Re: Dudas y problemas con firewall y ruteos
El Thu, 06 de Nov de 2014, a las 12:44:23PM -0300, tq dijo: Camaleón, adjunto la salida de /etc/network/interfaces [1] (la cual me pidió otro compañero) y las reglas de iptables [2]. A partir de la línea 263 aceptas que los paquetes icmp pasen por tu router (limitado a un número determinado por segundo pero lo aceptas), así que los icmp pasan. -- Tu dulce habla, ¿en cúya oreja suena? --- Garcilaso de la Vega --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20141108095320.ga5...@cubo.casa
Re: Dudas y problemas con firewall y ruteos
On 08/11/14 06:53, José Miguel (sio2) wrote: El Thu, 06 de Nov de 2014, a las 12:44:23PM -0300, tq dijo: Camaleón, adjunto la salida de /etc/network/interfaces [1] (la cual me pidió otro compañero) y las reglas de iptables [2]. A partir de la línea 263 aceptas que los paquetes icmp pasen por tu router (limitado a un número determinado por segundo pero lo aceptas), así que los icmp pasan. Jose, gracias por tu respuesta. Se me había pasado esa sección. Lo extraño es que si tiro un nmap desde afuera (osea la wan) puedo llegar a ver los puertos abiertos en uno de los host de la LAN, siempre y cuando en el host de la LAN haya agregado el ruteo estático hacia la WAN. Esto es correcto? Osea, es correcto que pueda tirar un nmap desde la WAN hacia un host de la LAN? Es correcto tener que agregar un ruteo estático en un host de la LAN para que pueda ser accesible de la WAN? Muchas Gracias. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/545e2f4d.7050...@gmail.com
Re: Dudas y problemas con firewall y ruteos
El Sat, 08 de Nov de 2014, a las 11:57:17AM -0300, tq dijo: Lo extraño es que si tiro un nmap desde afuera (osea la wan) puedo llegar a ver los puertos abiertos en uno de los host de la LAN, siempre y cuando en el host de la LAN haya agregado el ruteo estático hacia la WAN. Esto es correcto? Para que veas los puertos abiertos en el host de la LAN es necesario que se pueda pasar a través del router. Si el router corta las comunicaciones, no. Es correcto tener que agregar un ruteo estático en un host de la LAN para que pueda ser accesible de la WAN? Para que puedas acceder al host de la LAN desde la WAN se deben cumplir dos cosas: 1. Que el host de la LAN sepa cuál es su puerta de enlace. 2. Que el host de la WAN sepa que detrás de ese router esta esa LAN, o bien que ese router sea su única puerta de enlace con lo cual cualquier paquete cuyo destino no sea su red lo enviará a ese router. Cuando no se controla la WAN (por ejemplo, la WAN es internet), y se quiere hacer accesible el servicio de un host de la LAN, lo que se hace es lo que vulgarmente se llama redireccionar puertos en el router, o sea, un DNAT en la cadena PREROUTING del router hacia el host cuyo servicio que quiere hacer accesible. Un saludo. -- Vine a desembuchar y desembucho. --- Muñoz Seca --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20141108173048.ga24...@cubo.casa
Re: Dudas y problemas con firewall y ruteos
Los equipos están en redes físicas distintas o en diferentes VLAN? El miércoles, 5 de noviembre de 2014 09:20:04 UTC-4:30, tq escribió: Lista, buen día. Tengo un equipo simple con 3 interfaces de red haciendo las veces de firewall: eth0: Internet eth1: red LAN - 192.168.0.x/24 - Gateway 192.168.0.254 eth2: red WAN - 192.168.5.x/24 - Gateway 192.168.5.254 Osea que el firewall tiene las siguientes IPs: eth0: DHCP de un modem router eth1: 192.168.0.254 eth2: 192.168.5.254 Ahora bien, dados 2 equipos: Equipo 1 (conectado a la LAN): 192.168.0.10 Equipo 2 (conectado a la WAN): 192.168.5.20 Si desde equipo 2 (192.168.5.20) hago un ping a equipo 1 (192.168.0.10) logicamente el ping no llega por estar en redes diferentes. Ahora, si en equipo 1 hago: # route add -net 192.168.5.0 netmask 255.255.255.0 gw 192.168.0.254 dev eth1 Si habilito esto puedo pingear desde los equipos de la WAN (192.168.5.x/24) al equipo 1 (192.168.0.10) y viceversa. Es como si los paquetes pasaran libremente por el firewall. En el firewall tengo como DROP la Policy de INPUT y de FORWARD. Alguien sabe donde puede estar el problema? Muchas Gracias! Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/545a23f9.2080...@gmail.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/fa30f574-505a-4934-8765-5f415e9e6...@googlegroups.com
Re: Dudas y problemas con firewall y ruteos
Carlos, buen día, gracias por tu respuesta. Los equipos estan conectados a redes diferentes, tal cual mencionaba. Osea, equipo 1 está conectado a la interface eth1 de mi Firewall Debian, y equipo 2 está conectado a eth2. Osea, redes fisicamente distintas. Que opinas? Muchas Gracias. Saludos. On 06/11/14 10:34, Carlos Alvarado wrote: Los equipos están en redes físicas distintas o en diferentes VLAN? El miércoles, 5 de noviembre de 2014 09:20:04 UTC-4:30, tq escribió: Lista, buen día. Tengo un equipo simple con 3 interfaces de red haciendo las veces de firewall: eth0: Internet eth1: red LAN - 192.168.0.x/24 - Gateway 192.168.0.254 eth2: red WAN - 192.168.5.x/24 - Gateway 192.168.5.254 Osea que el firewall tiene las siguientes IPs: eth0: DHCP de un modem router eth1: 192.168.0.254 eth2: 192.168.5.254 Ahora bien, dados 2 equipos: Equipo 1 (conectado a la LAN): 192.168.0.10 Equipo 2 (conectado a la WAN): 192.168.5.20 Si desde equipo 2 (192.168.5.20) hago un ping a equipo 1 (192.168.0.10) logicamente el ping no llega por estar en redes diferentes. Ahora, si en equipo 1 hago: # route add -net 192.168.5.0 netmask 255.255.255.0 gw 192.168.0.254 dev eth1 Si habilito esto puedo pingear desde los equipos de la WAN (192.168.5.x/24) al equipo 1 (192.168.0.10) y viceversa. Es como si los paquetes pasaran libremente por el firewall. En el firewall tengo como DROP la Policy de INPUT y de FORWARD. Alguien sabe donde puede estar el problema? Muchas Gracias! Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/545a23f9.2080...@gmail.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/545b8c6e.3030...@gmail.com
Re: Dudas y problemas con firewall y ruteos
El Wed, 05 Nov 2014 10:19:53 -0300, tq escribió: Tengo un equipo simple con 3 interfaces de red haciendo las veces de firewall: (...) Si habilito esto puedo pingear desde los equipos de la WAN (192.168.5.x/24) al equipo 1 (192.168.0.10) y viceversa. Es como si los paquetes pasaran libremente por el firewall. En el firewall tengo como DROP la Policy de INPUT y de FORWARD. Alguien sabe donde puede estar el problema? Antes de nada, manda la salida de las reglas de iptables que tienes habilitadas. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.11.06.15.20...@gmail.com
Re: Dudas y problemas con firewall y ruteos
On 06/11/14 12:20, Camaleón wrote: El Wed, 05 Nov 2014 10:19:53 -0300, tq escribió: Tengo un equipo simple con 3 interfaces de red haciendo las veces de firewall: (...) Si habilito esto puedo pingear desde los equipos de la WAN (192.168.5.x/24) al equipo 1 (192.168.0.10) y viceversa. Es como si los paquetes pasaran libremente por el firewall. En el firewall tengo como DROP la Policy de INPUT y de FORWARD. Alguien sabe donde puede estar el problema? Antes de nada, manda la salida de las reglas de iptables que tienes habilitadas. Saludos, Camaleón, adjunto la salida de /etc/network/interfaces [1] (la cual me pidió otro compañero) y las reglas de iptables [2]. Muchas Gracias. [1] http://pastebin.com/gH3xSZJC [2] http://pastebin.com/zMX8tFc7 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/545b9757.7090...@gmail.com
Re: Dudas y problemas con firewall y ruteos
Saludos. Primero que nada: Esta habilitado el ruteo? (# cat /proc/sys/net/ipv4/ip_forward) Si la salida es 0, no lo esta. Segundo: Pues habria que ver que tienes configurado con iptables. Att. Adolfo Maltez El 5 de noviembre de 2014, 7:19, tq tqlis...@gmail.com escribió: Lista, buen día. Tengo un equipo simple con 3 interfaces de red haciendo las veces de firewall: eth0: Internet eth1: red LAN - 192.168.0.x/24 - Gateway 192.168.0.254 eth2: red WAN - 192.168.5.x/24 - Gateway 192.168.5.254 Osea que el firewall tiene las siguientes IPs: eth0: DHCP de un modem router eth1: 192.168.0.254 eth2: 192.168.5.254 Ahora bien, dados 2 equipos: Equipo 1 (conectado a la LAN): 192.168.0.10 Equipo 2 (conectado a la WAN): 192.168.5.20 Si desde equipo 2 (192.168.5.20) hago un ping a equipo 1 (192.168.0.10) logicamente el ping no llega por estar en redes diferentes. Ahora, si en equipo 1 hago: # route add -net 192.168.5.0 netmask 255.255.255.0 gw 192.168.0.254 dev eth1 Si habilito esto puedo pingear desde los equipos de la WAN (192.168.5.x/24) al equipo 1 (192.168.0.10) y viceversa. Es como si los paquetes pasaran libremente por el firewall. En el firewall tengo como DROP la Policy de INPUT y de FORWARD. Alguien sabe donde puede estar el problema? Muchas Gracias! Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/545a23f9.2080...@gmail.com -- Adolfo Maltez.