[opensuse-es] Problema con firewal
Hola a todos, podrian ayudarme con un problemita que tengo con el Susefirewall..? lo que pasa es que no quiero activar el MASQUERADE, pues segun dice la documentacion es recomendable que todos mis usuarios utilicen el proxy,, y solo usen los puertos que esten activados., pues adicionalmente quiero que una PC salga a internet sin ninguna restriccion... estas son las premisas: red LAN 192.168.0.0 servidor web en DMZ 10.10.10.6 se conecta a una base de datos oracle de la LAN.. servidor de correo postfix con cyrus (imap+pop) 10.10.10.9 PC con servicio sin restricciones 192.168.4.32 para el puerto 80 tengo en la misma PC un proxy con Squid. ya le puse las reglas que segun entiendo estan correctas, y el unico serivicio que se cae es el del correo, a este se accede con clientes thunderbird. que me muestra un mensaje de "time out". les paso la configuracion de mi Susefirewall, por favor diganme si me falta algo, y en que meti la pata.. Saludos y gracias W_DEV_EXT="eth-id-00:0c:6e:7a:ea:57" FW_DEV_INT="eth-id-00:04:75:b7:3d:1f" FW_DEV_DMZ="eth-id-00:50:ba:61:30:00" FW_ROUTE="yes" FW_MASQUERADE="no" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="0/0" FW_PROTECT_FROM_INT="yes" FW_SERVICES_EXT_TCP="" FW_SERVICES_EXT_UDP="" FW_SERVICES_EXT_IP="" FW_SERVICES_EXT_RPC="" FW_CONFIGURATIONS_EXT="" FW_SERVICES_DMZ_TCP="22 1521 imap smtp" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP="" FW_SERVICES_DMZ_RPC="" FW_CONFIGURATIONS_DMZ="" FW_SERVICES_INT_TCP="1521 22 264 2746 3128 53 http imap smtp" FW_SERVICES_INT_UDP="500 53 ntp" FW_SERVICES_INT_IP="50" FW_SERVICES_INT_RPC="" FW_CONFIGURATIONS_INT="" FW_SERVICES_DROP_EXT="" FW_SERVICES_REJECT_EXT="0/0,tcp,113" FW_SERVICES_ACCEPT_EXT="" FW_TRUSTED_NETS="192.168.4.215/32,tcp,80" FW_ALLOW_INCOMING_HIGHPORTS_TCP="" FW_ALLOW_INCOMING_HIGHPORTS_UDP="" FW_FORWARD="10.10.10.0/24,192.168.4.6,tcp,1521 10.10.10.9/32,192.168.0.0/16,tcp,25 192.168.0.0/16,10. 10.10.9,tcp,25 10.10.10.9/32,192.168.0.0/16,tcp,143 192.168.0.0/16,10.10.10.9,tcp,143" FW_FORWARD_MASQ="" FW_REDIRECT="" FW_LOG_DROP_CRIT="" FW_LOG_DROP_ALL="" FW_LOG_ACCEPT_CRIT="" FW_LOG_ACCEPT_ALL="" FW_LOG_LIMIT="" FW_LOG="" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="no" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_PING_EXT="no" FW_ALLOW_FW_SOURCEQUENCH="" FW_ALLOW_FW_BROADCAST_EXT="" FW_ALLOW_FW_BROADCAST_INT="" FW_ALLOW_FW_BROADCAST_DMZ="" FW_IGNORE_FW_BROADCAST_EXT="yes" FW_IGNORE_FW_BROADCAST_INT="" FW_IGNORE_FW_BROADCAST_DMZ="" FW_ALLOW_CLASS_ROUTING="" FW_CUSTOMRULES="" FW_REJECT="" FW_REJECT_INT="yes" FW_HTB_TUNE_DEV="" FW_IPv6="" FW_IPv6_REJECT_OUTGOING="" FW_IPSEC_TRUST="" FW_ZONES="" FW_USE_IPTABLES_BATCH="" FW_LOAD_MODULES= FW_FORWARD_ALWAYS_INOUT_DEV= --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 18/06/07, Juan Carlos Bravo Celis <elbravito@gmail.com> wrote: [...]
estas son las premisas: red LAN 192.168.0.0 servidor web en DMZ 10.10.10.6 se conecta a una base de datos oracle de la LAN.. servidor de correo postfix con cyrus (imap+pop) 10.10.10.9 PC con servicio sin restricciones 192.168.4.32 para el puerto 80 tengo en la misma PC un proxy con Squid.
ya pude hacer que funcione el acceso al correo, faltaba poner las rutas de regreso en el servidor de correo, pero no tengo exito con la PC que debe salir sin restricciones lo puse asi: FW_TRUSTED_NETS="192.168.4.32,tcp,80" alguna cosa que este olvidando.? Saludos y gracias.. JCarlos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-06-18 a las 14:27 -0500, Juan Carlos Bravo Celis escribió:
ya pude hacer que funcione el acceso al correo, faltaba poner las rutas de regreso en el servidor de correo, pero no tengo exito con la PC que debe salir sin restricciones lo puse asi:
FW_TRUSTED_NETS="192.168.4.32,tcp,80"
Eso no es para "salir", es para entrar. Todas las reglas de puertos que se abren en el cortafuegos son para entrar. Salir se hace con NAT comoselllame o con un proxy. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFGdwo6tTMYHG2NR9URAj3yAJ94kfZljqBEIii2asBYYTyg1+ulRgCbBlqC jifbLOjgKjor5zLqVvMYZnE= =8GVC -----END PGP SIGNATURE-----
On 18/06/07, Carlos E. R. <robin.listas@telefonica.net> wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2007-06-18 a las 14:27 -0500, Juan Carlos Bravo Celis escribió:
ya pude hacer que funcione el acceso al correo, faltaba poner las rutas de regreso en el servidor de correo, pero no tengo exito con la PC que debe salir sin restricciones lo puse asi:
FW_TRUSTED_NETS="192.168.4.32,tcp,80"
Eso no es para "salir", es para entrar. Todas las reglas de puertos que se abren en el cortafuegos son para entrar.
Salir se hace con NAT comoselllame o con un proxy.
gracias carlos, en un hilo anterior me alcanzaste un manual del Susefirewall, lo he revisado y siguiendo ese manual es como finalmente consegui, que funcione,, aunque con un problema que me preocupa aun mas... el problema ahora es que toda la red se puso lenta,,, algunas PCs no ubican a las impresoras de red,, y habrir un archivo en una carpeta compartida es bastante fastidioso,, pues hay que esperar mucho,, y el descontento se hace evidente.. que creen ustedes que este causando el problema..? pues en teoria, el firewall no deberia interferir con la LAN a menos que quieran salir ha internet o requieran el servicio de correo electronico o pagina web... lo que he notado es que cuando quiero conectarme via ssh al firewall, tarda unos cuantos segundos en aparecer la solicitud de password.. quedo atento a sus comentarios.. asi es como quedo,, solo pongo los parametros modificados,, FW_DEV_EXT="eth-id-00:0c:6e:7a:ea:57" FW_DEV_INT="eth-id-00:04:75:b7:3d:1f" FW_DEV_DMZ="eth-id-00:50:ba:61:30:00" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="192.168.4.213/32 192.168.4.215/32" FW_PROTECT_FROM_INT="yes" FW_SERVICES_DMZ_TCP="22 1521 imap smtp" FW_SERVICES_INT_TCP="1521 22 264 2746 3128 53 10000 http imap smtp" FW_SERVICES_INT_UDP="500 53 ntp" FW_SERVICES_INT_IP="50" FW_FORWARD="10.10.10.0/24,192.168.4.6,tcp,1521 10.10.10.9/32,192.168.0.0/16,tcp,25 192.168.0.0/16,10.10.10.9,tcp,25 10.10.10.9/32,192.168.0.0/16,tcp,143 192.168.0.0/16,10.10.10.9,tcp,143 10.10.10.9/32,192.168.0.0/16,tcp,110 192.168.0.0/16,10.10.10.9,tcp,110 10.10.10.9/32,192.168.0.0/16,tcp,10000 192.168.0.0/16,10.10.10.9,tcp,10000 10.10.10.0/24,192.168.0.0/16,tcp,22 192.168.0.0/16,10.10.10.0/24,tcp,22 10.10.10.9/32,192.168.0.0/16,tcp,389 192.168.0.0/16,10.10.10.9,tcp,389" Saludos y gracias JCarlos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-06-18 a las 23:38 -0500, Juan Carlos Bravo Celis escribió:
gracias carlos, en un hilo anterior me alcanzaste un manual del Susefirewall, lo he revisado y siguiendo ese manual es como finalmente consegui, que funcione,, aunque con un problema que me preocupa aun mas...
el problema ahora es que toda la red se puso lenta,,, algunas PCs no ubican a las impresoras de red,, y habrir un archivo en una carpeta compartida es bastante fastidioso,, pues hay que esperar mucho,, y el descontento se hace evidente..
que creen ustedes que este causando el problema..? pues en teoria, el firewall no deberia interferir con la LAN a menos que quieran salir ha internet o requieran el servicio de correo electronico o pagina web...
lo que he notado es que cuando quiero conectarme via ssh al firewall, tarda unos cuantos segundos en aparecer la solicitud de password..
A mi me pinta problema de DNSs en local. El cortafuegos no interviene, salvo que los servicios de impresora, ficheros, ssh que busquen estén precisamente en la máquina que hace de cortafuegos, o en otra que tengan que atravesar el cortafuegos para llegar por la forma que hayas puesto las rutas. Puedes mirar con traceroutes los caminos seguidos y los tiempos. Y verifica el tiempo que te tarda el DNS en responder; ojo, que en algunos servicios lo que se hace también es una consulta inversa, esto es, a a partir del nombre hayar la IP; me parece recordar que el ssh hace eso. Eso necesita configurar la resolución inversa del DNS (aunque sea con cnombres formados a partir de las IPs).
FW_DEV_EXT="eth-id-00:0c:6e:7a:ea:57" FW_DEV_INT="eth-id-00:04:75:b7:3d:1f" FW_DEV_DMZ="eth-id-00:50:ba:61:30:00" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="192.168.4.213/32 192.168.4.215/32" FW_PROTECT_FROM_INT="yes" FW_SERVICES_DMZ_TCP="22 1521 imap smtp" FW_SERVICES_INT_TCP="1521 22 264 2746 3128 53 10000 http imap smtp"
A mi me gusta ponerlos todos por sus nombres.
FW_SERVICES_INT_UDP="500 53 ntp" FW_SERVICES_INT_IP="50"
FW_FORWARD="10.10.10.0/24,192.168.4.6,tcp,1521 10.10.10.9/32,192.168.0.0/16,tcp,25 192.168.0.0/16,10.10.10.9,tcp,25 10.10.10.9/32,192.168.0.0/16,tcp,143 192.168.0.0/16,10.10.10.9,tcp,143 10.10.10.9/32,192.168.0.0/16,tcp,110 192.168.0.0/16,10.10.10.9,tcp,110 10.10.10.9/32,192.168.0.0/16,tcp,10000 192.168.0.0/16,10.10.10.9,tcp,10000 10.10.10.0/24,192.168.0.0/16,tcp,22 192.168.0.0/16,10.10.10.0/24,tcp,22 10.10.10.9/32,192.168.0.0/16,tcp,389 192.168.0.0/16,10.10.10.9,tcp,389"
Ah, por supuesto, si el cortafuegos va lento, los trayectos que lo atraviesen también iran lentos. Pero tanto como para notarse en demasía... es raro. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFGd6SktTMYHG2NR9URAlLBAJ93RQfMz6uhpx94OZNPyk+H9Hy0EQCbBVYY d8vZMNAc738DI5F+T10wDTc= =UKz1 -----END PGP SIGNATURE-----
participants (2)
-
Carlos E. R. -
Juan Carlos Bravo Celis