Author Topic: [SOLUCIONADO] FIREWALL BLOQUEA LA NAVEGACION  (Read 3581 times)

klausneil

  • Zen Samurai
  • ****
  • Posts: 299
  • Karma: +7/-0
  • C)ISSO
    • View Profile
[SOLUCIONADO] FIREWALL BLOQUEA LA NAVEGACION
« on: July 03, 2013, 10:48:37 pm »
Saludos:

Al parecer el firewall no me deja navegar; he creado un objeto llamado Laboratorio en el cual hay 2 maquinas (img 01), pero al momento de navegar me aparece error de DNS al visualizar en los log del firewall aparece como DESECHAR el puerto 53 pero UDP, también me apareció que se desecha el 137 y el 138 también en UDP, (img 02) por lo que primero agregue las reglas del firewall para los servicios de DNS y SMB pero no conseguí resultados, así que también procedí a agregar los puertos UDP antes mencionados, pero no he conseguido cambios, incluso he creado una regla para permitir todo (que es la que viene por defecto) pero nada (img 03) Ojala me puedan dar una ayuda. gracias.
« Last Edit: July 09, 2013, 11:23:31 pm by klausneil »

jbahillo

  • Zentyal Staff
  • Zen Hero
  • *****
  • Posts: 1444
  • Karma: +77/-2
    • View Profile
Re: FIREWALL BLOQUEA LA NAVEGACION
« Reply #1 on: July 04, 2013, 11:26:46 am »
Hola:

¿Podrias subir capturas sobre las definiciones de esos servicios que estas permitiendo?

klausneil

  • Zen Samurai
  • ****
  • Posts: 299
  • Karma: +7/-0
  • C)ISSO
    • View Profile
Re: FIREWALL BLOQUEA LA NAVEGACION
« Reply #2 on: July 04, 2013, 04:58:02 pm »
Saludos jbahillo:

Gracias por tu respuesta por supuesto aquí están.
« Last Edit: July 09, 2013, 06:34:35 pm by klausneil »

jbahillo

  • Zentyal Staff
  • Zen Hero
  • *****
  • Posts: 1444
  • Karma: +77/-2
    • View Profile
Re: FIREWALL BLOQUEA LA NAVEGACION
« Reply #3 on: July 04, 2013, 05:13:20 pm »
Añade las reglas en Reglas de filtrado desde las redes internas a Zentyal, ya que  Reglas de filtrado desde las redes internas es para trafico entre redes internas y hacia Internet, no hacia Zentyal

klausneil

  • Zen Samurai
  • ****
  • Posts: 299
  • Karma: +7/-0
  • C)ISSO
    • View Profile
Re: FIREWALL BLOQUEA LA NAVEGACION
« Reply #4 on: July 04, 2013, 06:34:50 pm »
esa regla ya esta agregada y procedí a agregar los servicios señalados pero no tengo cambios, tambien hice un escaneo de los puerto udp y tcp
« Last Edit: July 09, 2013, 07:57:11 pm by klausneil »

jbahillo

  • Zentyal Staff
  • Zen Hero
  • *****
  • Posts: 1444
  • Karma: +77/-2
    • View Profile
Re: FIREWALL BLOQUEA LA NAVEGACION
« Reply #5 on: July 05, 2013, 09:53:48 am »
Hola:

Ese escaneo con que parametros lo hiciste? Ya que muestra DNS abierto, pero podria referirse a tcp.

Por otra parte visto que la GUI no nos ayuda a entender el porque el paquete esta siendo bloqueado quizas lo suyo seria revisar

iptables -L -n -v

y ver ahi si ves alguna regla que pueda estar provocandolo. Si no fuese asi, en tal caso te aconsejaria hacer uso de la tabla raw y el objetivo TRACE, conjuntamente con /var/log/kern.log esto te dirá definitivamente que regla (o que ausencia de regla) lo esta provocando, y podrias analizarlo más profundamente. Si necesitas mas información sobre raw y TRACE en iptables, echale un ojo a http://backreference.org/2010/06/11/iptables-debugging/

klausneil

  • Zen Samurai
  • ****
  • Posts: 299
  • Karma: +7/-0
  • C)ISSO
    • View Profile
Re: FIREWALL BLOQUEA LA NAVEGACION
« Reply #6 on: July 06, 2013, 05:48:42 pm »
Saludos:

Como podrás ver en el escaneo se hace referencia a que el puerto 53 en UDP esta abierto el escaneo lo hice con la siguiente sintaxis nmap localhost -sT -sU ahora me he dado cuneta que esto solo se da en maquinas virtuales y no en maquinas reales, tengo el firewall desde año y medio y nunca tuve ese problema, ahora también creo que es importante mencionar que esto se ha dado desde que estoy usando el DHCP asignando direcciones estáticas, pues las maquinas reales si aceptan estas direcciones y tienen navegación, en las virtuales cuando inician agarran una dirección del dhcp pero el zentyal los bloquea por no pertenecer a un grupo, los agrego al grupo y les asigno una dirección y ahí es cuando con internet explorer me muestra que no hay conexión, y cuando uso chrome me muestra que es un problema de DNS y al ver los registros del firewall efectivamente es así, como te digo amigo esto es una idea que tengo no se si sera esto pero me resulta muy sospechoso,ojala me puedas dar una mano.
« Last Edit: July 06, 2013, 06:09:48 pm by klausneil »

jbahillo

  • Zentyal Staff
  • Zen Hero
  • *****
  • Posts: 1444
  • Karma: +77/-2
    • View Profile
Re: FIREWALL BLOQUEA LA NAVEGACION
« Reply #7 on: July 08, 2013, 03:16:10 pm »
Te aconsejo revisar iptables con las indicaciones sobre la tabla raw que te di antes ;)

klausneil

  • Zen Samurai
  • ****
  • Posts: 299
  • Karma: +7/-0
  • C)ISSO
    • View Profile
Re: FIREWALL BLOQUEA LA NAVEGACION
« Reply #8 on: July 08, 2013, 05:37:49 pm »
Saludos jbahillo efectivamente hoy he seguido lo que indicaste y me muestra esto, he marcado en negrita un punto que me parece que es muy extraño, así mismo te doy la dirección ip del cliente windows xp
« Last Edit: July 09, 2013, 07:57:31 pm by klausneil »

jbahillo

  • Zentyal Staff
  • Zen Hero
  • *****
  • Posts: 1444
  • Karma: +77/-2
    • View Profile
Re: FIREWALL BLOQUEA LA NAVEGACION
« Reply #9 on: July 08, 2013, 05:44:53 pm »
Hola:
las cadenas marcadas como nospoof se definen para evitar que:

un usuario malicioso intente simular una IP desde una ubicacion desde la cual no deberia tener.
un usuario malicioso intente simular una IP que no le corresponde (si hay un objeto definido como tal)

Te aconsejo revisar que:

a) las interfaces externas sean eso, externas, esto es que esas interfaces sean las que dan salida a internet a las redes internas
b) revisa que los objetos de red que hayas creado estén correctos (en esa linea se ve que se deniega a toda IP .208 que no tenga esa mac.
c) otra cosa que podrias revisar seria la mac de ese pc, a través de arp -n

klausneil

  • Zen Samurai
  • ****
  • Posts: 299
  • Karma: +7/-0
  • C)ISSO
    • View Profile
Re: FIREWALL BLOQUEA LA NAVEGACION
« Reply #10 on: July 08, 2013, 06:26:24 pm »
Saludos amigo

con respecto a los puntos señalados:

a) las interfaces externas sean eso, externas, esto es que esas interfaces sean las que dan salida a internet a las redes internas

Esta parte si esta bien

c) otra cosa que podrías revisar seria la mac de ese pc, a través de arp -n

ejecute ese comando pero me sale que no existe la condición -n pero al suar la condicion -a para visualizar todo los datos existentes, pero me dice "No se encontraron entradas ARP"

te adjunto el log del iptables.
« Last Edit: July 09, 2013, 07:58:10 pm by klausneil »

jbahillo

  • Zentyal Staff
  • Zen Hero
  • *****
  • Posts: 1444
  • Karma: +77/-2
    • View Profile
Re: FIREWALL BLOQUEA LA NAVEGACION
« Reply #11 on: July 08, 2013, 06:35:20 pm »
Hola:

No tienes entradas en arp? muy raro parece eso....



klausneil

  • Zen Samurai
  • ****
  • Posts: 299
  • Karma: +7/-0
  • C)ISSO
    • View Profile
Re: FIREWALL BLOQUEA LA NAVEGACION
« Reply #12 on: July 08, 2013, 09:29:23 pm »
Si es raro pero ahora que he probado en un virtualbox ya me da esa dirección de arp como muestra las imágenes. pero tambien como podras ver en el archivo iptables.txt ahora hay varias direcciones dentro de esa sección de bloqueo y muchas son de maquinas reales pero no tienen problemas con el internet, que crees

Ahora esto se podría deber a un bug?, pues también he observado que ahí dispositivos como una impresora inalambrica y un servidor de backup (marca lacie), no les asigna una dirección estática por vía dhcp y si fuera así como se actuaria.
« Last Edit: July 09, 2013, 07:57:57 pm by klausneil »

jbahillo

  • Zentyal Staff
  • Zen Hero
  • *****
  • Posts: 1444
  • Karma: +77/-2
    • View Profile
Re: FIREWALL BLOQUEA LA NAVEGACION
« Reply #13 on: July 09, 2013, 12:18:28 pm »
Hola:

Realmente yo te decia que hicieses arp -n en la zentyal, y no en la maquina virtual.

Estoy sospechando que este denegando las conexiones de la maquina virtual porque le vengan del mismo sitio que el ordenador host.

¿podrias ejecutar en el servidor

arp <IP>

sustituyendo la IP por la IP del ordenador host, y la del ordenador guest?

jbahillo

  • Zentyal Staff
  • Zen Hero
  • *****
  • Posts: 1444
  • Karma: +77/-2
    • View Profile
Re: FIREWALL BLOQUEA LA NAVEGACION
« Reply #14 on: July 09, 2013, 12:19:51 pm »
Por ultimo ten en cuenta que esto solo bloquea a:

Conexiones que vengan de la IP 192.168.127.185 y que NO tengan como MAC origen  00:06:4F:70:04:AE

    0     0 idrop      all  --  *      *       192.168.127.185      0.0.0.0/0            MAC ! 00:06:4F:70:04:AE

y esto

    0     0 idrop      all  --  !eth1  *       192.168.127.0/24     0.0.0.0/0         


a conexiones que vengan de otra interfaz que no sea eth1 con IP 192.168.127.0/24