Re: firewall iptables
Chechu . escribió: hey¡ Hola estoy intentando hacer un firewall para un servidor de una lan con una sola interfaz eth0, la poitica por defecto es denegar, y solo se quiere abrir el puerto 22 para ssh, he hecho el siguiente script No es un buen script para politica DROP pero no entiendo porque no funciona, No lo tomes a mal, pero creo que el problema es que no conoces como funciona el filtrado de paquetes. Creo sinceramente que la mejor ayuda que puedo darte es animarte a que leas un manual de iptables para entender como funciona. No las miles de reglas y cómo se crean, no necesitas convertirte en un guru, sino el funcionamiento general de iptables, qué se hace con los paquetes que le llegan. Encontrarás que la solución es sencilla una vez entiendes qué es lo que está ocurriendo.[1] Si prefieres símplemente copiar y pegar reglas tienes muchos ejemplos de scripts con políticas DROP y acceso al puerto ssh[2] [1] Googleando un minuto http://www.danielcoletti.com.ar/Documentos/Tech/Iptables/iptables/ http://www.badopi.org/node/977 http://linuca.org/body.phtml?nIdNoticia=99 [2] Googleando otro minuto http://www.guimi.net/index.php?pag_id=tec-docs/firewall/fw-instalacion.html#ipt http://dns.bdat.net/documentos/cortafuegos/x267.html me niega todas las conexiones, alguien sabe porque: Sí. ;-) gracias De nada Saludos Güimi http://guimi.net -- Por el bien de todos respetemos las normas de la lista: http://wiki.debian.org/NormasLista -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
firewall iptables
hey¡ estoy intentando hacer un firewall para un servidor de una lan con una sola interfaz eth0, la poitica por defecto es denegar, y solo se quiere abrir el puerto 22 para ssh, he hecho el siguiente script pero no entiendo porque no funciona, me niega todas las conexiones, alguien sabe porque: ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica por defecto iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -s 192.168.1.5 -i eth0 -p tcp --dport 22 -j ACCEPT gracias _ Express yourself instantly with MSN Messenger! Download today it's FREE! http://messenger.msn.click-url.com/go/onm00200471ave/direct/01/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: firewall iptables
On 7/3/07, Chechu . [EMAIL PROTECTED] wrote: hey¡ estoy intentando hacer un firewall para un servidor de una lan con una sola interfaz eth0, la poitica por defecto es denegar, y solo se quiere abrir el puerto 22 para ssh, he hecho el siguiente script pero no entiendo porque no funciona, me niega todas las conexiones, alguien sabe porque: ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica por defecto iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -s 192.168.1.5 -i eth0 -p tcp --dport 22 -j ACCEPT gracias A ver, con tan pocos detalles es dificil saber, porque puede que no sea el firewall el que niegue la conexión. Lo primero seria ver si sshd está corriendo y escuchando en el puerto 22, luego hacer un iptables -L a ver que reglas están en el firewall, luego un nmap desde otra PC de la LAN, etc... -- Manuel Garcia a.k.a mannyto Administrador de redes y servidores Corporacion Lynqus Debian GNU/Linux Testing codename Lenny
Re: firewall iptables
El 3/07/07, Chechu . [EMAIL PROTECTED] escribió: hey¡ estoy intentando hacer un firewall para un servidor de una lan con una sola interfaz eth0, la poitica por defecto es denegar, y solo se quiere abrir el puerto 22 para ssh, he hecho el siguiente script pero no entiendo porque no funciona, me niega todas las conexiones, alguien sabe porque: No entiendo eso de que quieres hacer un FW con solo una interfaz, yo supongo que cualquier FW decente en Linux debe tener por los menos dos interfaces de red. ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica por defecto iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -s 192.168.1.5 -i eth0 -p tcp --dport 22 -j ACCEPT gracias _ -- Luis Vega M. Linux Registered User #356394 - counter.li.org Sitio Personal: http://fodsite.wordpress.com Green Day: http://www.greendayfod.net fodsite AT gmail DOT com
Re: firewall iptables
On 7/3/07, Luis Vega [EMAIL PROTECTED] wrote: El 3/07/07, Chechu . [EMAIL PROTECTED] escribió: hey¡ estoy intentando hacer un firewall para un servidor de una lan con una sola interfaz eth0, la poitica por defecto es denegar, y solo se quiere abrir el puerto 22 para ssh, he hecho el siguiente script pero no entiendo porque no funciona, me niega todas las conexiones, alguien sabe porque: No entiendo eso de que quieres hacer un FW con solo una interfaz, yo supongo que cualquier FW decente en Linux debe tener por los menos dos interfaces de red. ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica por defecto iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -s 192.168.1.5 -i eth0 -p tcp --dport 22 -j ACCEPT gracias _ -- Luis Vega M. Linux Registered User #356394 - counter.li.org Sitio Personal: http://fodsite.wordpress.com Green Day: http://www.greendayfod.net fodsite AT gmail DOT com Tal vez piensas así porque imaginas el firewall físicamente como un router además, pero en este caso lo que el quiere es restringir el acceso a ciertos puertos de una máquina y permitir el acceso a otros, y sí, eso es un firewall. -- Manuel Garcia a.k.a mannyto Administrador de redes y servidores Corporacion Lynqus Debian GNU/Linux Testing codename Lenny
Re: firewall iptables
Chechu . escribió: ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica por defecto iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -s 192.168.1.5 -i eth0 -p tcp --dport 22 -j ACCEPT Prueba estás: iptables -t filter -A INPUT -s 0.0.0.0/0 -p tcp --sport 22 -j ACCEPT iptables -t filter -A INPUT -s 0.0.0.0/0 -p tcp --dport 22 -j ACCEPT iptables -t filter -A OUTPUT -d 0.0.0.0/0 -p tcp --sport 22 -j ACCEPT iptables -t filter -A OUTPUT -d 0.0.0.0/0 -p tcp --dport 22 -j ACCEPT Reporta si logras que te funcionen Saludos -- Alejandro Garrido Mota www.mogaal.com GNU/Linux Debian SID En kernel 2.6.20 Caracas-Venezuela Usuario Linux registrado #386758 Correos: [EMAIL PROTECTED] , [EMAIL PROTECTED] GPG Key Fingerprint = F6A7 EF7E 4688 70C6 6B37 A8EF F6B0 9645 B24B F200 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: firewall iptables
Estimados, No hace falta saber m?s nada de la red. Tienes mal las reglas del firewall. Para tu caso particular agregaria: #Todo lo que provenga de mi maquina (via localhost), lo acepto.. iptables -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT #Toda conexion establecida, la acepto... iptables -A INPUT -m state -state ESTABLISHED,RELATED -j ACCEPT # Acepto todo pedido de conexion (SYN) al puerto 22 (SSH) iptables -A INPUT -p tcp --dport 22 --syn -j ACCEPT Aunque tengas una interfaz de red, es aconsejable de cualquier manera agregar (menos la primera regla que puse) de que interfaz viene el paquete. Es decir, quedaria asi: iptables -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT iptables -A INPUT -i eth0 -m state -state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 22 --syn -j ACCEPT No lo probe, pero creo que anda... Ayer justamente publique mi peque?o firewall que tengo en mi debian, http://blog.makam.org/ Slds.- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
[debian sarge] Firewall - iptables
Gente, Estoy instalado un firewall con debian (sarge) iptables+snort+acid. La duda que me surge es si hay alguna aplicación que tome las alertas generadas por snort y realize alguna acción (bloquear IP, etc.) ? Desde ya muchas gracias por la información. Saludos!!! Andres -- AGD
Re: [debian sarge] Firewall - iptables
El mié, 04-10-2006 a las 16:02 -0300, Andres Gonzalez escribió: Gente, Estoy instalado un firewall con debian (sarge) iptables+snort+acid. La duda que me surge es si hay alguna aplicación que tome las alertas generadas por snort y realize alguna acción (bloquear IP, etc.) ? Desde ya muchas gracias por la información. Saludos!!! Andres Link obtenido de barrapunto.com http://www.diariolinux.com/tiki-read_article.php?articleId=7216 Sapere Aude. -- Javier Ruano [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Recomendación de como Particiona r un disco para Firewall Iptables...
On 7/28/05, Angel Claudio Alvarez wrote: El mié, 27-07-2005 a las 13:50 -0400, Gerardo Castro escribió: Necesito recomendaciones de como Particionar un disco para Firewall Iptables... con Debian Sarge... Yo no pondria disco rigido para un fw El Firewall además va a servir como Proxy (Squid) y FTP Server. Tampoco pondria una maquina haciendo de fw y brindando otros servicios, pero...es cuestion de presupuestos. Estoy de acuerdo con Angel Claudio. Si es el fw que da la cara hacia el exterior no es recomendable que de más servicios y a mi parecer tampoco es recomendable una instalación típica de debian sarge con todo lo que instala innecesariamente para un fw. Lo ideal sería utilizar el equipo que dices para hacer de proxy y lo que sea y si puedes agenciarte del baul de los recuerdos un pentium con unos 64mb de ram (incluso un 486) y una disquetera (sin necesidadad de disco duro) le pones leaf bering. Es una distribución pensada justamente para fw/router... que arranca toda la distribución desde un disco 3 1/2 al que ponemos la pestaña de solo lectura una vez configurado y nos queda un sistema muy bueno y seguro. http://leaf.sourceforge.net/bering-uclibc/ What is LEAF? A secure, feature-rich, customizable embedded Linux network appliance for use in a variety of network topologies. Although it can be used in other ways; it's primarily used as a Internet gateway, router, firewall, and wireless access point.
Recomendación de como Particionar un disco para Firewall Iptables...
Hola a todos... Necesito recomendaciones de como Particionar un disco para Firewall Iptables... con Debian Sarge... El Firewall además va a servir como Proxy (Squid) y FTP Server. Para 80 Users aprox. Con HDD de 80GB. De antemano gracias a todos Gerardo Castro Santiago de Chile Conocer el Amor de los que Amamos es el Fuego que Alimenta la Vida Pablo Neruda -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Recomendación de como Particionar un disco para Firewall Iptables...
El mié, 27-07-2005 a las 13:50 -0400, Gerardo Castro escribió: Hola a todos... Necesito recomendaciones de como Particionar un disco para Firewall Iptables... con Debian Sarge... Yo no pondria disco rigido para un fw El Firewall además va a servir como Proxy (Squid) y FTP Server. Tampoco pondria una maquina haciendo de fw y brindando otros servicios, pero...es cuestion de presupuestos. Para 80 Users aprox. Con HDD de 80GB. De antemano gracias a todos veamos, yo ( que ego!!) haria una particion tipica de unix / /usr /home /tmp /var lo porcentajes vana depender de: si los usuarios de ftp vana a tener quota, la cantidad de logs que vas a guardar; si vas a agregar servicios, etc Pero te insisto: es mejor poner un FW aislado y lo otro en una dmz Gerardo Castro Santiago de Chile Conocer el Amor de los que Amamos es el Fuego que Alimenta la Vida Pablo Neruda -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Angel Claudio Alvarez Usuario Linux Registrado 143466 GPG Public Key en http://pgp.mit.edu key fingerprint = 3AED D95B 7E2D E954 61C8 F505 1884 473C FC8C 8AC4 signature.asc Description: This is a digitally signed message part
Re: Problemita con mi Script para Firewall/Iptables
On Apr 11, 2005 9:33 PM, AleXerTecH [EMAIL PROTECTED] wrote: On Apr 11, 2005 3:20 PM, Pablo Braulio [EMAIL PROTECTED] wrote: El Lunes, 11 de Abril de 2005 21:16, AleXerTecH escribió: On Apr 11, 2005 2:50 PM, [EMAIL PROTECTED] [EMAIL PROTECTED] wrote: ¿y un problema de dns con la página no es no? si pones http://192.168.1.X(bueno la ip del server) tampoco sale ¿va desde fuera? Desde afuera de la red todo se ve perfecto. El dns esta perfecto ademas de las ips, te cuento que se que el problema esta en el forwarding, pero no se donde Saludos!!! Yo creo que te estás liando. Que yo sepa desde dentro no podrás ver tu web. A no ser que lo hagas llamando al equipo directamente: http://equipo/index.html en lugar de : http://www.host.com -- Saludos. Pablo No soy religioso, pero me apeno con la perdida de un gran hombre que creyó siempre en los jovenes. Fingerprint 5607 40CF 45EF D490 B794 5056 D7B2 C3DC ABF1 CE49 Jabber: [EMAIL PROTECTED] http:www.aldiagestion.com Tiene que haber una forma de que me resuelva host. Tengo varios nombres de host en el servidor por eso es que oloque el *.pagina.com, es decir, puede ser www.pagina.com, subx.pagina.com, y otros sub demas... Tiene que haber alguna forma, cuando la red estaba con Wintendo 2000 todo funcionaba a nivel de host y dns. Sigo insitiendo que es algo de las reglas de forwarding de el script de iptables... Saludos!!! -- ! ..::'''AleXerTecH'''::.. ! ! - ( o -! Debian Sarge _ kernel:2.6.8-2-K7 / /\ V_/_ Usuario linux registrado #383172 Un par de preguntas: ¿Puedes detallar un poco más el esquema de tu red y las IPs de los servidores? Por lo que he podido deducir el servidor web tiene la IP 192.168.1.2, así que estaría en la misma red que el firewall y los PCs de la LAN. Así que el tráfico web no pasaría por el firewall... La verdad es que no lo veo nada claro, ¿puedes detallar un poco más cómo están conectados los servidores al router y los PCs? $IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 80 -j DNAT --to 192.168.1.2:80 ¿En esta regla rediriges todo el tráfico web al servidor web?, supongo que entonces tienes montado un proxy, pero no sé como sale ese proxy a internet. En resumen: necesito más info ;-) Salu2!
Problemita con mi Script para Firewall/Iptables
Hola a todos!
Tengo un problema con el siguiente script que escribi para hacer un
firewall a mi red. Todo funciona perfecto a excepcion de que los
computadores de la red no pueden ver la pagina web que esta en el
mismo server de la red. Es decir, si dan www.pagina.com, o
*.pagina.com, no pueden ver nada.
La red esta organizada asi:
Firewall Recibe conexion a internet por una ethernet
Firewall Comparte la conexion por la otra ethernet a un hub, 192.168.1.1
Server 192.168.1.2
Clientes 192.168.1. 3
El script de iptables que hice fue el siguiente:
#! /bin/sh
# Firewall IPTABLES for Global
# Author: Alex Barrios
# [EMAIL PROTECTED].
#
# Version: @(#)fire-wall 1.1 10-Abrl-2005 [EMAIL PROTECTED]
#
###
# Localizacion de iptables
#
IPTABLES=/sbin/iptables
###
# Configuracion Internet
#
INET_IP=200.XX.XXX.XXX
INET_IFACE=eth0
###
# Configuracion red Local
#
LAN_IP=192.168.1.1
LAN_IP_RANGE=192.168.1.0/24
LAN_BCAST_AD=192.168.1.255
LAN_IFACE=eth1
###
# Configuracion del LocalHost
#
LO_IFACE=lo
LO_IP=127.0.0.1
###
# Funcion de inicio del servicio
#
d_start() {
###
# Borra las Reglas Anteriores
$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
$IPTABLES -t nat -F
###
# Politicas predeterminadas para input, forward y output
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP #drop
###
# Regla para el NAT enmascarado. La ip puede ser dinamica
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
###
# Activado el Forwarding de paquetes
# (fue ativado en el boot, ver /etc/network/options)
###
# Regla para tcp_bad packets
$IPTABLES -N bad_tcp_packets
# $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j
LOG --log-prefix New not syn:
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
###
# Checkeo de las posibles ip's spoffeadas
$IPTABLES -A bad_tcp_packets -i $INET_IFACE -s 192.168.1.0/16 -j DROP
$IPTABLES -A bad_tcp_packets -i $INET_IFACE -s 192.168.0.0/16 -j DROP
$IPTABLES -A bad_tcp_packets -i $INET_IFACE -s 10.0.0.0/8 -j DROP
$IPTABLES -A bad_tcp_packets -i $INET_IFACE -s 172.16.0.0/12 -j DROP
###
# Bloquea el reenvio de tcp no deseados # #
$IPTABLES -A FORWARD -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A FORWARD -p ALL -s $INET_IP -j ACCEPT
$IPTABLES -A FORWARD -p ALL -j bad_tcp_packets
###
# Reglas para el Forward de paquetes
$IPTABLES -A FORWARD -i $LAN_IFACE -o $INET_IFACE -m state --state
ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG
--log-prefix IP FORWARD PACKET DIED:
$IPTABLES -A FORWARD -i $INET_IFACE -m state --state NEW,INVALID -j DROP
###
# Redireccionado de paquetes DNAT, FTP, WEB, MAIL, Tomcat y DNS
# Web
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 80 -j DNAT
--to 192.168.1.2:80
# FTP
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 20 -j DNAT
--to 192.168.1.2:20
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 21 -j DNAT
--to 192.168.1.2:21
# Tomcat
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 8080 -j
DNAT --to 192.168.1.2:8080
# DNS
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 53 -j DNAT
--to 192.168.1.2:53
# POP STMP
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 25 -j DNAT
--to 192.168.1.2:25
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 110 -j DNAT
--to 192.168.1.2:110
###
# Reglas para paquetes TCP y UDP
$IPTABLES -N tcp_packets
$IPTABLES -N udpincoming_packets
###
# Reglas para aceptar conexiones TCP
$IPTABLES -N allowed
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j
ACCEPT
$IPTABLES -A allowed -p TCP -j DROP
###
# Conexion ssh con el firewall
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
###
# Reglas para input tcp no desseados provenientes de internet
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udpincoming_packets
###
# Reglas para la LAN, loopback y la interfaz del ISP
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BCAST_AD -j ACCEPT
Re: Problemita con mi Script para Firewall/Iptables
On Apr 11, 2005 3:20 PM, Pablo Braulio [EMAIL PROTECTED] wrote: El Lunes, 11 de Abril de 2005 21:16, AleXerTecH escribió: On Apr 11, 2005 2:50 PM, [EMAIL PROTECTED] [EMAIL PROTECTED] wrote: ¿y un problema de dns con la página no es no? si pones http://192.168.1.X(bueno la ip del server) tampoco sale ¿va desde fuera? Desde afuera de la red todo se ve perfecto. El dns esta perfecto ademas de las ips, te cuento que se que el problema esta en el forwarding, pero no se donde Saludos!!! Yo creo que te estás liando. Que yo sepa desde dentro no podrás ver tu web. A no ser que lo hagas llamando al equipo directamente: http://equipo/index.html en lugar de : http://www.host.com -- Saludos. Pablo No soy religioso, pero me apeno con la perdida de un gran hombre que creyó siempre en los jovenes. Fingerprint 5607 40CF 45EF D490 B794 5056 D7B2 C3DC ABF1 CE49 Jabber: [EMAIL PROTECTED] http:www.aldiagestion.com Tiene que haber una forma de que me resuelva host. Tengo varios nombres de host en el servidor por eso es que oloque el *.pagina.com, es decir, puede ser www.pagina.com, subx.pagina.com, y otros sub demas... Tiene que haber alguna forma, cuando la red estaba con Wintendo 2000 todo funcionaba a nivel de host y dns. Sigo insitiendo que es algo de las reglas de forwarding de el script de iptables... Saludos!!! -- ! ..::'''AleXerTecH'''::.. ! ! - ( o -! Debian Sarge _ kernel:2.6.8-2-K7 / /\ V_/_ Usuario linux registrado #383172
Re: Ayuda para conectar un firewall (iptables) a un router cisco.
Haz lo que te ha dicho Antonio Trujillo Carmona más arriba... cuando logres que eso funcione seguiremos afinando. Las pruebas de salida a internet no las hagas con el navegador (o al menos que no sean las únicas) sino con un traceroute 198.133.219.25 así verás los saltos que dan los paquetes hasta el destino y si no llegan, verás (veremos) donde están siendo frenados. Salud.
Re: Ayuda para conectar un firewall (iptables) a un router cisco.
El Viernes, 4 de Febrero de 2005 09:18, Armando Paz escribió: Haz lo que te ha dicho Antonio Trujillo Carmona más arriba... cuando logres que eso funcione seguiremos afinando. Las pruebas de salida a internet no las hagas con el navegador (o al menos que no sean las únicas) sino con un traceroute 198.133.219.25 así verás los saltos que dan los paquetes hasta el destino y si no llegan, verás (veremos) donde están siendo frenados. Salud. Estupendo gracias por la información. No conocía lo del traceroute. -- Saludos. Pablo. Fingerprint 5607 40CF 45EF D490 B794 5056 D7B2 C3DC ABF1 CE49 http://www.humano.ya.com/bruli pgpFhWncHtcJg.pgp Description: PGP signature
Re: Ayuda para conectar un firewall (iptables) a un router cisco.
quote pablo Tengo una red con un router cisco 1700 conectado a un switch cisco catatlyst 2950. Mi intención es poner un equipo con Debian, iptables, squid y dos tarjetas de red, para que haga de firewall y proxy. Pues por desgracia el router tiene todos los puertos abiertos. En su día lo compraron y no tienen quien lo administre. Por lo que la seguridad brilla por su ausencia. Esquema: LAN - ROUTER - SWITCH --- SERVIDOR DHCP 192.168.1.9 192.168.1.1 Quiero que quede así: LAN -- ROUTER FIREWALL (eth0-eth1)- SWITCH SERVIDOR DHCP 192.168.1.9 eth0 192.168.1.x 192.168.1.1 eth1 dhcpclient /quote confirmame lo siguiente: en el esquema actual) - el router tiene la ip 192.168.1.9? - el servidor dhcp tiene la ip 192.168.1.1? preguntas: en el esquema futuro) - que ip tiene el router? la eth0 del firewall? la eth1 del firewall? el servidor dhcp? quote pablo Esta es la configuración del archivo interfaces: -- # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet static address 192.168.1.60 netmask 255.255.255.0 gateway 192.168.1.9 network 192.168.1.0 --- /quote si ese es tu archivo actual, te falta agregar la interface eth1. por decirte un ejemplo: # The primary network interface auto eth1 iface eth1 inet static address 192.168.2.60 netmask 255.255.255.0 gateway 192.168.2.9 network 192.168.2.0 quote pablo Los problemas que me he encontrado es al poner el firewall para que salga a Internet. Después de varias pruebas no he conseguido ni siquiera que vea el router. La interfaz interna funciona, ve el servidor dhcp y este le asigna la ip. Las reglas del firewall todavía no están aplicadas. He empezado a mosquearme con el funcionamiento de la interfaz, y he conectado mi portatil al router. Si hago un ping al router, responde, pero no consigo salir a internet. Creo que hay algo que no hago bien, pero ignoro de que se trata. Es la primera vez que hago esto poniéndolo entre un router y un switch. Hasta ahora lo había hecho entre un modem cable y un switch, y no había tenido problemas. /quote bueno, aca hay un par de cosas... - que no veas al router: puede ser por no tener configurada correctamente la interfaz. - no tener internet, puede ser por no tener configurada el default gateway. - no tener habilitado el forward. - va, son varias... hace una cosa: contestame las preguntas de arriba y seguimos. saludos, velkro. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Ayuda para conectar un firewall (iptables) a un router cisco.
El Jueves, 3 de Febrero de 2005 17:20, [EMAIL PROTECTED] escribió: quote pablo Tengo una red con un router cisco 1700 conectado a un switch cisco catatlyst 2950. Mi intención es poner un equipo con Debian, iptables, squid y dos tarjetas de red, para que haga de firewall y proxy. Pues por desgracia el router tiene todos los puertos abiertos. En su día lo compraron y no tienen quien lo administre. Por lo que la seguridad brilla por su ausencia. Esquema: LAN - ROUTER - SWITCH --- SERVIDOR DHCP 192.168.1.9 192.168.1.1 Quiero que quede así: LAN -- ROUTER FIREWALL (eth0-eth1)- SWITCH SERVIDOR DHCP 192.168.1.9 eth0 192.168.1.x 192.168.1.1 eth1 dhcpclient /quote confirmame lo siguiente: en el esquema actual) - el router tiene la ip 192.168.1.9? - el servidor dhcp tiene la ip 192.168.1.1? preguntas: en el esquema futuro) - que ip tiene el router? la eth0 del firewall? la eth1 del firewall? el servidor dhcp? Por el esquema que pones puedes crear dos redes diferentes: la eth0 podría tener por ejemplo la ip 172.16.0.2 el router podría tener la 172.16.0.1, me refiero a la interfaz ethernet del router, la interfaz LAN. la eth1 del firewall y squid podría tener la 192.168.0.1 y el resto de tu red podría coger las ips con el dhcp que indicas. La interfaz WAN del router pues tendría la que tengáis en tu red (ip pública la que sea). ¿Tienes las password del cisco?. No es demasiado difícil cambiar las ips de las interfaces, si lo demás está correctamente configurado: una vez que entras por telnet al router haces: enable password: #configure terminal (config)#interface ethernet ? (la ? te muestra las interfaces que puedes seleccionar) (config-if)#ip address 172.16.0.1 255.255.255.0 Por ejemplo. En la interfaz WAN es igual pero depende de la interfaz que tenga el router, ya sea ATM o serial o lo que sea. No sé, en todo caso te remito a la wez de cisco, tienen unos tutoriales muy buenos: http://www.cisco.com/univercd/home/home.htm -- Einar Matveinen Vitoð ér enn eða hvat var der mere I ville vide Vitoð ér enn eða hvat vil I mere før jeg forsvinder under solen Rekisteröitynyt Linux käyttäjä nro 221083 Katso http://barrapunto.com/index.pl?section=mbp-einarmatveinen
Re: Ayuda para conectar un firewall (iptables) a un router cisco.
El Jueves, 3 de Febrero de 2005 18:20, [EMAIL PROTECTED] escribió: quote pablo Tengo una red con un router cisco 1700 conectado a un switch cisco catatlyst 2950. Mi intención es poner un equipo con Debian, iptables, squid y dos tarjetas de red, para que haga de firewall y proxy. Pues por desgracia el router tiene todos los puertos abiertos. En su día lo compraron y no tienen quien lo administre. Por lo que la seguridad brilla por su ausencia. Esquema: LAN - ROUTER - SWITCH --- SERVIDOR DHCP 192.168.1.9 192.168.1.1 Quiero que quede así: LAN -- ROUTER FIREWALL (eth0-eth1)- SWITCH SERVIDOR DHCP 192.168.1.9 eth0 192.168.1.x 192.168.1.1 eth1 dhcpclient /quote confirmame lo siguiente: en el esquema actual) - el router tiene la ip 192.168.1.9? Si - el servidor dhcp tiene la ip 192.168.1.1? Si preguntas: en el esquema futuro) - que ip tiene el router? La misma que tiene. la eth0 del firewall? Es lo que me falta por definir. Estoy en duda si el servidor dhcp le pondrá una o si habrá que ponersela manualmente. la eth1 del firewall? Segun hemos probado la pondrá el servidor dhcp el servidor dhcp? La misma que tiene ahora. quote pablo Esta es la configuración del archivo interfaces: -- # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet static address 192.168.1.60 netmask 255.255.255.0 gateway 192.168.1.9 network 192.168.1.0 --- /quote si ese es tu archivo actual, te falta agregar la interface eth1. por decirte un ejemplo: # The primary network interface auto eth1 iface eth1 inet static address 192.168.2.60 netmask 255.255.255.0 gateway 192.168.2.9 network 192.168.2.0 Pero la Lan tiene el rango 192.168.1.x. Tu le estás poniendo un 2. ¿O solo es el ejemplo?. quote pablo Los problemas que me he encontrado es al poner el firewall para que salga a Internet. Después de varias pruebas no he conseguido ni siquiera que vea el router. La interfaz interna funciona, ve el servidor dhcp y este le asigna la ip. Las reglas del firewall todavía no están aplicadas. He empezado a mosquearme con el funcionamiento de la interfaz, y he conectado mi portatil al router. Si hago un ping al router, responde, pero no consigo salir a internet. Creo que hay algo que no hago bien, pero ignoro de que se trata. Es la primera vez que hago esto poniéndolo entre un router y un switch. Hasta ahora lo había hecho entre un modem cable y un switch, y no había tenido problemas. /quote bueno, aca hay un par de cosas... - que no veas al router: puede ser por no tener configurada correctamente la interfaz. - no tener internet, puede ser por no tener configurada el default gateway. - no tener habilitado el forward. - va, son varias... hace una cosa: contestame las preguntas de arriba y seguimos. saludos, velkro. Lo que no se si he dicho, es que todo esto es antes de iniciar el firewall. O sea, de momento intento que el equipo funcione (eth0 salga a internet y eth1 a la Lan) y luego correr el script de iptables para que los demás equipos puedan salir a Internet. En otra red tengo este esquema: ( F I R E W A L L) internet --- modem_cable -eth0- eth1 -- switch Lan ...y esto en interfaces: --- # The loopback interface auto lo iface lo inet loopback # The first network card - this entry was created during the Debian installation auto eth0 iface eth0 inet dhcp auto eth1 iface eth1 inet static address 192.168.0.1 netmask 255.255.255.0 gateway 192.168.0.1 network 192.168.0.0 --- ¿Que diferencia hay entre conectarlo a un router y conectarlo a un modem cable?. Me han comentado que pruebe bridge-utils, pero no se si será la solución. Gracias por la ayuda. -- Saludos. Pablo. Fingerprint 5607 40CF 45EF D490 B794 5056 D7B2 C3DC ABF1 CE49 http://www.humano.ya.com/bruli pgpNEFGTWQOF6.pgp Description: PGP signature
Re: Ayuda para conectar un firewall (iptables) a un router cisco.
El Jueves, 3 de Febrero de 2005 16:34, Pablo Braulio escribió: Hola a todos. Necesito bastante ayuda en esto, pues estoy totalmente atascado. Tengo una red con un router cisco 1700 conectado a un switch cisco catatlyst 2950. Mi intención es poner un equipo con Debian, iptables, squid y dos tarjetas de red, para que haga de firewall y proxy. Pues por desgracia el router tiene todos los puertos abiertos. En su día lo compraron y no tienen quien lo administre. Por lo que la seguridad brilla por su ausencia. Esquema: LAN - ROUTER - SWITCH --- SERVIDOR DHCP 192.168.1.9 192.168.1.1 Quiero que quede así: LAN -- ROUTER FIREWALL (eth0-eth1)- SWITCH SERVIDOR DHCP 192.168.1.9 eth0 192.168.1.x 192.168.1.1 eth1 dhcpclient Creo que te fallan algunos conceptos básicos del mundo de las redes. No entiendo muy bien eso de: LAN---router---switchservidor, yo creo que lo que quieres decir es: internet-router-switchservidor. Es decir, el router une internet con la LAN (maquinas tras el router, incluido el switch y el servidor). Topologías aparte, además partes de una situación donde tras el router (consideramos delante del router el mundo internet y detrás la LAN del cliente) sólo tienes una red IP, a saber: 192.168.1.0 supongo que tipo C (máscara 255.255.255.0). Si metes un firewall entre el router y el resto de las máquinas de la LAN: internetrouterfirewall---LAN, lo lógico es que no trocees/partas tu red 192.168.1.0 actual ya que el firewall se volverá loco si ve que tiene la misma red en dos patas distintas. Es por esto por lo que te funciona tu portatil contra el router y no cuando pones el firewall, ya que este último recibe una IP del DHCP perteneciente a la misma red que tiene en la puerta del router, esto, hasta donde yo sé no es muy coherente. Además el router estará haciendo NAT (traducción de direcciones), y probablemente estático contra las actuales direcciones tipo 192.168.1.0, por lo que esta red es candidata a quedarse detrás del router supongo que tendrías que cambiar todas las IPs de la LAN y hacer nat en el firewall, de tal forma que alguien situado tras de si con dirección, por ejemplo, 192.168.2.7 sea convertido a la dirección 192.168.1.7 para que a su vez el router lo traduzca a su dirección pública... En fin, no entiendo que quieres hacer pero considerando que estás en una red privada, no creo que nadie de internet sea capaz de alcanzar tus máquinas si, previamente, no revienta el router. Sólo pretendía darte una idea de la complejidad teórica del problema. Un saludo.
Re: Ayuda para conectar un firewall (iptables) a un router cisco.
confirmame lo siguiente: en el esquema actual) - el router tiene la ip 192.168.1.9? Si - el servidor dhcp tiene la ip 192.168.1.1? Si preguntas: en el esquema futuro) - que ip tiene el router? La misma que tiene. la eth0 del firewall? Es lo que me falta por definir. Estoy en duda si el servidor dhcp le pondrá una o si habrá que ponersela manualmente. la eth1 del firewall? Segun hemos probado la pondrá el servidor dhcp el servidor dhcp? La misma que tiene ahora. Esto no puede ser... léete mi anterior respuesta.
Re: Ayuda para conectar un firewall (iptables) a un router cisco.
Creo que te fallan algunos conceptos básicos del mundo de las redes. No entiendo muy bien eso de: LAN---router---switchservidor, yo creo que lo que quieres decir es: internet-router-switchservidor. Es decir, el router une internet con la LAN (maquinas tras el router, incluido el switch y el servidor). No. Se trata de que kmail ha movido el esquema que había dibujado antes. Voy a volver a explicar el problema. Todo lo que se del router cisco es que no tenemos acceso. Es decir, hace tiempo decidieron comprarlo y no hay nadie que les de soporte. En su día intentaron configurarlo (cerrar puertos) pero no lo consiguieron, y por lo tanto se conformaron con dejar todos los puertos abiertos, pues necesitan visitar un par de webs para usar un software y no saben que puertos necesitan abrir. Por desgracia la persona que lo configuró ya no trabaja en esa empresa. Por eso me aventuro ahora a tratar de poner un poco de seguridad. No disponen de ip estática de Teléfonica. La interfaz del router (interna) tiene la ip 192.168.1.9, la red tiene el rango 192.168.1.x, el servidor dhcp tiene la ip 192.168.1.1. Esquema. RouterswitchLAN 192.168.1.9 192.168.1.X Todo esto lo he visto en la configuración de la conexión de los equipos. --- Ip_equipo X: 192.168.1.x netmask 255.255.255.0 Puerta de enlace: 192.168.1.9 --- Lo que quiero hacer es poner un equipo con Sarge y dos tarjetas de red (eth0 y eth1) entre el router y el switch para que haga de firewall. Así: router --- eth0 -- eth1 --- LAN En la primera prueba que hemos hecho, la eth1 funcionaba y el servidor dhcp le ha asignado una ip. La eth0 no salía a Internet y no veía el router (al hacer un ping). Luego hemos probado simplemente conectando el router al firewall (eth0) y nada mas. Pero no se veían. He probado poniendo mi portatil y si que veía el router, pero no salía a Internet. En ambos casos lo he hecho con la misma configuración del archivo interfaces: --- auto eth0 iface eth0 inet static address 192.168.1.60 netmask 255.255.255.0 gateway 192.168.1.9 network 192.168.1.0 - En otra red lo tengo todo con el mismo rango de red, pero esta vez conectado a un modem cable. Modem---firewall---switchLAN eth0=dhcp IP_equipos=192.168.0.x eth1=192.168.0.x En este caso funciona perfectamente. -- Saludos. Pablo. Fingerprint 5607 40CF 45EF D490 B794 5056 D7B2 C3DC ABF1 CE49 http://www.humano.ya.com/bruli pgpwn9lBwh7WG.pgp Description: PGP signature
Re: Ayuda para conectar un firewall (iptables) a un router cisco.
El Jueves, 3 de Febrero de 2005 19:59, escribió: Añadiendo a todo lo dicho, me falta decir que no he probado todavía el script de iptables. Es decir, primero estoy tratando de ver que desde el equipo que hará de firewall se accede a la LAN con la eth1 y se puede salir a Internet con eth0. Luego ya activaré el firewall para que los equipos puedan salir. El Jueves, 3 de Febrero de 2005 19:53, escribió: Creo que te fallan algunos conceptos básicos del mundo de las redes. No entiendo muy bien eso de: LAN---router---switchservidor, yo creo que lo que quieres decir es: internet-router-switchservidor. Es decir, el router une internet con la LAN (maquinas tras el router, incluido el switch y el servidor). No. Se trata de que kmail ha movido el esquema que había dibujado antes. Voy a volver a explicar el problema. Todo lo que se del router cisco es que no tenemos acceso. Es decir, hace tiempo decidieron comprarlo y no hay nadie que les de soporte. En su día intentaron configurarlo (cerrar puertos) pero no lo consiguieron, y por lo tanto se conformaron con dejar todos los puertos abiertos, pues necesitan visitar un par de webs para usar un software y no saben que puertos necesitan abrir. Por desgracia la persona que lo configuró ya no trabaja en esa empresa. Por eso me aventuro ahora a tratar de poner un poco de seguridad. No disponen de ip estática de Teléfonica. La interfaz del router (interna) tiene la ip 192.168.1.9, la red tiene el rango 192.168.1.x, el servidor dhcp tiene la ip 192.168.1.1. Esquema. RouterswitchLAN 192.168.1.9 192.168.1.X Todo esto lo he visto en la configuración de la conexión de los equipos. --- Ip_equipo X: 192.168.1.x netmask 255.255.255.0 Puerta de enlace: 192.168.1.9 --- Lo que quiero hacer es poner un equipo con Sarge y dos tarjetas de red (eth0 y eth1) entre el router y el switch para que haga de firewall. Así: router --- eth0 -- eth1 --- LAN En la primera prueba que hemos hecho, la eth1 funcionaba y el servidor dhcp le ha asignado una ip. La eth0 no salía a Internet y no veía el router (al hacer un ping). Luego hemos probado simplemente conectando el router al firewall (eth0) y nada mas. Pero no se veían. He probado poniendo mi portatil y si que veía el router, pero no salía a Internet. En ambos casos lo he hecho con la misma configuración del archivo interfaces: --- auto eth0 iface eth0 inet static address 192.168.1.60 netmask 255.255.255.0 gateway 192.168.1.9 network 192.168.1.0 - En otra red lo tengo todo con el mismo rango de red, pero esta vez conectado a un modem cable. Modem---firewall---switchLAN eth0=dhcp IP_equipos=192.168.0.x eth1=192.168.0.x En este caso funciona perfectamente. -- Saludos. Pablo. Fingerprint 5607 40CF 45EF D490 B794 5056 D7B2 C3DC ABF1 CE49 http://www.humano.ya.com/bruli pgpEpeo9U5vYR.pgp Description: PGP signature
Re: Ayuda para conectar un firewall (iptables) a un router cisco.
El Jueves, 3 de Febrero de 2005 19:24, Antonio Trujillo Carmona escribió: Creo que estas teniendo un fallo de conceptos pues le estas poniendo a dos tarjetas de red que en principio estan en dos redes distintas) IP de la misma red, por lo que el firewall no puede distinguir el trafico. Lo normal seria algo como Route --- 192.168.1.2 eth0 firewall redinterna 192.168.1.1 gw 192.168.1.1 192.168.2.1 gw 192.168.2.1 cambiandole las ip o al router o a la red según puedas o sea mas facil Esto es lo normal y lo que mejor funciona por seguridad, es posible cambiar un poco usando bridge, esto es que las dos tarjetas sean trasparentes a la red, pero es mucho mas complicado y, mientras que para el esquema normal hay paquetes como shorewall (con el webmin-shorewall como interfaz) que te pueden hacer la viad mucho mas facil, en el caso de usar puente no creo que encuentras mas que alguna receta algo parca y en ingles, por lo que a no ser que nop tengas mas remedio (no tengas las claves del router ni de algun servidor para poder cambiarle las ip) te aconsejo que definas dos redes distintas y el firewall en medio. Vale, creo que la paja mental que tengo se va aclarando un poco. Espero poder probarlo hoy y ya comentaré. Gracias a todos por la ayuda. -- Saludos. Pablo. Fingerprint 5607 40CF 45EF D490 B794 5056 D7B2 C3DC ABF1 CE49 http://www.humano.ya.com/bruli pgp5h30IUNpj8.pgp Description: PGP signature
