relacionado con las DNS...una prueba desde mi punto de vista, sería verificar el acceso al servidor Web desde la red privada, si todo funciona correctamente y el FW no te bloquea el acceso, verificar las reglas para la peticiones desde la net Un saludo. El día 19 de julio de 2012 17:07, Camaleón noela...@gmail.com escribió: El Thu, 19 Jul 2012 13:19:09 +, a a escribió: Precisamente eso es lo que me tiene confundido, estoy intentando acceder al servidor web a través de la IP publica y no me responde la petición, y revisando el log el rastro que consigo es eso. (...) Pero el log -como te comentaba Ferran- te registra una petición al puerto 53/UDP (servidor DNS) que es rechazada (drop) por Shorewall, seguramente porque no le has dicho lo que tiene que hacer con este tipo de solicitudes. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/ju97rs$nho$1...@dough.gmane.org -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CA+YLrTANenRiCTD6L-WAUHjimu63ZMdEwb6=gms1nsdrwdd...@mail.gmail.com
RE: Shorewall
Saludos. Precisamente eso es lo que me tiene confundido, estoy intentando acceder al servidor web a través de la IP publica y no me responde la petición, y revisando el log el rastro que consigo es eso. Alguno tiene alguna idea de que puedo estar omitiendo en la configuración. Date: Wed, 18 Jul 2012 11:48:34 +0100 From: dona...@gmail.com To: debian-user-spanish@lists.debian.org Subject: Re: Shorewall * a a yabasta2...@hotmail.com [2012-07-17 18:56:51 +]: Buen día lista, reciban un cordial saludo. Shorewall:net2loc:DROP: IN=eth1 OUT=eth0 SRC=200.x.x.x DST=192.168.x.x LEN=66 TOS=00 PREC=0x00 TTL=48 ID=45881 CE PROTO=UDP SPT=35944 DPT=53 LEN=46 ^^ Hola, Parece que este log se refiere a una petición al puerto 53, no al 80 como tienes definida en tu regla. Tengo definida la regla de la siguiente manera: #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ MARK # PORT PORT(S) DEST LIMIT GROUP DNAT net loc:192.168.x.x tcp 80 - 200.x.x.x Cualquier orientación que me puedan dar al respecto. Se lo agradecería, -- Saludos, Ferran Donadie. La muerte sólo tiene importancia en la medida en que nos hace reflexionar sobre el valor de la vida. -- André Malrau. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120718104833.GA1906@cateto -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/bay171-w472b76b1b57d99b028beb8b3...@phx.gbl
Re: Shorewall
El Thu, 19 Jul 2012 13:19:09 +, a a escribió: Precisamente eso es lo que me tiene confundido, estoy intentando acceder al servidor web a través de la IP publica y no me responde la petición, y revisando el log el rastro que consigo es eso. (...) Pero el log -como te comentaba Ferran- te registra una petición al puerto 53/UDP (servidor DNS) que es rechazada (drop) por Shorewall, seguramente porque no le has dicho lo que tiene que hacer con este tipo de solicitudes. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/ju97rs$nho$1...@dough.gmane.org
Re: Shorewall
* a a yabasta2...@hotmail.com [2012-07-17 18:56:51 +]: Buen día lista, reciban un cordial saludo. Shorewall:net2loc:DROP: IN=eth1 OUT=eth0 SRC=200.x.x.x DST=192.168.x.x LEN=66 TOS=00 PREC=0x00 TTL=48 ID=45881 CE PROTO=UDP SPT=35944 DPT=53 LEN=46 ^^ Hola, Parece que este log se refiere a una petición al puerto 53, no al 80 como tienes definida en tu regla. Tengo definida la regla de la siguiente manera: #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ MARK # PORT PORT(S) DEST LIMIT GROUP DNAT net loc:192.168.x.x tcp 80 - 200.x.x.x Cualquier orientación que me puedan dar al respecto. Se lo agradecería, -- Saludos, Ferran Donadie. La muerte sólo tiene importancia en la medida en que nos hace reflexionar sobre el valor de la vida. -- André Malrau. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120718104833.GA1906@cateto
Shorewall
Buen día lista, reciban un cordial saludo. Estoy configurando un firewall en Debian Squeeze con Shorewall 4.4 el equipo tiene dos interfaces eth0 (LAN) y eth1 (WAN) he seguido el recetario que se encuentra disponible en la página del software, pero se me está presentando un problema a la hora de hacer un DNAT de una dirección IP pública a un servidor que tengo en mi LAN. Revisando el log me muestra que la solicitud es rechazada Shorewall:net2loc:DROP: IN=eth1 OUT=eth0 SRC=200.x.x.x DST=192.168.x.x LEN=66 TOS=00 PREC=0x00 TTL=48 ID=45881 CE PROTO=UDP SPT=35944 DPT=53 LEN=46 Tengo definida la regla de la siguiente manera: #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ MARK # PORT PORT(S) DEST LIMIT GROUP DNAT net loc:192.168.x.x tcp 80 - 200.x.x.x La políticas que tengo definidas son: #SOURCE DEST POLICY LOG LIMIT: CONNLIMIT: # LEVEL BURST MASK loc fw REJECT $LOG loc net REJECT $LOG net fw REJECT $LOG net lan DROP $LOG fw net REJECT $LOG fw loc ACCEPT $LOG all all REJECT $LOG La intención es configurar un firewall y que tanto usuarios externos como internos puedan acceder a par de servidores web y correo que se encuentran en la red interna, disponemos de direcciones Ip publicas fijas para ambos. Cualquier orientación que me puedan dar al respecto. Se lo agradecería, -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/bay171-w980848676b3a3da8a691cb3...@phx.gbl
Re: Shorewall + Squid Problema con Transparencia puerto 3128
El 2011-05-05 a las 16:10 -0400, skorky duarte escribió: (reenvío a la lista) Buenas Hermano antes que nada un saludo y gracias de antemano por la luz que puedas mostrarme. Tengo un server debian squeeze con shorewall y squid para una red lan 172.31.1.0 y he logrado configurar todo, exepto la transparencia del puerto 3128 para los equipos clientes no se si puedas ayudarme dandome una luz, a ver que me puede estar faltando segun lo siguiente. shorewall 4.4.11.6-3 squid 3.1.6-1.2 debian squeeze #en squidconf http_port 3128 transparent # seccion del shorewall para el pto 3128 del squid ACCEPT loc $FW tcp 3128 REDIRECTloc 3128tcp 80,8080 Resultado. logro navegar en los equipos clientes seteando manualmente el proxy pero al dejarlo automatico no lo consigo, que me puede estar faltando, sugerencias? gracias de antemano. -- === Debian is 'the rock upon which Ubuntu is built'. Linux User # 483582 Url: http://www.covesolib.org/ Blog: http://linuxdesdevenezuela.blogspot.com Skype: skorkyduarte Móvil: +58.0412.804.34.67 Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110506103417.ga5...@stt008.linux.site
Re: Shorewall + Squid Problema con Transparencia puerto 3128
El 06/05/11 12:34, Camaleón escribió: El 2011-05-05 a las 16:10 -0400, skorky duarte escribió: (reenvío a la lista) Buenas Hermano antes que nada un saludo y gracias de antemano por la luz que puedas mostrarme. Tengo un server debian squeeze con shorewall y squid para una red lan 172.31.1.0 y he logrado configurar todo, exepto la transparencia del puerto 3128 para los equipos clientes no se si puedas ayudarme dandome una luz, a ver que me puede estar faltando segun lo siguiente. shorewall 4.4.11.6-3 squid 3.1.6-1.2 debian squeeze #en squidconf http_port 3128 transparent # seccion del shorewall para el pto 3128 del squid ACCEPT loc $FW tcp 3128 REDIRECTloc 3128tcp 80,8080 Resultado. logro navegar en los equipos clientes seteando manualmente el proxy pero al dejarlo automatico no lo consigo, que me puede estar faltando, sugerencias? gracias de antemano. -- === Debian is 'the rock upon which Ubuntu is built'. Linux User # 483582 Url: http://www.covesolib.org/ Blog: http://linuxdesdevenezuela.blogspot.com Skype: skorkyduarte Móvil: +58.0412.804.34.67 Saludos, Hola, no acabo de entender esa regla de iptables mostrada de esa manera, pega un iptables -t nat -vnL PREROUTING a ver. Por otra parte, cuando configuras el navegador para usar un proxy que dices que si te funciona ¿Que puerto configuras? Un saludo. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4dc3dbf9.4040...@limbo.ari.es
Re: Shorewall + Squid Problema con Transparencia puerto 3128
El 06/05/11 15:20, skorky duarte escribió: # iptables -t nat -vnL PREROUTING Chain PREROUTING (policy ACCEPT 49602 packets, 14M bytes) pkts bytes target prot opt in out source destination 49699 14M dnat all -- * * 0.0.0.0/0 http://0.0.0.0/00.0.0.0/0 http://0.0.0.0/0 Gracias camaleon por reenviar a la lista, no se en que estaba pensando (ya me estaba jalando los cabellos xD) que no envie a la lista!!! Ahora juan, gracias por responder, al configurar manualmente los navegadores lo hago con el puerto 3128, es decir (proxy 172.31.1.1 puerto 3128) que es por donde escucha mi squid (ubicado en el equipo 172.31.1.1 y que tambien posee el shorewall) y alli si navega correctamente, asumo entonces que la redireccion es lo que estoy construyendo de manera erronea que el shorewall no la toma. Gracias de Antemano Hola, en la regla has dejado el último campo que es el que interesa ver, aunque tiene 14 megas de tráfico asi que el problema puede ser otro, en cualquier caso pega la salida completa y por curiosidad pega la salida de iptables -vnL FORWARD. Un saludo.
Re: Shorewall + Squid Problema con Transparencia puerto 3128
El 06/05/11 15:39, skorky duarte escribió: 11 3916 ACCEPT all -- lo any anywhere anywhere Por favor, deja de responderme al privado. No voy a ponerme a leer todas esas reglas de iptables porque son un montón y estan realmente muy liadas. Prueba a añadir iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -I FORWARD -i ethx -p tcp --dport 80 -j ACCEPT ethx es el interfaz de red que conecta tu red local. a ver si con eso sales a navegar. En caso contrario usa tcpdump para ver si las peticiones llegan o no a squid, si llegan revisa el log de squida ver si dice algo. Un saludo. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4dc4016a.7020...@limbo.ari.es
Re: Shorewall + Squid Problema con Transparencia puerto 3128
El 06/05/11 16:10, Juan Antonio escribió: El 06/05/11 15:39, skorky duarte escribió: 11 3916 ACCEPT all -- lo any anywhere anywhere Por favor, deja de responderme al privado. No voy a ponerme a leer todas esas reglas de iptables porque son un montón y estan realmente muy liadas. Prueba a añadir iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -I FORWARD -i ethx -p tcp --dport 80 -j ACCEPT ethx es el interfaz de red que conecta tu red local. a ver si con eso sales a navegar. En caso contrario usa tcpdump para ver si las peticiones llegan o no a squid, si llegan revisa el log de squida ver si dice algo. Un saludo. Hola de nuevo, cagada, el redirect se hace en PREROUTING asi que es probable que la segunda regla sea --dport 3128 y la cadena INPUT es decir iptables -I INPUT -i ethx -p tcp --dport 3128 -j ACCEPT Un saludo. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4dc403e8.3070...@limbo.ari.es
Re: Shorewall + Squid Problema con Transparencia puerto 3128
El dv 06 de 05 de 2011 a les 12:34 +0200, en/na Camaleón va escriure: El 2011-05-05 a las 16:10 -0400, skorky duarte escribió: (reenvío a la lista) Buenas Hermano antes que nada un saludo y gracias de antemano por la luz que puedas mostrarme. Tengo un server debian squeeze con shorewall y squid para una red lan 172.31.1.0 y he logrado configurar todo, exepto la transparencia del puerto 3128 para los equipos clientes no se si puedas ayudarme dandome una luz, a ver que me puede estar faltando segun lo siguiente. shorewall 4.4.11.6-3 squid 3.1.6-1.2 debian squeeze #en squidconf http_port 3128 transparent # seccion del shorewall para el pto 3128 del squid ACCEPT loc $FW tcp 3128 REDIRECTloc 3128tcp 80,8080 En la página web de Shorewall: http://www.shorewall.net/Shorewall_Squid_Usage.html#Firewall te indican las reglas necesarias para configurar squid transparente. In /etc/shorewall/rules: #ACTION SOURCE DEST PROTO DEST PORT(S) SOURCE ORIGINAL #PORT(S)DEST ACCEPT$FWnet tcp www REDIRECT loc3128 tcp www josep. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1304693598.4269.10.camel@saiph
SQUID + SHOREWALL + HTTPS (Puerto 443) Bypass
Estimados listeros en esta oportunidad hay algo que me preocupa y que no he podido resolver *Escenario:* Tengo un servidor con funciones de proxy (squid) y firewall (shorewall) todo funciona perfectamente a excepción de lo siguiente: *Problema* Los usuarios de mi red pueden navegar facilmente por el puerto https://, es decir, 443 y de alguna manera vulnerar el filtro de contenido dentro de la empresa, para restricciones como: https://www.facebook.com https://www.google.com https://www.twitter.com, etc *Medidas Tomadas* He probado redirigiendo el puerto 443 al 3128 donde escucha mi Squid 3.0 resolviendo lo del bypass pero entonces me quedo sin la posibilidad de entrar en bancos y otras paginas que usen SSL, en cualquiera de las listas, tanto privilegiadas o no privilegiadas *Preguntas* Alguien conoce como permitir por medio de alguna ACL o alguna tecnica el acceso HTTPS, solo a una lista en especifico, es decir, una vez redireccionado todo el trafico 443 al puerto 3128, examinar si esta la IP en cuestion en la ACL privilegiada y darle acceso directo, sin cachear solo que permita la navegación, a bancos o sitios con 443 (https) *Gracias de Antemano..* T.S.U Skorky Duarte Linux User # 483582 Blog: http://linuxdesdevenezuela.blogspot.com
Levantar shorewall cuando inicie el server
Buenas Listeros tengo Debian 5 corriendo de maravillas. Tengo shorewall instalado como cotrafuegos, y trabaja bien, pero cuando reinicio el server, tengo que darle a mano shorewall restart, para que levante. Ya hice update-rc.d shorewall defaults, y aún con esto no levanta. También tengo esta sentencia en el shorewall.conf: STARTUP_ENABLED=Yes Saludos -- Usemos el Software Libre Con todos y para el bien de todos José Martí, 26 de noviembre de 1891, Tampa. Lic. Michel Vega Fuenzalida. Usuario Linux: 353763 Coordinador del Grupo Linux Pinero Administrador de Red Hospital General Docente Héroes de Baire, Nueva Gerona, Isla de la Juventud, Cuba. Teléfono: +53 46 323012. -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bc310dd.9080...@ijv.sld.cu
Re: Levantar shorewall cuando inicie el server
El Mon, 12 Apr 2010 08:23:57 -0400, Michel Vega Fuenzalida escribió: Buenas Listeros tengo Debian 5 corriendo de maravillas. Tengo shorewall instalado como cotrafuegos, y trabaja bien, pero cuando reinicio el server, tengo que darle a mano shorewall restart, para que levante. Ya hice update-rc.d shorewall defaults, y aún con esto no levanta. También tengo esta sentencia en el shorewall.conf: STARTUP_ENABLED=Yes /etc/default/shorewall startup=1 O eso dice en la documentación ;-) Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2010.04.12.13.01...@gmail.com
Re: Levantar shorewall cuando inicie el server
* Michel Vega Fuenzalida miche...@ijv.sld.cu [2010-04-12 08:23:57 -0400]: Buenas Listeros tengo Debian 5 corriendo de maravillas. Tengo shorewall instalado como cotrafuegos, y trabaja bien, pero cuando reinicio el server, tengo que darle a mano shorewall restart, para que levante. Ya hice update-rc.d shorewall defaults, y aún con esto no levanta. También tengo esta sentencia en el shorewall.conf: STARTUP_ENABLED=Yes Saludos Hola Michel, Y en /etc/default/shorewall que tienes? $ cat /etc/default/shorewall # prevent startup with default configuration # set the following varible to 1 in order to allow Shorewall to start startup=0 -- Saludos, Ferran Donadie. En esta vida hay que ser solución, no problema. -- Agustín R. Sahagún. (1931-1991). -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100412124524.gc2...@cateto
Re: Levantar shorewall cuando inicie el server [SOLUCIONADO]
Ferran Donadie escribió: Y en /etc/default/shorewall que tienes? startup=0 Muchas gracias a Ferran y a Camaleón, es así como dijeron, la verdad que pasé por alto esa parte del manual, exactamente dice ir a /etc/default/shorewall, y cambiar ese valor. Disculpen mi falta de percepción. Gracias a todos. Todo resuleto. -- Usemos el Software Libre Con todos y para el bien de todos José Martí, 26 de noviembre de 1891, Tampa. Lic. Michel Vega Fuenzalida. Usuario Linux: 353763 Coordinador del Grupo Linux Pinero Administrador de Red Hospital General Docente Héroes de Baire, Nueva Gerona, Isla de la Juventud, Cuba. Teléfono: +53 46 323012. -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bc324f4.4060...@ijv.sld.cu
[OT] Shorewall+Interfaces Virtual
Hola a t...@s, Os cuento mi historia a ver si alguien me puede ayudar Actualmente tengo un servidor debian 4.0 para la navegación en una red local con Squid y firewall Shorewall (esto funciona de maravilla). Ahora me surge el problema que estoy dando servicios desde Internet a servidores que tengo en mi red local. La idea es trabajar con un servidor por el puerto 80, el servidor en mi red local será una tieda virtual donde voy a montar un TPV Virtual. Este servidor quiero que sea transparente para todos los usuarios de Internet. He probado la configuración por todas las maneras pero mi configuración del servidor Proxy lo permite (la indico a continuación). Lo que tengo ahora es lo siguiente: 2 tarjetas de red con esta configuración: eth1 Link encap:Ethernet HWaddr 00:13:72:4B:68:1F inet addr:213.x.x.22 Bcast:213.x.x.255 Mask:255.255.255.0 eth2 Link encap:Ethernet HWaddr 00:13:72:4B:68:20 inet addr:192.168.100.220 Bcast:192.168.100.255 Mask:255.255.255.0 Mi configuración shorewall: interfaces lan eth1detect dmz eth2detect zones: lan LAN local_area_network dmz DMZ demilitarized_zone wan NET internet masq: eth110.10.10.0/24 eth1192.168.0.0/16 rules (entre otras muchas): ACCEPT fw lan tcp 80 REDIRECTdmz 3128tcp www - ##Servicios activo para red local ACCEPT dmz lan tcp pop3- ACCEPT dmz lan tcp smtp- ACCEPT dmz lan tcp 995 - ACCEPT dmz lan tcp 465 - ACCEPT dmz all tcp http- ACCEPT dmz lan tcp https - ACCEPT dmz lan tcp ftp - ACCEPT dmz fw tcp ftp - ACCEPT dmz lan tcp ftp-data - ACCEPT dmz fw tcp ftp-data - ACCEPT dmz lan tcp nntp- ACCEPT dmz lan tcp imap- Mi idea era crear un interfaz virtual con otra IP pública que pueda usar el puerto 80 para atacar a un servidor Web que tengo en mi red local. Los pasos de configuración lo estoy realizando con este manual: http://www.shorewall.net/Shorewall_and_Aliased_Interfaces.html Crear el interfaz virtual: up ip addr add 213.x.x.23/24 brd 213.x.x.255 dev eth1 label eth1:1 (esto funciona correctamente). Mi servidor Web local es el siguiente: 192.168.1.1 Seria esto eth1:1 192.168.1.1 213.x.x.23 Es posible que exista otra forma de hacer lo que quiero, si alguien me puede asesorar se lo agradecería. Desde ya gracias por todo. Saludos.
Re: Sobre NAT con shorewall
Carlos Lopez wrote: Hola, he usado iptables y podrias usar algo así: 1 - Habilita el reenvio de paquetes desde la interfaz interna hacia la externa con la ip origen 10.10.0.5: iptables -t filter -A FORWARD -p TCP -i INTERFAZ_INTERNA -o INTERFAZ_EXTERNA -s 10.10.0.5 --dport 80 -j ACCEPT 2- Ahora enmascaras la ip de salida (en caso de que sea navegación): iptables -t nat -A POSTROUTING -p TCP -o INTERFAZ_EXTERNA -s 10.10.0.5 --dport 80 -j SNAT --to-source 200.54.58.56 Creo que no es buena idea mezclar cosas de distintos niveles, shorewall es un software que recubre las llamadas a iptables. Lo mejor es que mire la documentación que seguro que se puede hacer de forma bastante simple además. Saludos. Saludos, Carlos. --- El sáb 31-oct-09, S e r g e se...@srv0.ath.cx escribió: De: S e r g e se...@srv0.ath.cx Asunto: Re: Sobre NAT con shorewall A: debian-user-spanish@lists.debian.org Fecha: sábado, 31 octubre, 2009, 9:01 am Le Saturday 31 October 2009 14:47:04 Michel Vega Fuenzalida, vous avez écrit : Buenas listeros, tengo instalado Debian 5 con shorewall 4.0.15, y deseo hacer esto: desde la tarjeta local eth1 desde el IP 10.10.0.5 (ip local) por el puerto 80 mandarlo al puerto 80 del IP 200.54.58.56 (fuera de mi red) por la tarjeta extarna eth0. Saludos Paquete shorewall-doc /usr/share/doc/shorewall-doc/html/NAT.htm -- Usemos el Software Libre Con todos y para el bien de todos José Martí, 26 de noviembre de 1891, Tampa. Lic. Michel Vega Fuenzalida. Usuario Linux: 353763 Coordinador del Grupo Linux Pinero Administrador de Red Hospital General Docente Heroes de Baire, Isla de la Juventud, Cuba. Teléfono: (53) 46 323012 ext 212 -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ -- (o_ (/)_ S e r g e -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org ¡Obtén la mejor experiencia en la web! Descarga gratis el nuevo Internet Explorer 8. http://downloads.yahoo.com/ieak8/?l=e1 -- Fernando. {:-{D Hackers do it with fewer instructions. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Sobre NAT con shorewall
Buenas listeros, tengo instalado Debian 5 con shorewall 4.0.15, y deseo hacer esto: desde la tarjeta local eth1 desde el IP 10.10.0.5 (ip local) por el puerto 80 mandarlo al puerto 80 del IP 200.54.58.56 (fuera de mi red) por la tarjeta extarna eth0. Saludos -- Usemos el Software Libre Con todos y para el bien de todos José Martí, 26 de noviembre de 1891, Tampa. Lic. Michel Vega Fuenzalida. Usuario Linux: 353763 Coordinador del Grupo Linux Pinero Administrador de Red Hospital General Docente Heroes de Baire, Isla de la Juventud, Cuba. Teléfono: (53) 46 323012 ext 212 -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Sobre NAT con shorewall
Le Saturday 31 October 2009 14:47:04 Michel Vega Fuenzalida, vous avez écrit : Buenas listeros, tengo instalado Debian 5 con shorewall 4.0.15, y deseo hacer esto: desde la tarjeta local eth1 desde el IP 10.10.0.5 (ip local) por el puerto 80 mandarlo al puerto 80 del IP 200.54.58.56 (fuera de mi red) por la tarjeta extarna eth0. Saludos Paquete shorewall-doc /usr/share/doc/shorewall-doc/html/NAT.htm -- Usemos el Software Libre Con todos y para el bien de todos José Martí, 26 de noviembre de 1891, Tampa. Lic. Michel Vega Fuenzalida. Usuario Linux: 353763 Coordinador del Grupo Linux Pinero Administrador de Red Hospital General Docente Heroes de Baire, Isla de la Juventud, Cuba. Teléfono: (53) 46 323012 ext 212 -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ -- (o_ (/)_ S e r g e -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Sobre NAT con shorewall
Hola, he usado iptables y podrias usar algo así: 1 - Habilita el reenvio de paquetes desde la interfaz interna hacia la externa con la ip origen 10.10.0.5: iptables -t filter -A FORWARD -p TCP -i INTERFAZ_INTERNA -o INTERFAZ_EXTERNA -s 10.10.0.5 --dport 80 -j ACCEPT 2- Ahora enmascaras la ip de salida (en caso de que sea navegación): iptables -t nat -A POSTROUTING -p TCP -o INTERFAZ_EXTERNA -s 10.10.0.5 --dport 80 -j SNAT --to-source 200.54.58.56 Saludos, Carlos. --- El sáb 31-oct-09, S e r g e se...@srv0.ath.cx escribió: De: S e r g e se...@srv0.ath.cx Asunto: Re: Sobre NAT con shorewall A: debian-user-spanish@lists.debian.org Fecha: sábado, 31 octubre, 2009, 9:01 am Le Saturday 31 October 2009 14:47:04 Michel Vega Fuenzalida, vous avez écrit : Buenas listeros, tengo instalado Debian 5 con shorewall 4.0.15, y deseo hacer esto: desde la tarjeta local eth1 desde el IP 10.10.0.5 (ip local) por el puerto 80 mandarlo al puerto 80 del IP 200.54.58.56 (fuera de mi red) por la tarjeta extarna eth0. Saludos Paquete shorewall-doc /usr/share/doc/shorewall-doc/html/NAT.htm -- Usemos el Software Libre Con todos y para el bien de todos José Martí, 26 de noviembre de 1891, Tampa. Lic. Michel Vega Fuenzalida. Usuario Linux: 353763 Coordinador del Grupo Linux Pinero Administrador de Red Hospital General Docente Heroes de Baire, Isla de la Juventud, Cuba. Teléfono: (53) 46 323012 ext 212 -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ -- (o_ (/)_ S e r g e -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org ¡Obtén la mejor experiencia en la web! Descarga gratis el nuevo Internet Explorer 8. http://downloads.yahoo.com/ieak8/?l=e1 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Estadísticas con Cacti mas shorewall-accounting
Hola a t...@s, Estoy buscando la forma de monitorizar servicios con exactitud. Hace tiempo conseguí implementar MRTG con Shorewall añadiendo reglas en el fichero accounting, luego con unos script conseguia cierta información que mostraba con MRTG. Me preguntaba si alguien ha conseguido hacer lo mismo pero con Cacti. ¿es posible? Gracias por todo. Saludos.
Re: Shorewall + Zyxel 645R-A1
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 El domingo 24 de agosto del 2008 a las 19:56:00 -0300, Iñigo Tejedor Arrondo escribió: Estoy haciendo en mi Zyxel 645R-A1 algunas pruebas para usarlo en modalidad router. Hasta el momento lo venía usando en modo bridge sin problemas conectado a una máquina Debian GNU/Linux oficiando de router/firewall/gateway con Shorewall. Pero, puestos a probar, quería ver que tal se comportaba funcionando bajo esta modalidad. Ya pude lograr tanto que el firewall GNU/Linux salga a Internet como los equipos en mi red interna NATeando a través de él adaptando la configuración de shorewall para que ahora el NAT lo haga a través de la interfaz de red conectada directamente al Zyxel en vez de hacerlo via la interfaz PPP que antes levantaba. El problema que ahora se me presenta y que es aquel por el cual quiero consultarles es que perdí la «magia del DNAT» que antes hacía mediante la máquina GNU/Linux. ¿Que consideraciones debería tener en cuenta para poder seguir haciéndolo de esta manera teniendo al Zyxel en modalidad router? Busca entre las opciones del Zyxel, para redirigir todos los puertos a tu shorewall. Antes se llamaba SUA server (en modelos más viejos de Zyxel) y la ip que ponagas como default le van todos los puertos. Si no, tendrás que redirigir puerto por puerto. Pero bueno, no es un tema de tu Debian... es un tema del router :-) Te comento que probé yendo al menú 15 (NAT Setup) - 2 (NAT Server Sets) - - 1 (Server Set 1 (Used for SUA Only)) y allí deje la configuración de la siguiente manera, siendo 192.168.1.2 la IP de la interfaz del firewall con GNU/Linux: 1.Default Default0.0.0.0 2.8080192.168.1.2 La primera línea la tuve que dejar porque si no el Zyxel no se conectaba a Internet. Pero la regla del puerto 80 no me funcionó. Ahora bien, si agrego una regla para el puerto SSH, ahí sí puedo llegar desde Internet a la máquina con GNU/Linux que está inmediatamente detrás del router, pero el problema parece estar con las que se encuentran detrás de esta. ¿Será que me estará faltando configurar algo adicional en el Zyxel o bien en el Shorewall? Gracias por responder, Iñigo Saludos, Daniel -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.9 (GNU/Linux) iEYEARECAAYFAki5a/gACgkQZpa/GxTmHTd0HQCaA+jolMLDb/HmhB8K7SHheV1n ImkAn0KuyQH5k6mrUWOI/F6ZlExntk+f =aOLT -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall + Zyxel 645R-A1
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 El domingo 24 de agosto del 2008 a las 20:00:24 -0300, Julián Esteban Perconti escribió: Estoy haciendo en mi Zyxel 645R-A1 algunas pruebas para usarlo en modalidad router. Hasta el momento lo venía usando en modo bridge sin problemas conectado a una máquina Debian GNU/Linux oficiando de router/firewall/gateway con Shorewall. Pero, puestos a probar, quería ver que tal se comportaba funcionando bajo esta modalidad. Ya pude lograr tanto que el firewall GNU/Linux salga a Internet como los equipos en mi red interna NATeando a través de él adaptando la configuración de shorewall para que ahora el NAT lo haga a través de la interfaz de red conectada directamente al Zyxel en vez de hacerlo via la interfaz PPP que antes levantaba. El problema que ahora se me presenta y que es aquel por el cual quiero consultarles es que perdí la «magia del DNAT» que antes hacía mediante la máquina GNU/Linux. ¿Que consideraciones debería tener en cuenta para poder seguir haciéndolo de esta manera teniendo al Zyxel en modalidad router? Hola, perdon que me meta para no cooperar con el asunto, pero.. este metodo (al margen de usar shorewall, firestarter, iptables en crudo o lo que sea) es mejor que usar el modem como modem (valga la redundancia) y usar la interface ppp0? a nivel performance, seguridad, etc. Hola Julián. En realidad mi duda apuntaba a querer hacer esto por un tema de simplicidad en la gestión y está relacionado con tener una máquina GNU/Linux con salida a Internet a través de dos conexiones ADSL o ADSL y cable modem para una oficina. Entonces de esta manera administraría las reglas de DNAT y filtrado para ambos routers de forma centralizada en la máquina con GNU/Linux. Por otro lado, quitaría la complejidad en la máquina con GNU/Linux agregada por la capa PPP pudiendo usa una ips y un gateway fijo para cada conexión en este equipo haciendo eso que pueda usar esta solución con cualquier conexión que tenga ip fija y ya no importaría si es ADSL o no. Saludos, Daniel -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.9 (GNU/Linux) iEYEARECAAYFAkizAlAACgkQZpa/GxTmHTfeRwCfU9xTi0F9KUPUA/Nxjtkdr6QY dHsAn1pxo10ngmgXusEBvltiQeTSSI1E =Fiqw -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Shorewall + Zyxel 645R-A1
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hola! Estoy haciendo en mi Zyxel 645R-A1 algunas pruebas para usarlo en modalidad router. Hasta el momento lo venía usando en modo bridge sin problemas conectado a una máquina Debian GNU/Linux oficiando de router/firewall/gateway con Shorewall. Pero, puestos a probar, quería ver que tal se comportaba funcionando bajo esta modalidad. Ya pude lograr tanto que el firewall GNU/Linux salga a Internet como los equipos en mi red interna NATeando a través de él adaptando la configuración de shorewall para que ahora el NAT lo haga a través de la interfaz de red conectada directamente al Zyxel en vez de hacerlo via la interfaz PPP que antes levantaba. El problema que ahora se me presenta y que es aquel por el cual quiero consultarles es que perdí la «magia del DNAT» que antes hacía mediante la máquina GNU/Linux. ¿Que consideraciones debería tener en cuenta para poder seguir haciéndolo de esta manera teniendo al Zyxel en modalidad router? Gracias anticipadas por responder. Saludos, Daniel -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.9 (GNU/Linux) iEYEARECAAYFAkixx08ACgkQZpa/GxTmHTeIdQCeMywn1ChEQXnRHIAY1T+THShg drAAn1OUHElH2iEm1jlREcf8D+YaKD6p =w9ps -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Shorewall + Zyxel 645R-A1
El día 24 de agosto de 2008 22:41, Daniel Bareiro [EMAIL PROTECTED] escribió: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hola! Estoy haciendo en mi Zyxel 645R-A1 algunas pruebas para usarlo en modalidad router. Hasta el momento lo venía usando en modo bridge sin problemas conectado a una máquina Debian GNU/Linux oficiando de router/firewall/gateway con Shorewall. Pero, puestos a probar, quería ver que tal se comportaba funcionando bajo esta modalidad. Ya pude lograr tanto que el firewall GNU/Linux salga a Internet como los equipos en mi red interna NATeando a través de él adaptando la configuración de shorewall para que ahora el NAT lo haga a través de la interfaz de red conectada directamente al Zyxel en vez de hacerlo via la interfaz PPP que antes levantaba. El problema que ahora se me presenta y que es aquel por el cual quiero consultarles es que perdí la «magia del DNAT» que antes hacía mediante la máquina GNU/Linux. ¿Que consideraciones debería tener en cuenta para poder seguir haciéndolo de esta manera teniendo al Zyxel en modalidad router? Gracias anticipadas por responder. Busca entre las opciones del Zyxel, para redirigir todos los puertos a tu shorewall. Antes se llamaba SUA server (en modelos más viejos de Zyxel) y la ip que ponagas como default le van todos los puertos. Si no, tendrás que redirigir puerto por puerto. Pero bueno, no es un tema de tu Debian... es un tema del router :-) Saludos, Daniel
Re: Shorewall + Zyxel 645R-A1
Iñigo Tejedor Arrondo escribió: El día 24 de agosto de 2008 22:41, Daniel Bareiro [EMAIL PROTECTED] escribió: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hola! Estoy haciendo en mi Zyxel 645R-A1 algunas pruebas para usarlo en modalidad router. Hasta el momento lo venía usando en modo bridge sin problemas conectado a una máquina Debian GNU/Linux oficiando de router/firewall/gateway con Shorewall. Pero, puestos a probar, quería ver que tal se comportaba funcionando bajo esta modalidad. Ya pude lograr tanto que el firewall GNU/Linux salga a Internet como los equipos en mi red interna NATeando a través de él adaptando la configuración de shorewall para que ahora el NAT lo haga a través de la interfaz de red conectada directamente al Zyxel en vez de hacerlo via la interfaz PPP que antes levantaba. El problema que ahora se me presenta y que es aquel por el cual quiero consultarles es que perdí la «magia del DNAT» que antes hacía mediante la máquina GNU/Linux. ¿Que consideraciones debería tener en cuenta para poder seguir haciéndolo de esta manera teniendo al Zyxel en modalidad router? Gracias anticipadas por responder. Busca entre las opciones del Zyxel, para redirigir todos los puertos a tu shorewall. Antes se llamaba SUA server (en modelos más viejos de Zyxel) y la ip que ponagas como default le van todos los puertos. Si no, tendrás que redirigir puerto por puerto. Pero bueno, no es un tema de tu Debian... es un tema del router :-) Saludos, Daniel Hola, perdon que me meta para no cooperar con el asunto, pero.. este metodo (al margen de usar shorewall, firestarter, iptables en crudo o lo que sea) es mejor que usar el modem como modem (valga la redundancia) y usar la interface ppp0? a nivel performance, seguridad, etc. Saludos. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Configurar shorewall para un portátil: No cierra puertos
Hola lista!! A raíz del aviso de rkhunter, me he empezado a preocupar por la seguridad, y he instalado shorewall. Todos los manuales que he visto eran para un ordenador con varios interfaces distintos, pero yo utilizo la misma tarjeta para todo. Me he echo un análisis de puertos, y he visto los siguientes abiertos: Si hago el análisis sobre localhost: Puerto Estado Servicio 25 opensmtp 111 opensunrpc 113 openauth 139 opennetbios-ssn 445 openmicrosoft-ds 631 openipp 915 opendesconocido 47700 opendesconocido 53595 opendesconocido Si hago el análisis sobre 127.0.0.1 Puerto Estado Servicio 25 opensmtp 111 opensunrpc 113 openauth 139 opennetbios-ssn 445 openmicrosoft-ds 631 openipp 915 opendesconocido 37368 opendesconocido 47700 opendesconocido Si hago el análisis sobre mi ip (cogida por dhcp): Puerto Estado Servicio 111 opensunrpc 113 openauth 139 opennetbios-ssn 445 openmicrosoft-ds 47700 opendesconocido 58538 opendesconocido 58793 opendesconocido La primera duda que tengo es porqué los puertos son distintos dependiendo de sobre qué ip hago el análisis, pues todas son la misma máquina: He configurado shorewall con los siguientes parámetros: /etc/shorewall/interfaces: #ZONE INTERFACE BROADCAST OPTIONS GATEWAY neteth0 detect dhcp netath0 detect dhcp #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE /etc/shorewall/policy fwnetACCEPT netallDROP allallREJECT /etc/shorewall/rules DROP net $FW tcp 111 DROP net $FW tcp 113 DROP net $FW tcp 139 DROP net $FW tcp 445 DROP net $FW tcp 35872 DROP net $FW tcp 47700 DROP net $FW tcp 50804 /etc/shorewall/zones #ZONE DISPLAY OPTIONS fw firewall netipv4 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE Si en rules le tengo dicho que cierre esos puertos, ¿por qué no me los cierra? -- Saludos, Pedro
Re: Configurar shorewall para un portátil: No cierra puertos
Pedro Jose escribió: Hola lista!! A raíz del aviso de rkhunter, me he empezado a preocupar por la seguridad, y he instalado shorewall. Todos los manuales que he visto eran para un ordenador con varios interfaces distintos, pero yo utilizo la misma tarjeta para todo. Me he echo un análisis de puertos, y he visto los siguientes abiertos: Si hago el análisis sobre localhost: Puerto Estado Servicio 25 opensmtp 111 opensunrpc 113 openauth 139 opennetbios-ssn 445 openmicrosoft-ds 631 openipp 915 opendesconocido 47700 opendesconocido 53595 opendesconocido Si hago el análisis sobre 127.0.0.1 Puerto Estado Servicio 25 opensmtp 111 opensunrpc 113 openauth 139 opennetbios-ssn 445 openmicrosoft-ds 631 openipp 915 opendesconocido 37368 opendesconocido 47700 opendesconocido Si hago el análisis sobre mi ip (cogida por dhcp): Puerto Estado Servicio 111 opensunrpc 113 openauth 139 opennetbios-ssn 445 openmicrosoft-ds 47700 opendesconocido 58538 opendesconocido 58793 opendesconocido La primera duda que tengo es porqué los puertos son distintos dependiendo de sobre qué ip hago el análisis, pues todas son la misma máquina: He configurado shorewall con los siguientes parámetros: /etc/shorewall/interfaces: #ZONE INTERFACE BROADCAST OPTIONS GATEWAY neteth0 detect dhcp netath0 detect dhcp #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE /etc/shorewall/policy fwnetACCEPT netallDROP allallREJECT /etc/shorewall/rules DROP net $FW tcp 111 DROP net $FW tcp 113 DROP net $FW tcp 139 DROP net $FW tcp 445 DROP net $FW tcp 35872 DROP net $FW tcp 47700 DROP net $FW tcp 50804 /etc/shorewall/zones #ZONE DISPLAY OPTIONS fw firewall netipv4 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE Si en rules le tengo dicho que cierre esos puertos, ¿por qué no me los cierra? Hola... 1) la PC es la misma, pero la interface que usa para conectarse a ella es distinta. No es solo la IP que cambia, sino la interface también. 2) estás confundiendo lo que quiere decir cerrar un puerto con shorewall (en verdad con iptables). El puerto sigue abierto, lo que shorewall/iptables es bloquear los paquetes que lleguen a este puerto. El puerto se cierra definitivamente dando de baja la aplicación que lo abre. Saludos. -- Miguel Da Silva Administrador de Red Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Configurar shorewall para un portátil: No cierra puertos
Muchas gracias por la respuesta. Al final lo que he echo ha sido coger los archivos de ejemplo de shorewall para una interfaz, de manera que se han quedado así: /etc/shorewall/rules Ping/REJECT net $FW ACCEPT $FW net icmp /etc/shorewall/policy $FW net ACCEPT net $FW DROPinfo net all DROPinfo all all REJECT info /etc/shorewall/interfaces net eth0detect dhcp,tcpflags,logmartians,nosmurfs net ath0detect dhcp,tcpflags,logmartians,nosmurfs /etc/shorewall/zones fw firewall net ipv4 Lo que ocurre es que me da fallo shorewall.conf en la línea SUBSYSLOCK=/var/lock/subsys/shorewall He leído que en debian es en /var/state/shorewall, pero no tengo el directorio state. La he comentado. ¿Es seguro hacerlo o tengo que redirigir hacia otro archivo? Se supone que debería tener filtrados todos los puertos, pero al hacer nmap localhost: Starting Nmap 4.53 ( http://insecure.org ) at 2008-04-17 14:52 CEST SCRIPT ENGINE: rpcinfo.nse is not a file. SCRIPT ENGINE: Aborting script scan. Interesting ports on localhost (127.0.0.1): Not shown: 1707 closed ports PORTSTATE SERVICE VERSION 25/tcp open smtpExim smtpd 4.69 111/tcp open rpcbind 2 (rpc #10) 113/tcp open ident 139/tcp open netbios-ssn Samba smbd 3.X (workgroup: ALDEA) 445/tcp open netbios-ssn Samba smbd 3.X (workgroup: ALDEA) 631/tcp open ipp CUPS 1.2 670/tcp open unknown Tengo muchos puertos abiertos. Luego, si ejecuto un escaneador de puertos online, me detecta los puertos 23 y 80 abiertos, pero no sé como cerrarlos, puesto que no tengo apache ni ningún servidor web conectado. ¿Es mi configuración actual segura? ¿Qué tengo que hacer para filtrar esos puertos y dejar el sistema más seguro?
Re: Configurar shorewall para un portátil: No cierra puertos
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 El 17/04/08 15:07, Pedro Jose escribió: (...) Lo que ocurre es que me da fallo shorewall.conf en la línea SUBSYSLOCK=/var/lock/subsys/shorewall He leído que en debian es en /var/state/shorewall, pero no tengo el directorio state. La he comentado. ¿Es seguro hacerlo o tengo que redirigir hacia otro archivo? Pónlo como sigue: SUBSYSLOCK= Reinicia el Shorewall y ya está. (...) Tengo muchos puertos abiertos. Luego, si ejecuto un escaneador de puertos online, me detecta los puertos 23 y 80 abiertos, pero no sé como cerrarlos, puesto que no tengo apache ni ningún servidor web conectado. En cuanto a esto que comentas, es tu router, no tu sistema. Por lo tanto, los puertos que están abiertos, son los que tienes de tu router, no de tu sistema. - -- Slds de Santiago José López Borrazás Conocimientos avanzados en seguridad informática. Conocimientos avanzados en redes. -BEGIN PGP SIGNATURE- iQIVAwUBSAdNjbuF9/q6J55WAQp/0w/+PQ9Rad8FGdb5IP52djwD3Oz9SUIdPDzH CkcoNshtt1ml0oZxnXQyiBRMENViXwdMbCK4XGHrdZ5CJJJRoMr7w1D2L23vEqID KzLmYg5t4zCOKN1FMVhc28xbu8QCKDne5QCpUEuxjh0Mktsze1YS7DuOX74d4XMQ c2ilSiwCf6flnJ1wLDz3jYEwQlxCOJQ/60h9BM8Dad1e7Vd7MDDoPmXm4f1EovrG 62M2CQrt0mC5wILe4KfSfLXCUd5//cXnFk1ewL8+6yxNjQMxoJv7OY9X1itbIDzv kHkYNILFLs+xzqOSK47DaFpsli0iZnNE2qHPdoT7hhO41IgpZ8Aw7aZQrRZWvI2N ycaIEz+jLdfarIcBfbepS4de8UC28cp4r7sBBaKbzm5LgSwhFsUP24a17i5sbnNa d0FmLJWp/RTEyedsY/rgXmd3I0Kcs4lz5F/zOKoPYTiMPtDLflHDFZX+rLqjIKSB i9b17ICZrolKenBiJQl6YWebkpzYimgxIZy61MPn3jEAP4QWu+2IBzy1vtAB5xkX fu8XxibBb/sk27Jzi7fmdEMhDMyACeuXHUNzK8EcO0cwReFWbqBCNwNv3ObLkgWO 37nf7Us9Ho0DuWgmh3tYRBQ6A86FW/x89F0JGurwThr3GzKD6WSlVwn2FdcAwRGk YaRA8HSTSQ8= =m1oE -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Configurar shorewall para un portátil: No cierra puertos
Pedro Jose escribió: Muchas gracias por la respuesta. Al final lo que he echo ha sido coger los archivos de ejemplo de shorewall para una interfaz, de manera que se han quedado así: /etc/shorewall/rules Ping/REJECT net $FW ACCEPT $FW net icmp /etc/shorewall/policy $FW net ACCEPT net $FW DROPinfo net all DROPinfo all all REJECT info /etc/shorewall/interfaces net eth0detect dhcp,tcpflags,logmartians,nosmurfs net ath0detect dhcp,tcpflags,logmartians,nosmurfs /etc/shorewall/zones fw firewall net ipv4 Lo que ocurre es que me da fallo shorewall.conf en la línea SUBSYSLOCK=/var/lock/subsys/shorewall He leído que en debian es en /var/state/shorewall, pero no tengo el directorio state. La he comentado. ¿Es seguro hacerlo o tengo que redirigir hacia otro archivo? Se supone que debería tener filtrados todos los puertos, pero al hacer nmap localhost: Starting Nmap 4.53 ( http://insecure.org ) at 2008-04-17 14:52 CEST SCRIPT ENGINE: rpcinfo.nse is not a file. SCRIPT ENGINE: Aborting script scan. Interesting ports on localhost (127.0.0.1): Not shown: 1707 closed ports PORTSTATE SERVICE VERSION 25/tcp open smtpExim smtpd 4.69 111/tcp open rpcbind 2 (rpc #10) 113/tcp open ident 139/tcp open netbios-ssn Samba smbd 3.X (workgroup: ALDEA) 445/tcp open netbios-ssn Samba smbd 3.X (workgroup: ALDEA) 631/tcp open ipp CUPS 1.2 670/tcp open unknown Tengo muchos puertos abiertos. Luego, si ejecuto un escaneador de puertos online, me detecta los puertos 23 y 80 abiertos, pero no sé como cerrarlos, puesto que no tengo apache ni ningún servidor web conectado. ¿Es mi configuración actual segura? ¿Qué tengo que hacer para filtrar esos puertos y dejar el sistema más seguro? Estos puertos son los básicos de una instalación que tenga Samba, CUPS y Exim. Seguramente (o casi seguramente) no necesitarás Exim, así que lo podés sacar de tu sistema (creo que al intentar esto te contesta el sistema que lo sustituirá por un cliente smtp más liviano). Bueno... si el shorewall está levantado y funcionando, no te preocupes, o mejor dicho, te preocupes menos. Iptables estará haciendo su trabajo y no deberías tener problemas. Shorewall solo lo conozco de nombre. En casa terminé haciendo el firewall a mano con las reglas que me parecieron conveniente y está funcionando bien. :) Enfin, para resumir... si las reglas de Iptables (ejecutando iptables -L) te muestra lo que configuraste con Shorewall, entonces listo. Es cuestión de estar un poco atento y disfrutar de tu conexión. Saludos. -- Miguel Da Silva Administrador de Red Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Configurar shorewall para un portátil: No cierra puertos
Hola: Una preguntilla: ¿Donde guarda shorewall los logs? ¿Hay algún front-end que te muestre los avisos en el escritorio? Solo encuentro shorewall-init.log en /var/log, pero solo muestra el inicio del cortafuegos, no los mensajes de el. Por otra parte, aunque esta regla DROP fw $FW tcp 111 por ejemplo es la que funciona, ¿qué quiere decir? Porque yo la he puesto por descarte, porque en realidad no entiendo muy bien su significado. Entiendo cortar del firewall al firewall, y no la veo muy lógica. ¿Cómo se escribiría una regla que me cortase el acceso a un puerto desde fuera de la máquina pero no lo cortase accediendo desde la misma máquina. Por ejemplo, que yo me pudiese conectar a cups con localhost:631 pero alguien de mi red no. En cuanto a Exim, es curioso, pero no lo tengo instalado, ¿porqué me aparecera? Estos puertos son los básicos de una instalación que tenga Samba, CUPS y Exim. Seguramente (o casi seguramente) no necesitarás Exim, así que lo podés sacar de tu sistema (creo que al intentar esto te contesta el sistema que lo sustituirá por un cliente smtp más liviano). Bueno... si el shorewall está levantado y funcionando, no te preocupes, o mejor dicho, te preocupes menos. Iptables estará haciendo su trabajo y no deberías tener problemas. Shorewall solo lo conozco de nombre. En casa terminé haciendo el firewall a mano con las reglas que me parecieron conveniente y está funcionando bien. :) Enfin, para resumir... si las reglas de Iptables (ejecutando iptables -L) te muestra lo que configuraste con Shorewall, entonces listo. Es cuestión de estar un poco atento y disfrutar de tu conexión. Saludos. -- Miguel Da Silva Administrador de Red Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Saludos, Pedro
Problemas con shorewall
Algo va mal ¿Alguien save en que me estoy equivocando? Antes tenia esta configuración: internet---fw---maquina con nat-pc quiero que el fw (un debian) haga las funciones del nat y quitar la maquina intermedia por lo que queda internet---fw-Pc con dirección no cambiada (10...) -PC con dirección cambiada (172...) Antes con iptables ponia la orden: -A PREROUTING -s 10.250.239.240 -d 10.104.25.10 -i eth0 -j DNAT --to-destination 172.21.18.1 y funcionaba ahora añado el rango de direcciones origen ( 10.104.24.0/255.255.255.0) [http://10.104.24/]al fichero host autorizo en el fichero rules el acceso de esa zona a la zona interna (he probado a darle acceso a todas las zonas incluido el fw) En el fichero de nat creo la entrada: 10.104.25.10eth1:24 172.21.18.1 yes yes y en el de masquerade: eth0172.21.0.0/16 eth1172.21.0.0/16 pero no funciona si lanzo un trace desde fuera se queda parado en el fw si lanzo un ping desde fuera no responde ¿alguna idea?
Re: Problemas con shorewall
On Wed, 11 Jul 2007 14:59:34 +0200 trujo [EMAIL PROTECTED] wrote: Algo va mal ¿Alguien save en que me estoy equivocando? Antes tenia esta configuración: internet---fw---maquina con nat-pc quiero que el fw (un debian) haga las funciones del nat y quitar la maquina intermedia por lo que queda internet---fw-Pc con dirección no cambiada (10...) -PC con dirección cambiada (172...) Antes con iptables ponia la orden: -A PREROUTING -s 10.250.239.240 -d 10.104.25.10 -i eth0 -j DNAT --to-destination 172.21.18.1 y funcionaba ahora añado el rango de direcciones origen ( 10.104.24.0/255.255.255.0) [http://10.104.24/]al fichero host autorizo en el fichero rules el acceso de esa zona a la zona interna (he probado a darle acceso a todas las zonas incluido el fw) En el fichero de nat creo la entrada: 10.104.25.10eth1:24 172.21.18.1 yes yes y en el de masquerade: eth0172.21.0.0/16 eth1172.21.0.0/16 pero no funciona si lanzo un trace desde fuera se queda parado en el fw si lanzo un ping desde fuera no responde ¿alguna idea? y el [OT] osea... es shorewall.. ni siquiera es para OT -- ___ Felipe Tornvall N. http://www.linuxiso.cl
RE: RE: shorewall y webmin(mas datos)
-Mensaje original- De: news [mailto:[EMAIL PROTECTED] En nombre de hoock Enviado el: Martes, 20 de Junio de 2006 11:57 Para: debian-user-spanish@lists.debian.org Asunto: Re: RE: shorewall y webmin(mas datos) El Mon, 19 Jun 2006 03:01:15 -0400, Erik Hurtado Sepulveda (HE / ZAPTV) escribió: -Mensaje original- De: Erik Hurtado Sepulveda (HE / ZAPTV) [mailto:[EMAIL PROTECTED] Enviado el: Lunes, 19 de Junio de 2006 2:13 Para: debian-user-spanish@lists.debian.org Asunto: shorewall y webmin Hola lista Tengo un pequeño problema con el shorewall, tengo un equipo con 2 tarjetas de red Eth0(red local)(ip estatica) Eth1(conectada a un router adsl)(tomando direccion por DHCP) Ppp0(la dichosa pppoverethernet)(direccion por DHCP) Cuando estoy configurando el shorewall, le coloco zonas eth0(local) y ppp0(wan) Configuro los servicios y las politicas por defecto Servicios Puerto 80 htttpd Puerto 3269 ssh(no me gusta dejar el 22) Politicas Forward ACCEPT OUTPUT ACCEPT INPUT DROP Configurado el masquerading de eth0 a travez de ppp0 Y otra regla que me acepta cualquier cosa desde una ip fija para administracion Hago el shorewall check y no encuentra problemas Hago shorewall start y Failed to start firewall : Loading /usr/share/shorewall/functions... Processing /etc/shorewall/shorewall.conf... Loading Modules... Starting Shorewall... Initializing... .. Podrías poner el archivo de zones y el de rules para echar un vistazo? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] Gracias por la preocupacion, finalmente, como no tendre que hacer cambios en forma muy seguida, me decante por crear el script de iptables yo mismo. De todas maneras luego vere como agregarlo al init, para no tener que correrlo a mano cada vez que reinicio.
Re: shorewall y webmin(mas datos)
Gracias por la preocupacion, finalmente, como no tendre que hacer cambios en forma muy seguida, me decante por crear el script de iptables yo mismo. De todas maneras luego vere como agregarlo al init, para no tener que correrlo a mano cada vez que reinicio. Sobre como lanzar iptables al inicio, disponer de un script de parada e inicio (start / stop), etc: http://www.guimi.net/index.php?pag_id=tec-docs/recetas/iptables.html Saludos Güimi http://guimi.net -- Por el bien de todos respetemos las normas de la lista: http://wiki.debian.org/NormasLista -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: RE: shorewall y webmin(mas datos)
El Mon, 19 Jun 2006 03:01:15 -0400, Erik Hurtado Sepulveda (HE / ZAPTV) escribió: -Mensaje original- De: Erik Hurtado Sepulveda (HE / ZAPTV) [mailto:[EMAIL PROTECTED] Enviado el: Lunes, 19 de Junio de 2006 2:13 Para: debian-user-spanish@lists.debian.org Asunto: shorewall y webmin Hola lista Tengo un pequeño problema con el shorewall, tengo un equipo con 2 tarjetas de red Eth0(red local)(ip estatica) Eth1(conectada a un router adsl)(tomando direccion por DHCP) Ppp0(la dichosa pppoverethernet)(direccion por DHCP) Cuando estoy configurando el shorewall, le coloco zonas eth0(local) y ppp0(wan) Configuro los servicios y las politicas por defecto Servicios Puerto 80 htttpd Puerto 3269 ssh(no me gusta dejar el 22) Politicas Forward ACCEPT OUTPUTACCEPT INPUT DROP Configurado el masquerading de eth0 a travez de ppp0 Y otra regla que me acepta cualquier cosa desde una ip fija para administracion Hago el shorewall check y no encuentra problemas Hago shorewall start y Failed to start firewall : Loading /usr/share/shorewall/functions... Processing /etc/shorewall/shorewall.conf... Loading Modules... Starting Shorewall... Initializing... .. Podrías poner el archivo de zones y el de rules para echar un vistazo? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
shorewall y webmin
Hola lista Tengo un pequeño problema con el shorewall, tengo un equipo con 2 tarjetas de red Eth0(red local)(ip estatica) Eth1(conectada a un router adsl)(tomando direccion por DHCP) Ppp0(la dichosa pppoverethernet)(direccion por DHCP) Cuando estoy configurando el shorewall, le coloco zonas eth0(local) y ppp0(wan) Configuro los servicios y las politicas por defecto Servicios Puerto 80 htttpd Puerto 3269 ssh(no me gusta dejar el 22) Politicas Forward ACCEPT OUTPUT ACCEPT INPUT DROP Configurado el masquerading de eth0 a travez de ppp0 Y otra regla que me acepta cualquier cosa desde una ip fija para administracion Hago el shorewall check y no encuentra problemas Hago shorewall start y Failed to start firewall : Loading /usr/share/shorewall/functions... Processing /etc/shorewall/shorewall.conf... Loading Modules... Starting Shorewall... Initializing... .. .. Activating Rules... Error: No appropriate chain for zone fw to zone eth0 Eso seria no se ve ninguna otra cosa significativa en los logs Agradesco sus respuestas Atte EHS
RE: shorewall y webmin(mas datos)
-Mensaje original- De: Erik Hurtado Sepulveda (HE / ZAPTV) [mailto:[EMAIL PROTECTED] Enviado el: Lunes, 19 de Junio de 2006 2:13 Para: debian-user-spanish@lists.debian.org Asunto: shorewall y webmin Hola lista Tengo un pequeño problema con el shorewall, tengo un equipo con 2 tarjetas de red Eth0(red local)(ip estatica) Eth1(conectada a un router adsl)(tomando direccion por DHCP) Ppp0(la dichosa pppoverethernet)(direccion por DHCP) Cuando estoy configurando el shorewall, le coloco zonas eth0(local) y ppp0(wan) Configuro los servicios y las politicas por defecto Servicios Puerto 80 htttpd Puerto 3269 ssh(no me gusta dejar el 22) Politicas Forward ACCEPT OUTPUT ACCEPT INPUT DROP Configurado el masquerading de eth0 a travez de ppp0 Y otra regla que me acepta cualquier cosa desde una ip fija para administracion Hago el shorewall check y no encuentra problemas Hago shorewall start y Failed to start firewall : Loading /usr/share/shorewall/functions... Processing /etc/shorewall/shorewall.conf... Loading Modules... Starting Shorewall... Initializing... .. .. Activating Rules... Error: No appropriate chain for zone fw to zone eth0 Eso seria no se ve ninguna otra cosa significativa en los logs Agradesco sus respuestas Atte EHS Con el debug de shorewall encontre esto no se si les pueda ayudar ++ eval 'chain=$fw2eth0_policychain' +++ chain= ++ '[' -n '' ']' ++ fatal_error 'No appropriate chain for zone fw to zone eth0' ++ echo ' Error: No appropriate chain for zone fw to zone eth0' Error: No appropriate chain for zone fw to zone eth0 ++ '[' start = check ']' ++ stop_firewall ++ '[' -n /var/lib/shorewall/shorewall.3zbN0b ']' ++ rm -f /var/lib/shorewall/shorewall.3zbN0b ++ set +x
Re: Linux Bridge + Shorewall segmentos de red en una misma LAN
El Martes, 6 de Junio de 2006 01:29, German Jimenez Leal escribió: Hola como estan espero que bien, saben es la primera vez que les doy guerra espero no complicarlos..! Hola, permíteme un consejo: Si quieres obtener más y mejores respuestas no escribas los correos en HTML, utiliza exclusivamente texto plano. Tienes las normas de la lista aquí: http://wiki.debian.org/NormasLista Saludos. -- Por el bien de todos respetemos las normas de la lista: http://wiki.debian.org/NormasLista
Linux Bridge + Shorewall segmentos de red en una misma LAN
Title: Linux Bridge + Shorewall segmentos de red en una misma LAN Hola como estan espero que bien, saben es la primera vez que les doy guerra espero no complicarlos..! Saben tengo un Puente con firewall shorewall, le asigne una direaccion ip + su mascara + gateway al puente (vdpf0) como tal eth0 conecta via crosover al Router Cisco Y eth1 conecta a la LAN. De modo grafico pienso que quedaria de esta manera: |SEGMENTOS DE RED CON SWITCH´S 3COM 1GB. Internet---Router-- | Bridge/Firewall |--LAN---|192.168.64.0/24 Cisco -| shorewall |-- |192.168.65.0/24 | || |192.168.66.0/24 | eth0-vdpf0--eth1 | | | | |-IP:192.168.64.253/MASK:255.255.255.0/GaTeway:192.168.64.250 IP LAN:201.147.196.225 | IP LAN SECUNDARIAS: | 192.168.64.250 |--El provedor no configuro el router con la IP LAN 201.147.196.225 para que hiciera NAT con las IP´S secundarias para 192.168.65.250 |los segmentos se comuniquen. Asi estas Direcciones IP son las puertas de enlace para cada PC en cada segmento de red. 192.168.66.250 | Al conectar al Router cisco los segmentos 65 y 66 ya no navegan no pueden accesar a ninguna aplicación ubicadas en el segmento 64 ni en Novell ni Internet. Al dar un traceroute a la IP:192.168.65.100 (WKSWinXP) solo llega al RouterCisco con la IP:201.147.196.225 y de hay ya no pasa! Mis archivos de configuracion son los siguientes: Ifcfg-eth0 DEVICE=eth0 TYPE=Ethernet BRIDGE=vdpf0 > BOOTPROTO=static Ifcfg-eth1 DEVICE=eth1 TYPE=ETHER BRIDGE=vdpf0 > BOOTPROTO=static Ifcfg-vdpf0 DEVICE=vdpf0 TYPE=Bridge IPADDR=192.168.64.253 NETMASK=255.255.255.0 GATEWAY=192.168.64.250 > STP=no _*My scripts Shorewall:*_** HOSTS: #ZONE HOST(S) OPTIONS net vdpf0:eth0 loc vdpf0:eth1 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS LINE -- DO NOT REMOVE INTERFACES: #ZONE INTERFACE BROADCAST OPTIONS - vdpf0 192.168.64.255 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE MASQ #INTERFACE SUBNET ADDRESS PROTO PORT(S) IPSEC #LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE eth0 vdpf0 ROUTESTOPED #INTERFACE HOST(S) OPTIONS vdpf0 - routeback #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE ZONE: #ZONE TYPE OPTIONS IN OUT # OPTIONS OPTIONS fw firewall net ipv4 loc ipv4 #LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE RULES #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER//etc/shorewall/zones # PORT PORT(S) DEST #LIMIT GROUP #SECTION ESTABLISHED #SECTION RELATED #SECTION NEW #ACTION SOURCE DEST PROTO DEST # PORT ACCEPT net fw TCP 20,21,22,25,80,110,143,443,995,465 ACCEPT loc net TCP 20,21,22,25,80,110,143,443,995,465 ACCEPT loc net UDP 20,21,22,25,80,110,143,443,995,465 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE Bien como sabes el Router de Cisco esta conectado vía un cable cruzado a la tarjeta eth0 y otra que conecta a la red local que es eth1. Bien ahora que el firewall esta corriendo no hace en teoria lo que quiero, que es dejar que todas las redes se vean, que puedan accesar a internet y enviar y recibir correo(algunas PC) y que puedan ejecutar aplicaciones administrativas. Las aplicaciones administrativas estan en el segmento: 192.168.64.0 y El router cisco hace NAT con la ip publica:201.147.196.225 a las ip´s internas para que los segmentos se puedan ver: 192.168.64.250 192.168.65.250 192.168.66.250 De antemano te agradezco!
Re: Consulta sobre mi bridge con shorewall...! Por favor..!
El lun, 08-05-2006 a las 10:24 -0500, German Jimenez Leal escribió: Hola buenos dias, mi nombre es German Jimenez Leal soy de México. Espero te encuentres bien en salud…! Sabes mi intención es ver si me puedes ayudar con mi Bridge +Firewall(shorewall). Instale y configure mi bridge como sigue: Cree mi Bridge llamado: vdpf0 a este le asigne una IP, Netmask, gateway. Las tarjetas eth0 y eth1 entran en modo promiscuo y pierden sus ips osea no tienen IP asignada. Deje corriendo mi puente por unos dos meses y todo bien. Instalo Shorewall y creo las zonas, politicas, hosts, rules. Finalmente: service shorewall restart y me manda un error de FALLO. El resultado es el siguiente: [EMAIL PROTECTED] network-scripts]# service network reload Interrupción de la interfaz eth0: [ OK ] Interrupción de la interfaz eth1: [ OK ] Interrupción de la interfaz vdpf0: [ OK ] Interrupción de la interfaz de loopback: [ OK ] Deshabilitando el reenvio de paquetes IPv4:[ OK ] Configurando parámetros de red:[ OK ] Activación de la interfaz de loopback: [ OK ] Activando interfaz vdpf0: [ OK ] Activando interfaz eth0: [ OK ] Activando interfaz eth1: [ OK ] [EMAIL PROTECTED] network-scripts]# tail -80 /var/log/messages May 7 16:02:22 localhost shorewall: ..End Macro May 7 16:02:22 localhost shorewall: Processing /etc/shorewall/policy... May 7 16:02:22 localhost shorewall:Policy DROP for net to fw using chain net2all May 7 16:02:22 localhost shorewall:Policy ACCEPT for loc to net using chain loc2net May 7 16:02:22 localhost shorewall: Masqueraded Networks and Hosts: May 7 16:02:22 localhost shorewall: Processing /etc/shorewall/tos... May 7 16:02:22 localhost shorewall: Processing /etc/shorewall/ecn... May 7 16:02:22 localhost shorewall: Setting up Traffic Control Rules... May 7 16:02:22 localhost shorewall: Validating /etc/shorewall/tcdevices... May 7 16:02:22 localhost shorewall: Validating /etc/shorewall/tcclasses... May 7 16:02:22 localhost shorewall: Activating Rules... May 7 16:02:22 localhost shorewall: iptables v1.2.11: host/network `eth0' not found May 7 16:02:22 localhost shorewall: Try `iptables -h' or 'iptables --help' for more information. May 7 16:02:22 localhost shorewall:ERROR: Command /sbin/iptables -A OUTPUT -o vdpf0 -d eth0 -j all2all Failed May 7 16:02:22 localhost shorewall: Processing /etc/shorewall/stop ... May 7 16:02:22 localhost shorewall: IP Forwarding Enabled May 7 16:02:22 localhost shorewall: Processing /etc/shorewall/stopped ... May 7 16:02:22 localhost root: Shorewall Stopped May 7 16:02:22 localhost shorewall: Iniciación de shorewall failed May 7 16:45:27 localhost kernel: usb 1-6: new high speed USB device using address 10 May 7 16:45:27 localhost kernel: scsi8 : SCSI emulation for USB Mass Storage devices May 7 16:45:27 localhost kernel: Vendor: JetFlash Model: TS256MJF2BRev: 2.00 May 7 16:45:27 localhost kernel: Type: Direct-Access ANSI SCSI revision: 02 May 7 16:45:27 localhost kernel: sda: Unit Not Ready, sense: May 7 16:45:27 localhost kernel: Current : sense key Unit Attention May 7 16:45:27 localhost kernel: Additional sense: Not ready to ready change, medium may have changed May 7 16:45:27 localhost kernel: sda : READ CAPACITY failed. May 7 16:45:27 localhost kernel: sda : status=1, message=00, host=0, driver=08 May 7 16:45:27 localhost kernel: Current sd: sense key Unit Attention May 7 16:45:27 localhost kernel: Additional sense: Not ready to ready change, medium may have changed May 7 16:45:27 localhost kernel: sda: Write Protect is off May 7 16:45:27 localhost kernel: sda: assuming drive cache: write through May 7 16:45:27 localhost kernel: SCSI device sda: 512000 512-byte hdwr sectors (262 MB) May 7 16:45:27 localhost kernel: sda: Write Protect is off May 7 16:45:27 localhost kernel: sda: assuming drive cache: write through May 7 16:45:27 localhost kernel: sda: unknown partition table May 7 16:45:27 localhost kernel: Attached scsi removable disk sda at scsi8, channel 0, id 0, lun 0 May 7 16:45:27 localhost scsi.agent[14389]: disk at /devices/pci:00/:00:1d.7/usb1/1-6/1-6:1.0/host8/target8:0:0/8:0:0:0 May 7 16:45:29 localhost hald[4328]: Timed out waiting for hotplug event 395. Rebasing to 396 May 7 16:45:37 localhost fstab-sync[14459]: added mount point /media/usbdisk1 for /dev/sda May 7 16:45:37 localhost kernel: FAT: utf8 is not a recommended IO charset for FAT filesystems, filesystem will be case sensitive! May 7 16:45:44 localhost kernel: vdpf0: port 1(eth0) entering disabled state
RE: OT Consulta sobre mi bridge con shorewall...! Por favor..!
El lun, 08-05-2006 a las 14:26 -0500, German Jimenez Leal escribió: [EMAIL PROTECTED] shorewall]# shorewall check Loading /usr/share/shorewall/functions... Processing /etc/shorewall/params ... Processing /etc/shorewall/shorewall.conf... Loading Modules... Shorewall has detected the following iptables/netfilter capabilities: NAT: Available Packet Mangling: Available Multi-port Match: Available Extended Multi-port Match: Not available Connection Tracking Match: Available Packet Type Match: Available Policy Match: Not available Physdev Match: Available IP range Match: Available Recent Match: Available Owner Match: Available Ipset Match: Not available CONNMARK Target: Not available Connmark Match: Not available Raw Table: Available CLASSIFY Target: Available Verifying Configuration... Determining Zones... IPv4_Zones: net loc Firewall Zone: fw Setting up IPSEC... Validating interfaces file... Validating hosts file... Determining Hosts in Zones... net Zone: vdpf0:eth0 loc Zone: vdpf0:eth1 Validating policy file... Policy for loc to net is ACCEPT using chain loc2net Policy for net to loc is DROP using chain net2all Policy for net to fw is DROP using chain net2all Policy for loc to fw is REJECT using chain all2all Policy for fw to net is REJECT using chain all2all Policy for fw to loc is REJECT using chain all2all Checking Black List... Validating Proxy ARP Validating NAT... Pre-validating Actions... Pre-processing /usr/share/shorewall/action.Drop... ..Expanding Macro /usr/share/shorewall/macro.Auth... ..End Macro ..Expanding Macro /usr/share/shorewall/macro.AllowICMPs... ..End Macro ..Expanding Macro /usr/share/shorewall/macro.SMB... ..End Macro ..Expanding Macro /usr/share/shorewall/macro.DropUPnP... ..End Macro ..Expanding Macro /usr/share/shorewall/macro.DropDNSrep... ..End Macro Pre-processing /usr/share/shorewall/action.Reject... Pre-processing /usr/share/shorewall/action.Limit... Validating rules file... Rule ACCEPT net fw TCP 20,21,22,25,80,110,143,443,995,465 checked. Rule ACCEPT loc net TCP 20,21,22,25,80,110,143,443,995,465 checked. Rule ACCEPT loc net UDP 20,21,22,25,80,110,143,443,995,465 checked. Validating Actions... Generating Transitive Closure of Used-action List... Processing /usr/share/shorewall/action.Drop for Chain Drop... ..Expanding Macro /usr/share/shorewall/macro.Auth... Rule REJECT - - tcp 113 - - checked. ..End Macro Rule dropBcastchecked. ..Expanding Macro /usr/share/shorewall/macro.AllowICMPs... Rule ACCEPT - - icmp fragmentation-needed - - checked. Rule ACCEPT - - icmp time-exceeded - - checked. ..End Macro Rule dropInvalidchecked. ..Expanding Macro /usr/share/shorewall/macro.SMB... Rule DROP - - udp 135,445 - - checked. Rule DROP - - udp 137:139 - - checked. Rule DROP - - udp 1024: 137 - checked. Rule DROP - - tcp 135,139,445 - - checked. ..End Macro ..Expanding Macro /usr/share/shorewall/macro.DropUPnP... Rule DROP - - udp 1900 - - checked. ..End Macro Rule dropNotSyn - - tcp checked. ..Expanding Macro /usr/share/shorewall/macro.DropDNSrep... Rule DROP - - udp - 53 - checked. ..End Macro Processing /usr/share/shorewall/action.Reject for Chain Reject... ..Expanding Macro /usr/share/shorewall/macro.Auth... Rule REJECT - - tcp 113 - - checked. ..End Macro Rule dropBcastchecked. ..Expanding Macro /usr/share/shorewall/macro.AllowICMPs... Rule ACCEPT - - icmp fragmentation-needed - - checked. Rule ACCEPT - - icmp time-exceeded - - checked. ..End Macro Rule dropInvalidchecked. ..Expanding Macro /usr/share/shorewall/macro.SMB... Rule REJECT - - udp 135,445 - - checked. Rule REJECT - - udp 137:139 - - checked. Rule REJECT - - udp 1024: 137 - checked. Rule REJECT - - tcp 135,139,445 - - checked. ..End Macro ..Expanding Macro /usr/share/shorewall/macro.DropUPnP... Rule DROP - - udp 1900 - - checked. ..End Macro Rule dropNotSyn - - tcp checked. ..Expanding Macro /usr/share/shorewall/macro.DropDNSrep... Rule DROP - - udp - 53 - checked. ..End Macro Masqueraded Networks and Hosts: ERROR: Unknown interface eth0 [EMAIL PROTECTED] shorewall]# parece que el error esta que como masquerade pusiste eth0 y la unica interfaz que tienes es vdpf0, podrías probar vdpf0:eth0 o algo del tipo vdpf0:0.0.0.0/0
Re: RV: OT Consulta sobre mi bridge con shorewall...! Por favor..!
El lun, 08-05-2006 a las 16:45 -0500, German Jimenez Leal escribió: --- Mira aqui por fas: May 8 15:50:58 localhost shorewall: Masqueraded Networks and Hosts: May 8 15:50:58 localhost shorewall:To 0.0.0.0/0 (all) from 0.0.0.0/0 throug h vdpf0 May 8 15:50:58 localhost shorewall: Processing /etc/shorewall/tos... May 8 15:50:58 localhost shorewall: Processing /etc/shorewall/ecn... May 8 15:50:58 localhost shorewall: Setting up Traffic Control Rules... May 8 15:50:58 localhost shorewall: Validating /etc/shorewall/tcdevices... May 8 15:50:58 localhost shorewall: Validating /etc/shorewall/tcclasses... May 8 15:50:58 localhost shorewall: Activating Rules... May 8 15:50:58 localhost shorewall: iptables v1.2.11: host/network `eth0' not f ound May 8 15:50:58 localhost shorewall: Try `iptables -h' or 'iptables --help' for more information. May 8 15:50:58 localhost shorewall:ERROR: Command /sbin/iptables -A OUTPUT -o vdpf0 -d eth0 -j all2all Failed May 8 15:50:58 localhost shorewall: Processing /etc/shorewall/stop ... May 8 15:50:58 localhost shorewall: IP Forwarding Enabled May 8 15:50:58 localhost shorewall: Processing /etc/shorewall/stopped ... May 8 15:50:58 localhost root: Shorewall Stopped May 8 15:50:58 localhost shorewall: Iniciación de shorewall failed - Al final corri el mandato que me dijiste: [EMAIL PROTECTED] shorewall]# shorewall check Loading /usr/share/shorewall/functions... Processing /etc/shorewall/params ... Processing /etc/shorewall/shorewall.conf... Loading Modules... Shorewall has detected the following iptables/netfilter capabilities: NAT: Available Packet Mangling: Available Multi-port Match: Available Extended Multi-port Match: Not available Connection Tracking Match: Available Packet Type Match: Available Policy Match: Not available Physdev Match: Available IP range Match: Available Recent Match: Available Owner Match: Available Ipset Match: Not available CONNMARK Target: Not available Connmark Match: Not available Raw Table: Available CLASSIFY Target: Available Verifying Configuration... Determining Zones... IPv4_Zones: net loc Firewall Zone: fw Setting up IPSEC... Validating interfaces file... Validating hosts file... Determining Hosts in Zones... net Zone: vdpf0:eth0 loc Zone: vdpf0:eth1 Validating policy file... Policy for loc to net is ACCEPT using chain loc2net Policy for net to loc is DROP using chain net2all Policy for net to fw is DROP using chain net2all Policy for loc to fw is REJECT using chain all2all Policy for fw to net is REJECT using chain all2all Policy for fw to loc is REJECT using chain all2all Checking Black List... Validating Proxy ARP Validating NAT... Pre-validating Actions... Pre-processing /usr/share/shorewall/action.Drop... ..Expanding Macro /usr/share/shorewall/macro.Auth... ..End Macro ..Expanding Macro /usr/share/shorewall/macro.AllowICMPs... ..End Macro ..Expanding Macro /usr/share/shorewall/macro.SMB... ..End Macro ..Expanding Macro /usr/share/shorewall/macro.DropUPnP... ..End Macro ..Expanding Macro /usr/share/shorewall/macro.DropDNSrep... ..End Macro Pre-processing /usr/share/shorewall/action.Reject... Pre-processing /usr/share/shorewall/action.Limit... Validating rules file... Rule ACCEPT net fw TCP 20,21,22,25,80,110,143,443,995,465 checked. Rule ACCEPT loc net TCP 20,21,22,25,80,110,143,443,995,465 checked. Rule ACCEPT loc net UDP 20,21,22,25,80,110,143,443,995,465 checked. Validating Actions... Generating Transitive Closure of Used-action List... Processing /usr/share/shorewall/action.Drop for Chain Drop... ..Expanding Macro /usr/share/shorewall/macro.Auth... Rule REJECT - - tcp 113 - - checked. ..End Macro Rule dropBcastchecked. ..Expanding Macro /usr/share/shorewall/macro.AllowICMPs... Rule ACCEPT - - icmp fragmentation-needed - - checked. Rule ACCEPT - - icmp time-exceeded - - checked. ..End Macro Rule dropInvalidchecked. ..Expanding Macro /usr/share/shorewall/macro.SMB... Rule DROP - - udp 135,445 - - checked. Rule DROP - - udp 137:139 - - checked. Rule DROP - - udp 1024: 137 - checked. Rule DROP - - tcp 135,139,445 - - checked. ..End Macro ..Expanding Macro /usr/share/shorewall/macro.DropUPnP... Rule DROP - - udp 1900 - - checked. ..End Macro Rule dropNotSyn - - tcp checked. ..Expanding Macro /usr/share/shorewall/macro.DropDNSrep... Rule DROP - - udp - 53 - checked. ..End Macro Processing /usr/share/shorewall/action.Reject for Chain Reject
Re: RE: shorewall - personal o profesional?
sabes de computacion? comunicate conmigo, quiero publicar mi tesis en educ. especial pero solo se graba en msn. que hago? posdata...nos llamamos igual por eso te molesto
Re: firewall shorewall
es por eso que he preferido comenzar usando mejor iptables y saber una por una que hace cada cadena y quisiera iniciar con algun script para comenzarlo a estudiar, Habrá la posibilidad de que alquien me preste uno? ejemplos puedes encontrar en http://www.securityfocus.com/infocus/unix?topic=fwrules Aunque aquí puedes encontrar más información http://www.securityfocus.com/firewalls
firewall shorewall
Hola lista, Desde hace algun tiempo he querido montar un firewall en mi servidor, he experimentado con shorewall, pero hasta ahora no lo he podido configurara correctamente a pesar de tener una buena documentación, sinceramente me he dado por vencido, a veces me deja la red en un estado inutilizable, no respeta nada de las configuraciones que he especificado, bueeno, la verdad es que me parece innecesario seguirle hechando cabeza, es por eso que he preferido comenzar usando mejor iptables y saber una por una que hace cada cadena y quisiera iniciar con algun script para comenzarlo a estudiar, Habrá la posibilidad de que alquien me preste uno? gracias de antemano. Patricio -- patoVala Linux User#280504 Casi no quedan manchas blancas en el planeta. Los territorios inexplorados ya sólo quedan bajo la tapa de los sesos. -- Hans Reimann. (1889-1969) Escritor alemán.
firewall rules del shorewall
salu2 colisteros 1º decir que soy nuevo en iptables, puse shorewall para ayudarme y como encima soy mas vago lo uso con el modulo del webmin :)) hay introduje esta regla en el portatil (no hace nat ni nada de eso) Action Source Destination ProtocolSource portsDestination ports ACCEPT Zone locZone netTCP Any 80 os pongo las policies qu tengo dispuestas: Source zone Destination zonePolicy Syslog levelTraffic limit Move loc net ACCEPT NoneNone net Any DROPinfoNone Any Any REJECT infoNone le arranco, y el mozilla me dice que no probe con source port 80 destination Any y tampoco por si me estaba liando la sintaxis... pero el problema parece ser otro, alguien que me ayude plis otra cosa mas solo configurando el shorewall puedes habilitar NAT??? que modo mas facil de hacerlo no??? o me estoy perdiendo en algo??? .-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.- Sergio Alegre -z N4 4r34N z- Administrador Sistemas (Grupo Prigo) [EMAIL PROTECTED] PGP Key ID: 4F13C10230729611 Nodo 05 Burgoswireless.net )( Linux User # 310219 GuSLiBu la información quiere ser libre .-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.- In the beginning, Na Arean sat alone like a cloud floating in nothingness. He didn't sleep, for there was no sleep. He wasn't hungry, since hunger had not been created. So he remained for a long time, until a thought came into his mind. He said to himself, I will make a thing. .-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.
shorewall
Hola lista. Mi pregunta es muy simple, lo que pasa es que no caigo en qué parámetro tengo que tocar... Tengo un firewall debian con shorewall instalado con 2 interfaces: eth0 y eth1. eth0: conectado a lan (hub)con ip 192.0.2.1 eth1: conectado al router directamente con ip: 192.168.1.5 router: ip 192.168.1.1. todo funciona correctamente, pero se produce una situación que no me gusta: - cuando hago telnet 192.168.1.1 desde qualguier ordenador de la red interna, funciona, y puedo acceder al router. Alguien sabe porqué? es normal? Gracias. Jaume Ponsa
Re: shorewall
jaume wrote: Hola lista. Mi pregunta es muy simple, lo que pasa es que no caigo en qué parámetro tengo que tocar... Tengo un firewall debian con shorewall instalado con 2 interfaces: eth0 y eth1. eth0: conectado a lan (hub) con ip 192.0.2.1 eth1: conectado al router directamente con ip: 192.168.1.5 router: ip 192.168.1.1. todo funciona correctamente, pero se produce una situación que no me gusta: - cuando hago telnet 192.168.1.1 desde qualguier ordenador de la red interna, funciona, y puedo acceder al router. Alguien sabe porqué? es normal? Gracias. Jaume Ponsa Te deberías explicar un poco mejor. Supongo que tendrás configurado para que todas las máquinas puedan acceder al router, ¿no? En ese caso, si no tienes una regla en el firewall debian o en el router que lo impida es normal lo que dices. -- Bernardo
shorewall
Tengo una regla que deja pasar todo lo local hacia internet, pero no deberia afectar y hacer lo que me pasa... jaume wrote: Hola lista. Mi pregunta es muy simple, lo que pasa es que no caigo en qué parámetro tengo que tocar... Tengo un firewall debian con shorewall instalado con 2 interfaces: eth0 y eth1. eth0: conectado a lan (hub) con ip 192.0.2.1 eth1: conectado al router directamente con ip: 192.168.1.5 router: ip 192.168.1.1. todo funciona correctamente, pero se produce una situación que no me gusta: - cuando hago telnet 192.168.1.1 desde qualguier ordenador de la red interna, funciona, y puedo acceder al router. Alguien sabe porqué? es normal? Gracias. Jaume Ponsa Te deberías explicar un poco mejor. Supongo que tendrás configurado para que todas las máquinas puedan acceder al router, ¿no? En ese caso, si no tienes una regla en el firewall debian o en el router que lo impida es normal lo que dices. -- Bernardo -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
re: shorewall
Hola! Vamos a ver. Si lo que quieres es que desde la red interna no puedas acceder al router a traves de telnet lo que tienes que hacer es poner una regla que tire esos paquetes por el puerto 23. En contraposicion a lo que dices, lo que tienes puesto es una politica del estilo: ACCEPT loc net all Con esto lo que le estas diciendo es que cualquier conexion que vaya direccion la interfaz eth1 con origen en eth0 la deje pasar. Dentro de este rango se encuentran las peticiones al puerto 23. Tendras que poner en las reglas(no en las politicas) algo del estilo: DROP loc net 23 De esta manera cerraras el puerto a conexiones telnet desde la red interna. Un saludo -Mensaje original- De: jaume [mailto:[EMAIL PROTECTED] Enviado el: lunes, 02 de junio de 2003 13:35 Para: debian-user-spanish@lists.debian.org CC: debian-user-spanish@lists.debian.org Asunto: shorewall Tengo una regla que deja pasar todo lo local hacia internet, pero no deberia afectar y hacer lo que me pasa... jaume wrote: Hola lista. Mi pregunta es muy simple, lo que pasa es que no caigo en qué parámetro tengo que tocar... Tengo un firewall debian con shorewall instalado con 2 interfaces: eth0 y eth1. eth0: conectado a lan (hub) con ip 192.0.2.1 eth1: conectado al router directamente con ip: 192.168.1.5 router: ip 192.168.1.1. todo funciona correctamente, pero se produce una situación que no me gusta: - cuando hago telnet 192.168.1.1 desde qualguier ordenador de la red interna, funciona, y puedo acceder al router. Alguien sabe porqué? es normal? Gracias. Jaume Ponsa Te deberías explicar un poco mejor. Supongo que tendrás configurado para que todas las máquinas puedan acceder al router, ¿no? En ese caso, si no tienes una regla en el firewall debian o en el router que lo impida es normal lo que dices. -- Bernardo -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: shorewall
jaume wrote: Tengo una regla que deja pasar todo lo local hacia internet, pero no deberia afectar y hacer lo que me pasa... La configuración de un firewall no es trivial. Tendrás alguna política o regla que lo permite. Si vas a administrar el firewall conviene que mires bien los manuales para entender bien como funciona. Comprueba el control de tráfico que haces entre las 2 redes internas, algo se te habrá pasado por alto. -- Bernardo
Re: shorewall
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Podrías bloquear el acceso al puerto 20, pero lo mejor sería poner los canales INPUT y FORWARD en DROP y después empezar a habilitar los puertos a los que tienes acceso, eso es mejor aunque más tedioso. Saludos! nmag only _ jaume escribió:: Hola lista. Mi pregunta es muy simple, lo que pasa es que no caigo en qué parámetro tengo que tocar... Tengo un firewall debian con shorewall instalado con 2 interfaces: eth0 y eth1. eth0: conectado a lan (hub) con ip 192.0.2.1 eth1: conectado al router directamente con ip: 192.168.1.5 router: ip 192.168.1.1. todo funciona correctamente, pero se produce una situación que no me gusta: - cuando hago telnet 192.168.1.1 desde qualguier ordenador de la red interna, funciona, y puedo acceder al router. Alguien sabe porqué? es normal? Gracias. Jaume Ponsa - -- nmag only PERUGROUP [http://www.perugroup.com/] Soluciones Integrales en Sistemas Calle Mercaderes 224 - Of. 325 - Cercado - Arequipa - Perú Telefono: 511(054)200986Fax: 511(054)223830 gnupg keyID: 0x8F6F6E58 [http://pgp.mit.edu/] last update: 2003-05-21 fingerprint: FB75 3F34 7001 90B2 0DE6 45AC B89A E53B 8F6F 6E58 GNU/Linux Registered User #312624 -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.6 (GNU/Linux) Comment: Using GnuPG with Debian - http://enigmail.mozdev.org iD8DBQE+2yC5uJrlO49vblgRAtvhAJ0enSEWJzwXnvHlO6+89pi6Ym+drQCfR2/G ydZSifJnJvMSKiacjkKkg7E= =7cJL -END PGP SIGNATURE-
Re: shorewall
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Oops!, sorry era al puerto 23, de todas formas podrías poner una regla que sólo permita conexión al 192.168.1.1 al puerto 23 de forma local (es decir la maquina que tiene ip 192.168.1.5) Saludos! nmag only _ nmag only escribió:: Podrías bloquear el acceso al puerto 20, pero lo mejor sería poner los canales INPUT y FORWARD en DROP y después empezar a habilitar los puertos a los que tienes acceso, eso es mejor aunque más tedioso. Saludos! nmag only _ jaume escribió:: Hola lista. Mi pregunta es muy simple, lo que pasa es que no caigo en qué parámetro tengo que tocar... Tengo un firewall debian con shorewall instalado con 2 interfaces: eth0 y eth1. eth0: conectado a lan (hub) con ip 192.0.2.1 eth1: conectado al router directamente con ip: 192.168.1.5 router: ip 192.168.1.1. todo funciona correctamente, pero se produce una situación que no me gusta: - cuando hago telnet 192.168.1.1 desde qualguier ordenador de la red interna, funciona, y puedo acceder al router. Alguien sabe porqué? es normal? Gracias. Jaume Ponsa -- nmag only PERUGROUP [http://www.perugroup.com/] Soluciones Integrales en Sistemas Calle Mercaderes 224 - Of. 325 - Cercado - Arequipa - Perú Telefono: 511(054)200986Fax: 511(054)223830 gnupg keyID: 0x8F6F6E58 [http://pgp.mit.edu/] last update: 2003-05-21 fingerprint: FB75 3F34 7001 90B2 0DE6 45AC B89A E53B 8F6F 6E58 GNU/Linux Registered User #312624 - -- nmag only PERUGROUP [http://www.perugroup.com/] Soluciones Integrales en Sistemas Calle Mercaderes 224 - Of. 325 - Cercado - Arequipa - Perú Telefono: 511(054)200986Fax: 511(054)223830 gnupg keyID: 0x8F6F6E58 [http://pgp.mit.edu/] last update: 2003-05-21 fingerprint: FB75 3F34 7001 90B2 0DE6 45AC B89A E53B 8F6F 6E58 GNU/Linux Registered User #312624 -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.6 (GNU/Linux) Comment: Using GnuPG with Debian - http://enigmail.mozdev.org iD8DBQE+2yNQuJrlO49vblgRApXfAJ9Ywncepm7kSvHrtQQTGmPoLN7NzwCePypb 1H2SdjY2SSj4hxXfY/0ixkE= =l1B9 -END PGP SIGNATURE-
shorewall - personal o profesional?
Hola a todos. Alguien sabe qué nivel tiene shorewall, si sólamente es un firewall a nivel personal o por lo contrario es muy bueno y puede ser implementado tranquilamente a nivel profesional. Gracias. Jaume.
RE: shorewall - personal o profesional?
Hasta dónde yo sé, Shorewall no es un firewall en si mismo, se basa en iptables y lo que hace es proporcionarte un front-end desde dónde poder configurar con reglas legibles lo que quieres hacer con el iptables. Reglas del tipo WAN a LAN accept port 21, no son exactamente así pero para que te hagas a la idea de la sencillez. También puedes configurar a través de él las reglas de NAT. Sólo se ejecuta cuando inicias la máquina con objeto de traducir tus reglas al formato de las de iptables o sea que no lo busques corriendo con el ps. Si me equivoco que alguien me corrija porque yo lo uso a nivel profesional y no querría estar equivocado. Saludos. Gustavo Ruiz. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: shorewall - personal o profesional?
Gustavo Ruiz wrote: Hasta dónde yo sé, Shorewall no es un firewall en si mismo, se basa en iptables y lo que hace es proporcionarte un front-end desde dónde poder configurar con reglas legibles lo que quieres hacer con el iptables. Reglas del tipo WAN a LAN accept port 21, no son exactamente así pero para que te hagas a la idea de la sencillez. También puedes configurar a través de él las reglas de NAT. Sólo se ejecuta cuando inicias la máquina con objeto de traducir tus reglas al formato de las de iptables o sea que no lo busques corriendo con el ps. Si me equivoco que alguien me corrija porque yo lo uso a nivel profesional y no querría estar equivocado. Saludos. Gustavo Ruiz. Si no es un firewall, ¿cómo lo usas entonces? Porque la persona que ha preguntado primero a lo mejor está ahora confundido. Yo lo veo como un firewall completo con algunas funciones extra, hace uso de las facilidades del kernel, pero por eso no creo que deje de ser un firewall. Porque iptables no es un firewall. Contestando a la otra persona sobre si es suficientemente bueno para usarlo a nivel profesional, supongo que sí, mirando la documentación deberías saber si tiene todo lo que necesitas. Puedes compararlo también con las alternativas. -- Bernardo
shorewall - bueno??
Mi pregunta a la lista es: Es shorewall un firewall professional? o bien no lo recomendais a nivel de un servidor de hosting particular para una empresa? Parece que el proyecto es bueno, y tiene muy buena documentación. Estoy pensando en probarlo, pero tengo dudas, espero que alguien me ayude. ---Tiene tambien la implementación de las reglas de protección de iptables básicas?
Re: iptables, shorewall y DNAT
El dom, 15-12-2002 a las 20:59, Gustavo Ruiz escribió: Hola, a ver, estoy intentando hacer NAT para pasar el puerto 3389 del firewall a un servidor interior con una ip 192.168.1.201 Tal y como pone en los faqs y manuales del shorewall pongo la siguiente regla DNAT netloc:192.168.1.201tcp3389 cuando intento arrancar el shorewall me dice puedes usar una regla similar a esta. iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth1 \ -j DNAT --to 1.2.3.4:8080 Invalid target in rule DNATnet... ¿Qué (...) me pasa, si paro el fw accedo perfectamente al 3389? Por favor echadme una mano Gustavo.