date:20141027

[CentOS-es] Firewall en VPN

2014-10-27 Por tema César Martinez

Saludos amigos acudo a ustedes haber quien me puede echar una mano, 
tengo un servidor Linux centos 5.11 el cuál hace proxy y firewall, 
existe una VPN que tiene montada el proveedor de internet con dos 
routers entre dos ciudades, le pedí al proveedor que todo el tráfico que 
genera el tunel se envie a mi servidor de tal forma que yo controlo 
todos los accesos del tunel de los usuarios, el segmento que maneja la 
red en al oficina A es 192.168.0.X y en la oficina B es 192.168.1.X, 
necesito que desde la oficina en la red 192.168.1.X pueda abrir el 
escritorio remoto de un servidor con windows via terminal server por el 
puerto 3389, para ello he creado estas reglas


$IPTABLES -I FORWARD -d 192.168.1.0/24 -i $INTERNALIF -j ACCEPT
$IPTABLES -A OUTPUT -d 192.168.1.0/24 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -d 192.168.1.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d 192.168.1.0/24 -i $INTERNALIF -p tcp --dport 
3389 -j ACCEPT


Además abrí el puerto 3389 así $IPTABLES -A INPUT -p tcp --dport 3389 -j 
ACCEPT


No logro hacer que desde la red local del otro segmento se abra la 
terminal tengo ping desde el segmento 192.168.1 .X al 192.168.0.X para 
probar si es mi firewall le bajo momentaneamente y sin problemas se abre 
el terminal desde la red B hacia la A


Agradezco a las personas que me puedan guiar que me hace falta  para que 
puedan usar el terminal sin problemas


--
Saludos Cordiales

|César Martínez | Ingeniero de Sistemas | SERVICOM
|Tel: (593-2)554-271 2221-386 | Ext 4501
|Celular: 0999374317 |Skype servicomecuador
|Web www.servicomecuador.com Síguenos en:
|Twitter: @servicomecuador |Facebook: servicomec
|Zona Clientes: www.servicomecuador.com/billing
|Blog: http://servicomecuador.com/blog
|Dir. Av. 10 de Agosto N29-140 Entre
|Acuña y  Cuero y Caicedo
|Quito - Ecuador - Sudamérica

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Firewall en VPN

2014-10-27 Por tema Francesc Guitart


Hola César,

Para poder ver qué otras reglas hay en el firewall, pero sobretodo, en 
qué orden envía la salida del comando iptables -L -n


Entiendo que las reglas que pones están en un firewall en la oficina A 
¿No hay firewall en la oficina B?


El 27/10/14 a las 22:21, César Martinez escribió:

Saludos amigos acudo a ustedes haber quien me puede echar una mano,
tengo un servidor Linux centos 5.11 el cuál hace proxy y firewall,
existe una VPN que tiene montada el proveedor de internet con dos
routers entre dos ciudades, le pedí al proveedor que todo el tráfico que
genera el tunel se envie a mi servidor de tal forma que yo controlo
todos los accesos del tunel de los usuarios, el segmento que maneja la
red en al oficina A es 192.168.0.X y en la oficina B es 192.168.1.X,
necesito que desde la oficina en la red 192.168.1.X pueda abrir el
escritorio remoto de un servidor con windows via terminal server por el
puerto 3389, para ello he creado estas reglas

$IPTABLES -I FORWARD -d 192.168.1.0/24 -i $INTERNALIF -j ACCEPT
$IPTABLES -A OUTPUT -d 192.168.1.0/24 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -d 192.168.1.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d 192.168.1.0/24 -i $INTERNALIF -p tcp --dport
3389 -j ACCEPT

Además abrí el puerto 3389 así $IPTABLES -A INPUT -p tcp --dport 3389 -j
ACCEPT

No logro hacer que desde la red local del otro segmento se abra la
terminal tengo ping desde el segmento 192.168.1 .X al 192.168.0.X para
probar si es mi firewall le bajo momentaneamente y sin problemas se abre
el terminal desde la red B hacia la A

Agradezco a las personas que me puedan guiar que me hace falta  para que
puedan usar el terminal sin problemas





--
Francesc Guitart

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Firewall en VPN

2014-10-27 Por tema César Martinez

Gracias Francesc si el firewall esta solo en la oficina A, como comente 
bajo mi firewall y al conexión se efectua te paso al salida del comando 
iptables -nL


Chain INPUT (policy ACCEPT)
target prot opt source   destination
DROP   all  --  0.0.0.0/00.0.0.0/0   state INVALID
ACCEPT all  --  0.0.0.0/00.0.0.0/0
REJECT all  --  0.0.0.0/0127.0.0.0/8 reject-with 
icmp-port-unreachable

ACCEPT all  --  192.168.0.0/24   0.0.0.0/0
ACCEPT 41   --  0.0.0.0/00.0.0.0/0
REJECT all  --  192.168.0.0/24   0.0.0.0/0 reject-with 
icmp-port-unreachable
ACCEPT icmp --  0.0.0.0/00.0.0.0/0   icmp type 8 
limit: avg 1/sec burst 5

ACCEPT icmp --  0.0.0.0/00.0.0.0/0
REJECT udp  --  0.0.0.0/00.0.0.0/0   udp dpt:137 
reject-with icmp-port-unreachable
ACCEPT all  --  0.0.0.0/00.0.0.0/0   state 
RELATED,ESTABLISHED

ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:20
ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:21
ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:1976
ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:25
ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:587
DROP   tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:53
DROP   udp  --  0.0.0.0/00.0.0.0/0   udp dpt:53
ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:80
ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:110
ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:143
ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:443
ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:11200
ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:3389
LOGtcp  --  0.0.0.0/00.0.0.0/0   tcp 
dpt:1433 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix 
`Firewalled packet: MSSQL '

DROP   tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:1433
LOGtcp  --  0.0.0.0/00.0.0.0/0   tcp 
dpt:6670 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix 
`Firewalled packet: Deepthrt '

DROP   tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:6670
LOGtcp  --  0.0.0.0/00.0.0.0/0   tcp 
dpt:6711 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix 
`Firewalled packet: Sub7 '

DROP   tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:6711
LOGtcp  --  0.0.0.0/00.0.0.0/0   tcp 
dpt:6712 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix 
`Firewalled packet: Sub7 '

DROP   tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:6712
LOGtcp  --  0.0.0.0/00.0.0.0/0   tcp 
dpt:6713 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix 
`Firewalled packet: Sub7 '

DROP   tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:6713
LOGtcp  --  0.0.0.0/00.0.0.0/0   tcp 
dpt:12345 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix 
`Firewalled packet: Netbus '

DROP   tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:12345
LOGtcp  --  0.0.0.0/00.0.0.0/0   tcp 
dpt:12346 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix 
`Firewalled packet: Netbus '

DROP   tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:12346
LOGtcp  --  0.0.0.0/00.0.0.0/0   tcp 
dpt:20034 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix 
`Firewalled packet: Netbus '

DROP   tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:20034
LOGtcp  --  0.0.0.0/00.0.0.0/0   tcp 
dpt:31337 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix 
`Firewalled packet: BO '

DROP   tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:31337
LOGtcp  --  0.0.0.0/00.0.0.0/0   tcp 
dpt:6000 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix 
`Firewalled packet: XWin '

DROP   tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:6000
DROP   udp  --  0.0.0.0/00.0.0.0/0   udp 
dpts:33434:33523
REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:113 
reject-with icmp-port-unreachable
REJECT 2--  0.0.0.0/00.0.0.0/0 reject-with 
icmp-port-unreachable
REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:80 
reject-with icmp-port-unreachable
REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:443 
reject-with icmp-port-unreachable
LOGtcp  --  0.0.0.0/00.0.0.0/0   tcp 
flags:0x17/0x02 limit: avg 5/min burst 5 LOG flags 0 level 4 prefix 
`Firewalled packet:'

REJECT tcp  --  0.0.0.0/00.0.0.0/0 reject-with tcp-reset
DROP

Re: [CentOS-es] Firewall en VPN

2014-10-27 Por tema Francesc Guitart


Hola César,

El problema está en la cadena FACEBOOK1 y FACEBOOK. La última linea de 
ambas es un DROP a todo. Las cadenas FACEBOOK1 y FACEBOOK están antes 
que nada en FORWARD. De esta manera, la regla que permitiría la 
comunicación con el terminal server nunca es alcanzada ya que los 
paquetes topan antes con el DROP a todo de FACEBOOK1 y FACEBOOK.


Además siento decirte que tu firewall es literalmente un coladero. 
Tienes que pensar que cuando un paquete llega al firewall sigue un orden 
estricto. Cuando este coincide con los criterios que marca una regla el 
paquete realiza la acción que marca la regla y no continua hacia abajo. 
De esta manera si pones una regla tan general como acepta todos los 
protocolos de cualquier IP en direccion a cualquier IP (este es el caso 
de la segunda regla en INPUT) todas las demás no sirven ya para nada ya 
que el paquete es aceptado.


Para que te queden claros los conceptos básicos de iptables (y/o otros 
firewall que funcionan igual) te recomiendo este howto muy práctico y 
con ejemplos bastante frecuentes. A partir de ahi hay cientos de howtos 
en internet:


www.pello.info/filez/firewall/iptables.html

Voy haciendote comentarios entre lineas. Hay muchas reglas que abren 
todo a todo el mundo y por tanto, además de redundantes, inseguras.


El 27/10/14 a las 22:48, César Martinez escribió:

Gracias Francesc si el firewall esta solo en la oficina A, como comente
bajo mi firewall y al conexión se efectua te paso al salida del comando
iptables -nL

Chain INPUT (policy ACCEPT)
target prot opt source   destination
DROP   all  --  0.0.0.0/00.0.0.0/0   state INVALID
ACCEPT all  --  0.0.0.0/00.0.0.0/0

Esto permite que entre todo a cualquier lado. Altamente desaconsejable

REJECT all  --  0.0.0.0/0127.0.0.0/8 reject-with
icmp-port-unreachable

No hace nada ya que la segunda regla permite todo

ACCEPT all  --  192.168.0.0/24   0.0.0.0/0
ACCEPT 41   --  0.0.0.0/00.0.0.0/0

Esto permite todo a cualquier lado en tunel IPv6. Altamente desaconsejable.

REJECT all  --  192.168.0.0/24   0.0.0.0/0 reject-with
icmp-port-unreachable
Esta es contradictoria con la que hay dos más arriba, aunque realmente 
no hace nada ya que la segunda regla permite todo.

ACCEPT icmp --  0.0.0.0/00.0.0.0/0   icmp type 8
limit: avg 1/sec burst 5
ACCEPT icmp --  0.0.0.0/00.0.0.0/0

Permites todo el tráfico ICMP. ¿Para qué entonces la regla anterior?

REJECT udp  --  0.0.0.0/00.0.0.0/0   udp dpt:137
reject-with icmp-port-unreachable

No hace nada ya que la segunda regla permite todo.

ACCEPT all  --  0.0.0.0/00.0.0.0/0   state
RELATED,ESTABLISHED
Esta debería ser la segunda regla pero siendo más restrictivo por source 
y destination

ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:20
ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:21
ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:1976
ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:25
ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:587

Todas estas no sirven para nada ya que la segunda regla permite todo.

DROP   tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:53
DROP   udp  --  0.0.0.0/00.0.0.0/0   udp dpt:53

Esas dos tampoco sirven para nada ya que la segunda permite todo.

ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:80
ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:110
ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:143
ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:443
ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:11200
ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:3389

Todas estas no hacen nada ya que la segunda regla permite todo.

LOGtcp  --  0.0.0.0/00.0.0.0/0   tcp
dpt:1433 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix
`Firewalled packet: MSSQL '
DROP   tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:1433

No hace nada ya que la segunda regla permite todo.

LOGtcp  --  0.0.0.0/00.0.0.0/0   tcp
dpt:6670 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix
`Firewalled packet: Deepthrt '
DROP   tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:6670

No hace nada ya que la segunda regla permite todo.

LOGtcp  --  0.0.0.0/00.0.0.0/0   tcp
dpt:6711 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix
`Firewalled packet: Sub7 '
DROP   tcp  --  0.0.0.0/00.0.0.0/0   tcp dpt:6711

No hace nada ya que la segunda regla permite todo.

LOGtcp  --  0.0.0.0/00.0.0.0/0   tcp
dpt:6712 limit: avg 3/hour burst 5 LOG flags 0 level 4

Re: [CentOS-es] Resumen de CentOS-es, Vol 94, Envío 18

2014-10-27 Por tema Mario Mendez Navarro

Hola Jorge,
una version menor, tu dices?

saludos.

El 27 de octubre de 2014, 8:00, centos-es-requ...@centos.org escribió:

 Envíe los mensajes para la lista CentOS-es a
 centos-es@centos.org

 Para subscribirse o anular su subscripción a través de la WEB
 http://lists.centos.org/mailman/listinfo/centos-es

 O por correo electrónico, enviando un mensaje con el texto help en
 el asunto (subject) o en el cuerpo a:
 centos-es-requ...@centos.org

 Puede contactar con el responsable de la lista escribiendo a:
 centos-es-ow...@centos.org

 Si responde a algún contenido de este mensaje, por favor, edite la
 linea del asunto (subject) para que el texto sea mas especifico que:
 Re: Contents of CentOS-es digest Además, por favor, incluya en
 la respuesta sólo aquellas partes del mensaje a las que está
 respondiendo.


 Asuntos del día:

1. Re: Error al instalar informix. (Jorge Sanchez)


 --

 Message: 1
 Date: Sun, 26 Oct 2014 13:27:53 -0200
 From: Jorge Sanchez jsanchezsilv...@gmail.com
 To: centos-es@centos.org
 Subject: Re: [CentOS-es] Error al instalar informix.
 Message-ID:
 
 cacrneyhluk9jwr9mlxabcywnptv9cctk2wabizvynyaajx2...@mail.gmail.com
 Content-Type: text/plain; charset=UTF-8

 Parece ser error en el programa, violacion de segmente es cuando un
 software intenta acceder a memoria que no le pertenece. No tenes otra
 version para probar?

 El día 26 de octubre de 2014, 3:29, Mario Mendez Navarro
 mende...@gmail.com escribió:
  Estimada lista,
  tengo un problema al instalar informix en cestos 5.5.
 
  al ejecutar la instalacion enla primera parte #./install4gl
 
  me actualiza solo una  todas las carpetas /lib y al tratar /inc me sale
 el
  error Violacion de segmento.
 
  Ya revise el var/log/messages.
 
  Y lo unico que hice antes fue instalar teamviewer y nada mas.
 
  No entiendo que sucede, mi particion es algo asi
 
  /boot 210MB
  /  20 GB
  /opt 30GB (aqui dentro debe estar informix)
  /var
  /usr
  /home
  /temp
 
  me ayudan?
 
  saludos.
 
  --
 
  *Mario Mendez Navarro  | Ingeniero Informatico | Infrastructure 
  Operations**U.A.G.R.M.*
  *  |  Av. Virgen de Lujan, Urb. DAMAR, calle 7 NRO 5, Santa Cruz,
 BOLIVIA**+591
  3 3601000  |  Cell +591 721-44989*
 
   *mende...@gmail.com mende...@gmail.com*
 
 
 
  *En cuanto a mí respecta, muy poco me preocupa ser juzgado por ustedes o
  por algún tribunal humano. Ni siquiera yo mismo me juzgo. . . . Pues el
 que
  me juzga es el Señor (1 Corintios 4:3-4, vp).*
  ___
  CentOS-es mailing list
  CentOS-es@centos.org
  http://lists.centos.org/mailman/listinfo/centos-es


 --

 ___
 CentOS-es mailing list
 CentOS-es@centos.org
 http://lists.centos.org/mailman/listinfo/centos-es


 Fin de Resumen de CentOS-es, Vol 94, Envío 18
 *




-- 

*Mario Mendez Navarro  | Ingeniero Informatico | Infrastructure 
Operations**U.A.G.R.M.*
*  |  Av. Virgen de Lujan, Urb. DAMAR, calle 7 NRO 5, Santa Cruz, BOLIVIA**+591
3 3601000  |  Cell +591 721-44989*

 *mende...@gmail.com mende...@gmail.com*



*En cuanto a mí respecta, muy poco me preocupa ser juzgado por ustedes o
por algún tribunal humano. Ni siquiera yo mismo me juzgo. . . . Pues el que
me juzga es el Señor (1 Corintios 4:3-4, vp).*
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

[CentOS-es] Firewall en VPN

Re: [CentOS-es] Firewall en VPN

Re: [CentOS-es] Firewall en VPN

Re: [CentOS-es] Firewall en VPN

Re: [CentOS-es] Resumen de CentOS-es, Vol 94, Envío 18

5 matches

Site Navigation

Mail list logo

Footer information