[Ayuda] problemas con shorewall

Arnulfo Arellano arnulfoac en gmail.com
Mie Jun 8 09:28:04 CDT 2005 

Antes que nada quiero agradecerte el haber tomado este tiempo para
contestar a mi pregunta pues comenzaba a ser frustrante no recivir ni
un RTFM jejeje....
ok mira actualmente tengo el esquema de 2 tarjetas de red, tengo
shorewall como ya lo habia comentado y es un mandrake 10.0
Por lo 

On 6/7/05, Javier A. Del Pino Coronel <tuaregmex en yahoo.com.mx> wrote:
> Hola Arnulfo!
> 
> Hace varios días iba a responderte pero se me había
> pasado, estaba analizando tus archivos de
> configuración pero antes de darte una posible solución
> basado en la experiencia (corta) que tengo de
> configurar shorewall y que al principio también tuve
> fallas, primero quisiera que nos ayudes aclarando el
> panorama.
> 
> fw es el sistema en sí de acuerdo a lo que aparece en
> la documentación de shorewall:
> 
> Shorewall also recognizes the firewall system as its
> own zone - by default, the firewall itself is known as
> fw.
> 
> Y en la documentación también te indican que "loc" es
> para:
> 
> loc        Local          Local networks
> 
> Que en el caso de un equipo con una sola interfaz de
> red, "loc" y "fw" vienen siendo lo mismo.
> 
> Es este el esquema que estás manejando? una sola
> interfaz de red?
> 
> Ahora voy a hacer un par de suposiciones... Si estás
> usando una sola tarjeta de red, "loc" y "fw" son la
> misma zona y "net" es la que hace referencia hacia
> Internet.
> 
> La regla que mencionas es:
> 
> REJECT loc fw  tcp http, https
> 
> Y dices que no te bloquea nada.. pero no te bloquea
> las peticiones desde donde? Desde internet? Porque con
> esa regla le especificas que se bloquee a sí misma en
> el caso de que tengas únicamente una tarjeta de red.
> 
> Y es aquí donde me surge la duda de si estás usando el
> esquema de una sola tarjeta de red o sí estás usando 2
> o mas tarjetas de red.
> 
> Si fuera el caso de 2 o más tarjetas entonces la zona
> "loc" la estás usando para equipos que se encuentran
> "detrás" del equipo con Shorewall? Si es así entonces
> mejor cambia el nombre de la zona, en algún momento yo
> hice la configuración de esta forma y tenía problemas
> también así que lo evite usando solamente "fw" para el
> equipo donde estaba Shorewall y use otro nombre de
> zona para los equipos que estaban detras del este
> equipo.
> 
> Si nos explicas con mas detalle la configuración que
> quieres hacer, te podría ayudar más.
> 
> Saludos!
> 
>  --- Arnulfo Arellano <arnulfoac en gmail.com> escribió:
> 
> > Hola
> > Tengo un problema con shorewall, la distribucion que
> > tengo es Mandrake
> > 10, el caso es que no me esta respetando las reglas
> > que le coloqué
> > dentro del archivo  /etc/shorewall/rules y solo
> > respeta las que
> > existen dentro de policy, estuve investigando sobre
> > el tema en
> > Internet pero no he encontrado la solución, este es
> > mi archivo de
> > configuracion de rules...
> >
> > ACCEPT loc    fw   tcp  bootps, ssh, 631, http,
> > https  -
> > ACCEPT loc    fw   udp bootps, ssh, 631
> > ACCEPT fw     net   tcp  www   -
> > ACCEPT net    fw    icmp 8
> >
> > mi archivo de policy es :
> >  loc    net   ACCEPT
> > fw       net   ACCEPT
> > net     all      DROP   info
> > all       all      REJECT  info
> >
> > mi archivo de zones es:
> > net    Net  Internet Zone
> > loc     Local   Local
> >
> > Segun lo que lei cuando viene una peticion el primer
> > archivo que se
> > checa es rules y si no hay coincidencia entonces se
> > pasa la peticion
> > por policy. El caso es que si por ejemplo  coloco en
> > el archivo rules
> > la regla REJECT loc fw  tcp http, https no me
> > bloquea nada ...=(
> >
> > Podira alguien orientarme sobre este tema ??
> >
> > saludos
> > --
> > Atentamente
> > Arnulfo
> >
> >
> > _______________________________________________
> > Ayuda mailing list
> > Ayuda en linux.org.mx
> > Para salir de la lista:
> >
> http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/
> >
> 
> 
> 
> 
> 
> 
> ___________________________________________________________
> Do You Yahoo!?
> La mejor conexión a Internet y <b >2GB</b> extra a tu correo por $100 al mes. http://net.yahoo.com.mx
> 
> 


-- 
Atentamente 
Arnulfo Arellano

 
_______________________________________________
Ayuda mailing list
Ayuda en linux.org.mx
Para salir de la lista: http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/

Más información sobre la lista de distribución Ayuda