[opensuse-es] Cortafuegos + hylafax
Hola, Desde luego el cortafuegos no es lo mío :-P - Tengo un servidor suse 10.3 con el cortafuegos iniciado y con un servidor hylafax - Tengo un cliente suse 10.3 con el cortefuegos iniciado y con un programa cliente para hylafax - El cliente no conecta con hylafax. Si detengo el cortafuegos en el cliente, sí conecta. ¿Alguna sugerencia de regla para probar? O:-) Nota 1: hylafax sirve las peticiones en el puerto 4559, tcp y udp. La red es de tipo 192.168.0.* Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Camaleón escribió: | Hola, | | Desde luego el cortafuegos no es lo mío :-P Yo tampoco :-S | | - Tengo un servidor suse 10.3 con el cortafuegos iniciado y con un | servidor hylafax | | - Tengo un cliente suse 10.3 con el cortefuegos iniciado y con un | programa cliente para hylafax | | - El cliente no conecta con hylafax. Si detengo el cortafuegos en el | cliente, sí conecta. | | ¿Alguna sugerencia de regla para probar? O:-) | | Nota 1: hylafax sirve las peticiones en el puerto 4559, tcp y udp. La | red es de tipo 192.168.0.* | Probaste agregando ese puerto y el 21 a ip_conntrack_ftp en iptables? También hay que asegurarse que más abajo se haga un modprobe de este módulo. Lo del puerto 21 leí que es porque se comporta como un ftp, y es para aceptar conexiones pasivas. Por si sirve de algo http://www.tldp.org/HOWTO/IP-Masquerade-HOWTO/stronger-firewall-examples.htm... - -- Kind regards. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) iD8DBQFILyytNHr4BkRe3pIRCKMnAKDBFcrRC1xuxifDKomCP88Zu9sj9QCfc8Ka dUz9xc9cZhUIQzRftJhTQaM= =02RL -----END PGP SIGNATURE----- --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 17/05/08, Gabriel escribió:
Probaste agregando ese puerto y el 21 a ip_conntrack_ftp en iptables?
Vale, pero ahora en cristiano :-) ¿qué pongo en qué?
También hay que asegurarse que más abajo se haga un modprobe de este módulo.
¿modprobe? ¿hay que cargar algo? :-?
Lo del puerto 21 leí que es porque se comporta como un ftp, y es para aceptar conexiones pasivas.
Por si sirve de algo http://www.tldp.org/HOWTO/IP-Masquerade-HOWTO/stronger-firewall-examples.htm...
Sí, hylafax trabaja con ftp para el envío de datos, la cosa podría ir por ahí... la aplicación en el cliente permite configurar una conexión pasiva que ya he desactivado (sigue sin conectar, ni por "activa" ni por "pasiva" :-P). Más datos... Un telnet desde el cliente suse con el cortafuegos iniciado, funciona: *** stthpc:/etc/sysconfig # telnet 192.168.0.5 4559 Trying 192.168.0.5... Connected to 192.168.0.5. Escape character is '^]'. 220 linux.site server (HylaFAX (tm) Version 4.4.0) ready. *** Y desde una estación windows, también conecta bien... me ha pedido permiso el "cortawin" (el cortafuegos de windows) para que dejara pasar el tráfico de java (el cliente hylafax es java) y al permitirlo ha conectado bien :-? Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 17/05/08, Camaleón escribió:
Vale, pero ahora en cristiano :-) ¿qué pongo en qué?
Ya está, ya está... *** /etc/sysconfig/SuSEfirewall2 FW_TRUSTED_NETS="192.168.0.5" *** Sin especificar puertos, protocolos "ni ná" O:-) Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Camaleón escribió: | El 17/05/08, Camaleón escribió: | |> Vale, pero ahora en cristiano :-) ¿qué pongo en qué? | | Ya está, ya está... | | *** | /etc/sysconfig/SuSEfirewall2 | | FW_TRUSTED_NETS="192.168.0.5" | *** | | Sin especificar puertos, protocolos "ni ná" O:-) | Jejeje, bueno es una solución interesante. En el otro caso, me refería a modificar a mano el iptables. Pero si con eso anda, listo. - -- Kind regards. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) iD8DBQFIL0EwNHr4BkRe3pIRCGqdAJ9STF7h4Kq6Hyk8XOAFSGO0Zz59rQCfb3dV 6yfWUhereddvQIR7GxOSsXI= =UYnm -----END PGP SIGNATURE----- --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-05-17 a las 21:26 +0200, Camaleón escribió:
El 17/05/08, Gabriel escribió:
Probaste agregando ese puerto y el 21 a ip_conntrack_ftp en iptables?
Vale, pero ahora en cristiano :-) ¿qué pongo en qué?
También hay que asegurarse que más abajo se haga un modprobe de este módulo.
¿modprobe? ¿hay que cargar algo? :-?
Espera, eso está previsto, no hay que meterse con iptables. En '/etc/sysconfig/SuSEfirewall2': FW_LOAD_MODULES="ip_conntrack_ftp ip_nat_ftp" eso se encarga de cargar el módulo que sigue la pista a las conexiones ftp y abre los puertos dinámicos adecuados. Y lo otro: FW_TRUSTED_NETS="192.168.1.11,tcp,ftp 192.168.1.11,tcp,ftp-data" Cambiando la IP por la del servidor hylafax, porque supongo que estamos hablando de la maquina cliente, ¿no? Y si eso no fuera, pues hay que seguirle la pista a la conexión. El primer paso es decirle al cortafuegos que registre todas las peticiones rechazadas: FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="yes" y entonces ver qué es lo que rebota, y abrirlo. Otra manera util es arrancar iptraf, y ver que conexiones intentan establecerse y a que puertos con la ip del servidor. Y si eso no basta, pues saca la artillería: wireshark aka ethereal. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFIL1vPtTMYHG2NR9URAt0zAJ4/mnATRpC8Q0BaiHc5Jv6AnSzKxQCeMnsl 1dE0si0XuIdhN8NtAE2YSJs= =3Ht/ -----END PGP SIGNATURE-----
participants (3)
-
Camaleón
-
Carlos E. R.
-
Gabriel