en el Kaos

Forums: 

Que tal compañeros.

Ojalá me puedan dar una luz o pista (siempre a sido así) para solucionar este problema.
Tengo un firewall con shorewall sobre Centos 5 en un equipo pentium 4 con 1GB de Ram y 4 targetas de Red (depronto demasiadas :) )
eth0 ip publica
eth1 ip publica2
eth2 LAN
eth3 DMZ
Tambien tengo Squid proxi transparente funcionando vien.
Ocurre lo siguiente que no le he encontrado lógica ni solución, la salida hacia el internet de los clientes LAN inicia funcionando vien una ves que las reglas están arriba, pero a los pocos minutos o segundos una máquina indistinta de la LAN queda sin salida hacia el interent, despues le siguen otras, lo extraño es que desde el firewall responden ping, pero desde las maquinas con problemas no puede hacer ping al firewall, nose si me explico, osea contestan ping desde el firewall, pero no alcansan ping hacia el firewall. Otra cosa extraña es que a más de que los paquetes ICMP y http estén bloqueados hacia el firewall, otros puertos si responden como el 22 y 1194 que es de una emisora de radio.

No se que pasa, ya llevo algún tiempo tratando de solucionarlo pero nada, ya revicé los Swich y no tienen problemas porque las máquinas dentro de la LAN se comunican sin problemas, ya cambié la tarjeta de red LAN del firewall y cuando bajo iptables no hay problema de comunicación, claro, la seguridad queda deficiente y el proxi transparente deja de funcionar, tengo que declarar el proxy en cada máquina.

Pregunta:
Es suficiente la capacidad del equipo que hace de firewall para iptables? con 1GB de RAM?

gracias por sus aportes, criticas y demás, que me ayudarán de una u otra forma a solucionar este asunto.

Creo que son demasiadas

Creo que son demasiadas tarjetas de red, no se porque tienes dos ips públicas, será talvez por redundancia o algo asi, sin embargo creo que son demasiadas.
En cuanto a tu problema de red, no es posible que tu lan trabaje normal y cuando aumentes una maquina que no es de tu lan no funcione si estas en la misma red, entonces creo que es mas un problema de direccionamiento, es decir comprueba si estas en la misma red o si estas en la misma vlan en el caso de que tengas vlanes.

[quote]Otra cosa extraña es que a más de que los paquetes ICMP y http estén bloqueados hacia el firewall, otros puertos si responden como el 22 y 1194 que es de una emisora de radio.
[/quote]
Si tienes bloqueado ICMP y www no se como puedes naevegar!, creo que hay algun problema con tus reglas, mejor pasanos el archivo para ver como estan tus reglas.

Respuesta a tu pregunta:
[quote]Es suficiente la capacidad del equipo que hace de firewall para iptables? con 1GB de RAM? [/quote]
Para esto creo que depende de la cantidad de usuarios que tengas, si tienes un proxy transparente igual.

Saludos,

Gracias por responder

Gracias por responder suttilakha.
Si, depronto son demaciadas, la idea es que por una ip publica salgan los clientes al internet y por la otra entren desde el internet a servicios de la DMZ como WEB, correo, DNS y demás, si mi idea no es lógica porfavor corrigeme.
En cuanto a las máquinas de la LAN todas tienen la misma máscara de Red y estan en la misma red porque la mayoria se les asigna ips fijas solo unas 10 maquinas se les asigna con DHCP, lo extraño es que internamente se conectan sin problema entre si, a carpetas compartidas por Windows o Samba, o SSH, o incluso VNC, menos con el firewall con los protocolos icmp y http.

[quote]Si tienes bloqueado ICMP y www no se como puedes naevegar![/quote]
Me expliqué mal, yo no las bloqueo, me da la impresión de que son bloqueadas, porque una ves levantadas las reglas funciona bien, pero al poco tiempo cualquier máquina queda sin conexión hacia el internet, pero otras no tienen problemas, nunca son las mismas, de todas formas envío las reglas para ver si me pueden corregir:

/etc/shorewall/interfaces
#ZONE INTERFACE BROADCAST OPTIONS
net eth1 detect
net0 eth0 detect
loc eth2 detect
dmz eth3 detect
#OpenVPN
rem tun0 detect
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

/etc/shorewall/zones
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
net ipv4
net0 ipv4
loc ipv4
dmz ipv4
# OpenVPN
rem ipv4
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE

/etc/shorewall/policy
#SOURCE DEST POLICY LOG LIMIT:BURST
# LEVEL
loc net ACCEPT
loc fw ACCEPT
fw loc ACCEPT
loc dmz ACCEPT
net0 dmz ACCEPT
fw net ACCEPT
fw net0 ACCEPT
# OpenVPN
rem fw ACCEPT
fw rem ACCEPT
net rem ACCEPT
rem net ACCEPT
rem loc ACCEPT
loc rem ACCEPT

net all DROP info
net0 all DROP info
all all REJECT info
#LAST LINE -- DO NOT REMOVE

/etc/shorewall/masq
#INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARK
eth1 192.168.1.0/255.255.255.0
eth0 eth3
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE

/etc/shorewall/rules
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ MARK
# PORT PORT(S) DEST LIMIT GROUP
SECTION ESTABLISHED
SECTION NEW
REDIRECT loc 3128 tcp 80
ACCEPT fw net tcp www
ACCEPT net0 fw tcp 22,80,25,110,53
ACCEPT net0 fw udp 53
ACCEPT loc dmz tcp 22,80
ACCEPT loc fw tcp 22,80
ACCEPT dmz net0 tcp 25,110,53
ACCEPT dmz net0 udp 53
ACCEPT fw dmz tcp 25,110,53
ACCEPT fw dmz udp 53
ACCEPT loc:192.168.1.103 dmz:172.24.15.34 tcp 25,110,53
ACCEPT loc:192.168.1.103 dmz:172.24.15.34 udp 53
ACCEPT dmz:172.24.15.34 loc:192.168.1.103 tcp 53,25,110
ACCEPT dmz:172.24.15.34 loc:192.168.1.103 udp 53
ACCEPT loc net tcp 443
DNAT net loc:192.168.1.170 tcp 6881:6890
DNAT net loc:192.168.1.170 udp 6881:6890,4444
DNAT net0 dmz:172.24.15.34 tcp 25,110,53
DNAT net0 dmz:172.24.15.34 udp 53
DNAT net0 dmz:172.24.15.35 tcp 80
# OpenVNP
ACCEPT net fw udp 1194
ACCEPT fw net udp 1194
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

/etc/shorewall/tunnels
#TYPE ZONE GATEWAY GATEWAY
# ZONE
openvpnserver:1194 rem 192.168.1.0/24
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Por ultimo solo tengo 50 usuarios y claro está el proxy transparente funciona cuando las reglas están arriba. Será posible que la capacidad física de firewall no es suficiente?

Gracias de nuevo por contestar y por corregirme.
Saludos.

La lógica aplicada

La lógica aplicada funciona, pero a mi forma de ver las cosas creo que estas desperdiciando una Ip pública ya que tranquilamente podrías hacer lo mismo con una sola ip, es decir que por aquella ip envies peticiones desde tu lan hacia el internet o recibas peticiones desde el internet a tu dmz e incluso hacia tu lan, y la otra ip pública la podrias utilizar no se para otro firewall de backup se me ocurre no se, eso lo definirias tu.

En cuanto a las reglas de tu firewall veo que esta por defecto DROP, por lo tanto esta bién que no recibas peticiones icmp, para que funcione agrega permite icmp type 8, 0 desde la lan hacia tu fw.

Saludos,

Salí del Kaos

Licencia por no contestar y dejar el tema abierto, ya lo solucioné, pero no pude saber cual era el problema, primero aplique las observaciones que me hicieran, quité una interfas de red y solo que quedé con una ip publica, pero nada, seguía rompiendose la comunicación en cada cierto tiempo y despues volvia, así que la solución no muy practica fue cambiar la targeta madre, aumentar memoria, mantener solo 3 interfaces de red y reinstalar el sistema Operativo, si, se que no es una solución aceptable, pero ya que se podía hacer mejor lo hice, más sin embargo seguía el problema pero menos frecuente, aunque puse reglas basicas suficientes para solo tener salida hacia internet, pero nada, al pareser era problema de los swich, porque según message, por la insterfas externa querían ingresar peticiones de la LAN, por eso perdía comunicación, reiniciaba el servicio de red y listo, pero lo tenia que hacer cada ves más seguido, hasta que separé de los swich la red que corresponde a el modem y la ip pública, y porfín se solucionó. gracias por las observaciones y por contestar.

Sds.