Problemas con Susefirewall2
Tengo un problema con el firewall, que si lo activo, me bloquea la resolución dns o todo el trafico. Tengo un modem-router ethernet (conectado a la tarjeta ethernet), el cual seteo como interfaz externa, pero de lo que tengo la duda, es la tarjeta de red ethernet, como la seteo? (probé de varias formas, pero en ninguna me funciona). Uso el OSS 10.1. Saludos, Juan
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-01-17 a las 08:40 -0300, Juan Erbes escribió:
Tengo un problema con el firewall, que si lo activo, me bloquea la resolución dns o todo el trafico. Tengo un modem-router ethernet (conectado a la tarjeta ethernet), el cual seteo como interfaz externa, pero de lo que tengo la duda, es la tarjeta de red ethernet, como la seteo? (probé de varias formas, pero en ninguna me funciona).
No me entero. Haz un esquemita de tu configuración. Ese cortafuegos, ¿es el de suse? Cuantas tarjetas hay, que hay conectado en cada una, etc.
Uso el OSS 10.1.
Pos ya sabes lo que te voy a decir, ¿no? :-P - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDzOsTtTMYHG2NR9URAkuQAJ9JcnCo3LbUEMTIwL8WCRhMn1y8uACdFAb+ PESizE5dJwSL55ij1//5Xzw= =uLge -----END PGP SIGNATURE-----
El día 17/01/06, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2006-01-17 a las 08:40 -0300, Juan Erbes escribió:
Tengo un problema con el firewall, que si lo activo, me bloquea la resolución dns o todo el trafico. Tengo un modem-router ethernet (conectado a la tarjeta ethernet), el cual seteo como interfaz externa, pero de lo que tengo la duda, es la tarjeta de red ethernet, como la seteo? (probé de varias formas, pero en ninguna me funciona).
No me entero.
Haz un esquemita de tu configuración. Ese cortafuegos, ¿es el de suse?
La verdad, es que no se si el Susefirewall2 es de Suse :), Quizas se lo piratearon, ja ja ja.* * Cuantas tarjetas hay, que hay conectado en cada una, etc. Una sola tarjeta de red, conectada al modem adsl, y el modem adsl, a la linea telefonica, son las unicas conexiones (ademas de la alimentación de CA). Saludos, Juan
El 17/01/2006 12:40:58 Juan Erbes escribió: jerbes> Tengo un modem-router ethernet (conectado jerbes> a la tarjeta ethernet), el cual seteo como interfaz externa, pero de lo que jerbes> tengo la duda, es la tarjeta de red ethernet, como la seteo? (probé de jerbes> varias formas, pero en ninguna me funciona). No lo acabo de entender muy bien, pero en principio el router es la puerta de enlace predeterminada y debe tener una dirección IP en el mismo rango que el de la targeta del ordenador (o viceversa) Por ejemplo, si el router está en 192.168.1.1 esta será la puerta de enlace predeterminada y la tarjeta debe estar en el rango de 192.168.1.x (la mascara en 255.255.255.0) En el firewall de SuSE no necesitas configurar nada como interfaz externa y debes poner la tarjeta ethernet como interfaz interna. -- Saludos, Josep M. Queralt
El día 17/01/06, Josep M. Queralt
El 17/01/2006 12:40:58 Juan Erbes escribió:
jerbes> Tengo un modem-router ethernet (conectado jerbes> a la tarjeta ethernet), el cual seteo como interfaz externa, pero de lo que jerbes> tengo la duda, es la tarjeta de red ethernet, como la seteo? (probé de jerbes> varias formas, pero en ninguna me funciona).
No lo acabo de entender muy bien, pero en principio el router es la puerta de enlace predeterminada y debe tener una dirección IP en el mismo rango que el de la targeta del ordenador (o viceversa)
Por ejemplo, si el router está en 192.168.1.1 esta será la puerta de enlace predeterminada y la tarjeta debe estar en el rango de 192.168.1.x (la mascara en 255.255.255.0)
En el firewall de SuSE no necesitas configurar nada como interfaz externa y debes poner la tarjeta ethernet como interfaz interna.
Te cuento con mas detalle, se trata de un modem Arescom NetDSL 1000, el cual se conecta directamente a la tarjeta de red de mi pc (integrada en el mobo, chip 3C940), a traves del cable ethernet. Tengo definido como interfaz externa dsl0, pero a la tarjeta de red, he probado ponerla como interfaz interna, externa, desmilitarizada, o ninguna zona asignada y cuando activo el firewall, queda toda la comunicación bloqueada. Ahora viene a mi memoria, que en alguna versión anterior, había que desactivar el soprte ipv6, que traía problemas, quizas se trate de eso. Gracias a todos, Juan
Me parece que la interfaz externa es la misma tarjeta de red, porque indicas que el modem DSL se conecta directamente a la tarjeta de red, entonces la configuración que tienes e: Linea -> Modem DSL -> PC-> RED interna Entonces tu interface externa tiene que ser eth0, o eth-di-re-cc-ió-nm-ac-xx-xx y si tienes otra tarjeta de red adicional para compartir tu conexión, sería la interface interna y Gateway de tu red interna (si la ubiera) Saludos Fred Juan Erbes escribió:
El día 17/01/06, Josep M. Queralt
escribió: El 17/01/2006 12:40:58 Juan Erbes escribió:
jerbes> Tengo un modem-router ethernet (conectado jerbes> a la tarjeta ethernet), el cual seteo como interfaz externa, pero de lo que jerbes> tengo la duda, es la tarjeta de red ethernet, como la seteo? (probé de jerbes> varias formas, pero en ninguna me funciona).
No lo acabo de entender muy bien, pero en principio el router es la puerta de enlace predeterminada y debe tener una dirección IP en el mismo rango que el de la targeta del ordenador (o viceversa)
Por ejemplo, si el router está en 192.168.1.1 esta será la puerta de enlace predeterminada y la tarjeta debe estar en el rango de 192.168.1.x (la mascara en 255.255.255.0)
En el firewall de SuSE no necesitas configurar nada como interfaz externa y debes poner la tarjeta ethernet como interfaz interna.
Te cuento con mas detalle, se trata de un modem Arescom NetDSL 1000, el cual se conecta directamente a la tarjeta de red de mi pc (integrada en el mobo, chip 3C940), a traves del cable ethernet. Tengo definido como interfaz externa dsl0, pero a la tarjeta de red, he probado ponerla como interfaz interna, externa, desmilitarizada, o ninguna zona asignada y cuando activo el firewall, queda toda la comunicación bloqueada. Ahora viene a mi memoria, que en alguna versión anterior, había que desactivar el soprte ipv6, que traía problemas, quizas se trate de eso.
Gracias a todos, Juan
------------------------------------------------------------------------
No virus found in this incoming message. Checked by AVG Free Edition. Version: 7.1.375 / Virus Database: 267.14.19/231 - Release Date: 16/01/2006
El 17/01/2006 17:21:45 Juan Erbes escribió: jerbes> Te cuento con mas detalle, se trata de un modem Arescom NetDSL 1000, el cual jerbes> se conecta directamente a la tarjeta de red de mi pc (integrada en el mobo, jerbes> chip 3C940), a traves del cable ethernet. Sip, normalmente se conectan directamente. :-) jerbes> Tengo definido como interfaz externa dsl0, Esta en el firewall no te hace falta ponerla, ni como externa ni como interna. jerbes>pero a la tarjeta de red, he probado ponerla como interfaz interna, externa, desmilitarizada, o Tienes que ponerla como interfaz interna. Tiene que estar configurada en el mismo rango de IP que tengas en el router. La IP del router tienes que ponerla como puerta de enlace predeterminada en la configuración de la targeta (en inglés "default gateway") jerbes> Ahora viene a mi memoria, que en alguna versión anterior, había que jerbes> desactivar el soprte ipv6, que traía problemas, quizas se trate de eso. Juraría que no tiene nada que ver. -- Saludos, Josep M. Queralt
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-01-17 a las 18:18 +0100, Josep M. Queralt escribió:
jerbes>pero a la tarjeta de red, he probado ponerla como interfaz interna, externa, desmilitarizada, o
Tienes que ponerla como interfaz interna.
Yo la consideraría externa, porque habla con el exterior, donde está internet, y por ende, el peligro. La red interna es confiable, y no es el caso - salvo que ese router tenga un cortafuegos y sea bueno.
jerbes> Ahora viene a mi memoria, que en alguna versión anterior, había que jerbes> desactivar el soprte ipv6, que traía problemas, quizas se trate de eso.
Juraría que no tiene nada que ver.
Lo mismo pienso. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDzUgstTMYHG2NR9URAl/PAJ9cNc6yKDLtgD6cmCugknbU+vGIHACeMjU6 EPoHbljBReKvDVXzdEiOY2Q= =i+za -----END PGP SIGNATURE-----
El 17/01/2006 20:40:27 Carlos E. R. escribió: robin1.listas> robin1.listas> La red interna es confiable, y no es el caso - salvo que ese router tenga robin1.listas> un cortafuegos y sea bueno. robin1.listas> Depende de los Windows que haya en la red interna, y sobretodo, de quienes esten frente a sus pantallas. :-) -- Saludos, Josep M. Queralt
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-01-18 a las 09:20 +0100, Josep M. Queralt escribió:
robin1.listas> La red interna es confiable, y no es el caso - salvo que ese router tenga robin1.listas> un cortafuegos y sea bueno.
Depende de los Windows que haya en la red interna, y sobretodo, de quienes esten frente a sus pantallas. :-)
Touché! :-} Bueno, en ese caso yo pongo FW_PROTECT_FROM_INT="yes" - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD4DBQFDzsGutTMYHG2NR9URAlvsAJjWE1EjHiKZYa3nMqeY8fQoXoQFAJ9ECwKM dO9UOGIE4mS7ZfJHGZa+Ug== =rc/a -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-01-19 a las 14:39 +0100, jose maria escribió:
Bueno, en ese caso yo pongo
FW_PROTECT_FROM_INT="yes"
* Con con routing y nat/enmascaramiento activado esto es como no poner nada.
En cuanto a la maquina "cliente", claro, pero en cuanto al servidor, si queda protegido. La máquina cliente queda protegida de entradas directas desde internet, puesto que no se le ve desde el exterior; pero cualquier conexión que se inicie desde la red interna si completará, y si es perjudicial, pues perjudicará: caso por ejemplo de un virus que intente conectar con el exterior. Ahí entraría lo que decías el otro dia de FW_TRUSTED_NETS. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDz67ctTMYHG2NR9URAl1oAJ4zxmLrosMk5mr6/u4JaENTj9/47gCcDSIH /vwIOT/jHveJB9YQzlvJgw4= =s5a+ -----END PGP SIGNATURE-----
El Jueves, 19 de Enero de 2006 16:23, Carlos E. R. escribió:
FW_PROTECT_FROM_INT="yes"
* Con con routing y nat/enmascaramiento activado esto es como no poner nada.
En cuanto a la maquina "cliente", claro, pero en cuanto al servidor, si queda protegido.
* Esto lo que trata de evitar son conexiones aleatorias desde la red interna a la maquina cortafuegos, y si enmascaramiento y routing activado, pues que no hace nada o si quieres casi nada, solo es util en politica por defecto drop para que sea drop tambien para la red interna contra el cortafuegos, poner yes pues bueno por defecto esta...
La máquina cliente queda protegida de entradas directas desde internet, puesto que no se le ve desde el exterior
* No se ve desde el exterior dependiendo de la vista que se tenga, al haber otra maquina (cortafuegos) por delante de la red interna, pero se "sienten" y son capturables por culpa del enmascaramiento y reenvio en el gateway, que vuelvo a insistir que es un mecanismo de conectividad simple no de filtrado, el enmascaramiento/nat es una simple traduccion de direcciones que no despista a nadie.
El 17/01/06, Juan Erbes
Tengo un problema con el firewall, que si lo activo, me bloquea la resolución dns o todo el trafico. Tengo un modem-router ethernet (conectado a la tarjeta ethernet), el cual seteo como interfaz externa, pero de lo que tengo la duda, es la tarjeta de red ethernet, como la seteo? (probé de varias formas, pero en ninguna me funciona). Uso el OSS 10.1.
mira... enia para aca la salida "exacta" de los seguintes comandos: #ifconfig #route -n #SuSEfirewall2 stop # iptables -L -n # iptables -L -n -t nat # sysctl net.ipv4.ip_forward #SuSEfirewall2 start # iptables -L -n # iptables -L -n -t nat # sysctl net.ipv4.ip_forward salu2. -- -- Victor Hugo dos Santos Linux Counter #224399
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-01-17 a las 13:38 -0300, Victor Hugo dos Santos escribió:
mira... enia para aca la salida "exacta" de los seguintes comandos:
#ifconfig #route -n #SuSEfirewall2 stop
# iptables -L -n
¿Y por que no: cat /etc/sysconfig/SuSEfirewall2 | egrep -v "^[[:space:]]*$|^#" que es más sencillo? - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDzUh4tTMYHG2NR9URAiBnAKCZYRiup41lDtR5z60Je7EaxrFdQQCfXbJS KTvRSdSAv7UaE8khERK8/d4= =Xjjw -----END PGP SIGNATURE-----
El 17/01/06, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2006-01-17 a las 13:38 -0300, Victor Hugo dos Santos escribió:
mira... enia para aca la salida "exacta" de los seguintes comandos:
#ifconfig #route -n #SuSEfirewall2 stop
# iptables -L -n
¿Y por que no:
cat /etc/sysconfig/SuSEfirewall2 | egrep -v "^[[:space:]]*$|^#"
que es más sencillo?
por que con el comando de arriba mostrara las reglas que estan activas en este exacto momento !!!! se ejecuto el comando que mencionaste, me mostrara el contenido del archivo de configuracion del firewall, pero nada garantiza que no exista otras reglas ejecutando-se y/o que fueron aplicadas despues por el o por algun otro programa. Si, se que es bien imposible que algo asi pase, pero de tanto el meter mano, ya no me extranaria nada mas !!! Obs.: que pasa que hoy no nos entendemos para nada ??? ;-) salu2. -- -- Victor Hugo dos Santos Linux Counter #224399
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-01-17 a las 21:36 -0300, Victor Hugo dos Santos escribió:
# iptables -L -n
¿Y por que no:
cat /etc/sysconfig/SuSEfirewall2 | egrep -v "^[[:space:]]*$|^#"
que es más sencillo?
por que con el comando de arriba mostrara las reglas que estan activas en este exacto momento !!!!
Bueno, si, pero si sólo usa el cortafuegos de suse no debe haber nada extraño, y es más fácil de entender ;-)
Obs.: que pasa que hoy no nos entendemos para nada ??? ;-)
Estaré aburrido :-p ;-) - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDzsIstTMYHG2NR9URAlQGAJ9XTEudsWBHMv5FFKOUAkDxR9ckLACdEjbF KSmUqlEgY0aZ3v+hAZEbipo= =GOff -----END PGP SIGNATURE-----
participants (6)
-
Carlos E. R.
-
Freddy Arteaga
-
jose maria
-
Josep M. Queralt
-
Juan Erbes
-
Victor Hugo dos Santos