[CentOS-es] Firewall en VPN
Saludos amigos acudo a ustedes haber quien me puede echar una mano, tengo un servidor Linux centos 5.11 el cuál hace proxy y firewall, existe una VPN que tiene montada el proveedor de internet con dos routers entre dos ciudades, le pedí al proveedor que todo el tráfico que genera el tunel se envie a mi servidor de tal forma que yo controlo todos los accesos del tunel de los usuarios, el segmento que maneja la red en al oficina A es 192.168.0.X y en la oficina B es 192.168.1.X, necesito que desde la oficina en la red 192.168.1.X pueda abrir el escritorio remoto de un servidor con windows via terminal server por el puerto 3389, para ello he creado estas reglas $IPTABLES -I FORWARD -d 192.168.1.0/24 -i $INTERNALIF -j ACCEPT $IPTABLES -A OUTPUT -d 192.168.1.0/24 -j ACCEPT $IPTABLES -A OUTPUT -p tcp -d 192.168.1.0/24 -j ACCEPT $IPTABLES -I FORWARD -d 192.168.1.0/24 -i $INTERNALIF -p tcp --dport 3389 -j ACCEPT Además abrí el puerto 3389 así $IPTABLES -A INPUT -p tcp --dport 3389 -j ACCEPT No logro hacer que desde la red local del otro segmento se abra la terminal tengo ping desde el segmento 192.168.1 .X al 192.168.0.X para probar si es mi firewall le bajo momentaneamente y sin problemas se abre el terminal desde la red B hacia la A Agradezco a las personas que me puedan guiar que me hace falta para que puedan usar el terminal sin problemas -- Saludos Cordiales |César Martínez | Ingeniero de Sistemas | SERVICOM |Tel: (593-2)554-271 2221-386 | Ext 4501 |Celular: 0999374317 |Skype servicomecuador |Web www.servicomecuador.com Síguenos en: |Twitter: @servicomecuador |Facebook: servicomec |Zona Clientes: www.servicomecuador.com/billing |Blog: http://servicomecuador.com/blog |Dir. Av. 10 de Agosto N29-140 Entre |Acuña y Cuero y Caicedo |Quito - Ecuador - Sudamérica ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Firewall en VPN
Hola César, Para poder ver qué otras reglas hay en el firewall, pero sobretodo, en qué orden envía la salida del comando iptables -L -n Entiendo que las reglas que pones están en un firewall en la oficina A ¿No hay firewall en la oficina B? El 27/10/14 a las 22:21, César Martinez escribió: Saludos amigos acudo a ustedes haber quien me puede echar una mano, tengo un servidor Linux centos 5.11 el cuál hace proxy y firewall, existe una VPN que tiene montada el proveedor de internet con dos routers entre dos ciudades, le pedí al proveedor que todo el tráfico que genera el tunel se envie a mi servidor de tal forma que yo controlo todos los accesos del tunel de los usuarios, el segmento que maneja la red en al oficina A es 192.168.0.X y en la oficina B es 192.168.1.X, necesito que desde la oficina en la red 192.168.1.X pueda abrir el escritorio remoto de un servidor con windows via terminal server por el puerto 3389, para ello he creado estas reglas $IPTABLES -I FORWARD -d 192.168.1.0/24 -i $INTERNALIF -j ACCEPT $IPTABLES -A OUTPUT -d 192.168.1.0/24 -j ACCEPT $IPTABLES -A OUTPUT -p tcp -d 192.168.1.0/24 -j ACCEPT $IPTABLES -I FORWARD -d 192.168.1.0/24 -i $INTERNALIF -p tcp --dport 3389 -j ACCEPT Además abrí el puerto 3389 así $IPTABLES -A INPUT -p tcp --dport 3389 -j ACCEPT No logro hacer que desde la red local del otro segmento se abra la terminal tengo ping desde el segmento 192.168.1 .X al 192.168.0.X para probar si es mi firewall le bajo momentaneamente y sin problemas se abre el terminal desde la red B hacia la A Agradezco a las personas que me puedan guiar que me hace falta para que puedan usar el terminal sin problemas -- Francesc Guitart ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Firewall en VPN
Gracias Francesc si el firewall esta solo en la oficina A, como comente bajo mi firewall y al conexión se efectua te paso al salida del comando iptables -nL Chain INPUT (policy ACCEPT) target prot opt source destination DROP all -- 0.0.0.0/00.0.0.0/0 state INVALID ACCEPT all -- 0.0.0.0/00.0.0.0/0 REJECT all -- 0.0.0.0/0127.0.0.0/8 reject-with icmp-port-unreachable ACCEPT all -- 192.168.0.0/24 0.0.0.0/0 ACCEPT 41 -- 0.0.0.0/00.0.0.0/0 REJECT all -- 192.168.0.0/24 0.0.0.0/0 reject-with icmp-port-unreachable ACCEPT icmp -- 0.0.0.0/00.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5 ACCEPT icmp -- 0.0.0.0/00.0.0.0/0 REJECT udp -- 0.0.0.0/00.0.0.0/0 udp dpt:137 reject-with icmp-port-unreachable ACCEPT all -- 0.0.0.0/00.0.0.0/0 state RELATED,ESTABLISHED ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:20 ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:21 ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:1976 ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:25 ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:587 DROP tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:53 DROP udp -- 0.0.0.0/00.0.0.0/0 udp dpt:53 ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:80 ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:110 ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:143 ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:443 ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:11200 ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:3389 LOGtcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:1433 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: MSSQL ' DROP tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:1433 LOGtcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:6670 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Deepthrt ' DROP tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:6670 LOGtcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:6711 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Sub7 ' DROP tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:6711 LOGtcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:6712 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Sub7 ' DROP tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:6712 LOGtcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:6713 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Sub7 ' DROP tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:6713 LOGtcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:12345 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Netbus ' DROP tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:12345 LOGtcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:12346 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Netbus ' DROP tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:12346 LOGtcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:20034 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Netbus ' DROP tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:20034 LOGtcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:31337 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: BO ' DROP tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:31337 LOGtcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:6000 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: XWin ' DROP tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:6000 DROP udp -- 0.0.0.0/00.0.0.0/0 udp dpts:33434:33523 REJECT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:113 reject-with icmp-port-unreachable REJECT 2-- 0.0.0.0/00.0.0.0/0 reject-with icmp-port-unreachable REJECT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:80 reject-with icmp-port-unreachable REJECT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:443 reject-with icmp-port-unreachable LOGtcp -- 0.0.0.0/00.0.0.0/0 tcp flags:0x17/0x02 limit: avg 5/min burst 5 LOG flags 0 level 4 prefix `Firewalled packet:' REJECT tcp -- 0.0.0.0/00.0.0.0/0 reject-with tcp-reset DROP
Re: [CentOS-es] Firewall en VPN
Hola César, El problema está en la cadena FACEBOOK1 y FACEBOOK. La última linea de ambas es un DROP a todo. Las cadenas FACEBOOK1 y FACEBOOK están antes que nada en FORWARD. De esta manera, la regla que permitiría la comunicación con el terminal server nunca es alcanzada ya que los paquetes topan antes con el DROP a todo de FACEBOOK1 y FACEBOOK. Además siento decirte que tu firewall es literalmente un coladero. Tienes que pensar que cuando un paquete llega al firewall sigue un orden estricto. Cuando este coincide con los criterios que marca una regla el paquete realiza la acción que marca la regla y no continua hacia abajo. De esta manera si pones una regla tan general como acepta todos los protocolos de cualquier IP en direccion a cualquier IP (este es el caso de la segunda regla en INPUT) todas las demás no sirven ya para nada ya que el paquete es aceptado. Para que te queden claros los conceptos básicos de iptables (y/o otros firewall que funcionan igual) te recomiendo este howto muy práctico y con ejemplos bastante frecuentes. A partir de ahi hay cientos de howtos en internet: www.pello.info/filez/firewall/iptables.html Voy haciendote comentarios entre lineas. Hay muchas reglas que abren todo a todo el mundo y por tanto, además de redundantes, inseguras. El 27/10/14 a las 22:48, César Martinez escribió: Gracias Francesc si el firewall esta solo en la oficina A, como comente bajo mi firewall y al conexión se efectua te paso al salida del comando iptables -nL Chain INPUT (policy ACCEPT) target prot opt source destination DROP all -- 0.0.0.0/00.0.0.0/0 state INVALID ACCEPT all -- 0.0.0.0/00.0.0.0/0 Esto permite que entre todo a cualquier lado. Altamente desaconsejable REJECT all -- 0.0.0.0/0127.0.0.0/8 reject-with icmp-port-unreachable No hace nada ya que la segunda regla permite todo ACCEPT all -- 192.168.0.0/24 0.0.0.0/0 ACCEPT 41 -- 0.0.0.0/00.0.0.0/0 Esto permite todo a cualquier lado en tunel IPv6. Altamente desaconsejable. REJECT all -- 192.168.0.0/24 0.0.0.0/0 reject-with icmp-port-unreachable Esta es contradictoria con la que hay dos más arriba, aunque realmente no hace nada ya que la segunda regla permite todo. ACCEPT icmp -- 0.0.0.0/00.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5 ACCEPT icmp -- 0.0.0.0/00.0.0.0/0 Permites todo el tráfico ICMP. ¿Para qué entonces la regla anterior? REJECT udp -- 0.0.0.0/00.0.0.0/0 udp dpt:137 reject-with icmp-port-unreachable No hace nada ya que la segunda regla permite todo. ACCEPT all -- 0.0.0.0/00.0.0.0/0 state RELATED,ESTABLISHED Esta debería ser la segunda regla pero siendo más restrictivo por source y destination ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:20 ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:21 ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:1976 ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:25 ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:587 Todas estas no sirven para nada ya que la segunda regla permite todo. DROP tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:53 DROP udp -- 0.0.0.0/00.0.0.0/0 udp dpt:53 Esas dos tampoco sirven para nada ya que la segunda permite todo. ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:80 ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:110 ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:143 ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:443 ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:11200 ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:3389 Todas estas no hacen nada ya que la segunda regla permite todo. LOGtcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:1433 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: MSSQL ' DROP tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:1433 No hace nada ya que la segunda regla permite todo. LOGtcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:6670 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Deepthrt ' DROP tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:6670 No hace nada ya que la segunda regla permite todo. LOGtcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:6711 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Sub7 ' DROP tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:6711 No hace nada ya que la segunda regla permite todo. LOGtcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:6712 limit: avg 3/hour burst 5 LOG flags 0 level 4
Re: [CentOS-es] Resumen de CentOS-es, Vol 94, Envío 18
Hola Jorge, una version menor, tu dices? saludos. El 27 de octubre de 2014, 8:00, centos-es-requ...@centos.org escribió: Envíe los mensajes para la lista CentOS-es a centos-es@centos.org Para subscribirse o anular su subscripción a través de la WEB http://lists.centos.org/mailman/listinfo/centos-es O por correo electrónico, enviando un mensaje con el texto help en el asunto (subject) o en el cuerpo a: centos-es-requ...@centos.org Puede contactar con el responsable de la lista escribiendo a: centos-es-ow...@centos.org Si responde a algún contenido de este mensaje, por favor, edite la linea del asunto (subject) para que el texto sea mas especifico que: Re: Contents of CentOS-es digest Además, por favor, incluya en la respuesta sólo aquellas partes del mensaje a las que está respondiendo. Asuntos del día: 1. Re: Error al instalar informix. (Jorge Sanchez) -- Message: 1 Date: Sun, 26 Oct 2014 13:27:53 -0200 From: Jorge Sanchez jsanchezsilv...@gmail.com To: centos-es@centos.org Subject: Re: [CentOS-es] Error al instalar informix. Message-ID: cacrneyhluk9jwr9mlxabcywnptv9cctk2wabizvynyaajx2...@mail.gmail.com Content-Type: text/plain; charset=UTF-8 Parece ser error en el programa, violacion de segmente es cuando un software intenta acceder a memoria que no le pertenece. No tenes otra version para probar? El día 26 de octubre de 2014, 3:29, Mario Mendez Navarro mende...@gmail.com escribió: Estimada lista, tengo un problema al instalar informix en cestos 5.5. al ejecutar la instalacion enla primera parte #./install4gl me actualiza solo una todas las carpetas /lib y al tratar /inc me sale el error Violacion de segmento. Ya revise el var/log/messages. Y lo unico que hice antes fue instalar teamviewer y nada mas. No entiendo que sucede, mi particion es algo asi /boot 210MB / 20 GB /opt 30GB (aqui dentro debe estar informix) /var /usr /home /temp me ayudan? saludos. -- *Mario Mendez Navarro | Ingeniero Informatico | Infrastructure Operations**U.A.G.R.M.* * | Av. Virgen de Lujan, Urb. DAMAR, calle 7 NRO 5, Santa Cruz, BOLIVIA**+591 3 3601000 | Cell +591 721-44989* *mende...@gmail.com mende...@gmail.com* *En cuanto a mí respecta, muy poco me preocupa ser juzgado por ustedes o por algún tribunal humano. Ni siquiera yo mismo me juzgo. . . . Pues el que me juzga es el Señor (1 Corintios 4:3-4, vp).* ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es Fin de Resumen de CentOS-es, Vol 94, Envío 18 * -- *Mario Mendez Navarro | Ingeniero Informatico | Infrastructure Operations**U.A.G.R.M.* * | Av. Virgen de Lujan, Urb. DAMAR, calle 7 NRO 5, Santa Cruz, BOLIVIA**+591 3 3601000 | Cell +591 721-44989* *mende...@gmail.com mende...@gmail.com* *En cuanto a mí respecta, muy poco me preocupa ser juzgado por ustedes o por algún tribunal humano. Ni siquiera yo mismo me juzgo. . . . Pues el que me juzga es el Señor (1 Corintios 4:3-4, vp).* ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es