como abrir puertos en el cortafuegos del suse 10.1
Alguien me puede explicar de forma sencilla como abrir los puertos en el cortafuegos del suse 10.1, si sirve de algo tengo KDE 3.5.1 Gracias
Alguien me puede explicar de forma sencilla como abrir los puertos en el cortafuegos del suse 10.1, si sirve de algo tengo KDE 3.5.1
Como root: /etc/sysconfig/SuSEfirewall2 con tu editor de texto favorito. es un fichero autocomentado. Tienes que identificar la tarjeta de red en la que deseas abrir los puertos. -- Saludos, miguel
miguel gmail escribió:
Alguien me puede explicar de forma sencilla como abrir los puertos en el cortafuegos del suse 10.1, si sirve de algo tengo KDE 3.5.1
Como root:
/etc/sysconfig/SuSEfirewall2
con tu editor de texto favorito.
es un fichero autocomentado. Tienes que identificar la tarjeta de red en la que deseas abrir los puertos.
Gracias, puede que esto a ti te parezca sencillo, pero para mi no lo es, por que una vez que lo edito que escribo (1ª complicación), como identifico la tarjeta de red en la que deseo abrir los puertos si solo tengo una (2ª complicación)
Nacho escribió:
miguel gmail escribió:
Alguien me puede explicar de forma sencilla como abrir los puertos en el cortafuegos del suse 10.1, si sirve de algo tengo KDE 3.5.1
Como root:
/etc/sysconfig/SuSEfirewall2
con tu editor de texto favorito.
es un fichero autocomentado. Tienes que identificar la tarjeta de red en la que deseas abrir los puertos.
Gracias, puede que esto a ti te parezca sencillo, pero para mi no lo es, por que una vez que lo edito que escribo (1ª complicación), como identifico la tarjeta de red en la que deseo abrir los puertos si solo tengo una (2ª complicación)
Se que se puede llegar al programa a traves de Menu K - sistema - yast - seguridad y usuarios - cortafuegos pero a partir de ahí ya no se que hacer. Alguna idea
El 27/08/06, Nacho escribió:
Se que se puede llegar al programa a traves de Menu K - sistema - yast - seguridad y usuarios - cortafuegos pero a partir de ahí ya no se que hacer. Alguna idea
¿Qué puertos quieres abrir? ¿No serán los del amule? ;-) Desde donde estás (módulo de cortafuegos de Yast) tienes una lista de servicios / programas a los que puedes permitir el acceso. Saludos, -- Camaleón
Camaleón escribió:
El 27/08/06, Nacho escribió:
Se que se puede llegar al programa a traves de Menu K - sistema - yast - seguridad y usuarios - cortafuegos pero a partir de ahí ya no se que hacer. Alguna idea
¿Qué puertos quieres abrir? ¿No serán los del amule? ;-)
Desde donde estás (módulo de cortafuegos de Yast) tienes una lista de servicios / programas a los que puedes permitir el acceso.
Saludos,
efectivamente son los del amule, pero los cambie a 51115 y 51120. tienes mucha vista pero y ahora como sigo
El Domingo, 27 de Agosto de 2006 23:18, Nacho escribió:
Camaleón escribió:
El 27/08/06, Nacho escribió:
Se que se puede llegar al programa a traves de Menu K - sistema - yast - seguridad y usuarios - cortafuegos pero a partir de ahí ya no se que hacer. Alguna idea
¿Qué puertos quieres abrir? ¿No serán los del amule? ;-)
Desde donde estás (módulo de cortafuegos de Yast) tienes una lista de servicios / programas a los que puedes permitir el acceso.
Saludos,
efectivamente son los del amule, pero los cambie a 51115 y 51120. tienes mucha vista pero y ahora como sigo
Si modificas el sysconfig directamente luego tienes que hacer SuSEconfig rcSuSEfirewall2 start o restart si ya estaba iniciado si lo hiciste con yast no hay que hacer nada, como mucho rcSuSEfirewall2 status para comprobar que esta funcionando
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-08-28 a las 09:11 +0200, francisco F. escribió:
efectivamente son los del amule, pero los cambie a 51115 y 51120. tienes mucha vista pero y ahora como sigo
Si modificas el sysconfig directamente luego tienes que hacer SuSEconfig
No. No en este caso, no hace falta y gastamos tiempo. Compruébalo y verás que no hace nada para el cortafuegos: ls /sbin/conf.d/ | grep firewall
rcSuSEfirewall2 start o restart si ya estaba iniciado
Mejor simplemente "SuSEfirewall2" a secas, es para recargar. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFE82MatTMYHG2NR9URAsY5AJ9LaIk7kcJdGO0RoJzmIZ/nCd/xjQCfeBRn v+ggPOKk4LOHPfXR65BURiQ= =6Nez -----END PGP SIGNATURE-----
Hola siguiendo al hilo con lo que estais hablando del cortafuegos en suse 10 tengo unas dudas. Mi ordenador linux esta en una red itnerna del tipo 192.168.1.X y conectado a internet en otra interfaz a la que le peude llegar cualgqueir ip desde internet. como haria para que a un peurto concreto, el 3306, solo hubiera acceso para una ip del rango 80.25.16.12 , po rejemplo? gracias
On 8/28/06, Miren Urkijo <miren@tinieblas.com> wrote:
Hola siguiendo al hilo con lo que estais hablando del cortafuegos en suse 10 tengo unas dudas. Mi ordenador linux esta en una red itnerna del tipo 192.168.1.X y conectado a internet en otra interfaz a la que le peude llegar cualgqueir ip desde internet. como haria para que a un peurto concreto, el 3306, solo hubiera acceso para una ip del rango 80.25.16.12 , po rejemplo?
No entiendo muy bien cómo es tu configuración de red. Puedes describir un poco más esquemáticamente tu red? (tarjetas, y hacia donde está conectadas...) -- Saludos, miguel
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-08-29 a las 00:14 +0200, miguel gmail escribió:
On 8/28/06, Miren Urkijo wrote:
como haria para que a un peurto concreto, el 3306, solo hubiera acceso para una ip del rango 80.25.16.12 , po rejemplo?
No entiendo muy bien cómo es tu configuración de red. Puedes describir un poco más esquemáticamente tu red? (tarjetas, y hacia donde está conectadas...)
Yo tampoco lo entiendo, pero creo que debería mirar la variable "FW_TRUSTED_NETS", me parece que eso es lo que busca. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFE826ptTMYHG2NR9URAojiAJ9jhDM6/NkilP4A7s9cCPqO6SDBOwCfbmNW /kSz6TQHbrf0JXitiY75avI= =dzYH -----END PGP SIGNATURE-----
Miren Urkijo wrote:
Hola siguiendo al hilo con lo que estais hablando del cortafuegos en suse 10 tengo unas dudas. Mi ordenador linux esta en una red itnerna del tipo 192.168.1.X y conectado a internet en otra interfaz a la que le peude llegar cualgqueir ip desde internet. como haria para que a un peurto concreto, el 3306, solo hubiera acceso para una ip del rango 80.25.16.12 , po rejemplo?
gracias
Yo lo haria a mano sin ningun problema asi iptables -t filter -A INPUT -p tcp -i eth1 -s 80.25.16.12 -d [mi ip real] --dport 3306 -j ACCEPT Verificar que sea un paquete de tipo tcp o udp en la opcion -p Verificar por cual tarjeta de rees que se quiere que eso entre, si es eth1, eth2, eth0, ppp0 o la que sea
Se que se puede llegar al programa a traves de Menu K - sistema - yast - seguridad y usuarios - cortafuegos pero a partir de ahí ya no se que hacer. Alguna idea
Si no sabes lo que quieres hacer, para que quieres abrir puertos ????? Perdona la broma, si indicas que servicios quieres que tengan el cortafuegos abierto, te podemos indicar que puertos tienes que abrir. -- Salutacions - Saludos, Josep M. Queralt
Josep M. Queralt escribió:
Se que se puede llegar al programa a traves de Menu K - sistema - yast - seguridad y usuarios - cortafuegos pero a partir de ahí ya no se que hacer. Alguna idea
Si no sabes lo que quieres hacer, para que quieres abrir puertos ?????
Perdona la broma, si indicas que servicios quieres que tengan el cortafuegos abierto, te podemos indicar que puertos tienes que abrir.
quiero abrir los puertos para el emule. gracias
es un fichero autocomentado. Tienes que identificar la tarjeta de red en la que deseas abrir los puertos.
Gracias, puede que esto a ti te parezca sencillo, pero para mi no lo es, por que una vez que lo edito que escribo (1ª complicación), como identifico la tarjeta de red en la que deseo abrir los puertos si solo tengo una (2ª complicación)
BUeno, no nos agobiemos todavía. Primero elige tu editor de texto favorito (vim vim vim). Si no te gusta la consola y usas entorno gráfico puedes usar por ejemplo kate. Así que, abre una consola y pon: sux - (y pon la contraseña de root cuando te la pida). Ya eres root. Ahora, para editar el fichero pon: kate /etc/syconfig/SuSEfirewall2 y se te abrirá una ventana con el kate y el fichero abierto. Veamos. Fijate que hay un monton de lineas que empiezan por #. Léelas, están ahí porque alguien se ha tomado el interés de escribirlas. Y en este caso son muy instructivas: (OJO, tengo una suse 9.3, tal vez el fichero haya variado algo!) # Configuration HELP: # # If you have got any problems configuring this file, take a look at # /usr/share/doc/packages/SuSEfirewall2/EXAMPLES or use YaST Bueno, yo prefiero editar el texto a manivela, en lugar de usar YaST. Sin embargo, el fichero EXAMPLES si recomiendo leerselo. Está muy bien y te ayudará a comprender más cosas. No es necesario que lo hagas ahora. # # If you are a end-user who is NOT connected to two networks (read: you have # got a single user system and are using a dialup to the internet) you just # have to configure (all other settings are OK): 2) and maybe 9). Ey! este pareces tú! (si no me dices lo contrario). Parece que con mirar en los puntos 2 y 9 tendremos tu problema solucionado. # # If this server is a firewall, which should act like a proxy (no direct # routing between both networks), or you are an end-user connected to the # internet and to an internal network, you have to setup your proxys and # reconfigure (all other settings are OK): 2), 3), 9) and maybe 7), 11), 14) # # If this server is a firewall, and should do routing/masquerading between # the untrusted and the trusted network, you have to reconfigure (all other # settings are OK): 2), 3), 5), 6), 9), and maybe 7), 10), 11), 12), 13), # 14) # # If you want to run a DMZ in either of the above three standard setups, you # just have to configure *additionally* 4), 9), 12), 13), 18) # # Please note that if you use service names, they have to exist in # /etc/services. There is for example no service "dns", it's called # "domain"; email is called "smtp" etc. Sigamos leyendo el fichero: ## Path: Network/Firewall/SuSEfirewall2 ## Description: SuSEfirewall2 configuration ## Type: string ## Default: any # # 2.) # Which are the interfaces that point to the internet/untrusted # networks? Este es el punto 2. Te está preguntando cual/cuales son tus puntos de acceso a internet (red no confiable de la que te tienes que proteger) # # Enter all untrusted network devices here # # Format: space separated list of interface or configuration names # # The special keyword "auto" means to use the device of the default # route. "auto" cannot be mixed with other interface names. # # The special keyword "any" means that packets arriving on interfaces not # explicitly configured as int, ext or dmz will be considered external. Note: # this setting only works for packets destined for the local machine. If you # want forwarding or masquerading you still have to add the external interfaces # individually. "any" can be mixed with other interface names. # # Examples: "eth-id-00:e0:4c:9f:61:9a", "ippp0 ippp1", "auto", "any dsl0" # # Note: alias interfaces (like eth0:1) are ignored # FW_DEV_EXT="eth0 wlan-bus-pci-0000:02:04.0" Las primeras letras, en mayuscula signfican: FireWall DEVice EXTernal. Se refiere a los interfaces externos. Como tú solo tienes uno, creo que te aparecerá por defecto un chorizo como el mío, pero sólo con una tarjeta de red. Fíjate que yo tengo dos interfaces, uno que es una tarjeta eth y otro que es una wireless. Si no aparece tu interfaz de red, lo puedes ver en yast - dispositivos de red - tarjeta de red, y pinchas en cambiar. Te mostrará otra pantalla con las tarjetas y sus identificadores. La explicacion para el apartado 2 te sirve tambien para el 3 y el 4, si algun día necesitases configurar cosas más complicadas. El apartado 5 se refiere a si tienes que hacer routing entre internet, intranet, dmz y de más. Obviamente, ahora no te interesa porque no tienes nada de eso. El apartado 6 se refiere a si la maquina corriendo el susefirewall debe enmascarar ips internas de las dmz, intranets y de más, cuando salgan a internet. Si en la red interna tienes ips internas (tipo 192.168. ... 172.16. ... 10. ...) habría que hacerlo. El apartado 7 se refiere a si quieres proteger a tu fw de la red interna. Tampoco te interesa. No hay apartado 8 :-? Al menos, no en mi fichero! Veamos el apartado 9: # 9.) # Which TCP services _on the firewall_ should be accessible from # untrusted networks? Te está preguntando por servicios TCP que estén corriendo en la misma máquina en la que tienes el fw. No te está diciendo que tengan que atravesar el fw hacia otra máquina. Servicios TCP significa servicios TCP, es decir, servidores como apache-http, postfix para smtp, vsftp para ftp... no te está preguntando por clientes web, mail, ftp, etc. # # Enter all ports or known portnames below, seperated by a space. # TCP services (e.g. SMTP, WWW) must be set in FW_SERVICES_*_TCP, and # UDP services (e.g. syslog) must be set in FW_SERVICES_*_UDP. # e.g. if a webserver on the firewall should be accessible from the internet: # FW_SERVICES_EXT_TCP="www" # e.g. if the firewall should receive syslog messages from the dmz: # FW_SERVICES_DMZ_UDP="syslog" # For IP protocols (like GRE for PPTP, or OSPF for routing) you need to set # FW_SERVICES_*_IP with the protocol name or number (see /etc/protocols) en estas líneas te ha dicho en que secciones específicas hay que meter los servicios que creas. Se entiende? # # Format: space separated list of ports, port ranges or well known # service names (see /etc/services) # # Examples: "ssh", "123 514", "3200:3299", "ftp 22 telnet 512:514" # FW_SERVICES_EXT_TCP="http https ssh" Yo tengo/tenía un apache con ssl funcionando para hacer probatinas. Y por supuesto, SSH es fundamental si quiero acceder desde otra máquina! Si no tienes nada, lo puedes dejar en blanco. Pero si tienes algun otro pc en la red interna tuya, tal vez quieras dejar ssh. Siempre viene bien. Fijate que los dispositivos EXT los has tenido que definir en el apartado 2 anterior. ## Type: string # # Which UDP services _on the firewall_ should be accessible from # untrusted networks? # # see comments for FW_SERVICES_EXT_TCP # # Example: "53" # FW_SERVICES_EXT_UDP="bootpc" a mi esto me venía por defecto... ## Type: string # # Which UDP services _on the firewall_ should be accessible from # untrusted networks? # # Usually for VPN/Routing which END at the firewall # # Example: "esp" # FW_SERVICES_EXT_IP="" yo no tengo nada... ## Type: string # # Which RPC services _on the firewall_ should be accessible from # untrusted networks? # # Port numbers of RPC services are dynamically assigned by the # portmapper. Therefore "rpcinfo -p localhost" has to be used to # automatically determine the currently assigned port for the # services specified here. # # USE WITH CAUTION! # regular users can register rpc services and therefore may be able # to have SuSEfirewall2 open arbitrary ports # # Example: "mountd nfs" FW_SERVICES_EXT_RPC="" tampoco tengo nada! ## Type: string # # see comments for FW_SERVICES_EXT_TCP FW_SERVICES_DMZ_TCP="" nada ## Type: string # # see comments for FW_SERVICES_EXT_UDP FW_SERVICES_DMZ_UDP="" nada ## Type: string # # see comments for FW_SERVICES_EXT_IP FW_SERVICES_DMZ_IP="" nada ## Type: string # # see comments for FW_SERVICES_EXT_RPC FW_SERVICES_DMZ_RPC="" nada ## Type: string # # see comments for FW_SERVICES_EXT_TCP FW_SERVICES_INT_TCP="" nada ## Type: string # # see comments for FW_SERVICES_EXT_UDP FW_SERVICES_INT_UDP="" nada ## Type: string # # see comments for FW_SERVICES_EXT_IP FW_SERVICES_INT_IP="" nada ## Type: string # # see comments for FW_SERVICES_EXT_RPC FW_SERVICES_INT_RPC="" nada ## Type: string # # Packets to silently drop without log message # # Format: space separated list of net,protocol[,port][,sport] # Example: "0/0,tcp,445 0/0,udp,4662" # # The special value _rpc_ is recognized as protocol and means that dport is # interpreted as rpc service name. See FW_SERVICES_EXT_RPC for # details. # FW_SERVICES_DROP_EXT="" nada ## Type: string ## Default: 0/0,tcp,113 # # Packets to silently reject without log message. Common usage is # TCP port 113 which if dropped would cause long timeouts when # sending mail or connecting to IRC servers. # # Format: space separated list of net,protocol[,dport][,sport] # Example: "0/0,tcp,113" # # The special value _rpc_ is recognized as protocol and means that dport is # interpreted as rpc service name. See FW_SERVICES_EXT_RPC for # details. # FW_SERVICES_REJECT_EXT="0/0,tcp,113" lo que tenia por defecto. ## Type: string ## Default: 0/0,tcp,113 # # Services to allow. This is a more generic form of FW_SERVICES_{IP,UDP,TCP} # and more specific than FW_TRUSTED_NETS # # Format: space separated list of net,protocol[,dport][,sport] # Example: "0/0,tcp,22" # # The special value _rpc_ is recognized as protocol and means that dport is # interpreted as rpc service name. See FW_SERVICES_EXT_RPC for # details. # FW_SERVICES_ACCEPT_EXT="" nada Si quieres, puedes seguir leyendo el fichero de configuración del firewall de suse. Creo que ahora lo entenderás mejor. En fin, espero que te haya sido útil. -- Saludos, miguel
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-08-27 a las 13:36 +0200, miguel gmail escribió:
BUeno, no nos agobiemos todavía.
Primero elige tu editor de texto favorito (vim vim vim).
Emacs, emacs, emacs - pa'incordiar :-P - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFE8i/wtTMYHG2NR9URAkdvAJ4ujfTm6cXhSM1oDjElADgqavxwNgCghj86 bLUSpgCgUytkH+dHGgsDaS0= =EOU6 -----END PGP SIGNATURE-----
Primero elige tu editor de texto favorito (vim vim vim).
Emacs, emacs, emacs - pa'incordiar :-P
es que yo soy yo y mis limitaciones. Sólo tengo 10 dedos :D http://mirror9.escomposlinux.org/tira/ecol-02.jpg -- Saludos, miguel
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-08-28 a las 08:05 +0200, miguel gmail escribió:
Primero elige tu editor de texto favorito (vim vim vim).
Emacs, emacs, emacs - pa'incordiar :-P
es que yo soy yo y mis limitaciones. Sólo tengo 10 dedos :D
X'-) Por eso yo uso joe :-P - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFE8ozktTMYHG2NR9URAiUrAJ4jMsQvRMNSq5dpXI/Ach8k5haxXwCeO6os uzbYcJF4qiD+Vzp1j2AwD8g= =4JgG -----END PGP SIGNATURE-----
El Lunes, 28 de Agosto de 2006 08:27, Carlos E. R. escribió:
El 2006-08-28 a las 08:05 +0200, miguel gmail escribió:
Primero elige tu editor de texto favorito (vim vim vim).
Emacs, emacs, emacs - pa'incordiar :-P
es que yo soy yo y mis limitaciones. Sólo tengo 10 dedos :D
X'-)
Por eso yo uso joe :-P
me uno al joe, cuando no tengo el mc claro
Primero elige tu editor de texto favorito (vim vim vim).
Emacs, emacs, emacs - pa'incordiar :-P
Ale, se suma otra al incordio :P -- Jordi Espasa Clofent PGP id 0xC5ABA76A #http://pgp.mit.edu/ FSF Associate Member id 4281 #http://www.fsf.org/
Alguien me puede explicar de forma sencilla como abrir los puertos en el cortafuegos del suse 10.1, si sirve de algo tengo KDE 3.5.1 Gracias
La manera más sencilla es con YAST->Usuarios y Seguridad->Cortafuegos. Ahí tienes varias opciones ya preconfiguradas y el botón de "Avanzada" para añadir puertos específicos. También puedes acerlo por cónsola conprivilegios de "root" editando el fichero: /etc/sysconfig/SuSEfirewall2 -- Salutacions - Saludos, Josep M. Queralt
El Domingo, 27 de Agosto de 2006 04:26, Nacho escribió:
Alguien me puede explicar de forma sencilla como abrir los puertos en el cortafuegos del suse 10.1, si sirve de algo tengo KDE 3.5.1 Gracias a lo guindouws click en :
Gusarapo (el sapo verde de la esquina inferior izquierda) -->Sistema-->Centro de Control Yast (Password de root) click en Aceptar click en : Seguridad y usuarios -->Cortafuegos... En Interfaces Seleccionas la tarjeta de red que va a internet debe quedar Tarjeta: talporcual interfaz:eth-.... Configurado en : Zona Externa En servicios autorizados: Servicios autorizados para la zona seleccionada: Zona Externa Servicio que va a autorizar: Ahí seleccionas lo que vas a autorizar (pero solo muestra servicios conocidos) si es un servicio conocido (Servidor HTTP, DHCP,DNS....ETC) lo seleccionas y das click en añadir si elservicio no es conocido (no esta en la lista) pero conoces el puerto tcp o udp por el que funciona el servicio click en opciones avanzadas añades los puertos separandolos con espacios si es un rango de puertos los separas por con 2 (:) asi: Puertos TCP 1245 5000:5100 para los puertos 1245 y del 5000 al 5100 click en aceptar despues click en siguiente y click en aceptar mas facil imposible Jaime V
Jaime Andres Velez Osorio escribió:
El Domingo, 27 de Agosto de 2006 04:26, Nacho escribió:
Alguien me puede explicar de forma sencilla como abrir los puertos en el cortafuegos del suse 10.1, si sirve de algo tengo KDE 3.5.1 Gracias
a lo guindouws click en :
Gusarapo (el sapo verde de la esquina inferior izquierda) -->Sistema-->Centro de Control Yast (Password de root) click en Aceptar click en : Seguridad y usuarios -->Cortafuegos...
En Interfaces Seleccionas la tarjeta de red que va a internet debe quedar Tarjeta: talporcual interfaz:eth-.... Configurado en : Zona Externa
En servicios autorizados: Servicios autorizados para la zona seleccionada: Zona Externa
Servicio que va a autorizar: Ahí seleccionas lo que vas a autorizar (pero solo muestra servicios conocidos) si es un servicio conocido (Servidor HTTP, DHCP,DNS....ETC) lo seleccionas y das click en añadir si elservicio no es conocido (no esta en la lista) pero conoces el puerto tcp o udp por el que funciona el servicio click en opciones avanzadas añades los puertos separandolos con espacios si es un rango de puertos los separas por con 2 (:) asi: Puertos TCP 1245 5000:5100 para los puertos 1245 y del 5000 al 5100
click en aceptar despues click en siguiente y click en aceptar
mas facil imposible
Jaime V
Gracias, dicho y hecho ahora que no falle nada. salu2.
participants (10)
-
Camaleón -
Carlos E. R. -
francisco F. -
Hipolito A. Gonzalez M. -
Jaime Andres Velez Osorio -
Jordi Espasa Clofent -
Josep M. Queralt -
miguel gmail -
Miren Urkijo -
Nacho