esta linea FW_MASQ_NETS="0/0" debe cambiar por algo como: FW_MASQ_NETS="192.168.0.0/24,0/0,tcp,80 192.168.0.0/24,tcp,443" el 80 http, 443 https (creo) y esto es lo unico que sale a internet, no sale mas nada como sugerencia te recomiendocopiar la linea 2 veces y colocar una entre comentarios así: # FW_MASQ_NETS="192.168.0.0/24,0/0,tcp,80 192.168.0.0/24,tcp,443" FW_MASQ_NETS="192.168.0.0/24,0/0,tcp,80 192.168.0.0/24,tcp,443" porque por error o quien sabe que, el yast cambia siempre la linea a la original (la que dice ("0/0") y no respeta el cambio, te recomiendo arrancar el firewall a mano con rcSuSEfirewall start desde la linea de comandos y no con yast. a modo de experiencia te dire quer con esto y con algo de ayuda de squid, en mi red bloqueo hasta el messenger Jaime V.
From: "Fontoba Jover, Francisco"
To: "Suse-Linux-S (E-mail)" Subject: [suse-linux-s] Configuracion SuSEfirewall con todos los detalles Date: Fri, 25 Jun 2004 10:51:28 +0200 Bueno comento el SuSEfirewall2 que tengo a ver porque no parece que funcione como debiera el caso es que con esta configuracion desde dentro de la intranet se puede acceder a todo internet sin problemas cuando en teoria solo se podria a puertos 80 De entrada esta abilitado puerto 10000,ssh y https desde el exterior. Y pregunto, ¿si esto es lo que hay puesto, cual es el fallo? porque todo el mundo puede acceder a internet sin ninguna restriccion
FW_DEV_EXT="eth0" ; internet, asignado DHCP por el ISP
FW_DEV_INT="eth1" ; intranet del tipo 198.168.
FW_DEV_DMZ="" ;zona desmilitarizada
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT" ; esto es lo que no consigue averiguar el modulo de webmin, para este debes poner a la fuerza eth0 ;y si cambias la interface acordarte de cambiarlo
FW_MASQ_NETS="0/0" ; dejamos salir a toda nuestra red interna, creo que mejor seria 192.168.0.0/24 ;sera este el del fallo y es aqui donde decir a que puertos se va a hacer el enmascaramiento como ;parece que dice la explicacion de Suse? ;esto es a lo que llamo que el fichero configuracion sea un poco criptico.
deberia quedar algo como 192.168.0.0/24,tcp,1024:4600 4800:65535 para bloquear los de emule ??
# Choice: leave empty or any number of hosts/networks seperated by a space. # Every host/network may get a list of allowed services, otherwise everything # is allowed. A target network, protocol and service is appended by a comma to # the host/network. e.g. "10.0.0.0/8" allows the whole 10.0.0.0 network with # unrestricted access. "10.0.1.0/24,0/0,tcp,80 10.0.1.0/24,0/0tcp,21" allows # the 10.0.1.0 network to use www/ftp to the internet. # "10.0.1.0/24,tcp,1024:65535 10.0.2.0/24" is OK too. # Set this variable to "0/0" to allow unrestricted access to the internet.
FW_PROTECT_FROM_INTERNAL="no" ;no proteger al servidor desde dentro de la intranet, es que tengo mucha confianza a los ;compañeros
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP="10000 https ssh" ;desde internet dejamos que se conecten al webmin https y ssh a la ip publica
FW_SERVICES_EXT_UDP=""
FW_SERVICES_EXT_IP=""
FW_SERVICES_DMZ_TCP="80"
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_INT_TCP="80" ;en teoria solo se podrian conectar al puerto 80 desde la red interna, pero yo hago ssh sin ;problemas
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICES_QUICK_TCP="" ; este es para configuracion en modo quick, en modo full no hace nada
FW_SERVICES_QUICK_UDP="" ;idem
FW_SERVICES_QUICK_IP="" ;idem
FW_TRUSTED_NETS="" ;
FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"
FW_SERVICE_AUTODETECT="yes" ;en teoria mejor a no y levantar si necesitas algo a mano
FW_SERVICE_DNS="no" ;como no tengo servicios en este pues todo a no
FW_SERVICE_DHCLIENT="no"
FW_SERVICE_DHCPD="no"
FW_SERVICE_SQUID="no"
FW_SERVICE_SAMBA="no"
FW_FORWARD="" ;redirige una entrada desde internet a un servidor interno con ip publica
FW_FORWARD_MASQ="" ;redirige y enmascara entrada desde internet a un servidor interno con ip privada ;dice en el fichero de suse que esto es un agujero de seguridad, pero sino como se hace?
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW"
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no" ;no permite ping externos
# END of /etc/sysconfig/SuSEfirewall2
#-------------------------------------------------------------------------# # # # EXPERT OPTIONS - all others please don't change these! # # # #-------------------------------------------------------------------------#
FW_ALLOW_FW_TRACEROUTE="yes"
FW_ALLOW_FW_SOURCEQUENCH="yes"
FW_ALLOW_FW_BROADCAST="no"
FW_IGNORE_FW_BROADCAST="yes"
FW_ALLOW_CLASS_ROUTING="no"
#FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom" FW_CUSTOMRULES="" ;aqui estoy pensando que si tenemos algun fron-end podemos generar las reglas extras con este ;e incluir aqui el fichero que genere, ejemplo el de webmin
FW_REJECT="no" ;para que los paquetes sean descartadados, DROP, en vez de rechazados
FW_HTB_TUNE_DEV="" ;ni idea
yyyy esto estoooo estoooo es to to to todooo amigos
saludos
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
_________________________________________________________________ Charla con tus amigos en línea mediante MSN Messenger: http://messenger.latam.msn.com/