09/12/2010, 08:57
| |||
| |||
| Duda router+firewall+dmz Buenas, tengo una duda un poco chorra o eso creo. Tengo pensado montar un firewall iptables (centOS) y entre una dmz,una lan e internet. Mi duda es, tengo un router de estos de telefonica blancos, en el aparte de configurarle la ip correspondiente, tengo que configurar algun parametro? abrir todos los puertos? gracias |
|
09/12/2010, 09:04
| ||||
| ||||
| Respuesta: Duda router+firewall+dmz No, todo eso se hace en el firewall, el router de telefonica, unicamente tiene hospedada la direccion IP publica que asigna el ISP, para salir a internet, entonces debes definir las reglas en el netfilter permitiendo y denegando el trafico que desees .. P.D .. El firewall de Linux no se llama IPTables .. si no NetFilter .. IPTABLEs es el comando .. XD Saludos .. |
|
09/12/2010, 09:07
| |||
| |||
| Respuesta: Duda router+firewall+dmz perdona , lo de iptables es como llamar danone al yogur, entonces las configuraciones de puertos y redirecciones que tenia anteriormente al firewall las quito, lo dejo como de fabrica no? |
|
09/12/2010, 09:26
| ||||
| ||||
| Respuesta: Duda router+firewall+dmz Primero debes diseñar la topologia.. elgir bien cual es el trafico que deseas filtrar .. despues escribir las reglas .. obviamente primero permitiendo y despues denegando absolutamete todo .. especificando que la ip que te asigna el ISP, le dices al firewall que todos los paquetes que vallan hacia la red externa los encapsule en esa direccion ip .. y empiezas a filtrar todos los paquetes, los puertos y las direcciones en el firewall .. Enalce Interesante Saludos y espero que te sea de ayuda ! .. |
|
09/12/2010, 09:47
| |||
| |||
| Respuesta: Duda router+firewall+dmz las reglas ya las tengo definidas. Simplemente me surgia la duda en la configuracion del propio router de telefonica, si habia que dejar los puertos abiertos y que los controle el firewall o no tocar nada Antes lo tenia redirigiendo puertos con nat a una ip en concreto , supongo que esas configuraciones las quito porque eso lo controla ahora el firewall |
|
09/12/2010, 11:14
| ||||
| ||||
 Respuesta: Duda router+firewall+dmz Cita:
Iniciado por Hanzo_lx  Antes lo tenia redirigiendo puertos con nat a una ip en concreto , supongo que esas configuraciones las quito porque eso lo controla ahora el firewall  Eso es todo lo que debes hacer, conectas el Server con CEntOS al puerto del router de telefonica donde estaba conectado antes el dispositivo que seguia y listo ya Esta .. Saludos ! |
|
14/12/2010, 09:12
| |||
| |||
| Respuesta: Duda router+firewall+dmz bueno despues de unos dias peleandome a ver si podeis echarme una mano, el problema es que en la dmz tengo una "centralita de robo" la cual esta conectada siempre con la compañia que controla la arlama, esta se gestiona por unos puertos tcp y udp que creo haber abierto pero no consigo establecer conexion Os pongo en situacion a ver si veis donde estoy fallando, os lo agradeceria mucho ya que me estoy volviendo loco un esquema de lo que quiero montar  Cita: Tengo una ip publica, pero bueno a nivel de reglas "creo" que no influye,!/bin/bash ##FLUSH DE LAS REGLAS iptables -F iptables -X iptables -Z iptables -t nat -F ##REGLAS DEFAULT iptables -P INPUT DROP iptables –P OUTPUT DROP iptables –P FORWARD DROP iptables –t nat –PREROUTING DROP iptables –t nat –POSTROUTING DROP ##PERMITIR LOCAL /sbin/iptables –A INPUT–i lo –j ACCEPT /sbin/iptables –A OUTPUT –o lo –j ACCEPT ##ACCESO DE LA LAN AL FIREWALL VIA SSH iptables –t nat –A PREROUTING –i eth1 –j ACCEPT iptables –A INPUT –s 172.26.1.4 –p tcp –dport 8686 –j ACCEPT iptables –A OUTPUT –d 172.26.1.4 –p tcp –sport 8686 –j ACCEPT ##BLOQUEO DE SPOOFING iptables –A INPUT –i eth0 –s 172.26.1.0/24 –j DROP iptables –A INPUT –i eth0 –s 172.26.2.0/29 –j DROP ##ACCESO LAN-DMZ Echo “1” > /proc/sys/net/ipv4/ip-forward iptables –t nat –A POSTROUTING –o eth2 –j ACCEPT ##ACCESO WAN-DMZ iptables –t nat –A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 172.26.2.2:80 iptables –t nat –A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to-destination 172.26.2.2:443 iptables –t nat –A PREROUTING -i eth0 -p tcp --dport 3062 -j DNAT --to-destination 172.26.2.4:3062 iptables –t nat –A PREROUTING -i eth0 -p tcp --dport 3063 -j DNAT --to-destination 172.26.2.4:3063 iptables –t nat –A PREROUTING -i eth0 -p tcp --dport 3064 -j DNAT --to-destination 172.26.2.4:3064 iptables –t nat –A PREROUTING -i eth0 -p udp --dport 3060 -j DNAT --to-destination 172.26.2.4:3060 iptables –t nat –A PREROUTING -i eth0 -p udp --dport 3061 -j DNAT --to-destination 172.26.2.4:3061 ##apertura de puertos iptables -A FORWARD -p tcp --dport 80 -i eth0 -o eth2 -j ACCEPT iptables -A FORWARD -p tcp --sport 80 -i eth2 -o eth0 -j ACCEPT iptables -A FORWARD -p tcp --dport 443 -i eth0 -o eth2 -j ACCEPT iptables -A FORWARD -p tcp --sport 443 -i eth2 -o eth0 -j ACCEPT iptables -A FORWARD -p tcp --dport 3062 -i eth0 -o eth2 -j ACCEPT iptables -A FORWARD -p tcp --sport 3062 -i eth2 -o eth0 -j ACCEPT iptables -A FORWARD -p tcp --dport 3063 -i eth0 -o eth2 -j ACCEPT iptables -A FORWARD -p tcp --sport 3063 -i eth2 -o eth0 -j ACCEPT iptables -A FORWARD -p tcp --dport 3064 -i eth0 -o eth2 -j ACCEPT iptables -A FORWARD -p tcp --sport 3064 -i eth2 -o eth0 -j ACCEPT iptables -A FORWARD -p udp --dport 3060 -i eth0 -o eth2 -j ACCEPT iptables -A FORWARD -p udp --sport 3060 -i eth2 -o eth0 -j ACCEPT iptables -A FORWARD -p udp --dport 3061 -i eth0 -o eth2 -j ACCEPT iptables -A FORWARD -p udp --sport 3061 -i eth2 -o eth0 -j ACCEPT ##LAN WAN iptables -t nat -A POSTROUTING -s 172.26.1.0/24 -o eth0 -j MASQUERADE iptables -A FORWARD -p tcp -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED --sport 80 -j ACCEPT iptables -A FORWARD -p tcp -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED --dport 443 -j ACCEPT iptables -A FORWARD -p tcp -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED --sport 443 -j ACCEPT -En el router (uno de estos blancos de telefonica wireless) he cambiado la ip interna y he quitado todas las reglas de nat que habia antes. -La central de alarmas tiene como puerta de enlace 172.26.2.1 -el cableado router-tarjeta de red firewall debe ser cruzado o recto (ahora es recto) -se ha ejecutado el script con sh script y luego se han guardado las politicas con service iptables save -no es necesario iniciar sesion en el servidor para que el netfilter actue no? -se me ha pasado alguna configuracion en el servidor? se que el problema viene de que la politica por defecto esta a default pero creo que he creado las reglas pertinentes que afectan a lo que si quiero dejar abierto muchisimas gracias Última edición por Hanzo_lx; 14/12/2010 a las 09:23 |
|
14/12/2010, 13:27
| ||||
| ||||
| Respuesta: Duda router+firewall+dmz Cita: Quieres acceder a la "centralita de robo" desde inetrnet?, no se si estoy bien, pero en la topologia el server de la centralita tiene la ip 172.26.2.3, y en el file de configuracion del netfilter estas permitiendo el paso unicamente a la ip 172.26.2.4, o esto no infulye ? creo que si por que estas abriendo puertos especificos a esa interfaz de red, y si quieres entrar desde la LAN, creeme que no tengo ni idea, pero voy a estar leyendo .. XD
Iniciado por Hanzo_lx ##ACCESO WAN-DMZ iptables –t nat –A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 172.26.2.2:80 iptables –t nat –A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to-destination 172.26.2.2:443 iptables –t nat –A PREROUTING -i eth0 -p tcp --dport 3062 -j DNAT --to-destination 172.26.2.4:3062 iptables –t nat –A PREROUTING -i eth0 -p tcp --dport 3063 -j DNAT --to-destination 172.26.2.4:3063 iptables –t nat –A PREROUTING -i eth0 -p tcp --dport 3064 -j DNAT --to-destination 172.26.2.4:3064 iptables –t nat –A PREROUTING -i eth0 -p udp --dport 3060 -j DNAT --to-destination 172.26.2.4:3060 iptables –t nat –A PREROUTING -i eth0 -p udp --dport 3061 -j DNAT --to-destination 172.26.2.4:3061 Saludos .. ! |
|
14/12/2010, 13:37
| |||
| |||
| Respuesta: Duda router+firewall+dmz perdon por la errata de la topologia pero esque ha sufrido muchas modificaciones, creeme ;) la ip de la centralita es la 2.4 El acceso a la centralita debe ser mutuo tanto para si se quiere comprobar el estado de esta desde el exterior como si la centralita debe de enviar un mensaje de alarma a la empresa. gracias por molestarte en leerlo |
|
14/12/2010, 15:52
| ||||
| ||||
| Respuesta: Duda router+firewall+dmz Pregunta puntual .. La Red local encuentra a la DMZ ? a la Centralita ?, porque la verdad lo veo muy bien y no entiendo por que no hay conexion, Donde corre el protocolo de enrrutamiento? en el CEntOS o en el router de telefonica .. |
|
15/12/2010, 10:45
| ||||
| ||||
| Respuesta: Duda router+firewall+dmz Cita: Perdon, perdon .. yo tambien me estoy enrredando, XD .. la pregunta es, ¿Como haces para que la LAN se vea con la DMZ, .. osea, si yo envio un ping a la Centralita desde una maquina desde la red local .. Puedo ?
Iniciado por Hanzo_lx a que te refieres exactamente con protocolo de enrutamiento? Esto es vital para saber que es lo que puede estar pasando .. Porque mas o menos tengo una idea .. XD .. ! Saludos .. y espero pronta repsuesta ! |
|
16/12/2010, 11:07
| |||
| |||
| Respuesta: Duda router+firewall+dmz La red local en un principio no tiene que tener ningun contacto con la DMZ ya que no tiene ninguna necesidad Las relaciones son las siguientes: LAN --> Internet: En principio solo internet, luego ire probando mas cosas DMZ --- INternet: Acceso al server de imagenes y la centralita DMZ ---LAN Nada digamos que el firewall actua de router entre las redes (DMZ, LAN) e internet para permitir el paso entre ellas o no El router de telefonica tiene una ip publica configurada, una privada con su mascara y DHCP desactivado Ninguna configuracion de puertos configurada |
|
17/12/2010, 07:03
| |||
| |||
| Respuesta: Duda router+firewall+dmz definitivamente el fallo esta en la politica por defecto a DROP , y no es en si el problema, sino que falta algo mas en las reglas. Cosas que me surgen: -No es necesario iniciar sesion , esto creo que es asi porque l daemon de iptables carga al inicio -El cable de la tarjeta de el firewall que va al router deberia ser cruzado o recto? -Los demas ? He comprobado que desde el propio firewall no puedo hacer un ping a las direcciones de las tarjetas de red, en cambio si cambio la politica por defecto de todo a ACCEPT si puedo. Desde el equipo que esta autorizado desde la lan a acceder via ssh no puedo hacerlo , es mas ni siquiera puedo hacer ping a la puerta de enlace de su red, esto ya me huele a otro tipo de erro de configuracion del centos.. a ver si alguien me puede hechar una mano gracias |
