Problemas con Shorewall
Pabluster
pabluster en gmail.com
Jue Nov 20 20:23:41 CLST 2008
Hola lista...
Hace bastante tiempo que no escribía a la lista... pero esta vez no e
tenido otro remedio que consultarle a ustedes.
Tengo el siguiente escenario.
1 PC Con Ubuntu 8.10 Server + Shorewall + DNSMasq (DNS-Cache Server) +
DHCP3-Server + 2 interfaces de red
la función de la maquina es cumplir con el rol de Gateway.
tengo 2 problemáticas que paso a detallar cada una a continuación.
1.- una vez configurado el shorewall me pude dar cuenta que no era
posible salir a Internet, teniendo la siguiente configuración.
Archivo Policy
#SOURCE DEST POLICY LOG LIMIT:BURST
# LEVEL
net all DROP info
all all REJECT info
#LAST LINE -- DO NOT REMOVE
Archivo interfaces
#ZONE INTERFACE BROADCAST OPTIONS
net eth0 detect
dhcp,tcpflags,blacklist,routefilter,nosmurfs,logmartians
loc eth1 detect
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
Archivo zones
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
net ipv4
loc ipv4
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE
Archivo rules
############################################################################################################################
#ACTION SOURCE DEST
PROTO DEST SOURCE ORIGINAL RATE USER/
MARK
#
PORT PORT(S)
## Permitimos las peticiones de DNS desde la Lan al DNS-Cache
ACCEPT loc fw
tcp 53
ACCEPT loc fw
udp 53
## Permitimos el Acceso via SSH de mi laptop al Firewall
ACCEPT net:~XX-XX-XX-XX-XX-XX fw
tcp 11980
ACCEPT net:~XX-XX-XX-XX-XX-XX fw
tcp 11980
ACCEPT loc:~XX-XX-XX-XX-XX-XX fw
tcp 11980
ACCEPT loc:~XX-XX-XX-XX-XX-XX fw
tcp 11980
## Permitimos los ping desde la red
ACCEPT loc fw
icmp 8
## Permitimos Navegar por Internet a la Red Local
Web/ACCEPT loc net
#LAsT LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
Ahora el problema... cuando intento navegar no me deja salir a ningún
lado... si puedo llegar hasta el firewall que en mi caso es la eth1
configurada con la ip 192.168.1.254
pero cuando intento salir a internet.... me hace una tapa que suena
hasta en arica.
luego de darme un monton de vueltas pude solucionarlo haciendo lo siguiente..
Edite el Archivo policy dejandolo asi
#SOURCE DEST POLICY LOG LIMIT:BURST
# LEVEL
fw net ACCEPT
net all DROP info
all all REJECT info
#LAST LINE -- DO NOT REMOVE
Por que???
yo quería poder limitar el acceso del firewall a internet solo por los
puertos que utilizara y nada mas.
2.- El otro problema es el siguiente...
Luego de estar navegando me pude percatar que cada cierto lapso de
tiempo me arroja unos micro-cortes de comunicación, sin responder la
tarjeta de red interna... analizando el tema extraje unos archivos con
ping los dejo disponibles en el siguiente link.
http://rapidshare.com/files/165794764/ping_puerta_interna.txt.html
Tendra que ver algo el servidor DHCP que esta mirando a la red local???
los cortes no son grandes, pero al tener uno, me bota las conexiones y
eso si es un problema.
Espero sus comentarios.
y de antemano agradezco la ayuda y también pido disculpas si se me ha
pasado alguna falta ortográfica.
********************************
Pablo Figueroa A.
Linux user N° 379917 - counter.li.org
GM Staff www.Resurrections.cl
********************************
Más información sobre la lista de distribución Linux