[RESUELTO] Ayuda con Filtrado de Firewall - Zentyal 3.5

[ruso65]

Estimados,
hasta el momento pude lograr lo que necesitaba (hacer funcionar el proxy no transparente como transparente para los usuarios de la red implementando WPAD por DNS).

Ahora me vengo peleando con el Filtrado del Firewall y la verdad es que no logro comprenderlo..

Lo que yo necesito es armar un conjunto de reglas que solo permita a los usuarios de la red tener navegación por internet (http y https), poder subir y bajar correos por SMTP, POP e IMAP y poder usar los port TCP 2084 y 2082. El resto de los puertos TCP y UDP deben quedar bloqueados.

Desde "afuera" (Internet) necesito poder acceder solo al port 6500 y a los ports 55000 y 55500 que luego los redirecciono a los ports de escritorio remoto (TCP 3389) de las IP internas 192.168.10.20 y 192.168.10.21 respectívamente. El resto de los ports deben quedar cerrados para el acceso desde Internet.

Alguien me puede dar una mano en esto? o por lo menos mostrarme algunas reglas desde donde pueda armar las que necesito?

Desde ya MUCHAS GRACIAS! 

[mazallus]

en filtrado de redes internas tienes que permitir los servicios que desees y ponerlos arriba de la lista.Lo importante es que al final de la lista lo deniegues todo.Las reglas se leen por orden de arriba a abajo,así que se permitiran todas las que quieras y al final se denegaran el resto.
Los puertos que quieras poner en las reglas primero los tienes que declarar en  el modulo red-servicios y ponerles un nombre,despues ya los puedes permitir o cerrar por el firewall.

Desde afuera exactamente lo mismo pero en filtrado de redes externas a Zentyal,y despues los redireccionas en el modulo firewall-redireccion de puertos

[ruso65]

Hola Mazallus
Ya hice exactamente lo que me estás sugiriendo pero no funciona correctamente. Por las dudas ante cada cambio estoy reiniciando el zentyal por si las reglas no se aplican "en caliente"..
Solo puedo hacer que naveguen, el uso (por ejemplo) del port 2084 o 2082 me lo deniega a pesar que tengo las reglas que habilitan al uso del mismo antes que la que deniega todo (que está a lo último).

Algo estoy haciendo/registrando mal.. y no lo puedo encontrar!

Gracias

[mazallus]

¿tienes una captura de pantalla del firewall para redes internas?

[ruso65]

Te paso las imágenes de como tengo declarado el servicio para el port 2084 y luego las reglas del Firewall
Es un ambiente de prueba con VirtualBox en una PC huésped con 2 placas de red. Una de ellas no está conectada a nada y es la que uso como pueden para lo que sería la "red interna" (192.168.33.0/24)
La otra placa de red es la que está conectada con mi router y me brinda la salida a Internet.
La ip del Zentyal para esta placa es 192.168.1.5 y el Gateway Default del Zentyal es 192.168.1.1 (Ip del router...)

La maquina virtual con la que estoy probando la navegación es un Windows XP, se encuentra unida al dominio y navega por el Proxy (no transparente) del Zentyal.

[ruso65]

El tema se pone peor...
Quise empezar de nuevo desde cero.. borre todas las reglas y sigue sin dejarme acceder al port 2084 !!
Ahora si se me quemaron todos los libros... Se habrá "roto" algo en el Zentyal?

[mazallus]

el problema de la redes internas que veo es que el destino le das la ip de la interfaz de la red externa.estas redes internas no tienen acceso directo a las redes externas,ya que su ámbito es 192.168.33.0,tendrias que cambiar ese destino por cualquiera.(en la negación también)
El tema que lo tengas virtualizado (No me queda claro si solo el cliente windows xp o también la máquina zentyal) con virtualBox no se si puede generar algun problema a la hora de hacer nat de fuera a adentro.De todas formas,supongo que el router tiene abierto os puertos y redireccionado a 192.168.1.5

[ruso65]

Gracias Mazallus.
En cuanto a los ámbitos de las IP se supone que lo tendría que solucionar el Zentyal dado que su trabajo como Gateway (y por la definición de las interfaces) es hacer que las comunicaciones salgan por su interface WAN.
Lo que yo entiendo es que las políticas de filtrado las maneja Zentyal y él sí tiene acceso hacia ambos ámbitos..
Seguiré probando. Con todas las variantes hasta que lo pueda hacer funcionar..

Igualmente fijate que en el último post subí una imagen donde ahún sin filtros en el gateway solo me permite navegar, no brinda ninguna respuesta al (por ejemplo) port 2048, tampoco a los 25, 110, etc...

Saludos

[mazallus]

intenta abrirlo con destino cualquiera,aunque si sin reglas te deja navegar pero no acceder al puerto puede que sea mas cuestion de redireccionamento o nat que no de firewall,suerte

[mazallus]

Esta congiguración que te pongo funciona perfectamente.Da acceso total al objet supers,al objeto claustre le da acceso http y https y al resto solo les deja acceso http.

[ruso65]

Ya lo pude hacer funcionar.
Ocurre que las reglas sobre el filtrado de ports que tengan que ver con la navegación si se usa Proxy se deben definir en el conjunto de reglas que se aplican desde el Zentyal hacia Internet.
Las reglas de filtrado de ports de la red interna son usadas por otras aplicaciones como Outlook, SQL Server, etc. etc. O sea  todo aquello que no se hace con un navegador Web que sale por el proxy de Zentyal.

Ahora puedo filtrar como lo tenía pensado implementar.

Gracias!!