Saludos lista;
Uso CentOS 5.2
Uso Shorewall 4.0.10
estoy teniendo problemas con el shorewall a la hora de hacer un DANT, este
no se ejecuta.
Me explico: las reglas (rules) del shorewall que tienen como action un
DNAT no se ejecutan y en sustitucion se ejecuta la politica por defecto
(policy) que tenga configurada para las zonas implicada en dicho caso. Mi
firewall esta corriendo en una PC de IP 192.168.41.1 y quiero que todos
los paquetes que lleguen a el y vayan para el puerto 53 sean enviados
(DNAT) a la PC de IP 192.168.41.4. La regla de DNAT que tengo adicionada
en rules para este caso no trabaja y sin embargo o en sustitucion se
ejecuta la politica por defecto (policy) que tengo configurado para
cuando llega un paquete con estas caracteristicas. Sin embargo, cuando en
rules lo que tengo como accion es un ACCEPT todo trabaja OK.
La configuracio del forwarding de paquete del kernel lo tengo bien
configurado.
A continuacion les dejo las principales configuraciones, tanto del
forward del kernel, como del shorewall para que tengan una idea y si
encuentran algun problema o solucion me den la luz verde.
/etc/sysctl.conf (simplificado para ahora)
---------------------------------------
# Kernel sysctl configuration file for Red Hat Linux
# Controls IP packet forwarding
net.ipv4.ip_forward = 1
# Controls source route verification
net.ipv4.conf.default.rp_filter = 1
# Do not accept source routing
net.ipv4.conf.default.accept_source_route = 1
---------------------------------------
/etc/shorewall/zones
---------------------------------------
###############################################################################
#ZONE TYPE OPTIONS IN
OUT
# OPTIONS
OPTIONS
fw firewall
inet ipv4 #
loc ipv4 #
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE
---------------------------------------
/etc/shorewall/interfaces
---------------------------------------
###############################################################################
#ZONE INTERFACE BROADCAST OPTIONS
inet eth0 172.16.120.255
loc eth1 192.168.41.255
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
---------------------------------------
/etc/shorewall/policy
---------------------------------------
###############################################################################
#SOURCE DEST POLICY LOG
LIMIT:BURST
# LEVEL
inet fw DROP info
inet loc DROP info
loc fw DROP info
loc inet DROP info
fw inet ACCEPT info
fw loc ACCEPT info
all all REJECT info
#LAST LINE -- DO NOT REMOVE
---------------------------------------
/etc/shorewall/rules (simplificada para ahorra)
---------------------------------------
############################################################################################################################
#ACTION SOURCE DEST PROTO
DEST SOURCE ORIGINAL RATE
USER/ MARK
# PORT
PORT(S) DEST LIMIT GROUP
#SECTION ESTABLISHED
#SECTION RELATED
SECTION NEW
DNAT:debug inet loc:192.168.41.4 tcp
25,53,110,143
DNAT:debug inet loc:192.168.41.4 udp 53
ACCEPT:info inet fw tcp 20,21,3128,5222,5269
ACCEPT:info inet fw udp 20,21
ACCEPT:info loc fw tcp 20,21,445,3128,5222
ACCEPT:info loc fw udp 20,21,161,162,445
ACCEPT loc inet:!172.16.120.1 all
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
---------------------------------------
/etc/shorewall/masq
---------------------------------------
###############################################################################
#INTERFACE SOURCE ADDRESS
PROTO PORT(S) IPSEC MARK
eth0 192.168.41.0/24 172.16.120.1
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE
---------------------------------------
/etc/shorewall/shorewall.conf
---------------------------------------
###############################################################################
# S T A R T U P E N A B L E D
###############################################################################
STARTUP_ENABLED=Yes
###############################################################################
# V E R B O S I T Y
###############################################################################
VERBOSITY=2
###############################################################################
# C O M P I L E R
# (setting this to 'perl' requires installation of Shorewall-perl)
###############################################################################
SHOREWALL_COMPILER=
###############################################################################
# L O G G I N G
###############################################################################
LOGFILE=/var/log/shorewall
LOGFORMAT="Shorewall:%s:%s:"
LOGTAGONLY=No
LOGRATE=10/minute
LOGBURST=5
LOGALLNEW=
BLACKLIST_LOGLEVEL=
MACLIST_LOG_LEVEL=info
TCP_FLAGS_LOG_LEVEL=info
RFC1918_LOG_LEVEL=info
SMURF_LOG_LEVEL=info
LOG_MARTIANS=No
###############################################################################
# L O C A T I O N O F F I L E S A N D D I R E C
T O R I E S
###############################################################################
IPTABLES=
PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin:/usr/local/sbin
SHOREWALL_SHELL=/bin/sh
SUBSYSLOCK=/var/lock/subsys/shorewall
MODULESDIR=
CONFIG_PATH=/etc/shorewall:/usr/share/shorewall
RESTOREFILE=
IPSECFILE=zones
LOCKFILE=
###############################################################################
# D E F A U L T A C T I O N S / M A C R O S
###############################################################################
DROP_DEFAULT="Drop"
REJECT_DEFAULT="Reject"
ACCEPT_DEFAULT="none"
QUEUE_DEFAULT="none"
NFQUEUE_DEFAULT="none"
###############################################################################
# R S H / R C P C O M M A N D S
###############################################################################
RSH_COMMAND='ssh ${ro...@${system} ${command}'
RCP_COMMAND='scp ${files} ${ro...@${system}:${destination}'
###############################################################################
# F I R E W A L L O P T I O N S
###############################################################################
IP_FORWARDING=On
ADD_IP_ALIASES=No
ADD_SNAT_ALIASES=No
RETAIN_ALIASES=No
TC_ENABLED=Internal
TC_EXPERT=No
CLEAR_TC=Yes
MARK_IN_FORWARD_CHAIN=No
CLAMPMSS=No
ROUTE_FILTER=No
DETECT_DNAT_IPADDRS=Yes
MUTEX_TIMEOUT=60
ADMINISABSENTMINDED=Yes
BLACKLISTNEWONLY=Yes
DELAYBLACKLISTLOAD=No
MODULE_SUFFIX=
DISABLE_IPV6=Yes
BRIDGING=No
DYNAMIC_ZONES=No
PKTTYPE=Yes
RFC1918_STRICT=No
MACLIST_TABLE=mangle
MACLIST_TTL=
SAVE_IPSETS=No
MAPOLDACTIONS=No
FASTACCEPT=Yes
IMPLICIT_CONTINUE=Yes
HIGH_ROUTE_MARKS=No
USE_ACTIONS=Yes
OPTIMIZE=0
EXPORTPARAMS=Yes
EXPAND_POLICIES=Yes
KEEP_RT_TABLES=No
DELETE_THEN_ADD=Yes
MULTICAST=No
DONT_LOAD=
###############################################################################
# P A C K E T D I S P O S I T I O N
###############################################################################
BLACKLIST_DISPOSITION=DROP
MACLIST_DISPOSITION=REJECT
TCP_FLAGS_DISPOSITION=DROP
#LAST LINE -- DO NOT REMOVE
---------------------------------------
Si alguien ve alguna dificultad ;-)
Seguiremos por aca.
Rommel
_______________________________________________
Cancelar suscripciĆ³n
https://listas.softwarelibre.cu/mailman/listinfo/linux-l
Buscar en el archivo
http://listas.softwarelibre.cu/buscar/linux-l
