Zentyal Forum, Linux Small Business Server
International => Spanish => Topic started by: klausneil on July 03, 2013, 10:48:37 pm
-
Saludos:
Al parecer el firewall no me deja navegar; he creado un objeto llamado Laboratorio en el cual hay 2 maquinas (img 01), pero al momento de navegar me aparece error de DNS al visualizar en los log del firewall aparece como DESECHAR el puerto 53 pero UDP, también me apareció que se desecha el 137 y el 138 también en UDP, (img 02) por lo que primero agregue las reglas del firewall para los servicios de DNS y SMB pero no conseguí resultados, así que también procedí a agregar los puertos UDP antes mencionados, pero no he conseguido cambios, incluso he creado una regla para permitir todo (que es la que viene por defecto) pero nada (img 03) Ojala me puedan dar una ayuda. gracias.
-
Hola:
¿Podrias subir capturas sobre las definiciones de esos servicios que estas permitiendo?
-
Saludos jbahillo:
Gracias por tu respuesta por supuesto aquí están.
-
Añade las reglas en Reglas de filtrado desde las redes internas a Zentyal, ya que Reglas de filtrado desde las redes internas es para trafico entre redes internas y hacia Internet, no hacia Zentyal
-
esa regla ya esta agregada y procedí a agregar los servicios señalados pero no tengo cambios, tambien hice un escaneo de los puerto udp y tcp
-
Hola:
Ese escaneo con que parametros lo hiciste? Ya que muestra DNS abierto, pero podria referirse a tcp.
Por otra parte visto que la GUI no nos ayuda a entender el porque el paquete esta siendo bloqueado quizas lo suyo seria revisar
iptables -L -n -v
y ver ahi si ves alguna regla que pueda estar provocandolo. Si no fuese asi, en tal caso te aconsejaria hacer uso de la tabla raw y el objetivo TRACE, conjuntamente con /var/log/kern.log esto te dirá definitivamente que regla (o que ausencia de regla) lo esta provocando, y podrias analizarlo más profundamente. Si necesitas mas información sobre raw y TRACE en iptables, echale un ojo a http://backreference.org/2010/06/11/iptables-debugging/
-
Saludos:
Como podrás ver en el escaneo se hace referencia a que el puerto 53 en UDP esta abierto el escaneo lo hice con la siguiente sintaxis nmap localhost -sT -sU ahora me he dado cuneta que esto solo se da en maquinas virtuales y no en maquinas reales, tengo el firewall desde año y medio y nunca tuve ese problema, ahora también creo que es importante mencionar que esto se ha dado desde que estoy usando el DHCP asignando direcciones estáticas, pues las maquinas reales si aceptan estas direcciones y tienen navegación, en las virtuales cuando inician agarran una dirección del dhcp pero el zentyal los bloquea por no pertenecer a un grupo, los agrego al grupo y les asigno una dirección y ahí es cuando con internet explorer me muestra que no hay conexión, y cuando uso chrome me muestra que es un problema de DNS y al ver los registros del firewall efectivamente es así, como te digo amigo esto es una idea que tengo no se si sera esto pero me resulta muy sospechoso,ojala me puedas dar una mano.
-
Te aconsejo revisar iptables con las indicaciones sobre la tabla raw que te di antes ;)
-
Saludos jbahillo efectivamente hoy he seguido lo que indicaste y me muestra esto, he marcado en negrita un punto que me parece que es muy extraño, así mismo te doy la dirección ip del cliente windows xp
-
Hola:
las cadenas marcadas como nospoof se definen para evitar que:
un usuario malicioso intente simular una IP desde una ubicacion desde la cual no deberia tener.
un usuario malicioso intente simular una IP que no le corresponde (si hay un objeto definido como tal)
Te aconsejo revisar que:
a) las interfaces externas sean eso, externas, esto es que esas interfaces sean las que dan salida a internet a las redes internas
b) revisa que los objetos de red que hayas creado estén correctos (en esa linea se ve que se deniega a toda IP .208 que no tenga esa mac.
c) otra cosa que podrias revisar seria la mac de ese pc, a través de arp -n
-
Saludos amigo
con respecto a los puntos señalados:
a) las interfaces externas sean eso, externas, esto es que esas interfaces sean las que dan salida a internet a las redes internas
Esta parte si esta bien
c) otra cosa que podrías revisar seria la mac de ese pc, a través de arp -n
ejecute ese comando pero me sale que no existe la condición -n pero al suar la condicion -a para visualizar todo los datos existentes, pero me dice "No se encontraron entradas ARP"
te adjunto el log del iptables.
-
Hola:
No tienes entradas en arp? muy raro parece eso....
-
Si es raro pero ahora que he probado en un virtualbox ya me da esa dirección de arp como muestra las imágenes. pero tambien como podras ver en el archivo iptables.txt ahora hay varias direcciones dentro de esa sección de bloqueo y muchas son de maquinas reales pero no tienen problemas con el internet, que crees
Ahora esto se podría deber a un bug?, pues también he observado que ahí dispositivos como una impresora inalambrica y un servidor de backup (marca lacie), no les asigna una dirección estática por vía dhcp y si fuera así como se actuaria.
-
Hola:
Realmente yo te decia que hicieses arp -n en la zentyal, y no en la maquina virtual.
Estoy sospechando que este denegando las conexiones de la maquina virtual porque le vengan del mismo sitio que el ordenador host.
¿podrias ejecutar en el servidor
arp <IP>
sustituyendo la IP por la IP del ordenador host, y la del ordenador guest?
-
Por ultimo ten en cuenta que esto solo bloquea a:
Conexiones que vengan de la IP 192.168.127.185 y que NO tengan como MAC origen 00:06:4F:70:04:AE
0 0 idrop all -- * * 192.168.127.185 0.0.0.0/0 MAC ! 00:06:4F:70:04:AE
y esto
0 0 idrop all -- !eth1 * 192.168.127.0/24 0.0.0.0/0
a conexiones que vengan de otra interfaz que no sea eth1 con IP 192.168.127.0/24
-
Saludos jbahillo
He realizado las pruebas se realizo el arp a la maquina real y a la virtual pero igual Hola:
Estoy sospechando que este denegando las conexiones de la maquina virtual porque le vengan del mismo sitio que el ordenador host.
Tienes razón supongo que esto va por ahí, pero existiría alguna forma de evitar esto?
-
Tal y como ves la 142 no aparece en la tabla arp, prueba a mover algo de trafico (un ping a cualquier sitio, por ejemplo) y a sacar de nuevo los comandos.
Como solucion lo unico que podrias hacer es un hook firewall postservice que elimine las reglas correspondientes del firewall
-
Hola he hecho un ping pero que no responde "la solicitud de ping no pudo encontratel host"
volví a realizar las pruebas
ahora le asigna la dirección pero sigue igual, con respecto a "hook firewall postservice" afectaría esto a la navegación de los demás usuarios, pues no tengo reglas importantes en el firewall, podrías indicarme como se podría realizarlo. he buscado info pero no encuentro.
-
Hola:
Como ves se trata de lo que yo te decia:
cada direccion ip debe venir de una MAC diferente, mientras que aqui tenemos:
Address HWtype HWaddress Flags Mask Iface
192.168.127.130 ether d8:5d:4c:b4:49:c0 C eth1
192.168.127.142 ether d8:5d:4c:b4:49:c0 C eth1
Para solventar esto, podrias definir en zentyal el objeto de la ip de la maquina virtual con la mac d8:5d:4c:b4:49:c0
-
Si, ya esta cada uno en su objeto pero en la maquina da conexión limitada o nula, pero si le pongo estática si acepta y tiene internet.
Perfecto amigo, muchas gracias, pero tu crees que exista una solución para que pueda asignar la dirección por el dhcp estático? y también podrías decirme algo de info sobre "hook firewall postservice"
-
Saludos:
Bueno al parecer cuando se usan direcciones estáticas estas funcionan muy bien en los host reales, en tanto en los virtuales para no tener este inconveniente solo se le tendría que asignar el nombre de equipo, dirección ip pero NO la dirección mac, así mismo se le tendría que asignar manualmente dicha dirección pues el dhcp no llega a restablecerle la ip asignada automáticamente, ojala le sirve a alguien esto.
Por otro lado muchisimas gracias al amigo JBAHILLO pues sin su ayuda no habria sido capas de solucionar este inconveniente, muchas gracias.
P.D: solamente me queda pedir, si es que se puede, referencias con respecto a "hook firewall postservice" Gracias
-
Hola klausneil:
Echale un ojo a http://doc.zentyal.org/es/develop.html#personalizacion-avanzada-de-servicios
-
Gracias por tu ayuda, saludos