[AYUDA] Re: Firewall

[Carlos Manuel Escalona Villeda]

Solo he dado una pasada rapida a tu script, pero me parece que no estás 
estableciendo un valor por defecto para fordward y output.

Si estás pensando en la administración via web, te recomiendo webmin que 
ya trae el módulo para configurar iptables y te sería más sencillo 
identificar el problema.

Otra recomendación es que el bloqueo de páginas lo hagas desde squid, 
generas listas negras, colocas una página de error con el logotipo de la 
empresa y un chango burlandose que diga "acceso denegado" y una especial 
para sitios porno que diga "Tu acceso a $sitio ha sido registrado y 
aparecerá en tu nómina".

webmin tambien tiene un módulo para controlar squid, pero ese lo tienes 
que instalar aparte.

Hector Bautista escribió:
> Hola, pido un poco de orientación sobre el tema de iptables.
>
> Resulta que tengo un script (que va adjunto a este correo) que ha sido
> modificado un poco y que funcionaba perfectamente.
>
> Es una pc con dos tarjetas de red: eth0: 192.168.254.1 y eth1: 10.29.108.12
>
> eth0 está conectado a su vez a un switch y sale a travéz de la
> 192.168.254.254 (speedstream)
> eth1 está conectado a otro switch que la de mi red interna, por lo
> tanto la puerta de enlace es la 10.29.108.12
>
> proxy cache transparente con squid
>
>
> Tuve que reinstalar el sistema, que era un Debian Sarge o Etch (no
> recuerdo exactamente) y que había sido actualizado a Sid hace como año
> y medio pero que empezó con algunos detalles, sip ya sé que no debí
> haber echo eso. :S
>
> Ahora tiene Lenny y por alguna extraña razón el script dejó de
> funcionar, puesto que si da acceso a internet pero a todo mundo,
> solamente las reglas del squid me está tomando en cuenta y el bloqueo
> de puertos, de ahí en fuera nada.
>
> Se supone que hay dos tipos de salida a internet para los equipos de
> la red, Libre (jefes principalmente) y Acceso (para todos los demás),
> la primera pues básicamente no tiene restricciones de puertos, y en la
> segunda sólo algunos puertos están abiertos, para evitar ftp, p2p y
> esas cosas. El filtro se hace via MAC Address. Así si pongo esta regla
> en el script:
>
> iptables -A Libres -m mac --mac-source 00:D0:59:7B:CF:1C -j ACCEPT
> #Una laptop
>
> le estoy indicando que esa mac address tendrá salida a internet libre,
> es decir sin restricciones de puertos.
>
> En cambio si escribo en mi script algo así:
>
> iptables -A Acceso -m mac --mac-source 00:11:85:B3:0A:CA -j Puertos
> #Una Secretaria
>
> Tendrá salida a internet pero con bloqueo de puertos, además sólo las
> pc's que estén dentro de una de estas listas deberían tener salida a
> internet, las demás no, y obviamente pues no está funcionando.
>
> Si quisiera dar momentaneamente internet a un equipo, basta con poner
> en la terminal algo como esto:
>
> iptables -I Acceso -m mac --mac-source 00:50:22:BB:94:74 -j Puertos	#Pcera
>
> O bien como esto:
>
> iptables -I Libres -m mac --mac-source 00:16:CB:A7:6B:0C -j ACCEPT	    #MacMini
>
> Si lo que quiero es sin restricciones.
>
> Vuelvo a repetir, estaba funcionando bien hasta que reinstalé el
> sistema Debian. Alguien que me pueda orientar que habrá que moverle al
> script para que funcione más o menos como requiero.
>
> También está viéndose el migrar a IPCop para que la administración sea
> via web, pero se requiere que se pueda indicar quién si y quién no
> tendrá salida a internet y con bloqueo de puertos.
>
> Saludos y que tengan un buen día.
>
>   

--~--~---------~--~----~------------~-------~--~----~
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
de Grupos de Google.
Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a ayuda-linux en googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
ayuda-linux-unsubscribe en googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.es/group/ayuda-linux?hl=es. o http://www.compunauta.com/ayuda/
-~----------~----~----~----~------~----~------~--~---