Re: Ayuda monitoreo internet
etherape y ethereal para sniff funcionan bastante bien. El mar, 16-03-2010 a las 14:59 -0400, Carlos Thieme escribió: > Amigos, tengo una duda > Tengo Internet de telefonica, le pusieron un router para accesar a > internet toda la empresa(app. 20 equipos). Este router entrega DHCP > dinamico y esta protegido por la contraseña que puso el asesor externo > de computacion. Con mi jefe queremos monitorear las conexiones a > internet sin tener que pedir la contraseña, ya que eso alertaría al > asesor y a su partner (jefe de seccion). Queremos hacer esto ya que > tenemos el convencimiento que se esta haciendo mal uso con trafico de > información sensible en grandes volumenes. Lamentablemente el gerente le > cree a pie juntillas al jefe de seccion y al asesor computacional, a > pesar que hemos demostrado en ocasiones anteriores que nos esta > perjudicando al, por ejemplo, comprar equipos sobre valor de mercado. > > Nuestros equipos estan basados en ubuntu 9.10. > Es factible saber que paginas se visitan y si se usa transferencia de > archivos por http y/o ftp o de otra manera?
Re: EL2009 sortea un G1
> ¿Por qué habría que gastar plata en invitar y agasajar a las > autoridades, cuando esa plata puede usarse para traer a los hackers > bacanes de afuera, que pueden dar una charla top sobre algo realmente > interesante y no huevadas de las que hablan las antedichas > autoridades? > No digo que esas huevadas no sean importantes, pero francamente no me > parece que sea ese el norte del Encuentro de Linux. > > Una charla sobre "la realidad FLOSS en Chile/Bolivia/Perú hoy" me > parece > muy bien; ¿no es esa una de las charlas que dan von Brand, Esteban > Saavedra (que si mal no recuerdo está invitado también), etc? > Mi experiencia en el sector público es nefasta no solamente con Linux, en general con la informática. Las autoridades políticas no entienden ni entenderan una cuestión que no signifique votos. Esa es la prisión oficial. Por tanto creo que la orientación de las invitaciones deben circunscribirse directamente a las áreas informáticas de los Municipios o Ministerios. Y el ámbito urgente de esta invitación necesariamente pasa por abaratar costos de licenciamiento, SIG o GIS liberados, administración de redes, office u algún otro software competitivo que signifique ahorro. Nosotros nos enteramos por nuestra participación en esta lista, por tanto debe haber una gran cantidad de Municipios que no estan enterados de el encuentro y de las bondades de Linux. Lo verdaderamente triste en la administración pública es: ¿ahorrar para qué?. Un político puede desprincipiarse cuando mas le convenga, un profesional debe velar siempre por la mejor utilización de los recursos, maximizar la utilidad.
Re: DMZ con DNS
nmap localhost en donde está el DNS indica que esta escuchando, eso esta bien. La confusión esta en el fw que da acceso a la DMZ, al ejecutar nmap localhost en él, no aparece el puerto abierto. El vie, 02-01-2009 a las 13:30 -0300, Andres Pereira escribió: > 2008/12/31 Wladimir Torres Correa : > > Querida Lista: > > Acá envío mis reglas iptables que tengo para abrir el puerto. He > > comprobado con nmap localhost y lastimosamente me doy cuenta que el > > puerto 53 no está abierto. > > No entiendo una cosa: el 'nmap localhost' lo ejecutaste en el servidor > DNS? De ser asi estaría "abajo" el servicio de DNS. >
Re: DMZ con DNS
El vie, 02-01-2009 a las 16:18 +0100, Miguel Oyarzo O. escribió: > Wladimir Torres Correa escribió: > > Querida Lista: > > Tengo un fw con entrada desde Internet y salida hacia una dmz y una red > > local.En la dmz existía un servidor web que hace las veces de DNS.He > > formateado el servidor previo respaldo de las zonas y del sitio web. He > > vuelto a instalar ambos servicios en la máquina formateada y no puedo > > hacer que se vean desde fuera mis archivos de zona, creo que por causa > > de mi fw que extrañamente me funcionaba super bien antes del format. > > Acá envío mis reglas iptables que tengo para abrir el puerto. He > > comprobado con nmap localhost y lastimosamente me doy cuenta que el > > puerto 53 no está abierto. Creo que me falta una regla de iptables, a > > ver si alguien tira una ayudita nueva, gracias: > > > > Politica por defecto: > > $IPTABLES -P INPUT DROP > > $IPTABLES -P FORWARD DROP > > $IPTABLES -P OUTPUT ACCEPT > > > > TABLA FILTER: > > $IPTABLES -A INPUT -m state --state NEW -p TCP --dport 53 -j ACCEPT > > $IPTABLES -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT > > > > TABLA NAT, prerouting > > $IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p TCP -d $HTTP_IP --dport > > 53 -j DNAT --to-destination $DMZ_HTTP_IP > > $IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p UDP -d $HTTP_IP --dport > > 53 -j DNAT --to-destination $DMZ_HTTP_IP > > > > TABLA NAT, postrouting > > $IPTABLES -t nat -A POSTROUTING -p TCP -d $DMZ_HTTP_IP --dport 53 -j > > SNAT --to-source $HTTP_IP > > $IPTABLES -t nat -A POSTROUTING -p udp -d $DMZ_HTTP_IP --dport 53 -j > > SNAT --to-source $HTTP_IP > > > > Muchas gracias, Wladimir > > > Tu regla PREROUTING te pre-enrutará los paquetes entrantes a tu FW > (interfaz publica) hacia tu DNS (direccion privada supongo). > > Si es asi, has pensando como saldra la respuesta desde ese DNS interno > hacia Internet? Pienso que te falta: > iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT Tengo esa regla > Ademas, para que aplicas NAT hacia la DMZ? Si se trata de una tercera > interfaz para tu DMZ con ser preenrutada es suficiente (las tablas de > ruta + kernel haran el resto). Solo deberias usar SNAT en la interfaz > publica. > > Por ultimo creo que es mala politica usar POSTROUTING sin -o iface, > podrias tener resultados inesperados. > > Quizas podrias explicar mejor el esquema, te lei pero no entiendí. > Cuantas interfaces tienes?, que esta conectado a que?, que > direccionamiento asignaste a las redes y al host? > Te faltó pegar parte de tu script iptables? > > No pruebes el DNS server con nmap, mejor usa > > dig dominio @IP_DE_TU_BIND > Asi sabras si esta respondiendo como corresponde. Efectivamente 3 tarjetas: Internet --> FW ---> lan ---> dmz Hago Nat hacia la Lan y hacia la DMz. En la DMZ está el servidor DNS y el servidor web en una misma máquina. m ¿alguna recomendación en cuanto a sacar el DNS hacia el firewall?
DMZ con DNS
Querida Lista: Tengo un fw con entrada desde Internet y salida hacia una dmz y una red local.En la dmz existía un servidor web que hace las veces de DNS.He formateado el servidor previo respaldo de las zonas y del sitio web. He vuelto a instalar ambos servicios en la máquina formateada y no puedo hacer que se vean desde fuera mis archivos de zona, creo que por causa de mi fw que extrañamente me funcionaba super bien antes del format. Acá envío mis reglas iptables que tengo para abrir el puerto. He comprobado con nmap localhost y lastimosamente me doy cuenta que el puerto 53 no está abierto. Creo que me falta una regla de iptables, a ver si alguien tira una ayudita nueva, gracias: Politica por defecto: $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -P OUTPUT ACCEPT TABLA FILTER: $IPTABLES -A INPUT -m state --state NEW -p TCP --dport 53 -j ACCEPT $IPTABLES -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT TABLA NAT, prerouting $IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p TCP -d $HTTP_IP --dport 53 -j DNAT --to-destination $DMZ_HTTP_IP $IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p UDP -d $HTTP_IP --dport 53 -j DNAT --to-destination $DMZ_HTTP_IP TABLA NAT, postrouting $IPTABLES -t nat -A POSTROUTING -p TCP -d $DMZ_HTTP_IP --dport 53 -j SNAT --to-source $HTTP_IP $IPTABLES -t nat -A POSTROUTING -p udp -d $DMZ_HTTP_IP --dport 53 -j SNAT --to-source $HTTP_IP Muchas gracias, Wladimir
/bin/bash Permiso denegado
> > mpudahuel:/# su usuario > > No puedo ejecutar /bin/bash: Permiso denegado > > > > mpudahuel:/# login usuario > > Password: > > Linux impudahuel.cl 2.4.27-2-386 #1 Mon May 16 16:47:51 JST 2005 i686 > > GNU/Linux > > > > The programs included with the Debian GNU/Linux system are free software; > > the exact distribution terms for each program are described in the > > individual files in /usr/share/doc/*/copyright. > > > > Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent > > permitted by applicable law. > > Sin directorio, entrando con HOME=/ > > No puedo ejecutar /bin/bash: Permiso denegado > > impudahuel:/# > > > Revisa que el directorio /usr/ tenga permisos de lectura para todos, > lo mismo con /usr/bin > Además, revisa que todo lo que está en /usr/bin tenga permisos de > ejecución para todos (usuario, grupo, otros). Realizadas las anteriores sugerencias el problema continua. Gracias No he probado ningún dpkg hasta no leer mas al respecto. Gracias.
Problemas con smtp
El mar, 01-04-2008 a las 14:52 -0400, Franco Catrin L. escribió: > El mar, 01-04-2008 a las 13:16 +, [EMAIL PROTECTED] escribió: > > He configurado un nuevo FW con iptables, con DMZ y LAN, obviamente con > > 3 tarjetas de red. > > Hasta acá todo va bien, bastante bien, excepto que he notado que no > > puedo enviar foto de mis vacaciones a nadie, en general achivos de mas > > de un mega. Hable con mi proveedor de mail y el me envió un archivo > > grandote que entro sin problemas. He enviado otros archivos chicos y > > cero rollo. > > El Mensaje que envía es: > > Error al efectuar operación. > > El comando DATA ha fallado: Expiró el tiempo de conexión: correo no > > enviado. > > Envío a través de gmail, hotmail, etc..lo que quiero, salen por el > > mismo fw sin ningun tipo de problema. > > Un usuario que se conecta remotamente a un servidor ftp externo, me > > informa que se conecta y despues de un lapso pierde conexión. > > ¿Alguién puede prender la luz por favor? > > Hola Wladimir! > > Puede ser un cambio que se hizo en ip_conntrack, mis primeras canas se > las debo a este comportamiento > > Aplica los siguiente en tu firewall y vuelve a probar: > > echo 1 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_be_liberal > Bueno me he dado cuenta que todo lo que antes era ip_conntrack ahora es nf_conntrack, no habia caido en eso. Por lo tanto mi script iptables supongo que tendré que alterarlo completamente para que cargue estos nuevos modulos. Bueno, al intentar cargar ip_conntrack_tcp_be_liberal, me arroja el mensaje: -1 invalid module format , lo que huele a un problema de kernel o algo así, no obstante al interior del script tengo lines como: /sbin/modprobe/ip_conntrack, y no pitiaba nada, por ello no me había enganchado en el tema. Bueno por ahora sigo con problemas para enviar archivos grandes y para el ftp. atte gracias
Chain RH-Firewall-1-INPUT (1 references)
El lun, 17-12-2007 a las 12:20 -0300, Carlos Sepúlveda escribió: > On 17/12/2007, Wladimir Torres Correa <[EMAIL PROTECTED]> wrote: > > Al realizar un: /sbin/iptables -L, o iptables -nL,me aparecen las > > cadenas: Input,Forward, Output y una curiosa que no he logrado > > comprender: Chain RH-Firewall-1-INPUT (1 references) > > > > Estoy con FC7 y he googleado sin éxito. > > > > Holas: > > Es posible tires acá la salida completa del comando? Para entender en > qué contexto te aparece. > Qué te muestra un system-config-firewall ? > Parece ser las reglas por defecto que se crean cuando seleccionas > firewall activo en el wizzard de instalación. > > Saludos Efectivamente creo que son las reglas por defecto. Creo que la respuesta de M. Ramirez intenta aclarar el por que del asunto, que en definitiva es lo que nos complica.Su génesis. La salida de:/sbin/iptables -nL Chain INPUT (policy ACCEPT) target prot opt source destination RH-Firewall-1-INPUT all -- 0.0.0.0/00.0.0.0/0 Chain FORWARD (policy ACCEPT) target prot opt source destination REJECT all -- 0.0.0.0/00.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain RH-Firewall-1-INPUT (1 references) target prot opt source destination ACCEPT all -- 0.0.0.0/00.0.0.0/0 ACCEPT icmp -- 0.0.0.0/00.0.0.0/0 icmp type 255 ACCEPT esp -- 0.0.0.0/00.0.0.0/0 ACCEPT ah -- 0.0.0.0/00.0.0.0/0 ACCEPT udp -- 0.0.0.0/0224.0.0.251 udp dpt:5353 ACCEPT udp -- 0.0.0.0/00.0.0.0/0 udp dpt:631 ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:631 ACCEPT all -- 0.0.0.0/00.0.0.0/0 state RELATED,ESTABLISHED ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 state NEW tcp dpt:25 ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 state NEW tcp dpt:21 ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 state NEW tcp dpt:22 ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 state NEW tcp dpt:80 ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 state NEW tcp dpt:443 REJECT all -- 0.0.0.0/00.0.0.0/0 reject-with icmp-host-prohibited Gracias por vuestra deferencia.
Chain RH-Firewall-1-INPUT (1 references)
Al realizar un: /sbin/iptables -L, o iptables -nL,me aparecen las cadenas: Input,Forward, Output y una curiosa que no he logrado comprender: Chain RH-Firewall-1-INPUT (1 references) Estoy con FC7 y he googleado sin éxito. Algún Link que nos pueda clarificar? De antemano gracias.