[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Perdon pero por equivocacion se envio el correo si terminar de redactarlo... Como te decia tengo el esquema de 2 tarjetas de red, la parte de loc la manejo para mi red de area local(LAN) y utilizo DHCP para asignarles IP a esas maquinas , fw es la maquina Linux y Net es Internet ... El problema vino cuando se me pidio checar que se podía hacer para bloquear el messenger en los usuarios, por lo que decidi levantar squid en la maquina Linux y decirle a shorewall en las reglas que redireccionara todo el trafico que viniera de loc al puerto 3128, esto lo hice con la regla... REDIRECT loc 3128 tcp www - y vi que tenia problemas para hacerlo, que algunas paginas no lo hacian asi que comenze a hacer algunas pruebas leyendo el manual de shorewall y fue cuando hice la prueba de decirle que rechazara o bloqueara todo el trafico http y https que viniera de la red hacia el firewall con la regla... REJECT loc fw tcp http, https pero no respetaba estas reglas .... pues seguian saliendo los usuarios sin problema alguno =( Lo que hice en el inter de que me respondieras fue actualizar los archivos desde el sitio de mandrake y me actualizo el archivo rules, el de zones , el de interfaces y el de policy, aun no he probado del todo si funciona bien, pero cuando actualice coloque una regla para permitir el trafico ssh de la red al fw y funciono.... ACCEPT loc fw tcp ssh - Ahora bien en caso de que me puedas ayudar a resolver el problema de las reglas seria mucho pedir si me indicaras alguna liga o informacion de como bloquear el msn de mis usuarios y si es necesario ademas de shorewall usar squid ?? Segun lei hace mucho en un articulo con esta regla de squid se puede boquear el msn acl msn1 req_mime_type -i ^application/x-msn-messenger$ .... http_access deny msn1 ... y no se si por el problema de shorewall esta regla no me funciono pues me marcaba un error al reiniciar squid y no se bloqueaba msn.... Reitero mi agradecimiento por contestar a este correo Saludos Arnulfo On 6/8/05, Arnulfo Arellano <arnulfoac en gmail com> wrote: > Antes que nada quiero agradecerte el haber tomado este tiempo para > contestar a mi pregunta pues comenzaba a ser frustrante no recivir ni > un RTFM jejeje.... > ok mira actualmente tengo el esquema de 2 tarjetas de red, tengo > shorewall como ya lo habia comentado y es un mandrake 10.0 > Por lo > > On 6/7/05, Javier A. Del Pino Coronel <tuaregmex en yahoo com mx> wrote: > > Hola Arnulfo! > > > > Hace varios días iba a responderte pero se me había > > pasado, estaba analizando tus archivos de > > configuración pero antes de darte una posible solución > > basado en la experiencia (corta) que tengo de > > configurar shorewall y que al principio también tuve > > fallas, primero quisiera que nos ayudes aclarando el > > panorama. > > > > fw es el sistema en sí de acuerdo a lo que aparece en > > la documentación de shorewall: > > > > Shorewall also recognizes the firewall system as its > > own zone - by default, the firewall itself is known as > > fw. > > > > Y en la documentación también te indican que "loc" es > > para: > > > > loc Local Local networks > > > > Que en el caso de un equipo con una sola interfaz de > > red, "loc" y "fw" vienen siendo lo mismo. > > > > Es este el esquema que estás manejando? una sola > > interfaz de red? > > > > Ahora voy a hacer un par de suposiciones... Si estás > > usando una sola tarjeta de red, "loc" y "fw" son la > > misma zona y "net" es la que hace referencia hacia > > Internet. > > > > La regla que mencionas es: > > > > REJECT loc fw tcp http, https > > > > Y dices que no te bloquea nada.. pero no te bloquea > > las peticiones desde donde? Desde internet? Porque con > > esa regla le especificas que se bloquee a sí misma en > > el caso de que tengas únicamente una tarjeta de red. > > > > Y es aquí donde me surge la duda de si estás usando el > > esquema de una sola tarjeta de red o sí estás usando 2 > > o mas tarjetas de red. > > > > Si fuera el caso de 2 o más tarjetas entonces la zona > > "loc" la estás usando para equipos que se encuentran > > "detrás" del equipo con Shorewall? Si es así entonces > > mejor cambia el nombre de la zona, en algún momento yo > > hice la configuración de esta forma y tenía problemas > > también así que lo evite usando solamente "fw" para el > > equipo donde estaba Shorewall y use otro nombre de > > zona para los equipos que estaban detras del este > > equipo. > > > > Si nos explicas con mas detalle la configuración que > > quieres hacer, te podría ayudar más. > > > > Saludos! > > > > --- Arnulfo Arellano <arnulfoac en gmail com> escribió: > > > > > Hola > > > Tengo un problema con shorewall, la distribucion que > > > tengo es Mandrake > > > 10, el caso es que no me esta respetando las reglas > > > que le coloqué > > > dentro del archivo /etc/shorewall/rules y solo > > > respeta las que > > > existen dentro de policy, estuve investigando sobre > > > el tema en > > > Internet pero no he encontrado la solución, este es > > > mi archivo de > > > configuracion de rules... > > > > > > ACCEPT loc fw tcp bootps, ssh, 631, http, > > > https - > > > ACCEPT loc fw udp bootps, ssh, 631 > > > ACCEPT fw net tcp www - > > > ACCEPT net fw icmp 8 > > > > > > mi archivo de policy es : > > > loc net ACCEPT > > > fw net ACCEPT > > > net all DROP info > > > all all REJECT info > > > > > > mi archivo de zones es: > > > net Net Internet Zone > > > loc Local Local > > > > > > Segun lo que lei cuando viene una peticion el primer > > > archivo que se > > > checa es rules y si no hay coincidencia entonces se > > > pasa la peticion > > > por policy. El caso es que si por ejemplo coloco en > > > el archivo rules > > > la regla REJECT loc fw tcp http, https no me > > > bloquea nada ...=( > > > > > > Podira alguien orientarme sobre este tema ?? > > > > > > saludos > > > -- > > > Atentamente > > > Arnulfo > > > > > > > > > _______________________________________________ > > > Ayuda mailing list > > > Ayuda en linux org mx > > > Para salir de la lista: > > > > > http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/ > > > > > > > > > > > > > > > > > ___________________________________________________________ > > Do You Yahoo!? > > La mejor conexión a Internet y <b >2GB</b> extra a tu correo por $100 al mes. http://net.yahoo.com.mx > > > > > > > -- > Atentamente > Arnulfo Arellano > -- Atentamente Arnulfo Arellano