Mailinglist Archive: opensuse-es (478 mails)
| < Previous | Next > |
Re: [suse-linux-s] ayuda firewall
- From: Gustavo Muslera <gmuslera@xxxxxxxxxxxxxxx>
- Date: Sat, 3 Aug 2002 11:57:23 -0300
- Message-id: <20020803115723.7e4c9788.gmuslera@xxxxxxxxxxxxxxx>
El Sat, 3 Aug 2002 07:37:00 -0500
Guillermo Pérez Bonilla <gperezcr@xxxxxxx> escribio:
> Tratar de Explicar mi problema de la forma mAs clara posible.
> Cualquier mAqiuna desde Internet puede accesar la pAgina Web que se
> encuentra hospedada
> en mi servidor SuSe 8.0. Sin embargo cuando una de las mAquinas que se
> encuentra dentro
> de la red trata de abrir la pAgina, esta nunca abre y recibe como
> mensaje tiempo de espera
> agotado.
> Si realizo un ping a la pAgina desde cualquiera de las mAquinas
> internas, la IP es resuelta
> correctamente, sin embargo dice que 100% de los paquetes estAn perdidos
> EncontrE en /var/log/firewall, el siguiente mensaje
> Jul 30 09:30:22 ns kernel: SuSE-FW-NO_ACCESS_INT->FWEXT IN=eth0 OUT=
> MAC=00:02:b3:50:02:8f:00:0a:27:a8:f0:06:08:00 SRC=10.0.0.130
> DST=XXX.XX.XX.XXX LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP
> TYPE=8 CODE=0 ID=942 SEQ=52
> Yo de Firewall no conozca prActicamente nada, yo supongo que en alguna
> parte debe decir que acepte los paquetes
> que vienen de la tarjeta eth1 y que acepte los de la eth0
>
> Mi pregunta es,dOnde debo buscar ?
> Tiene esto algo que ver con las reglas de IPtables ?
> Hay alguna otra informaciOn que deberIa enviar para hacer esta pregunta
> mAs exacta?
La idea es que estas usando SuSEFirewall2 y que las maquinas de la red
interna no acceden a la IP externa de tu servidor, no? El mejor lugar para
hacer este tipo de preguntas es la lista de correo SuSE-Security, pero
esta en ingles.
Bien, para eso hay 2 soluciones:
- Tener un DNS "interno" y otro "externo", y que el interno diga que el
nombre del servidor es la IP interna (esto es en realidad un poco mas util
cuando estas haciendo NAT o DMZ o cosas por el estilo, pero llega a valer)
- Esto que salio en suse-security :) Esta en ingles, pero lo critico creo
que se entiende.
--------------
From: Marcin Gryszczuk <marcing@xxxxxxxxxxxxxxxxx>
To: <suse-security@xxxxxxxx>
Subject: [suse-security] Re: SuSE-FW-NO_ACCESS_INT->FWEXT (last
attempt)
Date: Thu, 01 Aug 2002 12:23:33 +0200
Hi (sorry for the second post but the subject was gone in the first one)
Or the better solution (without keeping your firewall computer fully open
for inside word) is:
In firewall2-custom.rc.config add something like this (ex about allowing
http, https and proxy to external interface from internal word):
iptables -I INPUT x+0 -i eth0 -p tcp --dport 80 -j input_int
iptables -I INPUT x+1 -i eth0 -p tcp --dport 443 -j input_int
iptables -I INPUT x+2 -i eth0 -p tcp --dport 8080 -j input_int
Where eth0 is an internal interface..
And x - is a rule number before rule responsible for dropping all traffic
between internal and external:
92 6321 DROP all -- eth0 any anywhere 255.255.255.255
24 1542 LOG all -- eth0 any anywhere your.ext.ip.address LOG level
warning tcp-options ip-options prefix `SuSE-FW-NO_ACCESS_INT->FWEXT '
Best place for such rules in firewall2-custom.rc.config is function called
fw_custom_before_denyall().
Please remember of allowing firewall2-custom.rc.config in
firewall2.rc.config !
FW_CUSTOMRULES="/etc/rc.config.d/firewall2-custom.rc.config"
--------
Guillermo Pérez Bonilla <gperezcr@xxxxxxx> escribio:
> Tratar de Explicar mi problema de la forma mAs clara posible.
> Cualquier mAqiuna desde Internet puede accesar la pAgina Web que se
> encuentra hospedada
> en mi servidor SuSe 8.0. Sin embargo cuando una de las mAquinas que se
> encuentra dentro
> de la red trata de abrir la pAgina, esta nunca abre y recibe como
> mensaje tiempo de espera
> agotado.
> Si realizo un ping a la pAgina desde cualquiera de las mAquinas
> internas, la IP es resuelta
> correctamente, sin embargo dice que 100% de los paquetes estAn perdidos
> EncontrE en /var/log/firewall, el siguiente mensaje
> Jul 30 09:30:22 ns kernel: SuSE-FW-NO_ACCESS_INT->FWEXT IN=eth0 OUT=
> MAC=00:02:b3:50:02:8f:00:0a:27:a8:f0:06:08:00 SRC=10.0.0.130
> DST=XXX.XX.XX.XXX LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP
> TYPE=8 CODE=0 ID=942 SEQ=52
> Yo de Firewall no conozca prActicamente nada, yo supongo que en alguna
> parte debe decir que acepte los paquetes
> que vienen de la tarjeta eth1 y que acepte los de la eth0
>
> Mi pregunta es,dOnde debo buscar ?
> Tiene esto algo que ver con las reglas de IPtables ?
> Hay alguna otra informaciOn que deberIa enviar para hacer esta pregunta
> mAs exacta?
La idea es que estas usando SuSEFirewall2 y que las maquinas de la red
interna no acceden a la IP externa de tu servidor, no? El mejor lugar para
hacer este tipo de preguntas es la lista de correo SuSE-Security, pero
esta en ingles.
Bien, para eso hay 2 soluciones:
- Tener un DNS "interno" y otro "externo", y que el interno diga que el
nombre del servidor es la IP interna (esto es en realidad un poco mas util
cuando estas haciendo NAT o DMZ o cosas por el estilo, pero llega a valer)
- Esto que salio en suse-security :) Esta en ingles, pero lo critico creo
que se entiende.
--------------
From: Marcin Gryszczuk <marcing@xxxxxxxxxxxxxxxxx>
To: <suse-security@xxxxxxxx>
Subject: [suse-security] Re: SuSE-FW-NO_ACCESS_INT->FWEXT (last
attempt)
Date: Thu, 01 Aug 2002 12:23:33 +0200
Hi (sorry for the second post but the subject was gone in the first one)
Or the better solution (without keeping your firewall computer fully open
for inside word) is:
In firewall2-custom.rc.config add something like this (ex about allowing
http, https and proxy to external interface from internal word):
iptables -I INPUT x+0 -i eth0 -p tcp --dport 80 -j input_int
iptables -I INPUT x+1 -i eth0 -p tcp --dport 443 -j input_int
iptables -I INPUT x+2 -i eth0 -p tcp --dport 8080 -j input_int
Where eth0 is an internal interface..
And x - is a rule number before rule responsible for dropping all traffic
between internal and external:
92 6321 DROP all -- eth0 any anywhere 255.255.255.255
24 1542 LOG all -- eth0 any anywhere your.ext.ip.address LOG level
warning tcp-options ip-options prefix `SuSE-FW-NO_ACCESS_INT->FWEXT '
Best place for such rules in firewall2-custom.rc.config is function called
fw_custom_before_denyall().
Please remember of allowing firewall2-custom.rc.config in
firewall2.rc.config !
FW_CUSTOMRULES="/etc/rc.config.d/firewall2-custom.rc.config"
--------
| < Previous | Next > |