RE: [opensuse-es] Problema con susefirewall2
Internet (externa) es 200.71.206.74, interna es 192.168.2.X y dmz 200.71.206.75 va a dos maquinas con direcciones 200.71.206.76 y 77desde el cortafuegos puedo hacer ping a cualquier maquina, pero entre las zonas ninguna se vepor otro lado todo esto esta condimentado con una vpn que solo llega hasta el cortafuegos.. de ahi para adelante no ve mas nada.. creo que el problema es de cortafuegosJaime V --
Para dar de baja la suscripción, mande un mensaje a:
FW_FORWARD=" 0/0,200.71.206.0/24 200.31"
* No entiendo la sintaxis del 200 y el 31 si son puertos faltan comas, en cualquier caso otra cuestion que has de tener en cuenta es que si tienes ip publica externa, es evidente que es al menos uno de los dispositivos enmascaradores, ergo en FW_FORWARD tambien habras de tratar el trafico de la red interna para que llegue a la dmz, en masquerade_nets aplica solo a la 192.168.2.0/24 me parece que viene 0/0 por defecto y tal vez debas enmascarar en la interfaz interna ..... se me ocurrió la idea de solo hacer fordward a las maquinas (2) de la dmz (lo del 200.31 fue un error de dedos)lo que no se es si tengo las direcciones ip del cortaguegos de forma correcta, ya que tengo solo un pool de 4 direcciones realesalgo como 200.71.206.74 a la 77 , la dirección 74 va en la tarjeta que va a Internet, la 75 a la DMZ 76 y 77 dos maquinas que deben ser vistas desde Internetlo que se me ocurre es poner FW_FORWARD=" 0/0,200.71.206.76 0/0,200.71.206.77"y para que se puedan ver dese la red interna entonces complementar esto conFW_FORWARD=" 0/0,200.71.206.76 0/0,200.71.206.77 192.168.2.0/24,200.71.206.76 192.168.2.0/24,200.71.206.77"no se si me toca meter también reglas aquí para que la red de la vpn pueda ver la dmz, supongo que siFW_FORWARD=" 0/0,200.71.206.76 0/0,200.71.206.77 192.168.2.0/24,200.71.206.76 192.168.2.0/24,200.71.206.77 10.8.0.0/24 200.71.206.76 10.8.0.0/24 200.71.206.77"
ahora, adicionalmente hay un servidor de vpn e nel cortafuegos y el enrrutado desde la red de la vpn a la red interna no parece funcionar, se que en la configuracion del cortafuegos hay que poner algo comoFW_DEV_INT="eth1 tun0" para que el cortafuegos trate los paquetes de la vpn como red interna, pero también he leído que el cortafuegos de SuSE por default no permite el enrrutado entre dos redes que esta en en la misma zona, entonces no se si lo que hay es que agregar "Custom rules" o solo poner la variable correspondiente en yes, algo comoFW_ALLOW_CLASS_ROUTING="yes" o FW_ALLOW_CLASS_ROUTING="int", o esto y poner unas custom rules como fw_custom_before_denyall() { # could also be named "after_forwardmasq()"iptables -A INPUT -i tun+ -j ACCEPTiptables -A OUTPUT -o tun+ -j ACCEPTiptables -A FORWARD -i tun+ -j ACCEPTiptables -A FORWARD -o tun+ -j ACCEPTiptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADEtrue}
* Entiendo que el router no esta alojando el pool de ip's y que la vpn esta configurada correctamente, quiero decir que varias cosas al mismo tiempo malo, bueno, la vpn esta funcionando correctamente, pero solo hasta el servidor, porque la red interna no se ve, y eso es debido al mismo cortafuegos primero que cada cosa funcione correctamente, yo empezaria habilitando maquina y puerto por ejemplo al 80. FW_FORWARD="0/0,200.71.206.76,tcp,80" con lo dicho de la red interna FW_FORWARD="192.168.2,0/24,200.71.206.76,tcp,80" ten en cuenta tambien en la medida que ya se vean red interna, dmz vpn y red externa ente si ya pondre explicitamente los puertos que se necesitan, por lo pronto me conformo con que se vean que SuSEfirewall2 no tiene todas las capacidades de iptables ni todas en el fichero de configuracion principal.
* Teniendo un Pool de ips y queriendo usar SuSEfirewall2, vpn, etc.., yo pondria todas las publicas a la externa y "pediria" exigiria juego de mascaras para distintos Gateways y segmentaria las redes internas, la interna la que tienes y una 172.26 para una MZ para los servidores por ejemplo. SuSEfirewall2 es typical DNAT no SNAT.
esta parte no la entendi.. parece clase de chino avanzado, aunque dudo tanta maravilla, el proveedor de cosa y da internet Jaime V -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El lun, 15-11-2010 a las 18:52 -0500, Jaime Velez escribió:
* Teniendo un Pool de ips y queriendo usar SuSEfirewall2, vpn, etc.., yo pondria todas las publicas a la externa y "pediria" exigiria juego de mascaras para distintos Gateways y segmentaria las redes internas, la interna la que tienes y una 172.26 para una MZ para los servidores por ejemplo. SuSEfirewall2 es typical DNAT no SNAT.
esta parte no la entendi.. parece clase de chino avanzado, aunque dudo tanta maravilla, el proveedor de cosa y da internet
* ¿google translator? * Pues lo vuelvo a explicar, que SuSEfirewall2 es una forma sencilla de manejar un cortafuegos mas que potable y si me apuras hasta recomendable, pero logicamente tiene muchas limitaciones, si se quiere seguir usando por comodidad en un entorno de cierta complegidad es recomendable adoptar otras medidas, a saber, yo por ejemplo en este caso no "perderia" una ip publica solamente para enlazar con la DMZ, no perderla significaria poner servicios en el Cortafuegos con dos ips lo cual es mas que malo, Militarizaria esa zona (la DMZ actual), configurando todas las ip's publicas en la interfaz externa, "pediria" al proveedor que me diera gateways diferentes para cada ip "cambiando" jugando con las mascaras, el no saldria perjudicado y tu seguramente reducirias enormemente el numero de ip's inaccesibles y gestionarias bastante mejor el trafico, si no puede ser tampoco es el fin del mundo, pero seguiria poniendo todas las ip's publicas en la externa. * Doy por sentado que sabes que se pueden asignar multiples ip's en una misma interfaz, ip aliasses, tambien puedes usar bridges y ebtables.
participants (2)
-
Jaime Velez
-
jose maria