-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-03 a las 11:54 -0300, Mauricio Pellegrini escribió:

Hola disculpen que insista , Talvez no se entendió o tal vez no sea el lugar apropiadopara preguntar pero alguien podria decirme si es posible filtrar con un firewall los paquetes IPX evitando que circulen entre dos redes?

Si nadie responde es porque no lo sabemos, o porque los que lo saben no han pasado por aquí. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFS1+WtTMYHG2NR9URAlPpAJ4l4tIWvp/iE3Xcqle+lSR8GXY8TACcCLV0 ie24XZm+dBwE1Fpk5/juvCI= =LMzl -----END PGP SIGNATURE-----

2006/11/3, jose maria :

El 2006-11-03 a las 11:54 -0300, Mauricio Pellegrini escribió:

...

...

Hola disculpen que insista , Talvez no se entendió o tal vez no sea el lugar apropiadopara preguntar pero alguien podria decirme si es posible filtrar con un firewall los paquetes IPX evitando que circulen entre dos redes?

* Prueba esto:

iptables -A INPUT -p 224 -j firewall <-- o la cadena que hayas creado del tipo:

oiga.. de donde sacaste esto de "-p 224" ???? busque rápidamente por internet y no encontré mucha referencias !!! sera alguna opción no documentada ??:-) por otro lado, dos comentarios: 1 - referente a la consulta del colega, el correcto seria que las reglas fueran aplicadas a la tabla FORWARD y no a la tabla INPUT (acredito que te distraiste en esto) !!! pues el desea aplicar acciones para los paquetes que estan pasando de una red a otra !!! 2 - Recordando que los cortafuegos "debidamente" configurados tienen como política bloquear todo trafico y dejar solamente el estrictamente necesario pasar, entonces la respuesta para la quistión de nuestro colega seria: permita solamente el trafico que quieres (22/tcp, 443/tcp, 53/tcp,53/udp, etc), el demás (ipx,udp,etc) serán bloqueados por la política por defecto. salu2 y suerte. -- -- Victor Hugo dos Santos Linux Counter #224399

El Lunes, 6 de Noviembre de 2006 16:22, Victor Hugo dos Santos escribió:

2006/11/3, jose maria :

...

El 2006-11-03 a las 11:54 -0300, Mauricio Pellegrini escribió:

...

...

Hola disculpen que insista , Talvez no se entendió o tal vez no sea el lugar apropiadopara preguntar pero alguien podria decirme si es posible filtrar con un firewall los paquetes IPX evitando que circulen entre dos redes?

* Prueba esto:

iptables -A INPUT -p 224 -j firewall <-- o la cadena que hayas creado del tipo:

oiga.. de donde sacaste esto de "-p 224" ???? busque rápidamente por internet y no encontré mucha referencias !!! sera alguna opción no documentada ??:-)

* Que yo sepa los protocolos numericos siempre han estado documentados, aunque no recuerdo exactamente el de ipx y si hay uno solo, podria ser otro, el 111 o similar, -p puede llevar 0 igual a ALL, tcp, udp, etc ........

1 - referente a la consulta del colega, el correcto seria que las reglas fueran aplicadas a la tabla FORWARD y no a la tabla INPUT (acredito que te distraiste en esto) !!! pues el desea aplicar acciones para los paquetes que estan pasando de una red a otra !!!

* Apliquese en ambas si no se tiene DROP para forward, aunque creo que seria necesario aunque la politica fuera restrictiva, tendria que mirar que hace forward en DROP para los ip misc protocols, que no esta claro el tema si va encapsulado en ip que es la forma de transportarlo en internet, no dice que redes son, asi que habra que ponerse en lo peor. .

2006/11/7, Victor Hugo dos Santos :

El 6/11/06, jose maria escribió:

...

El Lunes, 6 de Noviembre de 2006 16:22, Victor Hugo dos Santos escribió:

...

2006/11/3, jose maria :

...

El 2006-11-03 a las 11:54 -0300, Mauricio Pellegrini escribió:

...

...

Hola disculpen que insista , Talvez no se entendió o tal vez no sea el lugar apropiadopara preguntar pero alguien podria decirme si es posible filtrar con un firewall los paquetes IPX evitando que circulen entre dos redes?

* Prueba esto:

iptables -A INPUT -p 224 -j firewall <-- o la cadena que hayas creado del tipo:

oiga.. de donde sacaste esto de "-p 224" ???? busque rápidamente por internet y no encontré mucha referencias !!! sera alguna opción no documentada ??:-)

* Que yo sepa los protocolos numericos siempre han estado documentados, aunque no recuerdo exactamente el de ipx y si hay uno solo, podria ser otro, el 111 o similar, -p puede llevar 0 igual a ALL, tcp, udp, etc ........

Si miras el fichero /etc/protocols tienes esta entrada: ipx-in-ip 111 IPX-in-IP # IPX in IP Asi que parece que puede ser el puerto 111. un saludo Emi nunca lo vi !!!!

alguna enlace/documentación sobre el tema ??

salu2

-- -- Victor Hugo dos Santos Linux Counter #224399

-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com

Victor Hugo dos Santos escribió:

El 6/11/06, jose maria escribió:

...

El Lunes, 6 de Noviembre de 2006 16:22, Victor Hugo dos Santos escribió:

...

2006/11/3, jose maria :

...

El 2006-11-03 a las 11:54 -0300, Mauricio Pellegrini escribió:

...

...

Hola disculpen que insista , Talvez no se entendió o tal vez no sea el lugar apropiadopara preguntar pero alguien podria decirme si es posible filtrar con un firewall los paquetes IPX evitando que circulen entre dos redes?

* Prueba esto:

iptables -A INPUT -p 224 -j firewall <-- o la cadena que hayas creado del tipo:

oiga.. de donde sacaste esto de "-p 224" ???? busque rápidamente por internet y no encontré mucha referencias !!! sera alguna opción no documentada ??:-)

* Que yo sepa los protocolos numericos siempre han estado documentados, aunque no recuerdo exactamente el de ipx y si hay uno solo, podria ser otro, el 111 o similar, -p puede llevar 0 igual a ALL, tcp, udp, etc ........

nunca lo vi !!!! alguna enlace/documentación sobre el tema ??

salu2

Si es IPX, no es IP, así que no utiliza puertos TCP. Otra cosa es que vayan encapsulados en IP. De todos modos, cualquier FW debe impedir el paso de cualquier paquete que explicitamente no le digas que deje pasar. Esos paquetes no deberían atravesar tu cortafuegos, salvo que le digas que lo haga

El 9/11/06, jose maria escribió:

El Martes, 7 de Noviembre de 2006 17:48, Victor Hugo dos Santos escribió:

...

nunca lo vi !!!! alguna enlace/documentación sobre el tema ??

* Ando un poco liado, asi que en el man de iptables en la explicacion de la opcion -p.

uufff... -p, --protocol [!] protocol The protocol of the rule or of the packet to check. The specified protocol can be one of tcp, udp, icmp, or all, or it can be a numeric value, representing one of these protocols or a different one. A protocol name from /etc/protocols is also allowed. A "!" argument before the protocol inverts the test. The number zero is equivalent to all. Protocol all will match with all protocols and is taken as default when this option is omitted. por algun motivo, pense que solamente funcionaba los protocolos "tcp, udp, icmp" !!! vivendo y aprendendo !!! por otro lado, mi archivo /etc/protocols es bien distinto al que se encuentra en http://www.iana.org/assignments/protocol-numbers y en este caso especifico no hay IPX.. seria necesario agregar una linea correspondente al protocolo IPX a mi archivo /etc/protocols para que iptables funcione con este protocolo ??? un dia descubrire !!! gracias y salu2 -- -- Victor Hugo dos Santos Linux Counter #224399

El 9/11/06, Carlos E. R. escribió:

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

El 2006-11-09 a las 13:03 -0300, Victor Hugo dos Santos escribió:

...

por algun motivo, pense que solamente funcionaba los protocolos "tcp, udp, icmp" !!!

Ya...

...

vivendo y aprendendo !!!

por otro lado, mi archivo /etc/protocols es bien distinto al que se encuentra en http://www.iana.org/assignments/protocol-numbers y en este caso especifico no hay IPX.. seria necesario agregar una linea correspondente al protocolo IPX a mi archivo /etc/protocols para que iptables funcione con este protocolo ??? un dia descubrire !!!

Yo no se si el fichero que tienes es el que soporta el kernel.

mmm.. exacto !!! acabo de hacer algunas pruebas.. y aparenta que el fichero /etc/protocols es puramente "ilustrativo" primero, lo renombre y aplique una regla con el cortafuegos: $sudo iptables -D OUTPUT -p icmp -j DROP y continua bloqueando los paquetes (simples pings) que envie hacia una otra maquina.. tambien intente cambiar el numero que hace referencia al protocolo dentro del archivo origianl: icmp 1 ICMP # internet control message protocol nuevo: icmp 1111 ICMP # internet control message protocol y al aplicar el comando: $sudo iptables -D OUTPUT -p 1 -j DROP continua bloqueando los pings.. y al aplicar el comando $sudo iptables -D OUTPUT -p 1111 -j DROP me indica el siguinte error: iptables v1.3.3: unknown protocol `1111' specified Try `iptables -h' or 'iptables --help' for more information. en resumen, el archivo en si no sirve para nada mas que referencias..

Pero, por otra parte, si el cortafuegos no lo ha abierto explícitamente, debe estar cerrado.

mmm.. siii esto tenemos claro !!! :-D salu2 -- -- Victor Hugo dos Santos Linux Counter #224399

El 9/11/06, Carlos E. R. escribió:

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

El 2006-11-09 a las 18:22 -0300, Victor Hugo dos Santos escribió:

[...]

...

...

Pero, por otra parte, si el cortafuegos no lo ha abierto explícitamente, debe estar cerrado.

mmm.. siii esto tenemos claro !!! :-D

Entonces, si lo que quieres es bloquear ciertos paquetes, no hay que hacer nada, ¿no? Eso es loque yo entiendo. Pero de IPX no se nada.

exacto.. cuando se define la regla por defecto en drop (iptables -P [OUTPUT|INPUT|FORWARD] DROP) nada escapa desde bloqueo (ni mismo david copperfield), solamente lo que estas explicitamente indicado !!!! salu2 -- -- Victor Hugo dos Santos Linux Counter #224399 --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com

Hola muchas gracias por las respuestas.. El pasado viernes deje instalada una cpu bastante vieja sin HD y con una distribucion de Linux de disquette conocida como Freesco. Esta distribucion permite solo utilizar ipfwadmin asi que luego de leer vuestras respuestas decidi intentarlo de todos modos. Deseo recordar /aclarar algunos detalles del problema planteado. 1. El problema es que la novell corriendo solo IPX en la red interna entraba en conflictos varios al conectar la red interna con una wan. El objetivo era encontrar la forma de *aislar* la novell de la red interna para que no se *entere* de que en la wan hay otros servidores novell pero sin cortar el trafico TCP/IP entre ambas redes. 2. El protocolo IPX de la red interna NO esta encapsulado en IP. por lo tanto bastaria con filtrar por protocolo. Ahora bien por lo que lei entre los mensajes de Uds. un firewall deberia por defecto impedir el paso de toda comunicacion y solo permitir aquellas especificamente declaradas mediante las reglas. Basandome en ese concepto ( que podria ser errorneo..) coloque el firewall con ipfwadm y probe con ethereal los paquetes de ambos lados comprobando que los paquetes ipx y del protocolo sap de novell ya no pasan. Ademas lo comprobe tratando de loggearme al servidor novell dando resultado negativo. Por el contrario el trafico tcp/IP no se vio afectado con la condicion de que coloque como default gateway (en cada host de la red interna) la direccion IP del firewall ( del interface conectada a la red interna) Espero se haya entendido.. Y parece ser que esto ha dado resultado.. nuevamente gracias a todos Saludos Mauricio --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com