RE: [opensuse-es] Problema con susefirewall2
Me conformo con que funcione la dmz que no parece funcionar... esta es mi configuracion de cortafuegos los paquetes de la vpn ya se enrutan bien por el cortafuegos a la red interna.. aunque dos redes compartan la misma zona el cortafuegos de suse bloquea el enrutado, hay que poner una vbleFW_ALLOW_CLASS_ROUTING Specifies whether routing between interfaces of the same zone should be allowed,esto se pone en mi caso en "int" y santo remedio, pero aun la dmz.. no funciona la cosa es asi... 3 tarjetas de redla externa eth2 con direccion 200.71.206.74 y mascara 255.255.255.248la eth1 a la dmz con direccion 200.71.206.75 y mascara 255.255.255.248y la eth0 con direccion 192.168.2.0 mascara 255.255.255.0 los paquetes de la red interna no se enrutan a la DMZ ni de intenret.. la dmz quedo demasiado segura.. no le entra nada..los usuarios de la red interna pueden usar internet y los usuarios de la vpn ya ven los equipos dentro de la red interna Configuracion del Cortafuegos FW_DEV_EXT="eth2"FW_DEV_INT="eth0 tun0"FW_DEV_DMZ="eth1"FW_ROUTE="yes"FW_MASQUERADE="yes"FW_MASQ_DEV="zone:ext"FW_MASQ_NETS="0/0"FW_NOMASQ_NETS=""FW_PROTECT_FROM_INT="no"FW_SERVICES_EXT_TCP=""FW_SERVICES_EXT_UDP="1194"FW_SERVICES_EXT_IP=""FW_SERVICES_EXT_RPC=""FW_CONFIGURATIONS_EXT="sshd"FW_SERVICES_DMZ_TCP="80"FW_SERVICES_DMZ_UDP=""FW_SERVICES_DMZ_IP=""FW_SERVICES_DMZ_RPC=""FW_CONFIGURATIONS_DMZ="sshd"FW_SERVICES_INT_TCP=""FW_SERVICES_INT_UDP=""FW_SERVICES_INT_IP=""FW_SERVICES_INT_RPC=""FW_CONFIGURATIONS_INT="sshd"FW_SERVICES_DROP_EXT=""FW_SERVICES_DROP_DMZ=""FW_SERVICES_DROP_INT=""FW_SERVICES_REJECT_EXT=""FW_SERVICES_REJECT_DMZ=""FW_SERVICES_REJECT_INT=""FW_SERVICES_ACCEPT_EXT=""FW_SERVICES_ACCEPT_DMZ=""FW_SERVICES_ACCEPT_INT=""FW_SERVICES_ACCEPT_RELATED_EXT=""FW_SERVICES_ACCEPT_RELATED_DMZ=""FW_SERVICES_ACCEPT_RELATED_INT=""FW_TRUSTED_NETS=""FW_ALLOW_INCOMING_HIGHPORTS_TCP=""FW_ALLOW_INCOMING_HIGHPORTS_UDP=""FW_FORWARD="0/0,200.71.206.76 0/0,200.71.206.77 192.168.2.0/24,200.71.206.76 192.168.2.0/24,200.71.206.77 10.8.0.0/24,200.71.206.76 10.8.0.0/24,200.71.206.77"FW_FORWARD_REJECT=""FW_FORWARD_DROP=""FW_FORWARD_MASQ=""FW_REDIRECT=""FW_LOG_DROP_CRIT="yes"FW_LOG_DROP_ALL="no"FW_LOG_ACCEPT_CRIT="yes"FW_LOG_ACCEPT_ALL="no"FW_LOG_LIMIT=""FW_LOG=""FW_KERNEL_SECURITY="no"FW_STOP_KEEP_ROUTING_STATE="yes"FW_ALLOW_PING_FW="yes"FW_ALLOW_PING_DMZ="yes"FW_ALLOW_PING_EXT="yes"FW_ALLOW_FW_SOURCEQUENCH=""FW_ALLOW_FW_BROADCAST_EXT="no"FW_ALLOW_FW_BROADCAST_INT="no"FW_ALLOW_FW_BROADCAST_DMZ="no"FW_IGNORE_FW_BROADCAST_EXT="yes"FW_IGNORE_FW_BROADCAST_INT="no"FW_IGNORE_FW_BROADCAST_DMZ="no"FW_ALLOW_CLASS_ROUTING="int"FW_CUSTOMRULES=""FW_REJECT=""FW_REJECT_INT="yes"FW_HTB_TUNE_DEV=""FW_IPv6=""FW_IPv6_REJECT_OUTGOING=""FW_IPSEC_TRUST="no"FW_ZONES=""FW_ZONE_DEFAULT="ext"FW_USE_IPTABLES_BATCH=""FW_LOAD_MODULES="nf_conntrack_netbios_ns"FW_FORWARD_ALWAYS_INOUT_DEV=""FW_FORWARD_ALLOW_BRIDGING=""FW_WRITE_STATUS=""FW_RUNTIME_OVERRIDE=""FW_LO_NOTRACK=""FW_BOOT_FULL_INIT="" Jaime V Se que la configuracion de reglas esta.. un poco mas que liberal... pero me conformo con que se vea la dmz...arreglado esto... ya me dedicare a cerrar todo -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
juemadre cliente de correo de hotmail.. como quedan de feos los correos bueno otra cosa al respecto (lo de abajo lo habia puesto hasta bonito... pero no se si el hotmail o que cosa quita los saltos de linea) otra cosa... si tengo 2 equipos con direcciones reales en la DMZ cual debe ser su puerta de enlace? la puerta de enlace para los equipos 200.71.206.74 a la 77 es la 200.71.206.73, pero si pongo los equipos en la dmz pegados a la tarjeta de red de la DMZ con direccion 200.71.206.75, esta es ahora la puerta de enlace?, porque los equipos en la dmz estaban con pueta de enlace 200.71.206.73 (que es su salida original.. por decirlo de alguna forma) jaime V ----------------------------------------
From: javobqcol@hotmail.com To: opensuse-es@opensuse.org Subject: RE: [opensuse-es] Problema con susefirewall2 Date: Wed, 17 Nov 2010 10:11:36 -0500
Me conformo con que funcione la dmz que no parece funcionar... esta es mi configuracion de cortafuegos los paquetes de la vpn ya se enrutan bien por el cortafuegos a la red interna.. aunque dos redes compartan la misma zona el cortafuegos de suse bloquea el enrutado, hay que poner una vbleFW_ALLOW_CLASS_ROUTING Specifies whether routing between interfaces of the same zone should be allowed,esto se pone en mi caso en "int" y santo remedio, pero aun la dmz.. no funciona la cosa es asi... 3 tarjetas de redla externa eth2 con direccion 200.71.206.74 y mascara 255.255.255.248la eth1 a la dmz con direccion 200.71.206.75 y mascara 255.255.255.248y la eth0 con direccion 192.168.2.0 mascara 255.255.255.0 los paquetes de la red interna no se enrutan a la DMZ ni de intenret.. la dmz quedo demasiado segura.. no le entra nada..los usuarios de la red interna pueden usar internet y los usuarios de la vpn ya ven los equipos dentro de la red interna Configuracion del Cortafuegos FW_DEV_EXT="eth2"FW_DEV_INT="eth0 tun0"FW_DEV_DMZ="eth1"FW_ROUTE="yes"FW_MASQUERADE="yes"FW_MASQ_DEV="zone:ext"FW_MASQ_NETS="0/0"FW_NOMASQ_NETS=""FW_PROTECT_FROM_INT="no"FW_SERVICES_EXT_TCP=""FW_SERVICES_EXT_UDP="1194"FW_SERVICES_EXT_IP=""FW_SERVICES_EXT_RPC=""FW_CONFIGURATIONS_EXT="sshd"FW_SERVICES_DMZ_TCP="80"FW_SERVICES_DMZ_UDP=""FW_SERVICES_DMZ_IP=""FW_SERVICES_DMZ_RPC=""FW_CONFIGURATIONS_DMZ="sshd"FW_SERVICES_INT_TCP=""FW_SERVICES_INT_UDP=""FW_SERVICES_INT_IP=""FW_SERVICES_INT_RPC=""FW_CONFIGURATIONS_INT="sshd"FW_SERVICES_DROP_EXT=""FW_SERVICES_DROP_DMZ=""FW_SERVICES_DROP_INT=""FW_SERVICES_REJECT_EXT=""FW_SERVICES_REJECT_DMZ=""FW_SERVICES_REJECT_INT=""FW_SERVICES_ACCEPT_EXT=""FW_SERVICES_ACCEPT_DMZ=""FW_SERVICES_ACCEPT_INT=""FW_SERVICES_ACCEPT_RELATED_EXT=""FW_SERVICES_ACCEPT_RELATED_DMZ=""FW_SERVICES_ACCEPT_RELATED_INT=""FW_TRUSTED_NETS=""FW_ALLOW_INCOMING_HIGHPORTS_TCP=""FW_ALLOW_INCOMING_HIGHPORTS_UDP=""FW_FORWARD="0/0,200.71.206.76 0/0,200.71.206.77 192.168.2.0/24,200.71.206.76 192.168.2.0/24,200.71.206.77 10.8.0.0/24,200.71.206.76 10.8.0.0/24,200.71.206.77"FW_FORWARD_REJECT=""FW_FORWARD_DROP=""FW_FORWARD_MASQ=""FW_REDIRECT=""FW_LOG_DROP_CRIT="yes"FW_LOG_DROP_ALL="no"FW_LOG_ACCEPT_CRIT="yes"FW_LOG_ACCEPT_ALL="no"FW_LOG_LIMIT=""FW_LOG=""FW_KERNEL_SECURITY="no"FW_STOP_KEEP_ROUTING_STATE="yes"FW_ALLOW_PING_FW="yes"FW_ALLOW_PING_DMZ="yes"FW_ALLOW_PING_EXT="yes"FW_ALLOW_FW_SOURCEQUENCH=""FW_ALLOW_FW_BROADCAST_EXT="no"FW_ALLOW_FW_BROADCAST_INT="no"FW_ALLOW_FW_BROADCAST_DMZ="no"FW_IGNORE_FW_BROADCAST_EXT="yes"FW_IGNORE_FW_BROADCAST_INT="no"FW_IGNORE_FW_BROADCAST_DMZ="no"FW_ALLOW_CLASS_ROUTING="int"FW_CUSTOMRULES=""FW_REJECT=""FW_REJECT_INT="yes"FW_HTB_TUNE_DEV=""FW_IPv6=""FW_IPv6_REJECT_OUTGOING=""FW_IPSEC_TRUST="no"FW_ZONES=""FW_ZONE_DEFAULT="ext"FW_USE_IPTABLES_BATCH=""FW_LOAD_MODULES="nf_conntrack_netbios_ns"FW_FORWARD_ALWAYS_INOUT_DEV=""FW_FORWARD_ALLOW_BRIDGING=""FW_WRITE_STATUS=""FW_RUNTIME_OVERRIDE=""FW_LO_NOTRACK=""FW_BOOT_FULL_INIT=""
Jaime V Se que la configuracion de reglas esta.. un poco mas que liberal... pero me conformo con que se vea la dmz...arreglado esto... ya me dedicare a cerrar todo -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El mié, 17-11-2010 a las 11:23 -0500, Jaime Velez escribió:
juemadre cliente de correo de hotmail.. como quedan de feos los correos
bueno otra cosa al respecto (lo de abajo lo habia puesto hasta bonito... pero no se si el hotmail o que cosa quita los saltos de linea) otra cosa... si tengo 2 equipos con direcciones reales en la DMZ cual debe ser su puerta de enlace? la puerta de enlace para los equipos 200.71.206.74 a la 77 es la 200.71.206.73, pero si pongo los equipos en la dmz pegados a la tarjeta de red de la DMZ con direccion 200.71.206.75, esta es ahora la puerta de enlace?, porque los equipos en la dmz estaban con pueta de enlace 200.71.206.73 (que es su salida original.. por decirlo de alguna forma) jaime V
* El gateway por defecto siempre es el siguiente salto y se aplica el ultimo, es decir si no tengo otra ruta configurada mejor, lo mando por el configurado por defecto. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
* El gateway por defecto siempre es el siguiente salto y se aplica el ultimo, es decir si no tengo otra ruta configurada mejor, lo mando por el configurado por defecto.
la cuestion es la siguente:las maquinas antes estaban pegadas derecho a internet y las quieren pegadas a una dmz con el cortafuegos de suse la pregunta que tengo es la siguente antes las maquinas tenian gateway .x.x.x.73..de hecho asi estan.. ahora deben quedar en una dmz cuya t de red es la x.x.x.75.. pero no les cambie el gateway origina (el 73) si no cambio este gateway.. las maquinas quedan inaccesibles?..porque es claro que el nuevo gateway es el 75.. pero quedan tan inaccesibles que ni al ping responden? Jaime V -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El mié, 17-11-2010 a las 16:35 -0500, Jaime Velez escribió:
la cuestion es la siguente:las maquinas antes estaban pegadas derecho a internet y las quieren pegadas a una dmz con el cortafuegos de suse la pregunta que tengo es la siguente antes las maquinas tenian gateway .x.x.x.73..de hecho asi estan.. ahora deben quedar en una dmz cuya t de red es la x.x.x.75.. pero no les cambie el gateway origina (el 73) si no cambio este gateway.. las maquinas quedan inaccesibles?..porque es claro que el nuevo gateway es el 75.. pero quedan tan inaccesibles que ni al ping responden?
* El gateway ahora es la tarjeta del cortafuegos que conecta con la DMZ , 75 si no veo mal. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (2)
-
Jaime Velez
-
jose maria