Problemas con Shorewall

Pabluster pabluster en gmail.com
Jue Nov 20 23:31:35 CLST 2008 

bueno ya logre resolver el tema de las caidas de conexion, y era por
que no habia agregado el tag dhcp en el archivo interfaces en la eth1
que es donde esta corriendo el servidor dhcp.

Pero aun sigo con la duda del porque no navego si no tengo agregado la
sentencia fw net ACCEPT en el archivo policy



2008/11/20 Andres Ovalle G. (kill-9) <aovalle en debianchile.cl>:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Pabluster escribió:
>> Hola lista...
>>
>> Hace bastante tiempo que no escribía a la lista... pero esta vez no e
>> tenido otro remedio que consultarle a ustedes.
>>
>> Tengo el siguiente escenario.
>>
>> 1 PC Con Ubuntu 8.10 Server + Shorewall + DNSMasq (DNS-Cache Server) +
>> DHCP3-Server + 2 interfaces de red
>>
>> la función de la maquina es cumplir con el rol de Gateway.
>>
>> tengo 2 problemáticas que paso a detallar cada una a continuación.
>>
>> 1.- una vez configurado el shorewall me pude dar cuenta que no era
>> posible salir a Internet, teniendo la siguiente configuración.
>>
>> Archivo Policy
>>
>> #SOURCE         DEST            POLICY          LOG             LIMIT:BURST
>> #                                               LEVEL
>> net             all             DROP            info
>> all             all             REJECT          info
>> #LAST LINE -- DO NOT REMOVE
>>
>> Archivo interfaces
>>
>> #ZONE   INTERFACE       BROADCAST       OPTIONS
>> net     eth0            detect
>> dhcp,tcpflags,blacklist,routefilter,nosmurfs,logmartians
>> loc     eth1            detect
>> #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
>>
>>
>> Archivo zones
>>
>> #ZONE   TYPE            OPTIONS         IN                      OUT
>> #                                       OPTIONS                 OPTIONS
>> fw      firewall
>> net     ipv4
>> loc     ipv4
>> #LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE
>>
>>
>> Archivo rules
>>
>> ############################################################################################################################
>> #ACTION         SOURCE                  DEST
>>  PROTO   DEST    SOURCE          ORIGINAL        RATE            USER/
>>   MARK
>> #
>>  PORT    PORT(S)
>> ## Permitimos las peticiones de DNS desde la Lan al DNS-Cache
>> ACCEPT          loc                     fw
>>  tcp     53
>> ACCEPT          loc                     fw
>>  udp     53
>> ## Permitimos el Acceso via SSH de mi laptop al Firewall
>> ACCEPT          net:~XX-XX-XX-XX-XX-XX  fw
>>  tcp     11980
>> ACCEPT          net:~XX-XX-XX-XX-XX-XX  fw
>>  tcp     11980
>> ACCEPT          loc:~XX-XX-XX-XX-XX-XX  fw
>>  tcp     11980
>> ACCEPT          loc:~XX-XX-XX-XX-XX-XX  fw
>>  tcp     11980
>> ## Permitimos los ping desde la red
>> ACCEPT          loc                     fw
>>  icmp    8
>> ## Permitimos Navegar por Internet a la Red Local
>> Web/ACCEPT      loc                     net
>> #LAsT LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
>>
>>
>>
>> Ahora el problema... cuando intento navegar no me deja salir a ningún
>> lado... si puedo llegar hasta el firewall que en mi caso es la eth1
>> configurada con la ip 192.168.1.254
>>
>> pero cuando intento salir a internet.... me hace una tapa que suena
>> hasta en arica.
>> luego de darme un monton de vueltas pude solucionarlo haciendo lo siguiente..
>>
>> Edite el Archivo policy dejandolo asi
>>
>> #SOURCE         DEST            POLICY          LOG             LIMIT:BURST
>> #                                               LEVEL
>> fw              net             ACCEPT
>> net             all             DROP            info
>> all             all             REJECT          info
>> #LAST LINE -- DO NOT REMOVE
>>
>>
>> Por que???
>> yo quería poder limitar el acceso del firewall a internet solo por los
>> puertos que utilizara y nada mas.
>>
>> 2.- El otro problema es el siguiente...
>>
>> Luego de estar navegando me pude percatar que cada cierto lapso de
>> tiempo me arroja unos micro-cortes de comunicación, sin responder la
>> tarjeta de red interna... analizando el tema extraje unos archivos con
>> ping los dejo disponibles en el siguiente link.
>>
>> http://rapidshare.com/files/165794764/ping_puerta_interna.txt.html
>>
>> Tendra que ver algo el servidor DHCP que esta mirando a la red local???
>>
>> los cortes no son grandes, pero al tener uno, me bota las conexiones y
>> eso si es un problema.
>>
>> Espero sus comentarios.
>> y de antemano agradezco la ayuda y también pido disculpas si se me ha
>> pasado alguna falta ortográfica.
>
>
> Yo hace unos dias tenia un problema similar en el firewall eso si  esta
> bajo pfsense ( basado en freebsd ) y el problema era las peticiones udp
> de ntp, limite eso y ahora funciona perfectamente, nose si podra ser
> eso, las peticiones udp al port 123 de los clientes que tienes tras tu
> firewall
>>
>>
>> ********************************
>> Pablo Figueroa A.
>> Linux user N° 379917 - counter.li.org
>> GM Staff www.Resurrections.cl
>> ********************************
>>
>>
>
>
> - --
> Andrés Esteban Ovalle Gahona (kill-9)
> Ingeniero (E) Computación e Informática.
> Ingeniero de Sistemas EUIIIS - Universidad de Taparaca
> Staff Debianchile.cl <www.debianchile.cl>
> Msn: aovalle en gmail.com
> Blog: http://kill-9.debianchile.cl
> Movil: 09-5795880
> Oficina: 58-205181 - Anexo 5181
> Usuario Linux #456290 (counter.li.org)
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.9 (GNU/Linux)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
>
> iEYEARECAAYFAkkmF3sACgkQG9iRE0Ec48q7sgCgrqQsdE4tCWv7nT277PqhxAED
> cToAniJBVSIAA0QP7SRbRbFsf6T7+BJf
> =ML+h
> -----END PGP SIGNATURE-----
>



-- 
********************************
    ...::: DJ Storm :::...
...::: Staff www.2am.cl :::...
********************************
Pablo Figueroa A.
Linux user N° 379917 - counter.li.org
GM Staff www.Resurrections.cl
CEL = (+569) 8 449 84 20
********************************

Más información sobre la lista de distribución Linux