[opensuse-es] enrutado y cortafuegos entre internet y dos redes en el mismo bicho
suse 10.1 una interfaz de red para internet y dos mas internas Desde un ordenador de las redes internas ya no se puede hacceder a uno o a los servidores de las otras redes. Sin embargo si que puede acceder a la IP de la otra red que esta en el mismo ordenador eth0 internet eth2 lan 192.168.5.1 eth3 lan2 192.168.1.1 en el propio ordenador puedo hacer ping de lan a lan2 y alreves y con los ordenadores de cualquiera de las dos tambien, pero solo a esas ip ¿hay alguna forma de que no se pueda acceder a eso de ninguna forma? es decir bloquear el trafico total entre eth2 y eth3 creo que para el resto de la lan si lo consegui pero para esas dos ip que estan en el mismo ordenador y hacen de gateway para sus respectivas redes no le pillo el truco (si se puede pillar claro) Saludos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Martes, 6 de Marzo de 2007 14:37, francisco F. escribió:
suse 10.1 una interfaz de red para internet y dos mas internas
Desde un ordenador de las redes internas ya no se puede hacceder a uno o a los servidores de las otras redes. Sin embargo si que puede acceder a la IP de la otra red que esta en el mismo ordenador
eth0 internet eth2 lan 192.168.5.1 eth3 lan2 192.168.1.1
en el propio ordenador puedo hacer ping de lan a lan2 y alreves y con los ordenadores de cualquiera de las dos tambien, pero solo a esas ip ¿hay alguna forma de que no se pueda acceder a eso de ninguna forma? es decir bloquear el trafico total entre eth2 y eth3 creo que para el resto de la lan si lo consegui pero para esas dos ip que estan en el mismo ordenador y hacen de gateway para sus respectivas redes no le pillo el truco (si se puede pillar claro)
* En SuSEfirewwall2 deberia valer con FW_PROTECT_FROM_INT="yes" pero suponiendo que tengas routing, y enmascaramiento en la interfaz externa solamente, si no recuerdo mal te podria valer en la seccion FW_MASQ_NETS="192.168.5.0/mask,!192.168.1.0/mask \ 192.168.1.0/lamascara,!192.168.5.0/lamascara " FW_TRUSTED_NETS="" FW_IGNORE_FW_BROADCAST_INT="yes" * Verfica la sintaxis por que no suelo usar routing y enmascaramiento.
El Martes, 6 de Marzo de 2007 14:37, francisco F. escribió:
suse 10.1 una interfaz de red para internet y dos mas internas
Desde un ordenador de las redes internas ya no se puede hacceder a uno o a los servidores de las otras redes. Sin embargo si que puede acceder a la IP de la otra red que esta en el mismo ordenador
eth0 internet eth2 lan 192.168.5.1 eth3 lan2 192.168.1.1
Despues configurar mas o menos mal la cosa, ahora resulta que tengo marcianos de la eth0 dentro de la eth3. Es como si la eth3 estubiese en promiscuo y captase todo el trafico de la eth0 pero como lo tiene prohibido me salen los dichosos marcianos Mar 23 08:40:39 cortafuegos kernel: martian source 192.168.5.213 from 192.168.5.26, on dev eth3 Mar 23 08:40:39 cortafuegos kernel: ll header: ff:ff:ff:ff:ff:ff:00:22:11:fe:b4:7a:08:06 Yo estoy espeso y el fire mas, pues la cosa se espesa un monton. alguna recomendacion. Por cierto lo de conectar el pix al suse, antes me llegaba al paso MI3, les dije lo que me pasaba y ahora no pasa de MI1 (alegria al cuerpo) --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-23 a las 09:14 +0100, francisco F. escribió:
eth0 internet eth2 lan 192.168.5.1 eth3 lan2 192.168.1.1
Mar 23 08:40:39 cortafuegos kernel: martian source 192.168.5.213 from 192.168.5.26, on dev eth3 Mar 23 08:40:39 cortafuegos kernel: ll header: ff:ff:ff:ff:ff:ff:00:22:11:fe:b4:7a:08:06
Diría que eL rutado permite el paso, y el cortafuegos no. Juega con el enrutado.
Yo estoy espeso y el fire mas, pues la cosa se espesa un monton.
Creo que tienes ejemplitos en /usr/share/doc/packages/SuSEfirewall2/EXAMPLES - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFGA6Z8tTMYHG2NR9URAvvjAJ9Unr2bhAkZJLFfmRH5n+e/haD11ACeINt7 E0bg0BJnUo3JbZPtoijb6oA= =9kpK -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-06 a las 14:37 +0100, francisco F. escribió:
eth0 internet eth2 lan 192.168.5.1 eth3 lan2 192.168.1.1
en el propio ordenador puedo hacer ping de lan a lan2 y alreves y con los ordenadores de cualquiera de las dos tambien, pero solo a esas ip ¿hay alguna forma de que no se pueda acceder a eso de ninguna forma? es decir bloquear el trafico total entre eth2 y eth3
¿Que más dá, si sólo llegan al router? No llegan a la red. ¿Es sólo el ping? FW_ALLOW_PING_FW="no" Ten en cuenta que si haces un "telnet 192.168.5.1" desde la lan2, en realidad lo haces es acceder al router, no a la eth2. Te da igual el nombre de la interfaz de red, es a la máquina a la que accedes, y el kernel lo sabe, por lo que te deja entrar. Creo que los tiros van por ahí. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFGA6fotTMYHG2NR9URAo9BAJwJXgHfqWLur3q4Ur2son/dot4tIgCfbysx ibd2RHyWojBYhiUPJFmlobs= =y6Kd -----END PGP SIGNATURE-----
participants (3)
-
Carlos E. R.
-
francisco F.
-
jose maria