Problemas con Shorewall

Andres Ovalle G. (kill-9) aovalle en debianchile.cl
Jue Nov 20 23:05:47 CLST 2008 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Pabluster escribió:
> Hola lista...
> 
> Hace bastante tiempo que no escribía a la lista... pero esta vez no e
> tenido otro remedio que consultarle a ustedes.
> 
> Tengo el siguiente escenario.
> 
> 1 PC Con Ubuntu 8.10 Server + Shorewall + DNSMasq (DNS-Cache Server) +
> DHCP3-Server + 2 interfaces de red
> 
> la función de la maquina es cumplir con el rol de Gateway.
> 
> tengo 2 problemáticas que paso a detallar cada una a continuación.
> 
> 1.- una vez configurado el shorewall me pude dar cuenta que no era
> posible salir a Internet, teniendo la siguiente configuración.
> 
> Archivo Policy
> 
> #SOURCE         DEST            POLICY          LOG             LIMIT:BURST
> #                                               LEVEL
> net             all             DROP            info
> all             all             REJECT          info
> #LAST LINE -- DO NOT REMOVE
> 
> Archivo interfaces
> 
> #ZONE   INTERFACE       BROADCAST       OPTIONS
> net     eth0            detect
> dhcp,tcpflags,blacklist,routefilter,nosmurfs,logmartians
> loc     eth1            detect
> #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
> 
> 
> Archivo zones
> 
> #ZONE   TYPE            OPTIONS         IN                      OUT
> #                                       OPTIONS                 OPTIONS
> fw      firewall
> net     ipv4
> loc     ipv4
> #LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE
> 
> 
> Archivo rules
> 
> ############################################################################################################################
> #ACTION         SOURCE                  DEST
>  PROTO   DEST    SOURCE          ORIGINAL        RATE            USER/
>   MARK
> #
>  PORT    PORT(S)
> ## Permitimos las peticiones de DNS desde la Lan al DNS-Cache
> ACCEPT          loc                     fw
>  tcp     53
> ACCEPT          loc                     fw
>  udp     53
> ## Permitimos el Acceso via SSH de mi laptop al Firewall
> ACCEPT          net:~XX-XX-XX-XX-XX-XX  fw
>  tcp     11980
> ACCEPT          net:~XX-XX-XX-XX-XX-XX  fw
>  tcp     11980
> ACCEPT          loc:~XX-XX-XX-XX-XX-XX  fw
>  tcp     11980
> ACCEPT          loc:~XX-XX-XX-XX-XX-XX  fw
>  tcp     11980
> ## Permitimos los ping desde la red
> ACCEPT          loc                     fw
>  icmp    8
> ## Permitimos Navegar por Internet a la Red Local
> Web/ACCEPT      loc                     net
> #LAsT LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
> 
> 
> 
> Ahora el problema... cuando intento navegar no me deja salir a ningún
> lado... si puedo llegar hasta el firewall que en mi caso es la eth1
> configurada con la ip 192.168.1.254
> 
> pero cuando intento salir a internet.... me hace una tapa que suena
> hasta en arica.
> luego de darme un monton de vueltas pude solucionarlo haciendo lo siguiente..
> 
> Edite el Archivo policy dejandolo asi
> 
> #SOURCE         DEST            POLICY          LOG             LIMIT:BURST
> #                                               LEVEL
> fw              net             ACCEPT
> net             all             DROP            info
> all             all             REJECT          info
> #LAST LINE -- DO NOT REMOVE
> 
> 
> Por que???
> yo quería poder limitar el acceso del firewall a internet solo por los
> puertos que utilizara y nada mas.
> 
> 2.- El otro problema es el siguiente...
> 
> Luego de estar navegando me pude percatar que cada cierto lapso de
> tiempo me arroja unos micro-cortes de comunicación, sin responder la
> tarjeta de red interna... analizando el tema extraje unos archivos con
> ping los dejo disponibles en el siguiente link.
> 
> http://rapidshare.com/files/165794764/ping_puerta_interna.txt.html
> 
> Tendra que ver algo el servidor DHCP que esta mirando a la red local???
> 
> los cortes no son grandes, pero al tener uno, me bota las conexiones y
> eso si es un problema.
> 
> Espero sus comentarios.
> y de antemano agradezco la ayuda y también pido disculpas si se me ha
> pasado alguna falta ortográfica.


Yo hace unos dias tenia un problema similar en el firewall eso si  esta
bajo pfsense ( basado en freebsd ) y el problema era las peticiones udp
de ntp, limite eso y ahora funciona perfectamente, nose si podra ser
eso, las peticiones udp al port 123 de los clientes que tienes tras tu
firewall
> 
> 
> ********************************
> Pablo Figueroa A.
> Linux user N° 379917 - counter.li.org
> GM Staff www.Resurrections.cl
> ********************************
> 
> 


- --
Andrés Esteban Ovalle Gahona (kill-9)
Ingeniero (E) Computación e Informática.
Ingeniero de Sistemas EUIIIS - Universidad de Taparaca
Staff Debianchile.cl <www.debianchile.cl>
Msn: aovalle en gmail.com
Blog: http://kill-9.debianchile.cl
Movil: 09-5795880
Oficina: 58-205181 - Anexo 5181
Usuario Linux #456290 (counter.li.org)
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iEYEARECAAYFAkkmF3sACgkQG9iRE0Ec48q7sgCgrqQsdE4tCWv7nT277PqhxAED
cToAniJBVSIAA0QP7SRbRbFsf6T7+BJf
=ML+h
-----END PGP SIGNATURE-----

Más información sobre la lista de distribución Linux