SuSEfirewall2 Bloqueo de IP's con salida a internet
Saludos a todos los listeros, tengo instalado un servidor SuSE 10.0 con SuSE firewall2, comparti a través de él, la salida a intenet, habilite en el archivo de configuración /etc/sysconfig/SuSEfirewall2 mi interfaz interna, mi interfaz externa y todo esta trabajando bien, también habilite que enmascare mis redes internas a través de mi IP Externa etc.. De esta forma toda mi red tiene acceso a internet, pero hay algunas PC's que no quiero que salgan a internet o que solo tengan acceso al ftp (para actualizar sus antivirus), ahora como puedo bloquear algunas IP's para que no tenga salida a internet, intente en la opción de: FW_MASQ_NETS="192.168.0.0/16" Colocar solo las IP's que quiero, pero me sigue habilitando toda la salida a internet, por ejemplo: FW_MASQ_NETS="192.168.1.0/24,0/0,tcp,21 192.168.2.0/24 192.168.1.120" En este caso queria habilitar la red 192.168.1.0/24 para el acceso a ftp y la red 192.168.2.0 para habilitar acceso completo y el host 192.168.1.120 como acceso completo también, pero probando de cualquier IP de la red 192.168.1.0 puedo seguir navegando hay alguna forma de bloquear IP's, o se tienen que hacer por medio de reglas de iptables por fuera?? Espero haberme dado a entender.. y gracias de antemano por la orientación. -- Jorge Miguel Valdivia Díaz Magnabyte S.A. de C.V. Mail: mvaldivia@magnabyte.com.mx Tel: 55 47 02 23 Movil: 044 55 51 01 41 29 Key fingerprint = 9B3E FE53 C16C 7122 5B49 0512 D996 062E 6F87 35A4
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-09-13 a las 17:37 -0500, Jorge Miguel Valdivia escribió:
No se como hacer eso, pero te planteo una pregunta "capciosa": ¿Que pasará si alguno de los que no puede navegar se cambia su propia IP a otra que si puede navegar? ¿Cómo se lo impides? - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFCI7LtTMYHG2NR9URAnRuAJ4gl2ZwRDG4XmKwIHHDXQiOKbhxDwCghTI+ As1n1kfq/UfuRp0DPXZ+Z54= =PlT0 -----END PGP SIGNATURE-----
El Mié 13 Sep 2006 18:05, Carlos E. R. escribió:
Pues pasará que en la PC que si puede navegar me va a marcar un conflicto de IP repetida, aunque no todos los usuarios tienen permiso de administrador en sus PC's para cambiar la ip.. y si marca el error de conflicto de IP seria una situación muy notoria y pues podremos ver que alguien se esta robando la ip Otra opción es instalar el firestarter en SuSE, o hacerlo todo con reglas de iptables, pero no se que me sugieren.. pensé que SuSEfirewall traía alguna opción, pero no me ha quedado muy claro en el archivo de configuración de SuSEfirewall como hacerlo. Alguna sugerencia?? -- Jorge Miguel Valdivia Díaz Magnabyte S.A. de C.V. Mail: mvaldivia@magnabyte.com.mx Tel: 55 47 02 23 Movil: 044 55 51 01 41 29 Key fingerprint = 9B3E FE53 C16C 7122 5B49 0512 D996 062E 6F87 35A4
El Miércoles, 13 de Septiembre de 2006 19:17, Jorge Miguel Valdivia escribió:
que tal si asignas desde la maquina con SuSE dhcp, osea que tu desde esa maquina asignes las ip's con dhcp puedes asignar ip por ip a cada maquina a partir de su mac address, asi aseguras que maquina hace que cosa, luego con SuSEfirewall aseguras que tipo de salida hace cada maquina información de SuSEfirewall2 en /usr/share/doc/packages/SuSEfirewall2/ y dhcpd /usr/share/doc/packages/dhcp-server/ lo otro es usar SuSEfirewall y squid con autenticación (proxy y firewall), creo que tambien podrías hacer algo con Dante, desafortunadamente, información de Dante es español es muy poca (por no decir que nula). Jaime V
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-09-13 a las 17:37 -0500, Jorge Miguel Valdivia escribió:
No se como hacer eso, pero te planteo una pregunta "capciosa": ¿Que pasará si alguno de los que no puede navegar se cambia su propia IP a otra que si puede navegar? ¿Cómo se lo impides? - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFCI7LtTMYHG2NR9URAnRuAJ4gl2ZwRDG4XmKwIHHDXQiOKbhxDwCghTI+ As1n1kfq/UfuRp0DPXZ+Z54= =PlT0 -----END PGP SIGNATURE-----
El Mié 13 Sep 2006 18:05, Carlos E. R. escribió:
Pues pasará que en la PC que si puede navegar me va a marcar un conflicto de IP repetida, aunque no todos los usuarios tienen permiso de administrador en sus PC's para cambiar la ip.. y si marca el error de conflicto de IP seria una situación muy notoria y pues podremos ver que alguien se esta robando la ip Otra opción es instalar el firestarter en SuSE, o hacerlo todo con reglas de iptables, pero no se que me sugieren.. pensé que SuSEfirewall traía alguna opción, pero no me ha quedado muy claro en el archivo de configuración de SuSEfirewall como hacerlo. Alguna sugerencia?? -- Jorge Miguel Valdivia Díaz Magnabyte S.A. de C.V. Mail: mvaldivia@magnabyte.com.mx Tel: 55 47 02 23 Movil: 044 55 51 01 41 29 Key fingerprint = 9B3E FE53 C16C 7122 5B49 0512 D996 062E 6F87 35A4
El Miércoles, 13 de Septiembre de 2006 19:17, Jorge Miguel Valdivia escribió:
que tal si asignas desde la maquina con SuSE dhcp, osea que tu desde esa maquina asignes las ip's con dhcp puedes asignar ip por ip a cada maquina a partir de su mac address, asi aseguras que maquina hace que cosa, luego con SuSEfirewall aseguras que tipo de salida hace cada maquina información de SuSEfirewall2 en /usr/share/doc/packages/SuSEfirewall2/ y dhcpd /usr/share/doc/packages/dhcp-server/ lo otro es usar SuSEfirewall y squid con autenticación (proxy y firewall), creo que tambien podrías hacer algo con Dante, desafortunadamente, información de Dante es español es muy poca (por no decir que nula). Jaime V
participants (3)
-
Carlos E. R.
-
Jaime Andres Velez Osorio
-
Jorge Miguel Valdivia