Consulta Iptables
Sebastian Antunez Noguera [EMAIL PROTECTED] wrote:
Estimados, debo configurar un firewall con Fedora Core 7
Usa CentOS mas mejor para esa clase de tareas.
usando IPTABLES, en
el mismo server debo dar acceso a Internet a 15 usuarios, y el server de
Firewall debe tener el server de correo, web y DNS o sea todo en una mismo
server,
Mala idea.
ya que la empresa es pequeña no encontraron necesario invertir en un
equipo para web y correo en DMZ, si que todo debe ser en el mismo server de
firewall.
Urgh.
Ni siquiera pueden prescindir de un tarro de desecho? Lo digo en serio,
para cortafuegos chico/mediano hasta un P3/350 es mas que adecuado (buena
placa, buenas tarjetas de red eso si). Lo unico malo de esos equipos es que
(por vejez) suelen fallar...
Y mas aun, para servidor Fedora no es recomendable (no porque no funcione
(anda de pelos!), el problema es que tiene vida de como un an~o, y a migrar
se ha dicho...; con CentOS tienes unos pocos an~os para decidir cuando
migrar).
El Script de IPTABLES que tengo es el siguiente:
## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
#Politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
No. El esquema /tiene/ que ser: Se acepta solo lo que se indica
explicitamente, /todo/ lo demas se rechaza.
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
#Politica de Locahost
iptables -A INPUT -i lo -j ACCEPT
# Port 25 - 53 - 80 y 110
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT
#Salida de usuarios LAN
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT
# Denegación
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -j DROP
No tiene sentido, ya dejaste pasar todo eso sin NAT... y DROP es grosero,
debiera siempre (salvo casos /muy/ *bien* justificados) ser REJECT.
#BIT DE FORWARDING
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
Jamas llegara aca, creo...
#Forward de Paquetes
echo 1 /proc/sys/net/ipv4/ip_forward
# Cerrado de Ports
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p tcp -dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p udp -dport 1:1024 -j DROP
Les agradeceré su consejo para mejorar si es posible este script, o con lo
que muestro serÃa suficiente para esta red.
Dinos que quieres lograr, te podremos ayudar a disen~ar algo...
Usa las herramientas de la distribucion para definir las reglas si no
quieres hacerlo a mano (system-config-security o algo asi).
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de InformaticaFono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513
From [EMAIL PROTECTED] Tue Dec 18 15:17:16 2007
From: [EMAIL PROTECTED] (Horst H. von Brand)
Date: Tue Dec 18 15:20:15 2007
Subject: Programando
In-Reply-To: [EMAIL PROTECTED]
References: [EMAIL PROTECTED]
Message-ID: [EMAIL PROTECTED]
zerobatu [EMAIL PROTECTED] wrote:
me gustarÃa que me ayuden con un problemita
estoy programando unos programillas básicos en C para
ver como trabajan las librerÃas y después hacer algo mas grande
y bonito (no piensen en el pic... no es eso).
OK.
pero por ejemplo
cuando trato de compilar algo como esto:
---
#include stdio.h
#include ncurses.h
main
{
move(15,20);
printf(HOLA MUNDO\n);
}
---
Revisa la biblioteca ncurses (si, es un lio usarla; si, es lo que hay; no,
tontear via escribir secuencias de escape a la pantalla no es aceptable;
no, es que aca funciona no es suficiente).
me tira el siguiente error:
[EMAIL PROTECTED]:~$ gcc -o ejem ejemplo.c
ejemplo.c:3:21: error: ncurses.h: No existe el fichero ó directorio
[EMAIL PROTECTED]:~$
Tienes que instalar algo llamado ncurses-devel o similar para desarrollar
programas con la biblioteca del caso.
si alguien me puede ayudar o si conoce algún programa para desarrollar en
IDE se lo agradecerÃa
Jum... emacs. xemacs. anjuta. eclipse. Si le haces a Gnome, glade; si a
KDE, Kdevelop (creo), y le tienes que hacerle al C++.
Para aplicaciones de cara al
Consulta Iptables
El lun, 17-12-2007 a las 15:18 -0300, Sebastian Antunez Noguera
escribió:
Estimados, debo configurar un firewall con Fedora Core 7 usando IPTABLES, en
el mismo server debo dar acceso a Internet a 15 usuarios, y el server de
Firewall debe tener el server de correo, web y DNS o sea todo en una mismo
server, ya que la empresa es pequeña no encontraron necesario invertir en un
equipo para web y correo en DMZ, si que todo debe ser en el mismo server de
firewall.
El Script de IPTABLES que tengo es el siguiente:
## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
#Politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
#Politica de Locahost
iptables -A INPUT -i lo -j ACCEPT
# Port 25 - 53 - 80 y 110
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT
#Salida de usuarios LAN
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT
# Denegación
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -j DROP
#BIT DE FORWARDING
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
#Forward de Paquetes
echo 1 /proc/sys/net/ipv4/ip_forward
# Cerrado de Ports
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p tcp -dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p udp -dport 1:1024 -j DROP
Les agradeceré su consejo para mejorar si es posible este script, o con lo
que muestro sería suficiente para esta red.
Gracias
SAN
Hola.
te estarian faltando las politicas de -sport, para los forward.
Saludos.
mira esta es la mia en la que cierro solamente los forward, estero te
sirva.
Flush de Reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
### El aceptar como defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
### Definir Interfaces
export LAN=eth1
export WAN=eth0
### Aceptar coneccion de lan lo y wan
iptables -I INPUT 1 -i lo -j ACCEPT
### Reglas de NAT
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o ${WAN} -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp --dport 80 -i ${WAN} -j DNAT --to
10.0.1.200:80
iptables -t nat -A PREROUTING -p tcp --dport 22672 -i ${WAN} -j DNAT
--to 10.0.1.65:22672
##reglas forward
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT ##web
iptables -A FORWARD -p tcp --sport 80 -j ACCEPT ##web
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT ##web
iptables -A FORWARD -p tcp --sport 443 -j ACCEPT ##web
iptables -A FORWARD -p tcp --dport 20 -d 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p tcp --sport 20 -d 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p udp --dport 20 -d 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p udp --dport 20 -d 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p tcp --dport 21 -d 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p tcp --sport 21 -d 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p udp --dport 21 -d 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p udp --dport 21 -d 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p tcp --dport 20 -s 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p tcp --sport 20 -s 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p udp --dport 20 -s 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p udp --dport 20 -s 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p tcp --dport 21 -s 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p tcp --sport 21 -s 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p udp --dport 21 -s 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p udp --dport 21 -s 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p tcp --dport 3:30010 -d 200.29.72.170 -j
ACCEPT ##ftp
iptables -A FORWARD -p tcp --sport 3:30010 -d 200.29.72.170 -j
ACCEPT ##ftp
iptables -A FORWARD -p udp --dport 3:30010 -d 200.29.72.170 -j
ACCEPT ##ftp
iptables -A FORWARD -p udp --dport 3:30010 -d 200.29.72.170 -j
ACCEPT ##ftp
iptables -A FORWARD -p tcp --dport 3:30010 -s 200.29.72.170 -j
ACCEPT ##ftp
iptables -A FORWARD -p tcp --sport 3:30010 -s 200.29.72.170 -j
ACCEPT ##ftp
iptables -A FORWARD -p udp --dport 3:30010 -s 200.29.72.170 -j
ACCEPT ##ftp
iptables -A FORWARD -p udp --dport 3:30010 -s 200.29.72.170 -j
ACCEPT ##ftp
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT ##mail
consulta Iptables
Lo que necesito es que navegue en Internet sin pasar por el Proxy, eso! - Original Message - From: Luis Sandoval To: Discusion de Linux en Castellano Sent: Monday, April 03, 2006 12:36 PM Subject: Re: consulta Iptables Hola, El lun, 03-04-2006 a las 11:32 -0800, Reinier Garrido Perez escribió: hola amigos, mi consulta es si existe alguna regla en Iptables que me premita por el ip de una maquina (win server 2003), que esta detras del firewall, salga a internet directamente sin pasar por el proxy -squid? alguna sugerencia con esto, es que no parece buena idea ponerle Ip real, pues la estoy usando como servidor de salvas. que me pueden decir ? Que quieres hacer? Para que necesitas que el Server2003 salga directo a internet? Agregando una regla de NAT lo puedes hacer, pero no se si sea recomendable :). Si necesitas darle salida para algo especifico lo mejor seria crear tambien esas reglas especificas en tu firewall, autorizando los puertos e ip que solo necesites. saludos, Luis próxima parte Se ha borrado un adjunto en formato HTML... URL: http://listas.inf.utfsm.cl/pipermail/linux/attachments/20060404/5cbbd5fb/attachment.html From [EMAIL PROTECTED] Tue Apr 4 11:05:38 2006 From: [EMAIL PROTECTED] (Reinier Garrido Perez) Date: Tue Apr 4 07:05:43 2006 Subject: consulta Iptables References: [EMAIL PROTECTED] [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] gracias todos por las sugerencias, creo me sirven todas, por ultimo podrian decirme donde documentarme de esto? lo que necesito es navegar sin pasar por el proxy, saludos reinier - Original Message - From: Onlooker Almighty To: Discusion de Linux en Castellano Sent: Monday, April 03, 2006 9:06 AM Subject: Re: consulta Iptables Eso lo debes regular desde el squid, o tambien puedes hacer un tunnel, salu2 El dÃa 3/04/06, Reinier Garrido Perez [EMAIL PROTECTED] escribió: hola amigos, mi consulta es si existe alguna regla en Iptables que me premita por el ip de una maquina (win server 2003), que esta detras del firewall, salga a internet directamente sin pasar por el proxy -squid? alguna sugerencia con esto, es que no parece buena idea ponerle Ip real, pues la estoy usando como servidor de salvas. que me pueden decir ? saludos de antemano Reinier próxima parte Se ha borrado un adjunto en formato HTML... URL: http://listas.inf.utfsm.cl/pipermail/linux/attachments/20060404/89413416/attachment.html From [EMAIL PROTECTED] Tue Apr 4 09:10:27 2006 From: [EMAIL PROTECTED] (Edison Caprile Pons) Date: Tue Apr 4 09:12:26 2006 Subject: Actualizar Postfix 1.1.13 Message-ID: [EMAIL PROTECTED] Muchas gracias por la respuesta, pero parece que ya no hay actualizaciones para RH9.0por lo que he buscado.no se si alguien sabe otra cosa... Thanks!!! -Mensaje original- De: Arturo Mardones [mailto:[EMAIL PROTECTED] Enviado el: Lunes, 03 de Abril de 2006 22:24 Para: Discusion de Linux en Castellano Asunto: Re: Actualizar Postfix 1.1.13 On 3/31/06, Edison Caprile Pons [EMAIL PROTECTED] wrote: Hola Lista: Cual es la mejor manera de actualizar la version de postfix .1.1.13 a 2 o mas. Solo debo cargar el paquete que baje de la pagina??...o hay otro metodo mas rapido y fiablepara no parar el postfix mientras actualizo??? Muchas gracias. Atte. Edison. Hola Edison, Tal como te dijeron la mejor forma es buscar el paquete precompilado para tu distro, pero si prefieres actualixarlo a pulso ten cuidado que postfix por defecto no se compila con soporte para sasl y el ssl para correo (se me olvido como se llama), si ocupas ambos, hay paginas donde estan las instrucciones (no las tengo a mano si no las encuentras avisa para buscar) y por supuesto respaldas tus archivos master, main, aliases, etc yo hice todo eso y no tuve ningun problema. saludos y suerte. -- http://animaldelared.blogspot.com From [EMAIL PROTECTED] Mon Apr 3 22:40:15 2006 From: [EMAIL PROTECTED] (Horst von Brand) Date: Tue Apr 4 09:21:30 2006 Subject: =?iso-8859-1?q?Re=3A_Aplicaci=F3n_libre_para_Linux=3A_bolsa_d?= =?iso-8859-1?q?e_trabajo?= In-Reply-To: Your message of Mon, 03 Apr 2006 20:45:22 -0400. [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] Pedro Charnay Lagos [EMAIL PROTECTED] wrote: me parecio ver algo asi en la u de talca hace algun tiempo... Hey! A mi tambien me interesaria... O podriamos encontrar a alguna victim^Wvoluntario para que lo desarrolle (memoria?)... -- Dr. Horst H. von Brand User #22616 counter.li.org Departamento de Informatica Fono: +56 32 654431 Universidad Tecnica Federico Santa Maria +56 32 654239 Casilla 110-V, Valparaiso, ChileFax: +56 32 797513
consulta Iptables
hola amigos, mi consulta es si existe alguna regla en Iptables que me premita por el ip de una maquina (win server 2003), que esta detras del firewall, salga a internet directamente sin pasar por el proxy -squid? alguna sugerencia con esto, es que no parece buena idea ponerle Ip real, pues la estoy usando como servidor de salvas. que me pueden decir ? saludos de antemano Reinier
consulta Iptables
Reinier Garrido Perez [EMAIL PROTECTED] wrote: mi consulta es si existe alguna regla en Iptables que me premita por el ip de una maquina (win server 2003), que esta detras del firewall, salga a internet directamente sin pasar por el proxy -squid? Tendrias que saltarte el proxy a la entrada via un REDIRECT. -- Dr. Horst H. von Brand User #22616 counter.li.org Departamento de Informatica Fono: +56 32 654431 Universidad Tecnica Federico Santa Maria +56 32 654239 Casilla 110-V, Valparaiso, ChileFax: +56 32 797513 From [EMAIL PROTECTED] Mon Apr 3 16:36:40 2006 From: [EMAIL PROTECTED] (Luis Sandoval) Date: Mon Apr 3 16:38:54 2006 Subject: consulta Iptables In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] Hola, El lun, 03-04-2006 a las 11:32 -0800, Reinier Garrido Perez escribió: hola amigos, mi consulta es si existe alguna regla en Iptables que me premita por el ip de una maquina (win server 2003), que esta detras del firewall, salga a internet directamente sin pasar por el proxy -squid? alguna sugerencia con esto, es que no parece buena idea ponerle Ip real, pues la estoy usando como servidor de salvas. que me pueden decir ? Que quieres hacer? Para que necesitas que el Server2003 salga directo a internet? Agregando una regla de NAT lo puedes hacer, pero no se si sea recomendable :). Si necesitas darle salida para algo especifico lo mejor seria crear tambien esas reglas especificas en tu firewall, autorizando los puertos e ip que solo necesites. saludos, Luis
consulta Iptables
Eso lo debes regular desde el squid, o tambien puedes hacer un tunnel, salu2 El dÃa 3/04/06, Reinier Garrido Perez [EMAIL PROTECTED] escribió: hola amigos, mi consulta es si existe alguna regla en Iptables que me premita por el ip de una maquina (win server 2003), que esta detras del firewall, salga a internet directamente sin pasar por el proxy -squid? alguna sugerencia con esto, es que no parece buena idea ponerle Ip real, pues la estoy usando como servidor de salvas. que me pueden decir ? saludos de antemano Reinier próxima parte Se ha borrado un adjunto en formato HTML... URL: http://listas.inf.utfsm.cl/pipermail/linux/attachments/20060403/9c091ead/attachment.html From [EMAIL PROTECTED] Mon Apr 3 22:24:08 2006 From: [EMAIL PROTECTED] (Arturo Mardones) Date: Mon Apr 3 23:28:37 2006 Subject: Actualizar Postfix 1.1.13 In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] On 3/31/06, Edison Caprile Pons [EMAIL PROTECTED] wrote: Hola Lista: Cual es la mejor manera de actualizar la version de postfix .1.1.13 a 2 o mas. Solo debo cargar el paquete que baje de la pagina??...o hay otro metodo mas rapido y fiablepara no parar el postfix mientras actualizo??? Muchas gracias. Atte. Edison. Hola Edison, Tal como te dijeron la mejor forma es buscar el paquete precompilado para tu distro, pero si prefieres actualixarlo a pulso ten cuidado que postfix por defecto no se compila con soporte para sasl y el ssl para correo (se me olvido como se llama), si ocupas ambos, hay paginas donde estan las instrucciones (no las tengo a mano si no las encuentras avisa para buscar) y por supuesto respaldas tus archivos master, main, aliases, etc yo hice todo eso y no tuve ningun problema. saludos y suerte. -- http://animaldelared.blogspot.com
Fwd de consulta IPTABLES
Hay una persona que esta suscripta a la lista se llama Vida Luz y parece no puede enviar pero si recibir...de todas formas aqui les dejo el mensaje que me pidio que reenviara a ustedes saludos. quote Vida Luz - LA consulta es: Hola a todos, tengo una aplicacion de restriccion de usuarios via iptables, todo funciona bien, esto trabaja ocnuan pagina de autenticacion, cualquier URL que de el usuario es redirigido a la pagina de autenticacion que esta en el server solo si la URL es por ejemplo www.google.com lo lleva a la pagina de autenticacion, pero si la URL es por ejemplo:http://www.google.com.ni/language_tools?hl=es envia el error de pagina no encontrada, es decir si la url ya lleva un directorio o un cgi etc, ya no puede redirigirlo a la pagina de autenticacion, en este caso de google tienen que borrar /language_tools?hl=es para que puedan acceder a la pagina de autenticacion, la sentencia para que haga esto es: /sbin/iptables -t nat -A PREROUTING -p tcp -i eth1 -s 192.168.0.0/24 -d 0/0 --dport 80 -j DNAT --to-destination 192.168.0.1:80 Que me sugieren para este caso ? Gracias, Saludos, -end Quote --
String---Was:Re: Consulta iptables
Jorge Palma e. [EMAIL PROTECTED] dijo: [...] colgandome de esto, q modulo se debe subir para poder utilizar --string ??? Es un modulo extraoficial para el nucleo. Mira en http://www.netfilter.org -- Dr. Horst H. von Brand User #22616 counter.li.org Departamento de Informatica Fono: +56 32 654431 Universidad Tecnica Federico Santa Maria +56 32 654239 Casilla 110-V, Valparaiso, ChileFax: +56 32 797513 From [EMAIL PROTECTED] Tue Mar 8 08:42:54 2005 From: [EMAIL PROTECTED] (Horst von Brand) Date: Tue Mar 8 08:42:56 2005 Subject: OT: Tarjeta de red In-Reply-To: Your message of Tue, 08 Mar 2005 00:10:33 -0300. [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] =?iso-8859-1?Q?Juan_Mart=EDnez?= [EMAIL PROTECTED] dijo: [Se usa atribuir los mensajes anteriores...] En qué se diferencia una tarjeta de red 100BaseT de otra? mmm..eventualmente ninguna... Genial respuesta. Qué variables tecnicas son comparables? Buffers? velocidad interna? Si, la verdad que hay una que otra tarjeta con mas buffers...pero creo que la calidad de los componentes y del chipset son fundamentales entre una y otra La cantidad de memoria para buffers, si separa en buffers de entrada y salida o puede usar la misma memoria para ambos, la cantidad de MACs que se pueden configurar en sus filtros (para poder interceptar varias MAC sin tener que recurrir a modo promiscuo y que la discriminacion la haga software; es importante para multicasting), si maneja o no checksum IP en hardware. Si, esas caracteristicas diferencian tarjetas. Si, las pagas. Otro punto importante es la calidad de los drivers. Apoya la empresa fabricante el desarrollo (hay alguien de alla involucrado (como tarea en la empresa, en sus ratos libres; tienen acceso a la documentacion los desarrolladores; hay drivers en fuente o solo binarios; ...))? Si la tarjeta es (razonablemente) popular es mas probable que hayan mas desarrolladores/probadores. Si es alguna clase de clon es probable que este mal implemententado y se maree (ver los horrores de la tonelada de clones de NE2000, codigo que nadie se atreve a tocar porque es seguro que cualquier cambio minimo haga que alguno deje de funcionar). Es una de las razones para abstenerse de dLink, son clones malones de otras cosas (decentes!). Tambien es importante la disponibilidad local para extensiones/reemplazos eventuales. alguna URL por alli? Alguna tarjeta que sea de reconocida calidad? 3com para mi gusto es de lo mejorcito, junto con intel (Hay NIC Cisco?). Se de algunas tarjetas de marcas desconocidas pero de muy buena calidad. Por lo general son tarjetas para entornos criticos y son naturalmente muy caras. Por lo general la marca de estas tarjetas son la misma de los switch de 96 bocas o mas, o de equipos ATM o Frame Relay...En este minuto no me acuerdo de ninguna marca en especial... Hay tarjetas de la misma marca que son vastamente diferentes en calidad y rendimiento. Las dLink normales son malas, las dLink 4x son excelentes. dLink wireless es un asco. Y comparar ATM, FR, Eth, y switches como que no tiene gran sentido... -- Dr. Horst H. von Brand User #22616 counter.li.org Departamento de Informatica Fono: +56 32 654431 Universidad Tecnica Federico Santa Maria +56 32 654239 Casilla 110-V, Valparaiso, ChileFax: +56 32 797513 From [EMAIL PROTECTED] Tue Mar 8 08:58:35 2005 From: [EMAIL PROTECTED] (Luis Eduardo Vivero =?ISO-8859-1?Q?Pe=F1a?=) Date: Tue Mar 8 10:05:57 2005 Subject: XUL Kiosko que no sea mozilla In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] El sáb, 05-03-2005 a las 16:55 -0300, Andrés Ruz Salinas escribió: [...] ¿Alguien sabe como conseguir Opera Full sin pagar? Hola, espero que no estes pensando en violar la licencia del software. Busca un alternativa que la puedas utilizar completamente en forma libre (software libre no pagado). Salu2 [...]
Consulta iptables
Primera vez que posteo por aca, asi que me presento, soy Claudio Villanueva, trabajo administrando servidores con GNU/Linux desde el año 2001 y ademas soy estudiante vespertino de la carrera de Ing. E. Informatica. La consulta es la siguiente : Usualmente con Fedora y Redhat he usado esta sentencia de iptables para hacer NAT de puertos desde internet a la LAN y viceversa. Funcionado bien siempre : modprobe iptable_nat iptables --flush iptables --table nat --flush iptables -A PREROUTING -t nat -p tcp -d 200.54.142.118 --dport 873 -j DNAT --to 192.168.0.200:873 y haciendo un nmap me muestra lo siguiente : 873/tcp open rsync El caso es que el otro dia aplicando las mismas sentencias no logre hacer lo mismo con una maquina con FC3 y luego con una con RH9, la maquina me hacia el NAT pero el puerto aparecia : 873/tcp filtered rsync Cabe señalar que la maquina a la que estaba dirigida el NAT estaba con el puerto abierto y funcionando. Lo intente bajando al minimo las reglas de firewall en ambas maquinas pero no hubo caso que funcionara, Y San Google no me arrojo mucha informacion al respecto. Alguien me podria indicar que sucede? Saludos, Claudio Villanueva A. From [EMAIL PROTECTED] Mon Mar 7 11:10:22 2005 From: [EMAIL PROTECTED] (Tipler) Date: Mon Mar 7 11:10:27 2005 Subject: Problema con Swat y Samba .. In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] desde donde te estas tratando de entrar? Precupate que el acceso no sea solo localhost a swat. probe con http://host:901 y también con http://ip:901 y también con http://localhost:901 y siempre el mismo error. Que no encuentra la pagina /var/log/ en que lugar? gracias. Tipler
Consulta iptables
Claudio Villanueva A. [EMAIL PROTECTED] dijo: Usualmente con Fedora y Redhat he usado esta sentencia de iptables para hacer NAT de puertos desde internet a la LAN y viceversa. Funcionado bien siempre : modprobe iptable_nat iptables --flush iptables --table nat --flush iptables -A PREROUTING -t nat -p tcp -d 200.54.142.118 --dport 873 -j DNAT --to 192.168.0.200:873 y haciendo un nmap me muestra lo siguiente : 873/tcp open rsync Cual Fedora, cual Red Hat? El caso es que el otro dia aplicando las mismas sentencias no logre hacer lo mismo con una maquina con FC3 y luego con una con RH9, la maquina me hacia el NAT pero el puerto aparecia : 873/tcp filtered rsync Todo al dia en FC3? Tienes otras reglas? Que modulos de netfilter tienes cargados? -- Dr. Horst H. von Brand User #22616 counter.li.org Departamento de Informatica Fono: +56 32 654431 Universidad Tecnica Federico Santa Maria +56 32 654239 Casilla 110-V, Valparaiso, ChileFax: +56 32 797513 From [EMAIL PROTECTED] Mon Mar 7 13:30:13 2005 From: [EMAIL PROTECTED] (Horst von Brand) Date: Mon Mar 7 13:30:16 2005 Subject: Problema con Swat y Samba .. In-Reply-To: Your message of Mon, 07 Mar 2005 15:18:18 BST. [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] Tipler [EMAIL PROTECTED] dijo: En el RedHat y el Mandrake existe un archivo de configuración que está en en /etc/xinet.d/ y se llama swat, dentro de este existe una línea que dice only_from = 127.0.0.1 que viene por defecto y sirve para conectarse de forma local, para poder conectarte desde otra máquina en forma remota sólo debes cambiar este valor por la ip de la máquina que vas a utilizar. esto vale para Debian? Es propio de xinetd(8). Pq a pesar de que intento conectarme al localhost también me sigue tirando el mismo error ... (http://127.0.0.1:901 ó http://localhost:901) Curioso... sera que lo esta parando el cortafuegos local (claro que localhost no creo que este filtrado). Un chancho telnet(1) a la maquina para ver que pasa? -- Dr. Horst H. von Brand User #22616 counter.li.org Departamento de Informatica Fono: +56 32 654431 Universidad Tecnica Federico Santa Maria +56 32 654239 Casilla 110-V, Valparaiso, ChileFax: +56 32 797513 From [EMAIL PROTECTED] Mon Mar 7 13:36:38 2005 From: [EMAIL PROTECTED] (Mario Vega) Date: Mon Mar 7 13:33:03 2005 Subject: Problema con Swat y Samba .. In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] El lun, 07-03-2005 a las 13:25 -0300, Alberto Rivera escribió: El lun, 07-03-2005 a las 11:18, Tipler escribió: En el RedHat y el Mandrake existe un archivo de configuración que está en en /etc/xinet.d/ y se llama swat, dentro de este existe una línea que dice only_from = 127.0.0.1 que viene por defecto y sirve para conectarse de forma local, para poder conectarte desde otra máquina en forma remota sólo debes cambiar este valor por la ip de la máquina que vas a utilizar. esto vale para Debian? Pq a pesar de que intento conectarme al localhost también me sigue tirando el mismo error ... (http://127.0.0.1:901 ó http://localhost:901) Swat deberia ser un servicio colgado de xinet si mal no recuerdo, asi que ¿esta corriendo?, podrias verificar eso. Saludos Mario Vega Cespedes
Consulta iptables
Horst von Brand escribió: Claudio Villanueva A. [EMAIL PROTECTED] dijo: Usualmente con Fedora y Redhat he usado esta sentencia de iptables para hacer NAT de puertos desde internet a la LAN y viceversa. Funcionado bien siempre : modprobe iptable_nat iptables --flush iptables --table nat --flush iptables -A PREROUTING -t nat -p tcp -d 200.54.142.118 --dport 873 -j DNAT --to 192.168.0.200:873 y haciendo un nmap me muestra lo siguiente : 873/tcp open rsync Cual Fedora, cual Red Hat? FC3 El caso es que el otro dia aplicando las mismas sentencias no logre hacer lo mismo con una maquina con FC3 y luego con una con RH9, la maquina me hacia el NAT pero el puerto aparecia : 873/tcp filtered rsync Todo al dia en FC3? Tienes otras reglas? Que modulos de netfilter tienes cargados? Todo actualizado via apt, sin otras reglas de iptables (iptables --flush) Los modulos segun lsmod serian : [EMAIL PROTECTED] ~]# lsmod|grep ip ipt_MASQUERADE 3521 0 iptable_nat23045 2 ipt_MASQUERADE ipt_REJECT 6465 0 ipt_state 1857 0 ip_conntrack 40693 3 ipt_MASQUERADE,iptable_nat,ipt_state iptable_filter 2753 1 ip_tables 16193 5 ipt_MASQUERADE,iptable_nat,ipt_REJECT,ipt_state,iptable_filter ipv6 232577 14
Consulta iptables
On Mon, 07 Mar 2005 09:40:35 -0300, Claudio Villanueva A. [EMAIL PROTECTED] wrote: Primera vez que posteo por aca, asi que me presento, soy Claudio Villanueva, trabajo administrando servidores con GNU/Linux desde el año 2001 y ademas soy estudiante vespertino de la carrera de Ing. E. Informatica. La consulta es la siguiente : Usualmente con Fedora y Redhat he usado esta sentencia de iptables para hacer NAT de puertos desde internet a la LAN y viceversa. Funcionado bien siempre : modprobe iptable_nat iptables --flush iptables --table nat --flush iptables -A PREROUTING -t nat -p tcp -d 200.54.142.118 --dport 873 -j DNAT --to 192.168.0.200:873 y haciendo un nmap me muestra lo siguiente : 873/tcp open rsync El caso es que el otro dia aplicando las mismas sentencias no logre hacer lo mismo con una maquina con FC3 y luego con una con RH9, la maquina me hacia el NAT pero el puerto aparecia : 873/tcp filtered rsync Cabe señalar que la maquina a la que estaba dirigida el NAT estaba con el puerto abierto y funcionando. Lo intente bajando al minimo las reglas de firewall en ambas maquinas pero no hubo caso que funcionara, Y San Google no me arrojo mucha informacion al respecto. Alguien me podria indicar que sucede? Saludos, Claudio Villanueva A. Si NMAP te da como resultado filtered es porque encontro que el puerto estaba siendo filtrado por algo. las opciones de nmap y tu configuracion de firewall servirian. De la informacion de nmap saque esto que te puede servir: ACK SCAN: This scan is used to detect if ports on a host are filtered by a firewall. The technique is to send an ACK packet to the target host. If no firewall filters the port, a RST packet should be sent back. Otherwise when filtered, the firewall usually ignores the packet and doesn't send a RST packet Saludos -- Miguel Angel Amador L. [ jokercl at gmail dot com | User #297569 counter.li.org ] [ http://www.fotolog.net/kush ]
String---Was:Re: Consulta iptables
El Lun 07 Mar 2005 14:24, Claudio Villanueva A. escribió: Horst von Brand escribió: Claudio Villanueva A. [EMAIL PROTECTED] dijo: Usualmente con Fedora y Redhat he usado esta sentencia de iptables para hacer NAT de puertos desde internet a la LAN y viceversa. Funcionado bien siempre : modprobe iptable_nat iptables --flush iptables --table nat --flush iptables -A PREROUTING -t nat -p tcp -d 200.54.142.118 --dport 873 -j DNAT --to 192.168.0.200:873 y haciendo un nmap me muestra lo siguiente : 873/tcp open rsync Cual Fedora, cual Red Hat? FC3 El caso es que el otro dia aplicando las mismas sentencias no logre hacer lo mismo con una maquina con FC3 y luego con una con RH9, la maquina me hacia el NAT pero el puerto aparecia : 873/tcp filtered rsync Todo al dia en FC3? Tienes otras reglas? Que modulos de netfilter tienes cargados? Todo actualizado via apt, sin otras reglas de iptables (iptables --flush) Los modulos segun lsmod serian : [EMAIL PROTECTED] ~]# lsmod|grep ip ipt_MASQUERADE 3521 0 iptable_nat23045 2 ipt_MASQUERADE ipt_REJECT 6465 0 ipt_state 1857 0 ip_conntrack 40693 3 ipt_MASQUERADE,iptable_nat,ipt_state iptable_filter 2753 1 ip_tables 16193 5 ipt_MASQUERADE,iptable_nat,ipt_REJECT,ipt_state,iptable_filter ipv6 232577 14 colgandome de esto, q modulo se debe subir para poder utilizar --string ??? saludos -- Jorge Palma E. Administrador de Red
