-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Pabluster escribió: > Hola lista... > > Hace bastante tiempo que no escribía a la lista... pero esta vez no e > tenido otro remedio que consultarle a ustedes. > > Tengo el siguiente escenario. > > 1 PC Con Ubuntu 8.10 Server + Shorewall + DNSMasq (DNS-Cache Server) + > DHCP3-Server + 2 interfaces de red > > la función de la maquina es cumplir con el rol de Gateway. > > tengo 2 problemáticas que paso a detallar cada una a continuación. > > 1.- una vez configurado el shorewall me pude dar cuenta que no era > posible salir a Internet, teniendo la siguiente configuración. > > Archivo Policy > > #SOURCE DEST POLICY LOG LIMIT:BURST > # LEVEL > net all DROP info > all all REJECT info > #LAST LINE -- DO NOT REMOVE > > Archivo interfaces > > #ZONE INTERFACE BROADCAST OPTIONS > net eth0 detect > dhcp,tcpflags,blacklist,routefilter,nosmurfs,logmartians > loc eth1 detect > #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE > > > Archivo zones > > #ZONE TYPE OPTIONS IN OUT > # OPTIONS OPTIONS > fw firewall > net ipv4 > loc ipv4 > #LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE > > > Archivo rules > > ############################################################################################################################ > #ACTION SOURCE DEST > PROTO DEST SOURCE ORIGINAL RATE USER/ > MARK > # > PORT PORT(S) > ## Permitimos las peticiones de DNS desde la Lan al DNS-Cache > ACCEPT loc fw > tcp 53 > ACCEPT loc fw > udp 53 > ## Permitimos el Acceso via SSH de mi laptop al Firewall > ACCEPT net:~XX-XX-XX-XX-XX-XX fw > tcp 11980 > ACCEPT net:~XX-XX-XX-XX-XX-XX fw > tcp 11980 > ACCEPT loc:~XX-XX-XX-XX-XX-XX fw > tcp 11980 > ACCEPT loc:~XX-XX-XX-XX-XX-XX fw > tcp 11980 > ## Permitimos los ping desde la red > ACCEPT loc fw > icmp 8 > ## Permitimos Navegar por Internet a la Red Local > Web/ACCEPT loc net > #LAsT LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE > > > > Ahora el problema... cuando intento navegar no me deja salir a ningún > lado... si puedo llegar hasta el firewall que en mi caso es la eth1 > configurada con la ip 192.168.1.254 > > pero cuando intento salir a internet.... me hace una tapa que suena > hasta en arica. > luego de darme un monton de vueltas pude solucionarlo haciendo lo siguiente.. > > Edite el Archivo policy dejandolo asi > > #SOURCE DEST POLICY LOG LIMIT:BURST > # LEVEL > fw net ACCEPT > net all DROP info > all all REJECT info > #LAST LINE -- DO NOT REMOVE > > > Por que??? > yo quería poder limitar el acceso del firewall a internet solo por los > puertos que utilizara y nada mas. > > 2.- El otro problema es el siguiente... > > Luego de estar navegando me pude percatar que cada cierto lapso de > tiempo me arroja unos micro-cortes de comunicación, sin responder la > tarjeta de red interna... analizando el tema extraje unos archivos con > ping los dejo disponibles en el siguiente link. > > http://rapidshare.com/files/165794764/ping_puerta_interna.txt.html > > Tendra que ver algo el servidor DHCP que esta mirando a la red local??? > > los cortes no son grandes, pero al tener uno, me bota las conexiones y > eso si es un problema. > > Espero sus comentarios. > y de antemano agradezco la ayuda y también pido disculpas si se me ha > pasado alguna falta ortográfica.
Yo hace unos dias tenia un problema similar en el firewall eso si esta bajo pfsense ( basado en freebsd ) y el problema era las peticiones udp de ntp, limite eso y ahora funciona perfectamente, nose si podra ser eso, las peticiones udp al port 123 de los clientes que tienes tras tu firewall > > > ******************************** > Pablo Figueroa A. > Linux user N° 379917 - counter.li.org > GM Staff www.Resurrections.cl > ******************************** > > - -- Andrés Esteban Ovalle Gahona (kill-9) Ingeniero (E) Computación e Informática. Ingeniero de Sistemas EUIIIS - Universidad de Taparaca Staff Debianchile.cl <www.debianchile.cl> Msn: [EMAIL PROTECTED] Blog: http://kill-9.debianchile.cl Movil: 09-5795880 Oficina: 58-205181 - Anexo 5181 Usuario Linux #456290 (counter.li.org) -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.9 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iEYEARECAAYFAkkmF3sACgkQG9iRE0Ec48q7sgCgrqQsdE4tCWv7nT277PqhxAED cToAniJBVSIAA0QP7SRbRbFsf6T7+BJf =ML+h -----END PGP SIGNATURE-----
