Re: Ayuda monitoreo internet

2010-03-17 Por tema wladimir Torres Correa 
etherape y ethereal para sniff funcionan bastante bien.
El mar, 16-03-2010 a las 14:59 -0400, Carlos Thieme escribió:
 Amigos, tengo una duda
 Tengo Internet de telefonica, le pusieron un router para accesar a 
 internet toda la empresa(app. 20 equipos). Este router entrega DHCP 
 dinamico y esta protegido por la contraseña que puso el asesor externo 
 de computacion. Con mi jefe queremos monitorear las conexiones a 
 internet sin tener que pedir la contraseña, ya que eso alertaría al 
 asesor y a su partner (jefe de seccion). Queremos hacer esto ya que 
 tenemos el convencimiento que se esta haciendo mal uso con trafico de 
 información sensible en grandes volumenes. Lamentablemente el gerente le 
 cree a pie juntillas al jefe de seccion y al asesor computacional, a 
 pesar que hemos demostrado en ocasiones anteriores que nos esta 
 perjudicando al, por ejemplo, comprar equipos sobre valor de mercado.
 
 Nuestros equipos estan basados en ubuntu 9.10.
 Es factible saber que paginas se visitan y si se usa transferencia de 
 archivos por http y/o ftp o de otra manera?

Re: EL2009 sortea un G1

2009-10-15 Por tema Wladimir Torres 
 ¿Por qué habría que gastar plata en invitar y agasajar a las
 autoridades, cuando esa plata puede usarse para traer a los hackers
 bacanes de afuera, que pueden dar una charla top sobre algo realmente
 interesante y no huevadas de las que hablan las antedichas
 autoridades?
 No digo que esas huevadas no sean importantes, pero francamente no me
 parece que sea ese el norte del Encuentro de Linux.
 
 Una charla sobre la realidad FLOSS en Chile/Bolivia/Perú hoy me
 parece
 muy bien; ¿no es esa una de las charlas que dan von Brand, Esteban
 Saavedra (que si mal no recuerdo está invitado también), etc?
 
Mi experiencia en el sector público es nefasta no solamente con Linux,
en general con la informática. Las autoridades políticas no entienden ni
entenderan una cuestión que no signifique votos. Esa es la prisión
oficial. Por tanto creo que la orientación de las invitaciones deben
circunscribirse directamente a las áreas informáticas de los Municipios
o Ministerios. Y el ámbito urgente de esta invitación necesariamente
pasa por abaratar costos de licenciamiento, SIG o GIS liberados,
administración de redes, office u algún otro software competitivo que
signifique ahorro. Nosotros nos enteramos por nuestra participación en
esta lista, por tanto debe haber una gran cantidad de Municipios que no
estan enterados de el encuentro y de las bondades de Linux. Lo
verdaderamente triste en la administración pública es: ¿ahorrar para
qué?. Un político puede desprincipiarse cuando mas le convenga, un
profesional debe velar siempre por la mejor utilización de los recursos,
maximizar la utilidad.

DMZ con DNS

2009-01-02 Por tema Wladimir Torres Correa 
Querida Lista:
Tengo un fw con entrada desde Internet y salida hacia una dmz y una red
local.En la dmz existía un servidor web que hace las veces de DNS.He
formateado el servidor previo respaldo de las zonas y del sitio web. He
vuelto a instalar ambos servicios en la máquina formateada y no puedo
hacer que se vean desde fuera mis archivos de zona, creo que por causa
de mi fw que extrañamente me funcionaba super bien antes del format.
Acá envío mis reglas iptables que tengo para abrir el puerto. He
comprobado con nmap localhost y lastimosamente me doy cuenta que el
puerto 53 no está abierto. Creo que me falta una regla de iptables, a
ver si alguien tira una ayudita nueva, gracias:

Politica por defecto:
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT

TABLA FILTER:
$IPTABLES -A INPUT -m state --state NEW -p TCP --dport 53 -j ACCEPT
$IPTABLES -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT

TABLA NAT, prerouting
$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p TCP -d $HTTP_IP --dport
53 -j DNAT --to-destination $DMZ_HTTP_IP
$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p UDP -d $HTTP_IP --dport
53 -j DNAT --to-destination $DMZ_HTTP_IP

TABLA NAT, postrouting
$IPTABLES -t nat -A POSTROUTING -p TCP -d $DMZ_HTTP_IP --dport 53 -j
SNAT --to-source $HTTP_IP
$IPTABLES -t nat -A POSTROUTING -p udp -d $DMZ_HTTP_IP --dport 53 -j
SNAT --to-source $HTTP_IP

Muchas gracias, Wladimir

Re: DMZ con DNS

2009-01-02 Por tema Wladimir Torres Correa 


El vie, 02-01-2009 a las 16:18 +0100, Miguel Oyarzo O. escribió:
 Wladimir Torres Correa escribió:
  Querida Lista:
  Tengo un fw con entrada desde Internet y salida hacia una dmz y una red
  local.En la dmz existía un servidor web que hace las veces de DNS.He
  formateado el servidor previo respaldo de las zonas y del sitio web. He
  vuelto a instalar ambos servicios en la máquina formateada y no puedo
  hacer que se vean desde fuera mis archivos de zona, creo que por causa
  de mi fw que extrañamente me funcionaba super bien antes del format.
  Acá envío mis reglas iptables que tengo para abrir el puerto. He
  comprobado con nmap localhost y lastimosamente me doy cuenta que el
  puerto 53 no está abierto. Creo que me falta una regla de iptables, a
  ver si alguien tira una ayudita nueva, gracias:
  
  Politica por defecto:
  $IPTABLES -P INPUT DROP
  $IPTABLES -P FORWARD DROP
  $IPTABLES -P OUTPUT ACCEPT
  
  TABLA FILTER:
  $IPTABLES -A INPUT -m state --state NEW -p TCP --dport 53 -j ACCEPT
  $IPTABLES -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
  
  TABLA NAT, prerouting
  $IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p TCP -d $HTTP_IP --dport
  53 -j DNAT --to-destination $DMZ_HTTP_IP
  $IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p UDP -d $HTTP_IP --dport
  53 -j DNAT --to-destination $DMZ_HTTP_IP
  
  TABLA NAT, postrouting
  $IPTABLES -t nat -A POSTROUTING -p TCP -d $DMZ_HTTP_IP --dport 53 -j
  SNAT --to-source $HTTP_IP
  $IPTABLES -t nat -A POSTROUTING -p udp -d $DMZ_HTTP_IP --dport 53 -j
  SNAT --to-source $HTTP_IP
  
  Muchas gracias, Wladimir 
 
 
 Tu regla PREROUTING  te pre-enrutará los paquetes entrantes a tu FW 
 (interfaz publica) hacia tu DNS (direccion privada supongo).
 
 Si es asi, has pensando como saldra la respuesta desde ese DNS interno 
 hacia Internet? Pienso que te falta:
 iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
Tengo esa regla 

 Ademas, para que aplicas NAT hacia la DMZ? Si se trata de una tercera 
 interfaz para tu DMZ  con ser preenrutada es suficiente (las tablas de 
 ruta + kernel haran el resto). Solo deberias usar  SNAT en la interfaz 
 publica.
 
 Por ultimo creo que es mala politica usar POSTROUTING  sin -o iface,
 podrias tener resultados inesperados.
 
 Quizas podrias explicar mejor el esquema,  te lei pero no entiendí.
 Cuantas interfaces tienes?, que esta conectado a que?, que 
 direccionamiento asignaste a las redes y al host?
 Te faltó pegar parte de tu script iptables?
 
 No pruebes el DNS server con nmap, mejor usa
 
 dig dominio @IP_DE_TU_BIND
 Asi sabras si esta respondiendo como corresponde.
Efectivamente 3 tarjetas:

Internet -- FW --- lan
--- dmz

Hago Nat hacia la Lan y hacia la DMz. En la DMZ está el servidor DNS y
el servidor web en una misma máquina. m ¿alguna recomendación en
cuanto a sacar el DNS hacia el firewall?

Re: DMZ con DNS

2009-01-02 Por tema Wladimir Torres Correa 
nmap localhost en donde está el DNS indica que esta escuchando, eso esta
bien. La confusión esta en el fw que da acceso a la DMZ, al ejecutar
nmap localhost en él, no aparece el puerto abierto.

El vie, 02-01-2009 a las 13:30 -0300, Andres Pereira escribió: 
 2008/12/31 Wladimir Torres Correa wtor...@mpudahuel.cl:
  Querida Lista:
  Acá envío mis reglas iptables que tengo para abrir el puerto. He
  comprobado con nmap localhost y lastimosamente me doy cuenta que el
  puerto 53 no está abierto.
 
 No entiendo una cosa: el 'nmap localhost' lo ejecutaste en el servidor
 DNS? De ser asi estaría abajo el servicio de DNS.

/bin/bash Permiso denegado

2008-07-01 Por tema Wladimir Torres Correa 
  mpudahuel:/# su usuario
  No puedo ejecutar /bin/bash: Permiso denegado
 
  mpudahuel:/# login usuario
  Password:
  Linux impudahuel.cl 2.4.27-2-386 #1 Mon May 16 16:47:51 JST 2005 i686
  GNU/Linux
 
  The programs included with the Debian GNU/Linux system are free software;
  the exact distribution terms for each program are described in the
  individual files in /usr/share/doc/*/copyright.
 
  Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
  permitted by applicable law.
  Sin directorio, entrando con HOME=/
  No puedo ejecutar /bin/bash: Permiso denegado
  impudahuel:/#
 
 Revisa que el directorio /usr/ tenga permisos de lectura para todos,
 lo mismo con /usr/bin
 Además, revisa que todo lo que está en /usr/bin tenga permisos de
 ejecución para todos (usuario, grupo, otros).
Realizadas las anteriores sugerencias el problema continua. Gracias
No he probado ningún dpkg hasta no leer mas al respecto. Gracias.

Problemas con smtp

2008-04-03 Por tema Wladimir Torres Correa 
El mar, 01-04-2008 a las 14:52 -0400, Franco Catrin L. escribió:
 El mar, 01-04-2008 a las 13:16 +, [EMAIL PROTECTED] escribió:
  He configurado un nuevo FW con iptables, con DMZ y LAN, obviamente con  
  3 tarjetas de red.
  Hasta acá todo va bien, bastante bien, excepto que he notado que no  
  puedo enviar foto de mis vacaciones a nadie, en general achivos de mas  
  de un mega. Hable con mi proveedor de mail y el me envió un archivo  
  grandote que entro sin problemas. He enviado otros archivos chicos y  
  cero rollo.
  El Mensaje que envía es:
   Error al efectuar operación.
   El comando DATA ha fallado: Expiró el tiempo de conexión: correo no
   enviado.
  Envío a través de gmail, hotmail, etc..lo que quiero, salen por el  
  mismo fw sin ningun tipo de problema.
  Un usuario que se conecta remotamente a un servidor ftp externo, me  
  informa que se conecta y despues de un lapso pierde conexión.
  ¿Alguién puede prender la luz por favor?
 
 Hola Wladimir!
 
 Puede ser un cambio que se hizo en ip_conntrack, mis primeras canas se
 las debo a este comportamiento
 
 Aplica los siguiente en tu firewall y vuelve a probar:
 
 echo 1  /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_be_liberal
 
Bueno me he dado cuenta que todo lo que antes era ip_conntrack ahora es
nf_conntrack, no habia caido en eso. Por lo tanto mi script iptables
supongo que tendré que alterarlo completamente para que cargue estos
nuevos modulos. Bueno, al intentar cargar ip_conntrack_tcp_be_liberal,
me arroja el mensaje: 

-1 invalid module format , lo que huele a un problema de kernel o algo
así, no obstante al interior del script tengo lines
como: /sbin/modprobe/ip_conntrack, y no pitiaba nada, por ello no me
había enganchado en el tema.
Bueno por ahora sigo con problemas para enviar archivos grandes y para
el ftp.
atte gracias

Chain RH-Firewall-1-INPUT (1 references)

2007-12-17 Por tema Wladimir Torres Correa 
Al realizar un: /sbin/iptables -L,  o  iptables -nL,me aparecen las
cadenas: Input,Forward, Output y una curiosa que no he logrado
comprender: Chain RH-Firewall-1-INPUT (1 references)

Estoy con FC7 y he googleado sin éxito.

Algún Link que nos pueda clarificar?
De antemano gracias.

Chain RH-Firewall-1-INPUT (1 references)

2007-12-17 Por tema Wladimir Torres Correa 

El lun, 17-12-2007 a las 12:20 -0300, Carlos Sepúlveda escribió:
 On 17/12/2007, Wladimir Torres Correa [EMAIL PROTECTED] wrote:
  Al realizar un: /sbin/iptables -L,  o  iptables -nL,me aparecen las
  cadenas: Input,Forward, Output y una curiosa que no he logrado
  comprender: Chain RH-Firewall-1-INPUT (1 references)
 
  Estoy con FC7 y he googleado sin éxito.
 
 
 Holas:
 
 Es posible tires acá la salida completa del comando? Para entender en
 qué contexto te aparece.
 Qué te muestra un system-config-firewall ?
 Parece ser las reglas por defecto que se crean cuando seleccionas
 firewall activo en el wizzard de instalación.
 
 Saludos
Efectivamente creo que son las reglas por defecto. Creo que la respuesta
de M. Ramirez intenta aclarar el por que del asunto, que en definitiva
es lo que nos complica.Su génesis.
 
La salida de:/sbin/iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source   destination 
RH-Firewall-1-INPUT  all  --  0.0.0.0/00.0.0.0/0   

Chain FORWARD (policy ACCEPT)
target prot opt source   destination 
REJECT all  --  0.0.0.0/00.0.0.0/0   reject-with
icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT)
target prot opt source   destination 

Chain RH-Firewall-1-INPUT (1 references)
target prot opt source   destination 
ACCEPT all  --  0.0.0.0/00.0.0.0/0   
ACCEPT icmp --  0.0.0.0/00.0.0.0/0   icmp type
255 
ACCEPT esp  --  0.0.0.0/00.0.0.0/0   
ACCEPT ah   --  0.0.0.0/00.0.0.0/0   
ACCEPT udp  --  0.0.0.0/0224.0.0.251 udp
dpt:5353 
ACCEPT udp  --  0.0.0.0/00.0.0.0/0   udp
dpt:631 
ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   tcp
dpt:631 
ACCEPT all  --  0.0.0.0/00.0.0.0/0   state
RELATED,ESTABLISHED 
ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   state NEW
tcp dpt:25 
ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   state NEW
tcp dpt:21 
ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   state NEW
tcp dpt:22 
ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   state NEW
tcp dpt:80 
ACCEPT tcp  --  0.0.0.0/00.0.0.0/0   state NEW
tcp dpt:443 
REJECT all  --  0.0.0.0/00.0.0.0/0   reject-with
icmp-host-prohibited 

Gracias por vuestra deferencia.