Forums:
Hola
Un feliz año a todos.
Necesito ayuda tengo un servidor que cumple varias funciones las principales son servidor de correos (sendmail, dovecot, squirelmail), proxy (squid), firewall (iptables, firestarter).
El problemas es que si inicio el firestarter deja de funcionar el servidor de correos (mejor dicho no se pueden concetar los clientes), pero permite conectarse al servidor y salir externamente a otros servidores ftp. Si detengo el firestarter el correo funciona normalmente pero es imposible conectarse via FTP.
Asumo que es una falla en la configuración de iptables, hasta donde entiendo firestarter es solo un GUI para iptables.
Si alguien me puede dar un consejo sobre este problema estaria muy agradecido.
Si es necesario subo las configuraciones.
Gracias
De pronto podrías usar otro
De pronto podrías usar otro tipo de firewall diferente a Firestarter, ya que a mi parecer no puedes ver del todo que es lo que estas bloqueando y que no, además me parece que solo permite trabajar con una sola interface de red.
Podría recomendarte del uso de rc.firewall que si no me equivoco epe mantiene un script muy bueno en base al original.
Si quieres un firewall más personalizado te puedo brindar la ayuda sin ningún inconveniente pero te sugiero chequear el rc.firewall que lo he usuado algunas veces y es muy bueno.
Saludos
Juan Yépez
093681879
Saludos
Juan Yépez
0993681879
Dj - Discomovil Quito
Si necesitas una guia, mira
Si necesitas una guia, mira los "Comos", encontraras mucha informaciòn, puedes tambien ver los manuales que estan en alcancelibre.org, aca en el foro se ha tratado ampliamente temas como iptables, squid, etc, es solo de que busques los post anteriores.
Keep The Fire Burning.....
Stryper 1988
Deberias checar bien los
Deberias checar bien los puertos cual abres y cual cierras, del orden en los cuales cierras y abres los puertos igual dependen los servicios q corren detras de tu firewall. Yo te recomiendo hacer a "pata" un script hay mchos ejemplos en inet y luego ir personalizando servicio x servicio para q tengas mejor control
Salu2
Tu configuraste el
Tu configuraste el firewall?
Que puertos dejaste abiertos?
Podrías especificar algo mas de información al respecto ya que no se te puede dar una mano con la información que has dejado.
Saludos
NEO
- - - - - -
www.bodegadelmp3.com
Shorewall
HOla
Primero que nada te recomendaría por lo menos sacar el firewall a otro equipo, he leido que no es muy recomendable tener al frewall compartiendo trabajo con otros servicios, es por cuestiones de seguridad.
Otra cosa por qué no pruebas con shorewall, trabaja super bien y hay muchisima información en el Internet.
De lo que cuentas tu problema debe ser por el orden en el que estas poniendo tus iptables, es sumamente importante el orden.
Aguante el Open Source!!!!
SAludos
JOse
Aguante el Open Source!!!!
SAludos
JOse
config
Esta es la configuración de iptables:
espero sirva de algo.
Gracias por su ayuda.
# Firewall configuration written by redhat-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -o eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
-A FORWARD -i eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
-A OUTPUT -o eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
-A INPUT -i eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
# -A RH-FIREWALL-1-INPUT -p 22 -j ACCEPT
-A INPUT -p TCP --dport 22 -j ACCEPT
-A INPUT -p TCP --dport 80 -j ACCEPT
-A INPUT -p TCP --dport 3128 -j ACCEPT
-A INPUT -p TCP --dport 8080 -j ACCEPT
-A INPUT -p TCP --dport 110 -j ACCEPT
-A INPUT -p TCP --dport 25 -j ACCEPT
-A INPUT -p TCP --dport 21 -j ACCEPT
-A OUTPUT -p tcp -m tcp -j ACCEPT
COMMIT
# Generated by webmin
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed
# Generated by webmin
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -s 200.32.72.xxx/255.255.255.248 -j ACCEPT
COMMIT
# Completed
Intenta haciendo un proxy
Intenta haciendo un proxy transparente, no veo ninguna regla de PREROUTING, capaz por eso funciona ftp cuando inicias Firestarter porque squid permite ftp y http, pero deniega todo.
Saludos,
No veo que se habilite el
No veo que se habilite el puerto de ftp-data, de pronto es ese el problema. el puertopara ftp-data es el 20.
Saludos
Juan Yépez
093681879
Saludos
Juan Yépez
0993681879
Dj - Discomovil Quito
Si usas firestarter estas
Si usas firestarter estas fregado ya que no hace la función de REDIRECT en el NAT, eso debes colocoarlo a mano, lo unico que hace es enmascarar, lo mejor es que te hagas tu script de iptables para que puedas tener tu Proxy transparente, de lo contrario negado con el firestarter, además que es un proyecto viejo que ya no tiene soporte.
Keep The Fire Burning.....
Stryper 1988
Si quieres una herramineta
Si quieres una herramineta intuitiva para tu firewall puedo recomendarte www.fwbuider.org
Slds
_______________________________________
Trend Micro el mejor antivirus del mundo 40% del mercado mundial de gateway
240 millones de usuarios no pueden equivocarse
http://www.trendmicro.com.ec
Mercadeo@trendmicro.com.ec
_______________________________________
ISACNET S.A.
Ecuador: +593-2-3238590
Perú: +51-1-4223796
HP y Trend Micro, lo mejor de 2 mundos en un solo Socio de Negocios
http://www.isacnet.com.pe
Páginas