Susefirewall, aclaracion (extensa??)
Hola suseros: Unas dudas q me asisten al respecto del susefirewall. Al pasar del 9.0 al 9.3 me he encontrado con que la configuracion del susefirewal ha variado los conceptos; he leido algo el manual y sigo sin aclararme. El tema es q delimita las interfaces por zonas (externa, interna y desmilitarizada); bien, si tengo un router conectado via eth0 al pc, entiendo que la zona interna seria mi eth0, y q seria ahi donde tengo q autorizar /denegar los servicios. Pero ocurre q si en el yast quiero denegar algunos servicios de los q vienen prederterminados (como servidor http,https,ldap,smtp y todos los q aparecen al marcar la casilla "proteger cortafuegos de la zona interna") no me deja, ni siquiera se habilita el boton de avanzadas; para ello tengo q marcar la casilla. No necesito tener autorizados servicios q no tengo corriendo en el pc como servidores web o de correo, ni siquiera NTP o LDAP, pero al parecer se autorizan simplemente por el hecho de marcar "proteger cortafuegos de la zona interna". Por otra parte habilito los puertos 3000 4661 4662 5000 6346 6347 6882 TCP, para la red donkey y G2 y cuando los pongo manualmente en avanzadas , al aceptar me aparecen de esta manera 3000 4661 4662 4662,6882,6347 5000 6346 6347 Como veis se me añaden 4662,6882,6347 de esta manera, separados por comas, con lo q el yast me devuelve un mensaje indicandome q estos puertos no son validos; los elimino borrandolos simplemente y cuando vuelvo a entrar estan ahi, de esa menra. Seguro q estoy haciendo algo mal. Alguna idea?? Por otra parte si le hago un nmap a la maquina , me devuelve PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 111/tcp open rpcbind 139/tcp open netbios-ssn 445/tcp open microsoft-ds 631/tcp open ipp 4000/tcp open remoteanything 5801/tcp open vnc-http-1 5901/tcp open vnc-1 Y es aqui donde ya me pierdo. El puerto 4000, remoteanything; un troyano?? Donde estan los puertos del donkey y G2 que he autorizado?? Y si aparece autorizado el servidor POP3 en susefirewall , por q no aparece en el nmap, como si lo hace el 25??? Disculpad por la longitud , pero por mas vueltas q lo doy no logro aclarar "conceptos". De antemano, gracias por leer este "chorizo". Salu2 -- "Mas vale encender una vela, que maldecir la oscuridad" <proverbio hindhi> linux user 306955 http://counter.li.org/ ______________________________________________ LLama Gratis a cualquier PC del Mundo. Llamadas a fijos y móviles desde 1 céntimo por minuto. http://es.voice.yahoo.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-01-23 a las 22:04 +0100, ag escribió:
Unas dudas q me asisten al respecto del susefirewall. Al pasar del 9.0 al 9.3 me he encontrado con que la configuracion del susefirewal ha variado los conceptos; he leido algo el manual y sigo sin aclararme. El tema es q delimita las interfaces por zonas (externa, interna y desmilitarizada);
Eso no ha cambiado, sigue igual desde la versión 7 o por ahí. Otra cosa es que el yast lo dijera.
bien, si tengo un router conectado via eth0 al pc, entiendo que la zona interna seria mi eth0, y q seria ahi donde tengo q autorizar /denegar los servicios.
A ver: la zona interna es detrás del cortafuegos de internet, es decir, es una zona más o menos confiable. ¿Ese router, es el del acceso a internet? Para mi, sería la interfaz externa entonces.
Pero ocurre q si en el yast quiero denegar algunos servicios de los q vienen prederterminados (como servidor http,https,ldap,smtp y todos los q aparecen al marcar la casilla "proteger cortafuegos de la zona interna") no me deja, ni siquiera se habilita el boton de avanzadas; para ello tengo q marcar la casilla.
Si no tienes marcado "proteger...interna" es que está abierto del todo a la zona interna, no puedes denegar niguno. De todas formas, yo no uso el Yast para configurar el cortafuegos, lo hago a mano, me lio menos.
No necesito tener autorizados servicios q no tengo corriendo en el pc como servidores web o de correo, ni siquiera NTP o LDAP, pero al parecer se autorizan simplemente por el hecho de marcar "proteger cortafuegos de la zona interna".
Porque son habituales en la red interna.
Por otra parte si le hago un nmap a la maquina , me devuelve
¿Con que opciones? es decir, pon la linea de comandos exacta que usas.
Y si aparece autorizado el servidor POP3 en susefirewall , por q no aparece en el nmap, como si lo hace el 25???
Pues porque no tendrás un servidor pop3 corriendo en esa interfaz. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFD1X12tTMYHG2NR9URAg/bAJ4mx6Qca7StJp/jX0++aG9XsI2owgCdH6f1 r5dNi2ibFvbwoO8XVX72DW8= =Vmzf -----END PGP SIGNATURE-----
participants (2)
-
ag
-
Carlos E. R.