-----Mensaje original----- De: jose maria Enviado el: viernes, 25 de junio de 2004 15:49 Para: suse-linux-s@suse.com Asunto: Re: [suse-linux-s] Configuracion SuSEfirewall con todos los detalles
*This message was transferred with a trial version of CommuniGate(tm) Pro* -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El Viernes, 25 de Junio de 2004 10:51, Fontoba Jover, Francisco escribió:
Bueno comento el SuSEfirewall2 que tengo a ver porque no parece que funcione como debiera el caso es que con esta configuracion desde dentro de la
intranet se puede
acceder a todo internet sin problemas cuando en teoria solo se podria a puertos 80 De entrada esta abilitado puerto 10000,ssh y https desde el exterior. Y pregunto, ¿si esto es lo que hay puesto, cual es el fallo? porque todo el mundo puede acceder a internet sin ninguna restriccion
FW_DEV_EXT="eth0" ; internet, asignado DHCP por el ISP
FW_DEV_INT="eth1" ; intranet del tipo 198.168.
FW_DEV_DMZ="" ;zona desmilitarizada
FW_ROUTE="yes"
* si habilitaas routing , debes hilar fino en las autorizaciones de enmascaramiento y confianza a la red interna, esto cambia la politica por defecto drop por accept, con la configuracion que sigue lo mejor es usar un proxy, ya que no necesitas para otras cosas enrutar, pero esto es cosa tuya.
Y de las agencias estatales, inaem, salud etccc a las que hay que entrar por un puerto especifico, si ya se, a esas dejarlas salir y el resto proxy, pero ya tenemos que tener activado el route con lo cual me es mas como no ponerlo, una cosa menos que administrar y un bujero un pelo mas gordo, viva el riesgo.
* no entiendo lo de criptico 0/0 es un comodin de red es decir se enmascara a todo el mundo mundial, haz el enmascaramiento para maquina y puerto , todas los que quieras, no tienen por que estar en la misma linea , "una regla terminado \ otra regla \ otra"
Te olvidas de una de mis premisas, novato,vago e inepto, si hay que pensar es criptico.
* para bloquear los p2p iptables no es la solucion buena, hay un nuevo modulo que admite expresiones regulares y aplicacion pero no es momento de comentarlo, los p2p deben bloquearse con proxys, la razon es que si un servidor pone en el puerto 80 por ejemplo su server con iptables si lo bloqueas, bloqueas el acceso a todos los sitios web de internet, segundo hay miles de proxys anonimos, que escuchan por ejemplo
en el 8080
, el cliente no tiene nada mas que navegar a traves de este proxy para conectar con los servers.
Si ya lo se pero como mis compañeros no son mucho de pensar (menos que yo, ya es decir), con cortarles los dos o tres puertos mas usados es suficiente.
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP="10000 https ssh" ;desde internet dejamos que se conecten al webmin https y ssh a la ip publica
* no entiendo lo de https, es que tienes un servidor escuchando en el 443? por que si es por webmin ssl ya esta en el 10000 lo provee la aplicacion.
AAA no, eso es vagancia, nunca me acuerdo de quitarlo.
FW_SERVICES_EXT_UDP=""
aqui ntp no te vendria mal si sincronizas la hora con algun servidor Tengo uno detro de la red que hace de servidor horario y lo sincronizo con rediris, si ya seeee, deberia coger uno secundario perooooo lo de siempre vamos, lo puse va y ahi se queda, de momento no se ha quejado
FW_SERVICES_EXT_IP=""
FW_SERVICES_DMZ_TCP="80"
* no veo que tengas redirecciones a la zona desmilitarizada, ni hablas de una tercera tarjeta de red que conecte con ella, si lo que
estas
haciendo es tener pinchadas todas las maquinas al mismo siwtch la capa fisica les permite interconectarse, el cortafuegos, debe cortar la red, encaminar etc, pero si pueden verse entre ellos el cortafuegos solo evitara aquello que dependa de la buena voluntad del cliente, osea que lo del 80 en la zona dmz no veo a que viene, no se ha definido ninguna dmz anteriormente.
Yo tampoco, no se que hace ahi, un despiste. Gracias por el tiempo empleado saludos