Re: Shorewall duda ban automatico

[Erick Ocrospoma]

2016-09-30 18:40 GMT-05:00 OddieX :

> El día 30 de septiembre de 2016, 18:40, del tonos
>  escribió:
> > Aunque sea offtopic, la solución es sencilla: bloquea a nivel de host con
> > fail2ban en tu debian.
> > Saludos
> >
> > El 30 de septiembre de 2016, 16:29, Epsilon Minus com>
> > escribió:
> >>
> >> Estimados,
> >>
> >> Estoy trabajando con shorewall 5.0, estoy teniendo muchos ataques de
> >> ip de chinas. Quiero que se bloquee la conexión ssh al fallar 3 veces.
> >>
> >> Hace un rato que estoy dando vueltas con shorewall como hacerlo con
> >> las actions pero no logro hacerlo.
> >>
> >> Estoy dandole vueltas a la documentación de Shorewall pero no
> >> encuentro la solución. Seguí un poco el ejemplo que da abajo:
> >>
> >> http://shorewall.net/Events.html
> >>
> >> Pero me devuelve: WARNING: Log Prefix shortened to
> >> "Shorewall:SSH_BLACKLIST:LOG: " /etc/shorewall/action.SSH_BLACKLIST
> >>
> >> también estuve leyendo la opción de AutoBL pero no comprendo del todo
> que
> >> hacer.
> >>
> >> Saludos
> >>
> >
>
>
> Si tal cual, la mejor que podes hacer es usar fail2ban, aunque
> deberias ver a que servicio te estan atacando para analizar la posible
> solucion.
>
>
​Este. Yo he usado fail2ban, si bien es muy bueno, funciona casi
magicamente.
El tema es cuando los hosts atacantes son super reincidentes, por defecto
fail2ban
banea las IPs por 10 min, y luego las libera. Puedes aumentar este
intervalo, a que sea
por minutos, horas o dias (esto ultimo es mejor, esas IPs chinas y rusas
son muy reincidentes).

Personalmente prefiero usar tcpwrappers (hosts.deny), ya que asi quedan
bloqueadas
indefinidamente, y puede sobrevivir al reboot tambien.


-- 


Erick.


---
IRC :   zerick
Blog: http://zerick.me
About :  http://about.me/zerick
Linux User ID :  549567

Re: Shorewall duda ban automatico

[OddieX]

El día 30 de septiembre de 2016, 18:40, del tonos
 escribió:
> Aunque sea offtopic, la solución es sencilla: bloquea a nivel de host con
> fail2ban en tu debian.
> Saludos
>
> El 30 de septiembre de 2016, 16:29, Epsilon Minus
> escribió:
>>
>> Estimados,
>>
>> Estoy trabajando con shorewall 5.0, estoy teniendo muchos ataques de
>> ip de chinas. Quiero que se bloquee la conexión ssh al fallar 3 veces.
>>
>> Hace un rato que estoy dando vueltas con shorewall como hacerlo con
>> las actions pero no logro hacerlo.
>>
>> Estoy dandole vueltas a la documentación de Shorewall pero no
>> encuentro la solución. Seguí un poco el ejemplo que da abajo:
>>
>> http://shorewall.net/Events.html
>>
>> Pero me devuelve: WARNING: Log Prefix shortened to
>> "Shorewall:SSH_BLACKLIST:LOG: " /etc/shorewall/action.SSH_BLACKLIST
>>
>> también estuve leyendo la opción de AutoBL pero no comprendo del todo que
>> hacer.
>>
>> Saludos
>>
>


Si tal cual, la mejor que podes hacer es usar fail2ban, aunque
deberias ver a que servicio te estan atacando para analizar la posible
solucion.

Re: Shorewall duda ban automatico

[del tonos]

Aunque sea offtopic, la solución es sencilla: bloquea a nivel de host con
fail2ban en tu debian.
Saludos

El 30 de septiembre de 2016, 16:29, Epsilon Minus
escribió:

> Estimados,
>
> Estoy trabajando con shorewall 5.0, estoy teniendo muchos ataques de
> ip de chinas. Quiero que se bloquee la conexión ssh al fallar 3 veces.
>
> Hace un rato que estoy dando vueltas con shorewall como hacerlo con
> las actions pero no logro hacerlo.
>
> Estoy dandole vueltas a la documentación de Shorewall pero no
> encuentro la solución. Seguí un poco el ejemplo que da abajo:
>
> http://shorewall.net/Events.html
>
> Pero me devuelve: WARNING: Log Prefix shortened to
> "Shorewall:SSH_BLACKLIST:LOG: " /etc/shorewall/action.SSH_BLACKLIST
>
> también estuve leyendo la opción de AutoBL pero no comprendo del todo que
> hacer.
>
> Saludos
>
>

Re: shorewall problemas

[Camaleón]

El Thu, 03 Sep 2015 17:08:54 -0400, luis escribió:

> He instalado shorewall y no me deja navegar las pc de la lan, el hard es
> nuevo navego al principio desde el mismo server
> 
> Le monto las mismas reglas y todas las configuraciones que tenía cuando
> funcionaba y ahora no me funciona el tráfico hacia la lan.
> 
> No se como ver que es lo que sucede ni el por qué
> 
> Luego instalé Debian Jessie amd64 y el shorewall es la 4.6 y me da
> deprecate es decir obsoleto y al parecer hay cambios
> 
> Estoy en líos
> 
> Alguna idea o sitios o algo ??

Yo empezaría por revisar la configuración básica:

https://wiki.debian.org/HowTo/shorewall

Si estabas usando un archivo de configuración para una versión anterior 
pues es normal que haya habido cambios.

Saludos,

-- 
Camaleón

[OT-Proxmox] Re: Shorewall

[Camaleón]

El Wed, 13 May 2015 08:41:12 -0400, alfredop escribió:

> En la reorganización que estoy acometiendo en mi servidores (a proxmox)
> uno de los contenedores en el que estoy instalando el gateway de la
> institución no me permite instalar shorewall y me indica el siguiente
> error May 13 14:17:07 Processing /etc/shorewall/params ...
> May 13 14:17:07 Processing /etc/shorewall/shorewall.conf...
> May 13 14:17:07ERROR: Your kernel/iptables do not include state
> match support. No version of Shorewall will run on this system
> 
> no cuento con acceso a internet puro solo algunos accesos que me permite
> mi isp aparte que con el shorewall gestiono el pop3 y smtp de isp

Esto es lo que dicen en Google:

***
http://forum.proxmox.com/threads/1936-Shorewall-on-OpenVZ-containers

Default Shorewall on OpenVZ containers

Hi.
I need to install Shorewall on a OpenVZ virtual machine running on 
Proxmox, but I receive this error:

ERROR: Your kernel/iptables do not include state match support. No 
version of Shorewall will run on this system

How I can enable the support on the kernel to let me use Shorewall 
without problems?

Thank you very much!
Bye. 
***

you have to add in /etc/vz/vz.conf in the IPTABLES variables (at very end 
of the vz.conf) ipt_state 

***

Saludos,

-- 
Camaleón


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/pan.2015.05.13.13.33...@gmail.com

Re: shorewall + bandwidth

[Camaleón]

El Tue, 25 Jun 2013 11:06:10 -0400, Javier Santiesteban escribió:

> hola lista, alguien a implementado el bandwidth con shorewall o algun
> otro soft sobre debian? 

Pues no :-)

> Pues me gustaria limitar un poco algunos servicios como el smtp/pop3
> sobre mi red, como mismo lo tengo hecho con mi squid

Tienes una buena introducción a la gestión del tráfico que usa Shorewall 
en este documento:

http://www.shorewall.net/simple_traffic_shaping.html#id36135246

Saludos,

-- 
Camaleón


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/pan.2013.06.25.16.23...@gmail.com

Re: Shorewall como gateway

[Camaleón]

El Wed, 23 Jan 2013 15:38:58 -0500, Josué Marrero Bermúdez escribió:

> Mirando en la red he visto cientos de tutoriales de como configurar una
> PC con Debian y 2 interfaces de red ,  usando un script para Iptables
> convertirla en el gateway de la red local y permitir el uso de internet
> y demas servicios por los usuarios.
> 
> Ahora.
> 
> Quiero hacer eso mismo pero usando shorewall..y la verdad que no he
> encontrado NADA de como hacerlo.

(...)

En la wiki de Debian tienes un How-to (configuración con reenvío de 
paquetes), no sé si te servirá:

http://wiki.debian.org/HowTo/shorewall

Saludos,

-- 
Camaleón


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/kdu61u$g09$2...@ger.gmane.org

Re: Shorewall como gateway

[Edgar Vargas]

El 23/01/13, Josué Marrero Bermúdez  escribió:
> Mirando en la red he visto cientos de tutoriales de como configurar una PC
> con Debian y 2 interfaces de red ,  usando un script para Iptables
> convertirla en el gateway de la red local y permitir el uso de internet y
> demas servicios por los usuarios.
>
> Ahora.
>
> Quiero hacer eso mismo pero usando shorewall..y la verdad que no he
> encontrado NADA de como hacerlo.

Con iptables es solo dos lineas, shorewall es una herramienta que usa
iptables, te recomiendo que aprendas iptables, si lo aprendes bien
pues harás buenos muros, nunca he usado shorewall pero leyendo pues es
una herramienta que hace firewall y usa al final a iptables.

Amigo te recomiendo siempre leer, si hay documentacion y no digas que no.

La regla iptables que hace que tu pc sea gateway y router es simple:

crea un archivo firewall.sh y escribes:
#!/bin/bash
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

Creo que debian usa bash, para asegurarte que shell usa haces echo
$SHELL y enter, eth0 es la interfaz de cara a intenet o router, con
esa regla cuantas interfaces conectes a redes internas todas salen
afuera por eth0.

Para que inicie en boot time lo pones en rc.local y ya, debian no trae
un muro como CentOS por defecto.

Los cubanitos los encuentro en todos lados jejeje, en todas las lista
en fin, saludos.

>
> Alguien lo ha hecho que me de una luz en el asunto?
>
> Saludos
>
> Josué
>
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: http://lists.debian.org/86C004BB576E45B1919B0EF4EFF19C02@dbsrv
>
>


--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/cajsw1spzlcvzcdef2vuaof6sakmhe74phyaxhserxcbxgmu...@mail.gmail.com

Re: Shorewall como gateway

[Gonzalo L. Campos Medina]

El día 23 de enero de 2013 15:38, Josué Marrero Bermúdez
 escribió:
> Mirando en la red he visto cientos de tutoriales de como configurar una PC
> con Debian y 2 interfaces de red ,  usando un script para Iptables
> convertirla en el gateway de la red local y permitir el uso de internet y
> demas servicios por los usuarios.
>
> Ahora.
>
> Quiero hacer eso mismo pero usando shorewall..y la verdad que no he
> encontrado NADA de como hacerlo.
>
> Alguien lo ha hecho que me de una luz en el asunto?
>
> Saludos
>
> Josué
>
>
>
--

http://www.shorewall.net/Documentation_Index.html

-- 
Gonzalo L. Campos Medina
http://www.ubuntu.com | http://www.ubuntu-es.org | http://www.ubuntu-pe.org
L.R.U. #344192 | U.R.U. #161
Freenode #ubuntu-es #edubuntu-es #ubuntu-pe


--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/caaor6xooemfwkgr3rgjeyimhzh-jf4y005zkjhng61eygtk...@mail.gmail.com

Re: Shorewall como gateway

[CHACO]

Hombre, es abdurso y ridículo que diga que no ha encontrado documentación.

Lea la documentación básica de shorewall y en google aparecen miles de
resultados de shorewall + gateway.

Saludos,


2013/1/23 Josué Marrero Bermúdez 

> Mirando en la red he visto cientos de tutoriales de como configurar una PC
> con Debian y 2 interfaces de red ,  usando un script para Iptables
> convertirla en el gateway de la red local y permitir el uso de internet y
> demas servicios por los usuarios.
>
> Ahora.
>
> Quiero hacer eso mismo pero usando shorewall..y la verdad que no he
> encontrado NADA de como hacerlo.
>
> Alguien lo ha hecho que me de una luz en el asunto?
>
> Saludos
>
> Josué
>
>
> --
> To UNSUBSCRIBE, email to 
> debian-user-spanish-REQUEST@**lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: http://lists.debian.org/**86C004BB576E45B1919B0EF4EFF19C**
> 02@dbsrv 
>
>


-- 
Diego Chacón Rojas
diego.cha...@gmail.com
San Jose Costa Rica

.-.
/v\L   I   N   U   X
   // \\
  /(   )\
^^-^^
"This is Unix-Land. In quiet nights, you can hear the Windows machines
reboot"
USER350910
MACHINE 244435
No me envie correos en formatos propietarios
http://www.gnu.org/philosophy/no-word-attachments.es.html
http://www.debian.org/intro/about.es.html

Re: Shorewall

[Sergio Villalba]

Que tiene definido en el archivo "interfaces", "zones", "masq" y "rules"??

Interfaces algo asi??
eth0 -> loc
eth1 -> net

Masq algo asi?
eth1 eth0

rules??

Efectivamente el error esta relacionado con las DNS...una prueba desde
mi punto de vista, sería verificar el acceso al servidor Web desde la
red privada, si todo funciona correctamente y el FW no te bloquea el
acceso, verificar las reglas para la peticiones desde la "net"

Un saludo.

El día 19 de julio de 2012 17:07, Camaleón  escribió:
> El Thu, 19 Jul 2012 13:19:09 +, a a escribió:
>
>> Precisamente eso es lo que me tiene confundido, estoy intentando
>> acceder al servidor web a través de la IP publica y no me
>> responde la petición, y revisando el log el rastro que consigo es
>> eso.
>
> (...)
>
> Pero el log -como te comentaba Ferran- te registra una petición al puerto
> 53/UDP (servidor DNS) que es rechazada (drop) por Shorewall, seguramente
> porque no le has dicho lo que tiene que hacer con este tipo de
> solicitudes.
>
> Saludos,
>
> --
> Camaleón
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
> Archive: http://lists.debian.org/ju97rs$nho$1...@dough.gmane.org
>


--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/CA+YLrTANenRiCTD6L-WAUHjimu63ZMdEwb6=gms1nsdrwdd...@mail.gmail.com

Re: Shorewall

[Camaleón]

El Thu, 19 Jul 2012 13:19:09 +, a a escribió:

>     Precisamente eso es lo que me tiene confundido, estoy intentando
>     acceder al servidor web a través de la IP publica y no me
>     responde la petición, y revisando el log el rastro que consigo es
>     eso.

(...)

Pero el log -como te comentaba Ferran- te registra una petición al puerto 
53/UDP (servidor DNS) que es rechazada (drop) por Shorewall, seguramente 
porque no le has dicho lo que tiene que hacer con este tipo de 
solicitudes.

Saludos,

-- 
Camaleón


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/ju97rs$nho$1...@dough.gmane.org

RE: Shorewall

[a a]

    Saludos.

    Precisamente eso es lo que me tiene confundido, estoy intentando acceder al 
servidor web a través de la IP publica y no me responde la petición, y 
revisando el log el rastro que consigo es eso.


    Alguno tiene alguna idea de que puedo estar omitiendo en la configuración.



> Date: Wed, 18 Jul 2012 11:48:34 +0100
> From: dona...@gmail.com
> To: debian-user-spanish@lists.debian.org
> Subject: Re: Shorewall
> 
> * a a  [2012-07-17 18:56:51 +]:
> 
> > 
> > Buen día lista, reciban un cordial saludo.
> >    
> > Shorewall:net2loc:DROP: IN=eth1 OUT=eth0 SRC=200.x.x.x DST=192.168.x.x 
> > LEN=66 TOS=00 PREC=0x00 TTL=48 ID=45881 CE PROTO=UDP SPT=35944 DPT=53 LEN=46
>   
>   ^^
> Hola,
> 
> Parece que este log se refiere a una petición al puerto 53, no al 80
> como tienes definida en tu regla.
> 
> > Tengo definida la regla de la siguiente manera:
> >  
> > #ACTION SOURCE  DEST    PROTO   DEST    
> > SOURCE  ORIGINAL    RATE    USER/   MARK    
> > #   PORT    
> > PORT(S) DEST    LIMIT   GROUP
> > DNAT net loc:192.168.x.x tcp 80 
> > - 200.x.x.x
> >  
> > Cualquier orientación que me puedan dar al respecto.
> >  
> > Se lo agradecería,
> 
> 
> -- 
> Saludos,
> Ferran Donadie.
> 
> La muerte sólo tiene importancia en la medida en que nos hace
> reflexionar sobre el valor de la vida.
>   -- André Malrau. 
> 
> 
> -- 
> To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
> Archive: http://lists.debian.org/20120718104833.GA1906@cateto
> 
  

--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/bay171-w472b76b1b57d99b028beb8b3...@phx.gbl

Re: Shorewall

[Ferran Donadie]

* a a  [2012-07-17 18:56:51 +]:

> 
> Buen día lista, reciban un cordial saludo.
>    
> Shorewall:net2loc:DROP: IN=eth1 OUT=eth0 SRC=200.x.x.x DST=192.168.x.x LEN=66 
> TOS=00 PREC=0x00 TTL=48 ID=45881 CE PROTO=UDP SPT=35944 DPT=53 LEN=46

^^
Hola,

Parece que este log se refiere a una petición al puerto 53, no al 80
como tienes definida en tu regla.

> Tengo definida la regla de la siguiente manera:
>  
> #ACTION SOURCE  DEST    PROTO   DEST    
> SOURCE  ORIGINAL    RATE    USER/   MARK    
> #   PORT    
> PORT(S) DEST    LIMIT   GROUP
> DNAT net loc:192.168.x.x tcp 80 
> - 200.x.x.x
>  
> Cualquier orientación que me puedan dar al respecto.
>  
> Se lo agradecería,


-- 
Saludos,
Ferran Donadie.

La muerte sólo tiene importancia en la medida en que nos hace
reflexionar sobre el valor de la vida.
-- André Malrau. 


--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20120718104833.GA1906@cateto

Re: Shorewall + Squid Problema con Transparencia puerto 3128

[Josep Niubo Caselles]

El dv 06 de 05 de 2011 a les 12:34 +0200, en/na Camaleón va escriure:
> El 2011-05-05 a las 16:10 -0400, skorky duarte escribió:
> 
> (reenvío a la lista)
> 
> > Buenas
> > 
> > Hermano antes que nada un saludo y gracias de antemano por la luz que puedas
> > mostrarme.
> > 
> > Tengo un server debian squeeze con shorewall y squid para una red lan
> > 172.31.1.0
> > y he logrado configurar todo, exepto la transparencia del puerto 3128 para
> > los equipos clientes
> > no se si puedas ayudarme dandome una luz, a ver que me puede estar faltando
> > segun lo siguiente.
> > 
> > shorewall 4.4.11.6-3
> > squid  3.1.6-1.2
> > debian squeeze
> > 
> > #en squidconf
> > http_port 3128 transparent
> > 
> > # seccion del shorewall para el pto 3128 del squid
> > ACCEPT  loc $FW tcp 3128
> > REDIRECTloc 3128tcp
> > 80,8080
> > 
> > 


En la página web de Shorewall:
http://www.shorewall.net/Shorewall_Squid_Usage.html#Firewall
te indican las reglas necesarias para configurar squid transparente.

In /etc/shorewall/rules:

#ACTION SOURCE   DEST   PROTO   DEST PORT(S) SOURCE ORIGINAL
#PORT(S)DEST
ACCEPT$FWnet  tcp   www
REDIRECT  loc3128 tcp   www  


josep.







-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/1304693598.4269.10.camel@saiph

Re: Shorewall + Squid Problema con Transparencia puerto 3128

[Juan Antonio]

El 06/05/11 16:10, Juan Antonio escribió:
> El 06/05/11 15:39, skorky duarte escribió:
>> 11  3916 ACCEPT all  --  lo any anywhere anywhere
> Por favor, deja de responderme al privado. No voy a ponerme a leer todas
> esas reglas de iptables porque son un montón y estan realmente muy
> liadas. Prueba a añadir
>
> iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
> iptables -I FORWARD -i ethx -p tcp --dport 80 -j ACCEPT
>
> ethx es el interfaz de red que conecta tu red local.
>
> a ver si con eso sales a navegar. En caso contrario usa tcpdump para ver
> si las peticiones llegan o no a squid, si llegan revisa el log de
> squida  ver si dice algo.
>
> Un saludo.
>
>
Hola de nuevo,

cagada, el redirect se hace en PREROUTING asi que es probable que la
segunda regla sea

--dport 3128 y la cadena INPUT es decir

iptables -I INPUT -i ethx -p tcp --dport 3128 -j ACCEPT


Un saludo.


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4dc403e8.3070...@limbo.ari.es

Re: Shorewall + Squid Problema con Transparencia puerto 3128

[Juan Antonio]

El 06/05/11 15:39, skorky duarte escribió:
> 11  3916 ACCEPT all  --  lo any anywhere anywhere

Por favor, deja de responderme al privado. No voy a ponerme a leer todas
esas reglas de iptables porque son un montón y estan realmente muy
liadas. Prueba a añadir

iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -I FORWARD -i ethx -p tcp --dport 80 -j ACCEPT

ethx es el interfaz de red que conecta tu red local.

a ver si con eso sales a navegar. En caso contrario usa tcpdump para ver
si las peticiones llegan o no a squid, si llegan revisa el log de
squida  ver si dice algo.

Un saludo.


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4dc4016a.7020...@limbo.ari.es

Re: Shorewall + Squid Problema con Transparencia puerto 3128

[Juan Antonio]

El 06/05/11 15:20, skorky duarte escribió:
> # iptables -t nat -vnL PREROUTING
> Chain PREROUTING (policy ACCEPT 49602 packets, 14M bytes)
>  pkts bytes target prot opt in out source  
> destination
> 49699   14M dnat   all  --  *  *   0.0.0.0/0
> 0.0.0.0/0 
>
> Gracias camaleon por reenviar a la lista, no se en que estaba pensando
> (ya me estaba jalando los cabellos xD) que no envie a la lista!!!
>
> Ahora juan, gracias por responder, al configurar manualmente los
> navegadores lo hago con el puerto 3128, es decir (proxy 172.31.1.1
> puerto 3128) que es por donde escucha mi squid (ubicado en el equipo
> 172.31.1.1 y que tambien posee el shorewall) y alli si navega
> correctamente, asumo entonces que la redireccion es lo que estoy
> construyendo de manera erronea que el shorewall no la toma.
>
> Gracias de Antemano
Hola,

en la regla  has dejado el último campo que es el que interesa ver,
aunque tiene 14 megas de tráfico asi que el problema puede ser otro, en
cualquier caso pega la salida completa y por curiosidad pega la salida
de "iptables -vnL FORWARD".

Un saludo.

Re: Shorewall + Squid Problema con Transparencia puerto 3128

[Juan Antonio]

El 06/05/11 12:34, Camaleón escribió:
> El 2011-05-05 a las 16:10 -0400, skorky duarte escribió:
>
> (reenvío a la lista)
>
>> Buenas
>>
>> Hermano antes que nada un saludo y gracias de antemano por la luz que puedas
>> mostrarme.
>>
>> Tengo un server debian squeeze con shorewall y squid para una red lan
>> 172.31.1.0
>> y he logrado configurar todo, exepto la transparencia del puerto 3128 para
>> los equipos clientes
>> no se si puedas ayudarme dandome una luz, a ver que me puede estar faltando
>> segun lo siguiente.
>>
>> shorewall 4.4.11.6-3
>> squid  3.1.6-1.2
>> debian squeeze
>>
>> #en squidconf
>> http_port 3128 transparent
>>
>> # seccion del shorewall para el pto 3128 del squid
>> ACCEPT  loc $FW tcp 3128
>> REDIRECTloc 3128tcp
>> 80,8080
>>
>>
>> Resultado. logro navegar en los equipos clientes seteando manualmente el
>> proxy
>> pero al dejarlo automatico no lo consigo, que me puede estar faltando,
>> sugerencias?
>>
>> gracias de antemano.
>> -- 
>> ===
>> Debian is 'the rock upon which Ubuntu is built'.
>> Linux User # 483582
>> Url: http://www.covesolib.org/
>> Blog: http://linuxdesdevenezuela.blogspot.com
>> Skype: skorkyduarte
>> Móvil: +58.0412.804.34.67
>> 
> Saludos,
>
Hola,

no acabo de entender esa regla de iptables mostrada de esa manera, pega
un iptables -t nat -vnL PREROUTING a ver. Por otra parte, cuando
configuras el navegador para usar un proxy que dices que si te funciona
¿Que puerto configuras?

Un saludo.


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4dc3dbf9.4040...@limbo.ari.es

Re: Shorewall + Squid Problema con Transparencia puerto 3128

[Camaleón]

El 2011-05-05 a las 16:10 -0400, skorky duarte escribió:

(reenvío a la lista)

> Buenas
> 
> Hermano antes que nada un saludo y gracias de antemano por la luz que puedas
> mostrarme.
> 
> Tengo un server debian squeeze con shorewall y squid para una red lan
> 172.31.1.0
> y he logrado configurar todo, exepto la transparencia del puerto 3128 para
> los equipos clientes
> no se si puedas ayudarme dandome una luz, a ver que me puede estar faltando
> segun lo siguiente.
> 
> shorewall 4.4.11.6-3
> squid  3.1.6-1.2
> debian squeeze
> 
> #en squidconf
> http_port 3128 transparent
> 
> # seccion del shorewall para el pto 3128 del squid
> ACCEPT  loc $FW tcp 3128
> REDIRECTloc 3128tcp
> 80,8080
> 
> 
> Resultado. logro navegar en los equipos clientes seteando manualmente el
> proxy
> pero al dejarlo automatico no lo consigo, que me puede estar faltando,
> sugerencias?
> 
> gracias de antemano.
> -- 
> ===
> Debian is 'the rock upon which Ubuntu is built'.
> Linux User # 483582
> Url: http://www.covesolib.org/
> Blog: http://linuxdesdevenezuela.blogspot.com
> Skype: skorkyduarte
> Móvil: +58.0412.804.34.67
> 

Saludos,

-- 
Camaleón 


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20110506103417.ga5...@stt008.linux.site

Re: Shorewall + Zyxel 645R-A1

[Daniel Bareiro]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

El domingo 24 de agosto del 2008 a las 19:56:00 -0300,
Iñigo Tejedor Arrondo escribió:

>> Estoy haciendo en mi Zyxel 645R-A1 algunas pruebas para usarlo en
>> modalidad router. Hasta el momento lo venía usando en modo bridge sin
>> problemas conectado a una máquina Debian GNU/Linux oficiando de
>> router/firewall/gateway con Shorewall. Pero, puestos a probar, quería
>> ver que tal se comportaba funcionando bajo esta modalidad.
>>
>> Ya pude lograr tanto que el firewall GNU/Linux salga a Internet como los
>> equipos en mi red interna NATeando a través de él adaptando la
>> configuración de shorewall para que ahora el NAT lo haga a través de la
>> interfaz de red conectada directamente al Zyxel en vez de hacerlo via la
>> interfaz PPP que antes levantaba. El problema que ahora se me presenta y
>> que es aquel por el cual quiero consultarles es que perdí la «magia del
>> DNAT» que antes hacía mediante la máquina GNU/Linux. ¿Que
>> consideraciones debería tener en cuenta para poder seguir haciéndolo de
>> esta manera teniendo al Zyxel en modalidad router?

> Busca entre las opciones del Zyxel, para redirigir todos los puertos a
> tu shorewall.

> Antes se llamaba SUA server (en modelos más viejos de Zyxel) y la ip
> que ponagas como "default" le van todos los puertos.

> Si no, tendrás que redirigir puerto por puerto. Pero bueno, no es un
> tema de tu Debian... es un tema del router :-)

Te comento que probé yendo al menú 15 (NAT Setup) -> 2 (NAT Server Sets)
- -> 1 (Server Set 1 (Used for SUA Only)) y allí deje la configuración de
la siguiente manera, siendo 192.168.1.2 la IP de la interfaz del
firewall con GNU/Linux:

1.Default  Default0.0.0.0
2.8080192.168.1.2

La primera línea la tuve que dejar porque si no el Zyxel no se conectaba
a Internet. Pero la regla del puerto 80 no me funcionó. Ahora bien, si
agrego una regla para el puerto SSH, ahí sí puedo llegar desde Internet
a la máquina con GNU/Linux que está inmediatamente detrás del router,
pero el problema parece estar con las que se encuentran detrás de esta.

¿Será que me estará faltando configurar algo adicional en el Zyxel o
bien en el Shorewall?

Gracias por responder, Iñigo

Saludos,
Daniel

-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAki5a/gACgkQZpa/GxTmHTd0HQCaA+jolMLDb/HmhB8K7SHheV1n
ImkAn0KuyQH5k6mrUWOI/F6ZlExntk+f
=aOLT
-END PGP SIGNATURE-


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Shorewall + Zyxel 645R-A1

[Daniel Bareiro]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

El domingo 24 de agosto del 2008 a las 20:00:24 -0300,
Julián Esteban Perconti escribió:

>>> Estoy haciendo en mi Zyxel 645R-A1 algunas pruebas para usarlo en
>>> modalidad router. Hasta el momento lo venía usando en modo bridge
>>> sin problemas conectado a una máquina Debian GNU/Linux oficiando de
>>> router/firewall/gateway con Shorewall. Pero, puestos a probar,
>>> quería ver que tal se comportaba funcionando bajo esta modalidad.
>>>
>>> Ya pude lograr tanto que el firewall GNU/Linux salga a Internet como
>>> los equipos en mi red interna NATeando a través de él adaptando la
>>> configuración de shorewall para que ahora el NAT lo haga a través de
>>> la interfaz de red conectada directamente al Zyxel en vez de hacerlo
>>> via la interfaz PPP que antes levantaba. El problema que ahora se me
>>> presenta y que es aquel por el cual quiero consultarles es que perdí
>>> la «magia del DNAT» que antes hacía mediante la máquina GNU/Linux.
>>> ¿Que consideraciones debería tener en cuenta para poder seguir
>>> haciéndolo de esta manera teniendo al Zyxel en modalidad router?

> Hola, perdon que me meta para no cooperar con el asunto, pero.. este
> metodo (al margen de usar shorewall, firestarter, iptables en crudo o
> lo que sea) es mejor que usar el modem como modem (valga la
> redundancia) y usar la interface ppp0?
> a nivel performance, seguridad, etc.

Hola Julián.

En realidad mi duda apuntaba a querer hacer esto por un tema de
simplicidad en la gestión y está relacionado con tener una máquina
GNU/Linux con salida a Internet a través de dos conexiones ADSL o ADSL y
cable modem para una oficina. Entonces de esta manera administraría las
reglas de DNAT y filtrado para ambos routers de forma centralizada en la
máquina con GNU/Linux. Por otro lado, quitaría la complejidad en la
máquina con GNU/Linux agregada por la capa PPP pudiendo usa una ips y un
gateway fijo para cada conexión en este equipo haciendo eso que pueda
usar esta solución con cualquier conexión que tenga ip fija y ya no
importaría si es ADSL o no.

Saludos,
Daniel

-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAkizAlAACgkQZpa/GxTmHTfeRwCfU9xTi0F9KUPUA/Nxjtkdr6QY
dHsAn1pxo10ngmgXusEBvltiQeTSSI1E
=Fiqw
-END PGP SIGNATURE-


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Shorewall + Zyxel 645R-A1

[Julián Esteban Perconti]

Iñigo Tejedor Arrondo escribió:

El día 24 de agosto de 2008 22:41, Daniel Bareiro
<[EMAIL PROTECTED]> escribió:
  

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Hola!

Estoy haciendo en mi Zyxel 645R-A1 algunas pruebas para usarlo en
modalidad router. Hasta el momento lo venía usando en modo bridge sin
problemas conectado a una máquina Debian GNU/Linux oficiando de
router/firewall/gateway con Shorewall. Pero, puestos a probar, quería
ver que tal se comportaba funcionando bajo esta modalidad.

Ya pude lograr tanto que el firewall GNU/Linux salga a Internet como los
equipos en mi red interna NATeando a través de él adaptando la
configuración de shorewall para que ahora el NAT lo haga a través de la
interfaz de red conectada directamente al Zyxel en vez de hacerlo via la
interfaz PPP que antes levantaba. El problema que ahora se me presenta y
que es aquel por el cual quiero consultarles es que perdí la «magia del
DNAT» que antes hacía mediante la máquina GNU/Linux. ¿Que
consideraciones debería tener en cuenta para poder seguir haciéndolo de
esta manera teniendo al Zyxel en modalidad router?

Gracias anticipadas por responder.



Busca entre las opciones del Zyxel, para redirigir todos los puertos a
tu shorewall.
Antes se llamaba SUA server (en modelos más viejos de Zyxel) y la ip
que ponagas como "default" le van todos los puertos.
Si no, tendrás que redirigir puerto por puerto. Pero bueno, no es un
tema de tu Debian... es un tema del router :-)


  

Saludos,
Daniel

Hola, perdon que me meta para no cooperar con el asunto, pero.. este 
metodo (al margen de usar shorewall, firestarter, iptables en crudo o lo 
que sea) es mejor que usar el modem como modem (valga la redundancia) y 
usar la interface ppp0?

a nivel performance, seguridad, etc.
Saludos.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Shorewall + Zyxel 645R-A1

[Iñigo Tejedor Arrondo]

El día 24 de agosto de 2008 22:41, Daniel Bareiro
<[EMAIL PROTECTED]> escribió:
> -BEGIN PGP SIGNED MESSAGE-
> Hash: SHA1
>
> Hola!
>
> Estoy haciendo en mi Zyxel 645R-A1 algunas pruebas para usarlo en
> modalidad router. Hasta el momento lo venía usando en modo bridge sin
> problemas conectado a una máquina Debian GNU/Linux oficiando de
> router/firewall/gateway con Shorewall. Pero, puestos a probar, quería
> ver que tal se comportaba funcionando bajo esta modalidad.
>
> Ya pude lograr tanto que el firewall GNU/Linux salga a Internet como los
> equipos en mi red interna NATeando a través de él adaptando la
> configuración de shorewall para que ahora el NAT lo haga a través de la
> interfaz de red conectada directamente al Zyxel en vez de hacerlo via la
> interfaz PPP que antes levantaba. El problema que ahora se me presenta y
> que es aquel por el cual quiero consultarles es que perdí la «magia del
> DNAT» que antes hacía mediante la máquina GNU/Linux. ¿Que
> consideraciones debería tener en cuenta para poder seguir haciéndolo de
> esta manera teniendo al Zyxel en modalidad router?
>
> Gracias anticipadas por responder.

Busca entre las opciones del Zyxel, para redirigir todos los puertos a
tu shorewall.
Antes se llamaba SUA server (en modelos más viejos de Zyxel) y la ip
que ponagas como "default" le van todos los puertos.
Si no, tendrás que redirigir puerto por puerto. Pero bueno, no es un
tema de tu Debian... es un tema del router :-)


> Saludos,
> Daniel

Re: shorewall y webmin(mas datos)

[Guimi]

Gracias por la preocupacion, finalmente, como no tendre que hacer cambios en
forma muy seguida, me decante por crear el script de iptables yo mismo.
De todas maneras luego vere como agregarlo al init, para no tener que
correrlo a mano cada vez que reinicio.



Sobre como lanzar iptables al inicio, disponer de un script de parada e 
inicio (start / stop), etc:

http://www.guimi.net/index.php?pag_id=tec-docs/recetas/iptables.html

Saludos
Güimi
http://guimi.net
--
Por el bien de todos respetemos las normas de la lista:
http://wiki.debian.org/NormasLista


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

RE: RE: shorewall y webmin(mas datos)

[Erik Hurtado Sepulveda (HE / ZAPTV)]

 

> -Mensaje original-
> De: news [mailto:[EMAIL PROTECTED] En nombre de hoock
> Enviado el: Martes, 20 de Junio de 2006 11:57
> Para: debian-user-spanish@lists.debian.org
> Asunto: Re: RE: shorewall y webmin(mas datos)
> 
> El Mon, 19 Jun 2006 03:01:15 -0400, Erik Hurtado Sepulveda 
> (HE / ZAPTV)
> escribió:
> 
> > -Mensaje original-
> > De: Erik Hurtado Sepulveda (HE / ZAPTV) [mailto:[EMAIL PROTECTED] 
> > Enviado el: Lunes, 19 de Junio de 2006 2:13
> > Para: debian-user-spanish@lists.debian.org
> > Asunto: shorewall y webmin
> > 
> > Hola lista
> > 
> > Tengo un pequeño problema con el shorewall, tengo un equipo con 2 
> > tarjetas de red
> > 
> > Eth0(red local)(ip estatica)
> > Eth1(conectada a un router adsl)(tomando direccion por 
> DHCP) Ppp0(la 
> > dichosa pppoverethernet)(direccion por DHCP)
> > 
> > Cuando estoy configurando el shorewall, le coloco zonas 
> eth0(local) y
> > ppp0(wan)
> > 
> > Configuro los servicios y las politicas por defecto
> > 
> > Servicios
> > Puerto 80   htttpd
> > Puerto 3269 ssh(no me gusta dejar el 22)
> > 
> > 
> > 
> > Politicas
> > Forward ACCEPT
> > OUTPUT  ACCEPT
> > INPUT   DROP
> > 
> > 
> > Configurado el masquerading de eth0 a travez de ppp0 Y otra 
> regla que 
> > me acepta cualquier cosa desde una ip fija para administracion
> > 
> > Hago el shorewall check y no encuentra problemas
> > 
> > Hago shorewall start y
> > 
> > Failed to start firewall :
> > 
> > Loading /usr/share/shorewall/functions...
> > Processing /etc/shorewall/shorewall.conf...
> > Loading Modules...
> > Starting Shorewall...
> > Initializing...
> > ..
> > 
> Podrías poner el archivo de zones y el de rules para echar un vistazo?
> 
> 
> --
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact 
> [EMAIL PROTECTED]
> 

Gracias por la preocupacion, finalmente, como no tendre que hacer cambios en
forma muy seguida, me decante por crear el script de iptables yo mismo.
De todas maneras luego vere como agregarlo al init, para no tener que
correrlo a mano cada vez que reinicio.

Re: RE: shorewall y webmin(mas datos)

[hoock]

El Mon, 19 Jun 2006 03:01:15 -0400, Erik Hurtado Sepulveda (HE / ZAPTV)
escribió:

> -Mensaje original-
> De: Erik Hurtado Sepulveda (HE / ZAPTV) [mailto:[EMAIL PROTECTED] 
> Enviado el: Lunes, 19 de Junio de 2006 2:13
> Para: debian-user-spanish@lists.debian.org
> Asunto: shorewall y webmin
> 
> Hola lista
> 
> Tengo un pequeño problema con el shorewall, tengo un equipo con 2 tarjetas
> de red
> 
> Eth0(red local)(ip estatica)
> Eth1(conectada a un router adsl)(tomando direccion por DHCP) Ppp0(la dichosa
> pppoverethernet)(direccion por DHCP)
> 
> Cuando estoy configurando el shorewall, le coloco zonas eth0(local) y
> ppp0(wan)
> 
> Configuro los servicios y las politicas por defecto
> 
> Servicios
> Puerto 80 htttpd
> Puerto 3269   ssh(no me gusta dejar el 22)
> 
> 
> 
> Politicas
> Forward   ACCEPT
> OUTPUTACCEPT
> INPUT DROP
> 
> 
> Configurado el masquerading de eth0 a travez de ppp0 Y otra regla que me
> acepta cualquier cosa desde una ip fija para administracion
> 
> Hago el shorewall check y no encuentra problemas
> 
> Hago shorewall start y
> 
> Failed to start firewall :
> 
> Loading /usr/share/shorewall/functions...
> Processing /etc/shorewall/shorewall.conf...
> Loading Modules...
> Starting Shorewall...
> Initializing...
> ..
> 
Podrías poner el archivo de zones y el de rules para echar un vistazo?


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

RE: shorewall y webmin(mas datos)

[Erik Hurtado Sepulveda (HE / ZAPTV)]

 

-Mensaje original-
De: Erik Hurtado Sepulveda (HE / ZAPTV) [mailto:[EMAIL PROTECTED] 
Enviado el: Lunes, 19 de Junio de 2006 2:13
Para: debian-user-spanish@lists.debian.org
Asunto: shorewall y webmin

Hola lista

Tengo un pequeño problema con el shorewall, tengo un equipo con 2 tarjetas
de red

Eth0(red local)(ip estatica)
Eth1(conectada a un router adsl)(tomando direccion por DHCP) Ppp0(la dichosa
pppoverethernet)(direccion por DHCP)

Cuando estoy configurando el shorewall, le coloco zonas eth0(local) y
ppp0(wan)

Configuro los servicios y las politicas por defecto

Servicios
Puerto 80   htttpd
Puerto 3269 ssh(no me gusta dejar el 22)



Politicas
Forward ACCEPT
OUTPUT  ACCEPT
INPUT   DROP


Configurado el masquerading de eth0 a travez de ppp0 Y otra regla que me
acepta cualquier cosa desde una ip fija para administracion

Hago el shorewall check y no encuentra problemas

Hago shorewall start y

Failed to start firewall :

Loading /usr/share/shorewall/functions...
Processing /etc/shorewall/shorewall.conf...
Loading Modules...
Starting Shorewall...
Initializing...
..

..
Activating Rules...
   Error: No appropriate chain for zone fw to zone eth0

Eso seria no se ve ninguna otra cosa significativa en los logs


Agradesco sus respuestas

Atte

EHS


Con el debug de shorewall encontre esto no se si les pueda ayudar

++ eval 'chain=$fw2eth0_policychain'
+++ chain=
++ '[' -n '' ']'
++ fatal_error 'No appropriate chain for zone fw to zone eth0'
++ echo '   Error: No appropriate chain for zone fw to zone eth0'
   Error: No appropriate chain for zone fw to zone eth0
++ '[' start = check ']'
++ stop_firewall
++ '[' -n /var/lib/shorewall/shorewall.3zbN0b ']'
++ rm -f /var/lib/shorewall/shorewall.3zbN0b
++ set +x

Re: RE: shorewall - personal o profesional?

[gustavo ruiz limon]

sabes de computacion? comunicate conmigo, quiero 
publicar mi tesis en educ. especial pero solo se graba en msn. que hago? 
posdata...nos llamamos igual por eso te molesto

Re: shorewall

[nmag only]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Oops!, sorry era al puerto 23, de todas formas podrías poner una regla que
sólo permita conexión al 192.168.1.1 al puerto 23 de forma local (es decir
la maquina que tiene ip 192.168.1.5)

Saludos!

nmag only
_

nmag only escribió::
> Podrías bloquear el acceso al puerto 20, pero lo mejor sería poner los
> canales INPUT y FORWARD en DROP y después empezar a habilitar los puertos a
> los que tienes acceso, eso es mejor aunque más tedioso.
>
> Saludos!
>
> nmag only
> _
>
> jaume escribió::
>
>>Hola lista.
>>Mi pregunta es muy simple, lo que pasa es que no caigo en qué parámetro
>>tengo que tocar...
>>Tengo un firewall debian con shorewall instalado con 2 interfaces: eth0
>>y eth1.
>>
>>eth0: conectado a lan (hub) con ip 192.0.2.1
>>eth1: conectado al router directamente con ip: 192.168.1.5
>>router: ip 192.168.1.1.
>>
>>todo funciona correctamente, pero se produce una situación que no me gusta:
>>- cuando hago telnet 192.168.1.1 desde qualguier ordenador de la red
>>interna, funciona, y puedo acceder al router. Alguien sabe porqué? es
>>normal?
>>
>>Gracias.
>>
>>Jaume Ponsa
>>
>
>
>
> --
> nmag only
>
> PERUGROUP [http://www.perugroup.com/]
> Soluciones Integrales en Sistemas
> Calle Mercaderes 224 - Of. 325 - Cercado - Arequipa - Perú
> Telefono: 511(054)200986Fax: 511(054)223830
>
> gnupg keyID: 0x8F6F6E58 [http://pgp.mit.edu/]
> last update: 2003-05-21
> fingerprint: FB75 3F34 7001 90B2 0DE6  45AC B89A E53B 8F6F 6E58
> GNU/Linux Registered User #312624
>


- --
nmag only

PERUGROUP [http://www.perugroup.com/]
Soluciones Integrales en Sistemas
Calle Mercaderes 224 - Of. 325 - Cercado - Arequipa - Perú
Telefono: 511(054)200986Fax: 511(054)223830

gnupg keyID: 0x8F6F6E58 [http://pgp.mit.edu/]
last update: 2003-05-21
fingerprint: FB75 3F34 7001 90B2 0DE6  45AC B89A E53B 8F6F 6E58
GNU/Linux Registered User #312624

-BEGIN PGP SIGNATURE-
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using GnuPG with Debian - http://enigmail.mozdev.org

iD8DBQE+2yNQuJrlO49vblgRApXfAJ9Ywncepm7kSvHrtQQTGmPoLN7NzwCePypb
1H2SdjY2SSj4hxXfY/0ixkE=
=l1B9
-END PGP SIGNATURE-

Re: shorewall

[nmag only]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Podrías bloquear el acceso al puerto 20, pero lo mejor sería poner los
canales INPUT y FORWARD en DROP y después empezar a habilitar los puertos a
los que tienes acceso, eso es mejor aunque más tedioso.

Saludos!

nmag only
_

jaume escribió::
> Hola lista.
> Mi pregunta es muy simple, lo que pasa es que no caigo en qué parámetro
> tengo que tocar...
> Tengo un firewall debian con shorewall instalado con 2 interfaces: eth0
> y eth1.
>
> eth0: conectado a lan (hub) con ip 192.0.2.1
> eth1: conectado al router directamente con ip: 192.168.1.5
> router: ip 192.168.1.1.
>
> todo funciona correctamente, pero se produce una situación que no me gusta:
> - cuando hago telnet 192.168.1.1 desde qualguier ordenador de la red
> interna, funciona, y puedo acceder al router. Alguien sabe porqué? es
> normal?
>
> Gracias.
>
> Jaume Ponsa
>


- --
nmag only

PERUGROUP [http://www.perugroup.com/]
Soluciones Integrales en Sistemas
Calle Mercaderes 224 - Of. 325 - Cercado - Arequipa - Perú
Telefono: 511(054)200986Fax: 511(054)223830

gnupg keyID: 0x8F6F6E58 [http://pgp.mit.edu/]
last update: 2003-05-21
fingerprint: FB75 3F34 7001 90B2 0DE6  45AC B89A E53B 8F6F 6E58
GNU/Linux Registered User #312624

-BEGIN PGP SIGNATURE-
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using GnuPG with Debian - http://enigmail.mozdev.org

iD8DBQE+2yC5uJrlO49vblgRAtvhAJ0enSEWJzwXnvHlO6+89pi6Ym+drQCfR2/G
ydZSifJnJvMSKiacjkKkg7E=
=7cJL
-END PGP SIGNATURE-

Re: shorewall

[Bernardo Arlandis Mañó]

jaume wrote:


Tengo una regla que deja pasar todo lo local hacia internet, pero no deberia
afectar y hacer lo que me pasa...

 

La configuración de un firewall no es trivial. Tendrás alguna política o 
regla que lo permite. Si vas a administrar el firewall conviene que 
mires bien los manuales para entender bien como funciona. Comprueba el 
control de tráfico que haces entre las 2 redes internas, algo se te 
habrá pasado por alto.


--
Bernardo

re: shorewall

[emilio]

Hola!

Vamos a ver. Si lo que quieres es que desde la red interna no puedas
acceder al router a traves de telnet lo que tienes que hacer es poner una
regla que tire esos paquetes por el puerto 23. En contraposicion a lo que
dices, lo que tienes puesto es una politica del estilo:

ACCEPT loc net all

 Con esto lo que le estas diciendo es que cualquier conexion que vaya
direccion la interfaz eth1 con origen en eth0 la deje pasar. Dentro de este
rango se encuentran las peticiones al puerto 23. Tendras que poner en las
reglas(no en las politicas) algo del estilo:

DROP loc net 23

De esta manera cerraras el puerto a conexiones telnet desde la red interna.


Un saludo

-Mensaje original-
De: jaume [mailto:[EMAIL PROTECTED]
Enviado el: lunes, 02 de junio de 2003 13:35
Para: debian-user-spanish@lists.debian.org
CC: debian-user-spanish@lists.debian.org
Asunto: shorewall


Tengo una regla que deja pasar todo lo local hacia internet, pero no deberia
afectar y hacer lo que me pasa...


> jaume wrote:
>
> > Hola lista.
> > Mi pregunta es muy simple, lo que pasa es que no caigo en qué
> > parámetro tengo que tocar...
> > Tengo un firewall debian con shorewall instalado con 2 interfaces:
> > eth0 y eth1.
> >
> > eth0: conectado a lan (hub) con ip 192.0.2.1
> > eth1: conectado al router directamente con ip: 192.168.1.5
> > router: ip 192.168.1.1.
> >
> > todo funciona correctamente, pero se produce una situación que no me
> > gusta:
> > - cuando hago telnet 192.168.1.1 desde qualguier ordenador de la
> > red interna, funciona, y puedo acceder al router. Alguien sabe porqué?
> > es normal?
> >
> > Gracias.
> >
> > Jaume Ponsa
> >
> Te deberías explicar un poco mejor. Supongo que tendrás configurado para
> que todas las máquinas puedan acceder al router, ¿no? En ese caso, si no
> tienes una regla en el firewall debian o en el router que lo impida es
> normal lo que dices.
>
> --
> Bernardo
>
>
>
> --
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact
[EMAIL PROTECTED]
>
>
>



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact
[EMAIL PROTECTED]

Re: shorewall

[Victor Calzado Mayo]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

hola
On Monday 02 June 2003 13:35, jaume wrote:
> Tengo una regla que deja pasar todo lo local hacia internet, pero no
> deberia afectar y hacer lo que me pasa...
>
Ten en cuenta que a efectos prácticos para la red que está detrás del firewall 
tu router ya es "internet" ( una red a la que no tienen acceso sin utilizar 
su gateway ) dependiendo de como tengas la regla que les permite salir lo 
verán o no, pero bueno reescribe la regla diciendo que a todas partes menos a 
la ip interna del router ni a la pública

un saludo
Victor

- -- 
Lo que la naturaleza no da
O'reilly & Associates no lo prestan
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.2.1 (GNU/Linux)

iD8DBQE+2z2mEzqHF8R72ekRAqc7AJ9mXJio1SoGihLOwfY4VwNYZu/JfgCeNtQ9
FN3PZY4iJnr9hC61IxtfJzk=
=Xy3o
-END PGP SIGNATURE-

Re: shorewall

[Bernardo Arlandis Mañó]

jaume wrote:


Hola lista.
Mi pregunta es muy simple, lo que pasa es que no caigo en qué 
parámetro tengo que tocar...
Tengo un firewall debian con shorewall instalado con 2 interfaces: 
eth0 y eth1.
 
eth0: conectado a lan (hub) con ip 192.0.2.1

eth1: conectado al router directamente con ip: 192.168.1.5
router: ip 192.168.1.1.
 
todo funciona correctamente, pero se produce una situación que no me 
gusta:
- cuando hago telnet 192.168.1.1 desde qualguier ordenador de la 
red interna, funciona, y puedo acceder al router. Alguien sabe porqué? 
es normal?
 
Gracias.
 
Jaume Ponsa


Te deberías explicar un poco mejor. Supongo que tendrás configurado para 
que todas las máquinas puedan acceder al router, ¿no? En ese caso, si no 
tienes una regla en el firewall debian o en el router que lo impida es 
normal lo que dices.


--
Bernardo

Re: shorewall - personal o profesional?

[Bernardo Arlandis Mañó]

Gustavo Ruiz wrote:


Hasta dónde yo sé, Shorewall no es un firewall en si mismo, se basa en
iptables y lo que hace es proporcionarte un "front-end" desde dónde
poder configurar con reglas "legibles" lo que quieres hacer con el
iptables.
Reglas del tipo " WAN a LAN accept port 21", no son exactamente así pero
para que te hagas a la idea de la sencillez. También puedes configurar a
través de él las reglas de NAT.
Sólo se ejecuta cuando inicias la máquina con objeto de traducir tus
reglas al formato de las de iptables o sea que no lo busques corriendo
con el ps.
Si me equivoco que alguien me corrija porque yo lo uso a nivel
profesional y no querría estar equivocado.
Saludos.

Gustavo Ruiz.
 

Si no es un firewall, ¿cómo lo usas entonces? Porque la persona que ha 
preguntado primero a lo mejor está ahora confundido.
Yo lo veo como un firewall completo con algunas funciones extra, hace 
uso de las facilidades del kernel, pero por eso no creo que deje de ser 
un firewall. Porque iptables no es un firewall.
Contestando a la otra persona sobre si es suficientemente bueno para 
usarlo a nivel profesional, supongo que sí, mirando la documentación 
deberías saber si tiene todo lo que necesitas. Puedes compararlo también 
con las alternativas.


--
Bernardo

RE: shorewall - personal o profesional?

[Gustavo Ruiz]

Hasta dónde yo sé, Shorewall no es un firewall en si mismo, se basa en
iptables y lo que hace es proporcionarte un "front-end" desde dónde
poder configurar con reglas "legibles" lo que quieres hacer con el
iptables.
Reglas del tipo " WAN a LAN accept port 21", no son exactamente así pero
para que te hagas a la idea de la sencillez. También puedes configurar a
través de él las reglas de NAT.
Sólo se ejecuta cuando inicias la máquina con objeto de traducir tus
reglas al formato de las de iptables o sea que no lo busques corriendo
con el ps.
Si me equivoco que alguien me corrija porque yo lo uso a nivel
profesional y no querría estar equivocado.
Saludos.

Gustavo Ruiz.
-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact
[EMAIL PROTECTED]