Regla para el cortafuegos
Hola, Tengo un equipo con SuSE 10.1 al que le he dejado el cortafuegos activado (AppArmor también lo está, al menos mientras no de guerra). Me gustaría acceder a este equipo sólo desde la red local vía ssh pero me rechaza la conexión (el demonio está ejecutándose). Me dispuse a configurar el cortafuegos para permitir el acceso a este servicio desde la red local, pero me perdí. Primero fui a Yast, pero las opciones que me daba para activar los servicios que quería habilitar no me cuadraban pues sólo me dejaba activar los de la interfaz remota, no la local. Aquí me perdí, fui al manual e intenté de nuevo configurarlo a mano (sysconfig). Tampoco supe ver cómo hacerlo, luego la pregunta es ¿cuál es la forma más sencilla de permitir el acceso mediante ssh (puerto 22) sólo de forma local? Saludos, -- Camaleón
Camaleón escribió:
Hola,
Tengo un equipo con SuSE 10.1 al que le he dejado el cortafuegos activado (AppArmor también lo está, al menos mientras no de guerra). Me gustaría acceder a este equipo sólo desde la red local vía ssh pero me rechaza la conexión (el demonio está ejecutándose). Me dispuse a configurar el cortafuegos para permitir el acceso a este servicio desde la red local, pero me perdí.
Primero fui a Yast, pero las opciones que me daba para activar los servicios que quería habilitar no me cuadraban pues sólo me dejaba activar los de la interfaz remota, no la local. Aquí me perdí, fui al manual e intenté de nuevo configurarlo a mano (sysconfig). Tampoco supe ver cómo hacerlo, luego la pregunta es ¿cuál es la forma más sencilla de permitir el acceso mediante ssh (puerto 22) sólo de forma local?
Saludos,
Encontré este enlace http://susefaq.sourceforge.net/guides/fw_manual.html y quizá en /usr/share/doc/packages/SuSEfirewall2 haya información relacionada, más actualizada. Espero que alguno te ayude.
2006/8/9, Luis O.:
Encontré este enlace http://susefaq.sourceforge.net/guides/fw_manual.html y quizá en /usr/share/doc/packages/SuSEfirewall2 haya información relacionada, más actualizada.
Espero que alguno te ayude.
Hola Luís, Contesto a los dos mensajes en este hilo para matener los mensajes juntos (esperamos que el filtro no me clasifique como spam otra vez). Lo que busco es: - Fichero de configuración del cortafuegos de donde toma las reglas para editarlo a mano ¿dónde está? - Añadir una regla que me permita acceder vía ssh a ese equipo sólo desde la red local No parece muy complicado, pero se me está atragantando. En el manual dice que las conexiones "de dentro hacia fuera" no se bloquean, pero no puedo acceder al equipo. Ya no sé si AppArmor también puede ser el culpable. Saludos, -- Camaleón
2006/8/9, Camaleón
2006/8/9, Luis O.:
Lo que busco es:
- Fichero de configuración del cortafuegos de donde toma las reglas para editarlo a mano ¿dónde está? - Añadir una regla que me permita acceder vía ssh a ese equipo sólo desde la red local
No parece muy complicado, pero se me está atragantando. En el manual dice que las conexiones "de dentro hacia fuera" no se bloquean, pero no puedo acceder al equipo. Ya no sé si AppArmor también puede ser el culpable.
Hola Camaleon 1- Yo no tengo activado el AppArmor. Tengo dos tarjetas de red en un ordenador, la conexion a internet está configurada como red externa y la otra como red interna. Desde YaST puedo escoger al red interna y seleccionar los servicios que deseo tener. 2- He configurado de la misma manera el otro ordenador y no tengo problemas para conectarme via ssh. Nota. Ambos ordenadores tienen Suse (10.1 y 10) saludos Roberto
2006/8/9, Roberto Pineda:
1- Yo no tengo activado el AppArmor. Tengo dos tarjetas de red en un ordenador, la conexion a internet está configurada como red externa y la otra como red interna. Desde YaST puedo escoger al red interna y seleccionar los servicios que deseo tener.
Eso es lo normal. El problema es que yo sólo tengo una tarjeta de red, y al seleccionar la tarjeta de red interna no me permite seleccionar servicios para activarlos (sólo me deja con la externa y la zona dmz). ¿Si sólo hay una interfaz de red la toma como externa? Quizá me esté fallando eso, que yo estoy dando por sentado que la tarjeta de red del equipo es la "interna" cuando realmente la debo configurar como "externa"... qué follón, el ordenador se conecta a Inetrnet por emdio de un router con NAT, luego la IP que quiene configurada en la tarjeta de red no es pública, es privada, es el router quien tiene la IP pública configurada. No quiero redireccionar nada ni configurar filtros complejos, sólo quiero acceder al equipo desde dentro de la red vía ssh. Saludos, -- Camaleón
Camaleón escribió:
2006/8/9, Roberto Pineda:
1- Yo no tengo activado el AppArmor. Tengo dos tarjetas de red en un ordenador, la conexion a internet está configurada como red externa y la otra como red interna. Desde YaST puedo escoger al red interna y seleccionar los servicios que deseo tener.
Eso es lo normal. El problema es que yo sólo tengo una tarjeta de red, y al seleccionar la tarjeta de red interna no me permite seleccionar servicios para activarlos (sólo me deja con la externa y la zona dmz).
¿Si sólo hay una interfaz de red la toma como externa? Quizá me esté fallando eso, que yo estoy dando por sentado que la tarjeta de red del equipo es la "interna" cuando realmente la debo configurar como "externa"... qué follón, el ordenador se conecta a Inetrnet por emdio de un router con NAT, luego la IP que quiene configurada en la tarjeta de red no es pública, es privada, es el router quien tiene la IP pública configurada.
No quiero redireccionar nada ni configurar filtros complejos, sólo quiero acceder al equipo desde dentro de la red vía ssh.
Saludos,
Debe ser eso, que tienes la tarjeta configurada como interna en vez de como externa. Lo que tu quieres hacer lo hice en su día através de YaST y es muy sencillo si la tarjeta está definida como externa. Puedes ver lo configurado por YaST en /etc/sysconfig/SuSEfirewall2, por si quieres hacer ajustes a mano.
2006/8/9, Camaleón
2006/8/9, Roberto Pineda:
1- Yo no tengo activado el AppArmor. Tengo dos tarjetas de red en un ordenador, la conexion a internet está configurada como red externa y la otra como red interna. Desde YaST puedo escoger al red interna y seleccionar los servicios que deseo tener.
Eso es lo normal. El problema es que yo sólo tengo una tarjeta de red, y al seleccionar la tarjeta de red interna no me permite seleccionar servicios para activarlos (sólo me deja con la externa y la zona dmz).
Tu decides si tu tarjeta está en una red interna o externa, en el momento de configurar la tarjeta, no importa que IP es la que utilices. A la hora de configurar la tarjeta con acceso a internet supongo que lo toma como zona externa. Por lo que no te dejará seleccionar zona interna, supongo (no estoy en casa y no lo puedo probar). Prueba configurar la tarjeta como interna. Saludos Roberto
¿Si sólo hay una interfaz de red la toma como externa? Quizá me esté fallando eso, que yo estoy dando por sentado que la tarjeta de red del equipo es la "interna" cuando realmente la debo configurar como "externa"... qué follón, el ordenador se conecta a Inetrnet por emdio de un router con NAT, luego la IP que quiene configurada en la tarjeta de red no es pública, es privada, es el router quien tiene la IP pública configurada.
Creo que esto no es una pregunta, es la respuesta. Cuando abres la "interfaz externa" la abres solo para esa máquina. Es decir, permites conexiones "externas" (tanto desde otra máquina en red local como en internet). Sería "interna" en el sentido que determinados servicios de la máquina no podrían salir al exterior de esa máquina. Estoy muy espeso y no se si se me entiende. Por eso te decía que abrieras _externamente_ el puerto 22 en en SuSEFirewaww y lo dejaras cerrado en el router. -- Salutacions - Saludos, Josep M. Queralt
El 9/08/06, Josep M. Queralt escribió:
Creo que esto no es una pregunta, es la respuesta. Cuando abres la "interfaz externa" la abres solo para esa máquina. Es decir, permites conexiones "externas" (tanto desde otra máquina en red local como en internet).
Sería "interna" en el sentido que determinados servicios de la máquina no podrían salir al exterior de esa máquina.
Estoy muy espeso y no se si se me entiende.
A la perfección. Lo intento con Yast seleccionado la interfaz externa (eso es lo que me ha descolocado) y ya contaré. El router tiene cerrados todos los puertos, activado el cortafuegos y la seguridad al máximo... por si acaso ;-). Saludos, -- Camaleón
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-08-09 a las 12:49 +0200, Camaleón escribió:
Eso es lo normal. El problema es que yo sólo tengo una tarjeta de red, y al seleccionar la tarjeta de red interna no me permite seleccionar servicios para activarlos (sólo me deja con la externa y la zona dmz).
Luego será la externa.
¿Si sólo hay una interfaz de red la toma como externa? Quizá me esté fallando eso, que yo estoy dando por sentado que la tarjeta de red del equipo es la "interna" cuando realmente la debo configurar como "externa"... qué follón, el ordenador se conecta a Inetrnet por emdio de un router con NAT, luego la IP que quiene configurada en la tarjeta de red no es pública, es privada, es el router quien tiene la IP pública configurada.
Será lo que tu le digas que sea, externa o interna. Puedes considerarla interna al estar conectado al router y a otros ordenadores externos, o puedes considerarla externa porque el router va al exterior y no te fias de su cortafuegos. Tu decides. Es el fichero /etc/sysconfig/SuSEfirewall2. La variable "FW_DEV_EXT" define cual es la interfaz externa, y la "FW_DEV_INT" la interna. Luego tienes que abrir el puerto donde hayas decidido; pe: FW_SERVICES_INT_TCP="ssh" Hace años que no uso el yast para esto, por cierto. No me preguntes como se hace con el Yast. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFE2dLDtTMYHG2NR9URAveAAJ9E+gQnFz7z+6iTSl2wLyAsSzVXLwCbB2/N jqD2T0ExIjlA1Bh7FEmRr7A= =IkrQ -----END PGP SIGNATURE-----
El 9/08/06, Carlos E. R. escribió:
Será lo que tu le digas que sea, externa o interna.
Hum, efectivamente, puedes cambiar la denominación (desde Yast se mejor) lo que ya no sé es las diferencias de cada una de ellas. La he dejado como externa (´tal y como estaba) y he activado el servicio ssh. Funciona estupendamente :-D. Saludos y gracias a todos por las respuestas. -- Camaleón
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-08-10 a las 12:42 +0200, Camaleón escribió:
El 9/08/06, Carlos E. R. escribió:
Será lo que tu le digas que sea, externa o interna.
Hum, efectivamente, puedes cambiar la denominación (desde Yast se mejor) lo que ya no sé es las diferencias de cada una de ellas.
Habitualmente la externa tiene todo cerrado, y la interna abierto.
La he dejado como externa (´tal y como estaba) y he activado el servicio ssh. Funciona estupendamente :-D.
Igual que yo. ;-) - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFE3Hl1tTMYHG2NR9URAj1iAJ0VSMcMEl/rc+Wwe8QKHPrVYClrwQCfcrsU d5KqH+cM6j5QRK93cNWec+4= =j+qr -----END PGP SIGNATURE-----
El Miércoles, 9 de Agosto de 2006 11:44, Camaleón escribió:
2006/8/9, Luis O.:
Encontré este enlace http://susefaq.sourceforge.net/guides/fw_manual.html y quizá en /usr/share/doc/packages/SuSEfirewall2 haya información relacionada, más actualizada.
Espero que alguno te ayude.
Hola Luís,
Contesto a los dos mensajes en este hilo para matener los mensajes juntos (esperamos que el filtro no me clasifique como spam otra vez).
Lo que busco es:
- Fichero de configuración del cortafuegos de donde toma las reglas para editarlo a mano ¿dónde está?
/etc/sysconfig/SuSEfirewall2 recuerda hacer SuSEconfig despues de modificarlo para el ssh FW_SERVICES_EXT_TCP = "ssh" o el puerto que le digas si pones mas puertos separados por un espacio
Camaleón escribió:
Hola,
Tengo un equipo con SuSE 10.1 al que le he dejado el cortafuegos activado (AppArmor también lo está, al menos mientras no de guerra). Me gustaría acceder a este equipo sólo desde la red local vía ssh pero me rechaza la conexión (el demonio está ejecutándose). Me dispuse a configurar el cortafuegos para permitir el acceso a este servicio desde la red local, pero me perdí.
Primero fui a Yast, pero las opciones que me daba para activar los servicios que quería habilitar no me cuadraban pues sólo me dejaba activar los de la interfaz remota, no la local. Aquí me perdí, fui al manual e intenté de nuevo configurarlo a mano (sysconfig). Tampoco supe ver cómo hacerlo, luego la pregunta es ¿cuál es la forma más sencilla de permitir el acceso mediante ssh (puerto 22) sólo de forma local?
Saludos,
Otra opción. Quizá más que filtrar, lo que quieres es limitar el acceso por ssh a tu máquina. Puedes configurar el demonio para que sólo escuche por un interfaz, el interno (man sshd_config) y luego limitar el rango de IP's permitidos para entrar por ssh (/etc/hosts_allow) Así mejor? ;-)
Tengo un equipo con SuSE 10.1 al que le he dejado el cortafuegos activado (AppArmor también lo está, al menos mientras no de guerra). Me gustaría acceder a este equipo sólo desde la red local vía ssh pero me rechaza la conexión (el demonio está ejecutándose). Me dispuse a configurar el cortafuegos para permitir el acceso a este servicio desde la red local, pero me perdí.
Me parece que lo más sencillo, aunque depende de tú configuración, es dejar el firewall abierto en el puerto 22 y cortar el acceso por el router. Los locales podrían acceder y todo lo externo quedaría fuera. También podrías consultar el manual de SSHD que, hablo de memoria, (y muy escasa) me parece que permitía accesos solo por determinadas IP. -- Salutacions - Saludos, Josep M. Queralt
El 9/08/06, Josep M. Queralt escribió:
Me parece que lo más sencillo, aunque depende de tú configuración, es dejar el firewall abierto en el puerto 22 y cortar el acceso por el router. Los locales podrían acceder y todo lo externo quedaría fuera.
:-) Eso es lo que quiero hacer, pero no es tan sencillo como me parecía... creo que con los valores que me ha puesto Francisco va a ser suficiente... en cuanto lo pruebe lo comento. Saludos, -- Camaleón
Eso es lo que quiero hacer, pero no es tan sencillo como me parecía... creo que con los valores que me ha puesto Francisco va a ser suficiente... en cuanto lo pruebe lo comento.
Si el firewall está configurado como externo SI es así de fácil. -- Salutacions - Saludos, Josep M. Queralt
participants (6)
-
Camaleón
-
Carlos E. R.
-
francisco F.
-
Josep M. Queralt
-
Luis O.
-
Roberto Pineda