Hola Amigos y disculpen si no es el sitio adecuado para preguntar pero tengo este problema. Necesito evitar que los paquetes IPX lleguen a mi red interna sin impedir que los de TCP/IP circulen libremente. Creo que esto seria posible conseguirlo instalando alguna tipo de Firewall entre las dos redes. Para ello pense en instalar una PC con Freesco quiza alguno (lo haya usado, actualmente tengo uno configurado como servidor de imnpresion) Pero antes de comenzar a hacer pruebas me pregunto si tecnicamente es Posible.. Reitero deseo unir Dos redes via TCP/IP pero NO quiero que por ningun motivo haya trafico IPX entre ellas. Si no usase Freesco trataria de probar instalando alguna version de SUSE , Cualquier ayuda es bienvenida. Gracias, Mauricio
Hola disculpen que insista , Talvez no se entendió o tal vez no sea el
lugar apropiadopara preguntar pero alguien podria decirme si es
posible filtrar con un firewall los paquetes IPX evitando que circulen
entre dos redes?
Gracias
Mauricio
On 11/2/06, Mauricio Pellegrini
Hola Amigos y disculpen si no es el sitio adecuado para preguntar pero tengo este problema.
Necesito evitar que los paquetes IPX lleguen a mi red interna sin impedir que los de TCP/IP circulen libremente.
Creo que esto seria posible conseguirlo instalando alguna tipo de Firewall entre las dos redes.
Para ello pense en instalar una PC con Freesco quiza alguno (lo haya usado, actualmente tengo uno configurado como servidor de imnpresion)
Pero antes de comenzar a hacer pruebas me pregunto si tecnicamente es Posible..
Reitero deseo unir Dos redes via TCP/IP pero NO quiero que por ningun motivo haya trafico IPX entre ellas.
Si no usase Freesco trataria de probar instalando alguna version de SUSE ,
Cualquier ayuda es bienvenida.
Gracias, Mauricio
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-03 a las 11:54 -0300, Mauricio Pellegrini escribió:
Hola disculpen que insista , Talvez no se entendió o tal vez no sea el lugar apropiadopara preguntar pero alguien podria decirme si es posible filtrar con un firewall los paquetes IPX evitando que circulen entre dos redes?
Si nadie responde es porque no lo sabemos, o porque los que lo saben no han pasado por aquí. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFS1+WtTMYHG2NR9URAlPpAJ4l4tIWvp/iE3Xcqle+lSR8GXY8TACcCLV0 ie24XZm+dBwE1Fpk5/juvCI= =LMzl -----END PGP SIGNATURE-----
El 2006-11-03 a las 11:54 -0300, Mauricio Pellegrini escribió:
Hola disculpen que insista , Talvez no se entendió o tal vez no sea el lugar apropiadopara preguntar pero alguien podria decirme si es posible filtrar con un firewall los paquetes IPX evitando que circulen entre dos redes?
* Prueba esto: iptables -A INPUT -p 224 -j firewall <-- o la cadena que hayas creado del tipo: iptables -N firewall iptables -A firewall -j LOG --log-level info --log-prefix "Firewall:" iptables -A firewall -j DROP
2006/11/3, jose maria
El 2006-11-03 a las 11:54 -0300, Mauricio Pellegrini escribió:
Hola disculpen que insista , Talvez no se entendió o tal vez no sea el lugar apropiadopara preguntar pero alguien podria decirme si es posible filtrar con un firewall los paquetes IPX evitando que circulen entre dos redes?
* Prueba esto:
iptables -A INPUT -p 224 -j firewall <-- o la cadena que hayas creado del tipo:
oiga.. de donde sacaste esto de "-p 224" ???? busque rápidamente por internet y no encontré mucha referencias !!! sera alguna opción no documentada ??:-) por otro lado, dos comentarios: 1 - referente a la consulta del colega, el correcto seria que las reglas fueran aplicadas a la tabla FORWARD y no a la tabla INPUT (acredito que te distraiste en esto) !!! pues el desea aplicar acciones para los paquetes que estan pasando de una red a otra !!! 2 - Recordando que los cortafuegos "debidamente" configurados tienen como política bloquear todo trafico y dejar solamente el estrictamente necesario pasar, entonces la respuesta para la quistión de nuestro colega seria: permita solamente el trafico que quieres (22/tcp, 443/tcp, 53/tcp,53/udp, etc), el demás (ipx,udp,etc) serán bloqueados por la política por defecto. salu2 y suerte. -- -- Victor Hugo dos Santos Linux Counter #224399
On 11/6/06, Victor Hugo dos Santos
2006/11/3, jose maria
: El 2006-11-03 a las 11:54 -0300, Mauricio Pellegrini escribió:
Hola disculpen que insista , Talvez no se entendió o tal vez no sea el lugar apropiadopara preguntar pero alguien podria decirme si es posible filtrar con un firewall los paquetes IPX evitando que circulen entre dos redes?
* Prueba esto:
iptables -A INPUT -p 224 -j firewall <-- o la cadena que hayas creado del tipo:
oiga.. de donde sacaste esto de "-p 224" ???? busque rápidamente por internet y no encontré mucha referencias !!! sera alguna opción no documentada ??:-)
sospecho, sólo sospecho, que se refiere a '-sport 224' o '--source-port 224' -- Saludos, miguel
El Lunes, 6 de Noviembre de 2006 16:22, Victor Hugo dos Santos escribió:
2006/11/3, jose maria
: El 2006-11-03 a las 11:54 -0300, Mauricio Pellegrini escribió:
Hola disculpen que insista , Talvez no se entendió o tal vez no sea el lugar apropiadopara preguntar pero alguien podria decirme si es posible filtrar con un firewall los paquetes IPX evitando que circulen entre dos redes?
* Prueba esto:
iptables -A INPUT -p 224 -j firewall <-- o la cadena que hayas creado del tipo:
oiga.. de donde sacaste esto de "-p 224" ???? busque rápidamente por internet y no encontré mucha referencias !!! sera alguna opción no documentada ??:-)
* Que yo sepa los protocolos numericos siempre han estado documentados, aunque no recuerdo exactamente el de ipx y si hay uno solo, podria ser otro, el 111 o similar, -p puede llevar 0 igual a ALL, tcp, udp, etc ........
1 - referente a la consulta del colega, el correcto seria que las reglas fueran aplicadas a la tabla FORWARD y no a la tabla INPUT (acredito que te distraiste en esto) !!! pues el desea aplicar acciones para los paquetes que estan pasando de una red a otra !!!
* Apliquese en ambas si no se tiene DROP para forward, aunque creo que seria necesario aunque la politica fuera restrictiva, tendria que mirar que hace forward en DROP para los ip misc protocols, que no esta claro el tema si va encapsulado en ip que es la forma de transportarlo en internet, no dice que redes son, asi que habra que ponerse en lo peor. .
El 6/11/06, jose maria
El Lunes, 6 de Noviembre de 2006 16:22, Victor Hugo dos Santos escribió:
2006/11/3, jose maria
: El 2006-11-03 a las 11:54 -0300, Mauricio Pellegrini escribió:
Hola disculpen que insista , Talvez no se entendió o tal vez no sea el lugar apropiadopara preguntar pero alguien podria decirme si es posible filtrar con un firewall los paquetes IPX evitando que circulen entre dos redes?
* Prueba esto:
iptables -A INPUT -p 224 -j firewall <-- o la cadena que hayas creado del tipo:
oiga.. de donde sacaste esto de "-p 224" ???? busque rápidamente por internet y no encontré mucha referencias !!! sera alguna opción no documentada ??:-)
* Que yo sepa los protocolos numericos siempre han estado documentados, aunque no recuerdo exactamente el de ipx y si hay uno solo, podria ser otro, el 111 o similar, -p puede llevar 0 igual a ALL, tcp, udp, etc ........
nunca lo vi !!!! alguna enlace/documentación sobre el tema ?? salu2 -- -- Victor Hugo dos Santos Linux Counter #224399
2006/11/7, Victor Hugo dos Santos
El 6/11/06, jose maria
escribió: El Lunes, 6 de Noviembre de 2006 16:22, Victor Hugo dos Santos escribió:
2006/11/3, jose maria
: El 2006-11-03 a las 11:54 -0300, Mauricio Pellegrini escribió:
Hola disculpen que insista , Talvez no se entendió o tal vez no sea el lugar apropiadopara preguntar pero alguien podria decirme si es posible filtrar con un firewall los paquetes IPX evitando que circulen entre dos redes?
* Prueba esto:
iptables -A INPUT -p 224 -j firewall <-- o la cadena que hayas creado del tipo:
oiga.. de donde sacaste esto de "-p 224" ???? busque rápidamente por internet y no encontré mucha referencias !!! sera alguna opción no documentada ??:-)
* Que yo sepa los protocolos numericos siempre han estado documentados, aunque no recuerdo exactamente el de ipx y si hay uno solo, podria ser otro, el 111 o similar, -p puede llevar 0 igual a ALL, tcp, udp, etc ........
Si miras el fichero /etc/protocols tienes esta entrada: ipx-in-ip 111 IPX-in-IP # IPX in IP Asi que parece que puede ser el puerto 111. un saludo Emi nunca lo vi !!!!
alguna enlace/documentación sobre el tema ??
salu2
-- -- Victor Hugo dos Santos Linux Counter #224399
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
2006/11/7, Emiliano Sutil
2006/11/7, Victor Hugo dos Santos
: El 6/11/06, jose maria
escribió: El Lunes, 6 de Noviembre de 2006 16:22, Victor Hugo dos Santos escribió:
2006/11/3, jose maria < letrados@usernix.org>:
El 2006-11-03 a las 11:54 -0300, Mauricio Pellegrini escribió:
> Hola disculpen que insista , Talvez no se entendió o tal vez no sea > el lugar apropiadopara preguntar pero alguien podria decirme si es > posible filtrar con un firewall los paquetes IPX evitando que > circulen entre dos redes?
* Prueba esto:
iptables -A INPUT -p 224 -j firewall <-- o la cadena que hayas creado del tipo:
oiga.. de donde sacaste esto de "-p 224" ???? busque rápidamente por
internet y no encontré mucha referencias !!! sera alguna opción no documentada ??:-)
* Que yo sepa los protocolos numericos siempre han estado documentados, aunque no recuerdo exactamente el de ipx y si hay uno solo, podria ser otro, el 111 o similar, -p puede llevar 0 igual a ALL, tcp, udp, etc ........
Si miras el fichero /etc/protocols tienes esta entrada: ipx-in-ip 111 IPX-in-IP # IPX in IP
Asi que parece que puede ser el puerto 111.
Bueno y en /etc/services ipx 213/tcp # IPX ipx 213/udp # IPX Que creo que es lo correcto, no lo que pase antes, que creo que es el nº de protocolo, no el nº de puerto. Emi un saludo
Emi
nunca lo vi !!!!
alguna enlace/documentación sobre el tema ??
salu2
-- -- Victor Hugo dos Santos Linux Counter #224399
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
Victor Hugo dos Santos escribió:
El 6/11/06, jose maria
escribió: El Lunes, 6 de Noviembre de 2006 16:22, Victor Hugo dos Santos escribió:
2006/11/3, jose maria
: El 2006-11-03 a las 11:54 -0300, Mauricio Pellegrini escribió:
Hola disculpen que insista , Talvez no se entendió o tal vez no sea el lugar apropiadopara preguntar pero alguien podria decirme si es posible filtrar con un firewall los paquetes IPX evitando que circulen entre dos redes?
* Prueba esto:
iptables -A INPUT -p 224 -j firewall <-- o la cadena que hayas creado del tipo:
oiga.. de donde sacaste esto de "-p 224" ???? busque rápidamente por internet y no encontré mucha referencias !!! sera alguna opción no documentada ??:-)
* Que yo sepa los protocolos numericos siempre han estado documentados, aunque no recuerdo exactamente el de ipx y si hay uno solo, podria ser otro, el 111 o similar, -p puede llevar 0 igual a ALL, tcp, udp, etc ........
nunca lo vi !!!! alguna enlace/documentación sobre el tema ??
salu2
Si es IPX, no es IP, así que no utiliza puertos TCP. Otra cosa es que vayan encapsulados en IP. De todos modos, cualquier FW debe impedir el paso de cualquier paquete que explicitamente no le digas que deje pasar. Esos paquetes no deberían atravesar tu cortafuegos, salvo que le digas que lo haga
El Martes, 7 de Noviembre de 2006 17:48, Victor Hugo dos Santos escribió:
nunca lo vi !!!! alguna enlace/documentación sobre el tema ??
* Ando un poco liado, asi que en el man de iptables en la explicacion de la opcion -p. * He pegado una limpieza de mensajes pero me ha parecido ver que preguntas sobre el cambio de contraseñas continuo, si eras tu pues bien si no el que lo pidio lo leera, eso no se puede hacer a pelo, ya te digo que estoy muy ocupado hasta la semana que viene, pero hay un par de soluciones, la barata http://clauer.nisu.org/linux busca por esos enlaces, hay mas soluciones por esa linea. * Y la cara seria con tarjetas criptograficas y llave externa, una configuración de las mismas bastante standard es un cambio cada 2 horas, cada poseedor tiene distinta autoridad.
El 9/11/06, jose maria
El Martes, 7 de Noviembre de 2006 17:48, Victor Hugo dos Santos escribió:
nunca lo vi !!!! alguna enlace/documentación sobre el tema ??
* Ando un poco liado, asi que en el man de iptables en la explicacion de la opcion -p.
uufff... -p, --protocol [!] protocol The protocol of the rule or of the packet to check. The specified protocol can be one of tcp, udp, icmp, or all, or it can be a numeric value, representing one of these protocols or a different one. A protocol name from /etc/protocols is also allowed. A "!" argument before the protocol inverts the test. The number zero is equivalent to all. Protocol all will match with all protocols and is taken as default when this option is omitted. por algun motivo, pense que solamente funcionaba los protocolos "tcp, udp, icmp" !!! vivendo y aprendendo !!! por otro lado, mi archivo /etc/protocols es bien distinto al que se encuentra en http://www.iana.org/assignments/protocol-numbers y en este caso especifico no hay IPX.. seria necesario agregar una linea correspondente al protocolo IPX a mi archivo /etc/protocols para que iptables funcione con este protocolo ??? un dia descubrire !!! gracias y salu2 -- -- Victor Hugo dos Santos Linux Counter #224399
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-09 a las 13:03 -0300, Victor Hugo dos Santos escribió:
por algun motivo, pense que solamente funcionaba los protocolos "tcp, udp, icmp" !!!
Ya...
vivendo y aprendendo !!!
por otro lado, mi archivo /etc/protocols es bien distinto al que se encuentra en http://www.iana.org/assignments/protocol-numbers y en este caso especifico no hay IPX.. seria necesario agregar una linea correspondente al protocolo IPX a mi archivo /etc/protocols para que iptables funcione con este protocolo ??? un dia descubrire !!!
Yo no se si el fichero que tienes es el que soporta el kernel. Pero, por otra parte, si el cortafuegos no lo ha abierto explícitamente, debe estar cerrado. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFU4GltTMYHG2NR9URAjapAJ44mzO15YP6kAbEiw15HBiQgc0xawCeJ+OZ KxltDLCGJ2AC6YzJRaeMXUk= =ZHdt -----END PGP SIGNATURE-----
El 9/11/06, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2006-11-09 a las 13:03 -0300, Victor Hugo dos Santos escribió:
por algun motivo, pense que solamente funcionaba los protocolos "tcp, udp, icmp" !!!
Ya...
vivendo y aprendendo !!!
por otro lado, mi archivo /etc/protocols es bien distinto al que se encuentra en http://www.iana.org/assignments/protocol-numbers y en este caso especifico no hay IPX.. seria necesario agregar una linea correspondente al protocolo IPX a mi archivo /etc/protocols para que iptables funcione con este protocolo ??? un dia descubrire !!!
Yo no se si el fichero que tienes es el que soporta el kernel.
mmm.. exacto !!! acabo de hacer algunas pruebas.. y aparenta que el fichero /etc/protocols es puramente "ilustrativo" primero, lo renombre y aplique una regla con el cortafuegos: $sudo iptables -D OUTPUT -p icmp -j DROP y continua bloqueando los paquetes (simples pings) que envie hacia una otra maquina.. tambien intente cambiar el numero que hace referencia al protocolo dentro del archivo origianl: icmp 1 ICMP # internet control message protocol nuevo: icmp 1111 ICMP # internet control message protocol y al aplicar el comando: $sudo iptables -D OUTPUT -p 1 -j DROP continua bloqueando los pings.. y al aplicar el comando $sudo iptables -D OUTPUT -p 1111 -j DROP me indica el siguinte error: iptables v1.3.3: unknown protocol `1111' specified Try `iptables -h' or 'iptables --help' for more information. en resumen, el archivo en si no sirve para nada mas que referencias..
Pero, por otra parte, si el cortafuegos no lo ha abierto explícitamente, debe estar cerrado.
mmm.. siii esto tenemos claro !!! :-D salu2 -- -- Victor Hugo dos Santos Linux Counter #224399
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-09 a las 18:22 -0300, Victor Hugo dos Santos escribió:
en resumen, el archivo en si no sirve para nada mas que referencias..
Curioso, porque tengo entendido que el /etc/services si que se usa, a no ser que sea una copia de lo que el kernel tenga definido dentro. Yo creía que servía como traductro.
Pero, por otra parte, si el cortafuegos no lo ha abierto explícitamente, debe estar cerrado.
mmm.. siii esto tenemos claro !!! :-D
Entonces, si lo que quieres es bloquear ciertos paquetes, no hay que hacer nada, ¿no? Eso es loque yo entiendo. Pero de IPX no se nada. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFU8HttTMYHG2NR9URAsOUAJ9oTMbsLPqzBIWbBUYHwPiuelek/QCdEryr r9lwq8VcYOtSMnAMM1PLnxc= =OcG4 -----END PGP SIGNATURE-----
El 9/11/06, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2006-11-09 a las 18:22 -0300, Victor Hugo dos Santos escribió:
[...]
Pero, por otra parte, si el cortafuegos no lo ha abierto explícitamente, debe estar cerrado.
mmm.. siii esto tenemos claro !!! :-D
Entonces, si lo que quieres es bloquear ciertos paquetes, no hay que hacer nada, ¿no? Eso es loque yo entiendo. Pero de IPX no se nada.
exacto.. cuando se define la regla por defecto en drop (iptables -P [OUTPUT|INPUT|FORWARD] DROP) nada escapa desde bloqueo (ni mismo david copperfield), solamente lo que estas explicitamente indicado !!!! salu2 -- -- Victor Hugo dos Santos Linux Counter #224399 --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com
El Viernes, 10 de Noviembre de 2006, jose maria escribió:
Curioso, porque tengo entendido que el /etc/services si que se usa, a no ser que sea una copia de lo que el kernel tenga definido dentro. Yo creía que servía como traductro.
Pero, por otra parte, si el cortafuegos no lo ha abierto explícitamente, debe estar cerrado.
mmm.. siii esto tenemos claro !!! :-D
Entonces, si lo que quieres es bloquear ciertos paquetes, no hay que hacer nada, ¿no? Eso es loque yo entiendo. Pero de IPX no se nada.
* A ver pensad un poco antes, el protocolo ipx es un protocolo de transmision local que se encapsula en IP para poder transportarlo por internet. * Filtrar por protocolo cuando esta encapsulado no es una cuestion menor y menos con iptables, recordad las ñapas para protocolos p2p aunque para IPX no seria lo mismo por cuestiones que no vienen a cuento, y recordad que iptables siendo lo mas potente, no tiene por que poder solucionar todo en la viña del señor o ser lo mas adecuado, de hecho asi a bote pronto creo que lo suyo seria proxificar las aplicaciones y filtrar a nivel de aplicacion. * ¿Es que harias DROP a una VPN entera?, no existiria la VPN, ¿como filtrariais por protocolos el trafico encapsulado que viaja por esa VPN? de hay el INPUT tan alegremente denostado, que vuelvo a insistir en que no creo que iptables sea lo mas "conveniente", simplemente aporte una posible solucion con iptables.
Hola muchas gracias por las respuestas.. El pasado viernes deje instalada una cpu bastante vieja sin HD y con una distribucion de Linux de disquette conocida como Freesco. Esta distribucion permite solo utilizar ipfwadmin asi que luego de leer vuestras respuestas decidi intentarlo de todos modos. Deseo recordar /aclarar algunos detalles del problema planteado. 1. El problema es que la novell corriendo solo IPX en la red interna entraba en conflictos varios al conectar la red interna con una wan. El objetivo era encontrar la forma de *aislar* la novell de la red interna para que no se *entere* de que en la wan hay otros servidores novell pero sin cortar el trafico TCP/IP entre ambas redes. 2. El protocolo IPX de la red interna NO esta encapsulado en IP. por lo tanto bastaria con filtrar por protocolo. Ahora bien por lo que lei entre los mensajes de Uds. un firewall deberia por defecto impedir el paso de toda comunicacion y solo permitir aquellas especificamente declaradas mediante las reglas. Basandome en ese concepto ( que podria ser errorneo..) coloque el firewall con ipfwadm y probe con ethereal los paquetes de ambos lados comprobando que los paquetes ipx y del protocolo sap de novell ya no pasan. Ademas lo comprobe tratando de loggearme al servidor novell dando resultado negativo. Por el contrario el trafico tcp/IP no se vio afectado con la condicion de que coloque como default gateway (en cada host de la red interna) la direccion IP del firewall ( del interface conectada a la red interna) Espero se haya entendido.. Y parece ser que esto ha dado resultado.. nuevamente gracias a todos Saludos Mauricio --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com
2006/11/3, Mauricio Pellegrini:
Hola disculpen que insista , Talvez no se entendió o tal vez no sea el lugar apropiadopara preguntar pero alguien podria decirme si es posible filtrar con un firewall los paquetes IPX evitando que circulen entre dos redes?
Ni idea :-P. Pero siempre te quedará Google: http://www.faqs.org/docs/Linux-HOWTO/IPX-HOWTO.html http://www.google.com/search?hl=en&lr=&q=filter+ipx+packets+linux Saludos, -- Camaleón
participants (8)
-
Camaleón
-
Carlos E. R.
-
Emiliano Sutil
-
jose maria
-
Luis O.
-
Mauricio Pellegrini
-
miguel gmail
-
Victor Hugo dos Santos