Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
61
Spanish / Re: Webmin
« on: January 10, 2011, 12:06:00 pm »
1º)Te creas un servicio que sea webmin puerto TCP 10000
2º)En las opciones del cortafuegos-->Filtrado de paquetes añades la regla en dónde corresponda.
A mi me funciona bastante bien.
Un saludo.
2º)En las opciones del cortafuegos-->Filtrado de paquetes añades la regla en dónde corresponda.
A mi me funciona bastante bien.
Un saludo.
62
Spanish / Re: proxy lento
« on: January 06, 2011, 12:26:32 am »
Yo tuve un problema similar y la culpa la tenía el servidor dns... lo tienes bien configurado?
63
Installation and Upgrades / Re: Cannot use for the bundle the server's certificate
« on: January 01, 2011, 07:35:54 pm »64
Installation and Upgrades / Re: Proxy filter stops working after restart
« on: December 31, 2010, 10:35:45 am »
I have the same problem, the only solution to configure all over again ... that boring!
65
Spanish / itunes no va
« on: December 22, 2010, 08:03:27 pm »
Pues eso, tengo zentyal como proxy transparente y firewall para mi LAN pero no consigo que funcione internet.
wan---->router---->(eth0)Zentyal(eth1)---->LAN
He creado un servicio con todos los puertos tcp/udp abiertos y lo he anadido como regla del firewall para un equipo de mi red (en la sección de Filtering rules for internal networks)--->resultado el streaming no funciona para todas las emisoras de radio, sólo para unas pocas.
No lo entiendo...alguién sabe como solucionarlo?
Gracias.
wan---->router---->(eth0)Zentyal(eth1)---->LAN
He creado un servicio con todos los puertos tcp/udp abiertos y lo he anadido como regla del firewall para un equipo de mi red (en la sección de Filtering rules for internal networks)--->resultado el streaming no funciona para todas las emisoras de radio, sólo para unas pocas.
No lo entiendo...alguién sabe como solucionarlo?
Gracias.
66
Spanish / Re: dhcp no da internet a los clientes
« on: December 17, 2010, 06:01:35 pm »
Has probado que puedes hacer ping desde un cliente a la máquina Zentyal?
Y desde el cliente al router también?
Un saludo.
Y desde el cliente al router también?
Un saludo.
67
Spanish / Proxy ignora el filtrado cada vez que lo reinicio
« on: December 15, 2010, 05:26:12 pm »
Pues eso, tengo configurado el firewall, he creado los filtros correspondientes (en estos filtros he añadido las listas de shallalist y he añadido el filtro al objeto en cuestión.
Funciona perfectamente, pero cada vez que reinicio el equipo o el proxy desde el dashboard, el proxy ignora las listas de filtrado.
Aparentemente todo continúa igual pero las categoriás que antes tenía filtradas ahora se puede ver sin problemas, tengo que ir otra vez a "Añadiendo una nueva Lista de dominios de Internet" ,borrar la lista y volverla a cargar.(Teniendo que configurar otra vez todas las listas de filtrado)
Entonces vuelve a funcionar.... me tiene desconcertado.
EDITO Esta parte de abajo ya está solucionado, lo dejo por si alguien tiene el mismo error:
Por otra parte quería cambiar el template que sale cuando te deniega el acceso... creo que hay que modificar /usr/share/ebox/stubs/squid/template.html.mas
Ahora todavía peor... he eliminado la lista y lo que tengo es:
The following modules failed while saving their changes, their state is unknown: squid
En el log:
[/usr/share/perl5/Error.pm:416]
[/usr/share/perl5/EBox/Global.pm:587]
[/usr/share/ebox/ebox-global-action:39]
[/usr/share/perl5/Error.pm:416]
[/usr/share/ebox/ebox-global-action:60]
2010/12/15 18:16:46 INFO> Base.pm:151 EBox::Module::Base::save - Restarting service for module: logs
2010/12/15 18:16:47 ERROR> Global.pm:622 EBox::Global::saveAllModules - The following modules failed while saving their changes, their state is unknown: squid
2010/12/15 18:18:03 INFO> Service.pm:706 EBox::Module::Service::restartService - Restarting service for module: events
2010/12/15 18:18:04 INFO> EventDaemon.pm:301 EBox::EventDaemon::_loadModules - EBox::Event::Watcher::Log loaded from registeredEvents
2010/12/15 18:18:04 INFO> EventDaemon.pm:301 EBox::EventDaemon::_loadModules - EBox::Event::Dispatcher::Log loaded from registeredDispatchers
Mas pruebas:
sudo /etc/init.d/ebox squid stop
rm /var/lib/ebox/tmp/squid.lock
sudo /etc/init.d/ebox squid start
Da como resultado:
Use of uninitialized value in concatenation (.) or string at /usr/share/perl5/HTML/Mason/Component/Subcomponent.pm line 34.
Use of uninitialized value in concatenation (.) or string at /usr/share/perl5/HTML/Mason/Component/Subcomponent.pm line 34.
Use of uninitialized value in concatenation (.) or string at /usr/share/perl5/HTML/Mason/Component/Subcomponent.pm line 34.
Use of uninitialized value in concatenation (.) or string at /usr/share/perl5/HTML/Mason/Component/Subcomponent.pm line 34.
Use of uninitialized value in concatenation (.) or string at /usr/share/perl5/HTML/Mason/Component/Subcomponent.pm line 34.
Use of uninitialized value in concatenation (.) or string at /usr/share/perl5/HTML/Mason/Component/Subcomponent.pm line 34.
Use of uninitialized value in concatenation (.) or string at /usr/share/perl5/HTML/Mason/Component/Subcomponent.pm line 34.
Use of uninitialized value in concatenation (.) or string at /usr/share/perl5/HTML/Mason/Component/Subcomponent.pm line 34.
Use of uninitialized value in concatenation (.) or string at /usr/share/perl5/HTML/Mason/Component/Subcomponent.pm line 34.
* Restarting Zentyal module: squid
Y el log:
[/usr/share/perl5/Error.pm:416]
[/usr/share/perl5/EBox/CGI/Base.pm:278]
[/usr/share/perl5/EBox/CGI/Run.pm:120]
[/usr/share/ebox/cgi/ebox.cgi:35]
[/usr/share/perl5/Error.pm:416]
[/usr/share/ebox/cgi/ebox.cgi:104]
[/usr/lib/perl5/ModPerl/RegistryCooker.pm:204]
[/usr/lib/perl5/ModPerl/RegistryCooker.pm:170]
[/usr/lib/perl5/ModPerl/Registry.pm:31]
[-e:0]
Solución final:
apt-get purge ebox-squid
apt-get install ebox-squid
Un saludo.
Funciona perfectamente, pero cada vez que reinicio el equipo o el proxy desde el dashboard, el proxy ignora las listas de filtrado.
Aparentemente todo continúa igual pero las categoriás que antes tenía filtradas ahora se puede ver sin problemas, tengo que ir otra vez a "Añadiendo una nueva Lista de dominios de Internet" ,borrar la lista y volverla a cargar.(Teniendo que configurar otra vez todas las listas de filtrado)
Entonces vuelve a funcionar.... me tiene desconcertado.
EDITO Esta parte de abajo ya está solucionado, lo dejo por si alguien tiene el mismo error:
Por otra parte quería cambiar el template que sale cuando te deniega el acceso... creo que hay que modificar /usr/share/ebox/stubs/squid/template.html.mas
Ahora todavía peor... he eliminado la lista y lo que tengo es:
The following modules failed while saving their changes, their state is unknown: squid
En el log:
[/usr/share/perl5/Error.pm:416]
[/usr/share/perl5/EBox/Global.pm:587]
[/usr/share/ebox/ebox-global-action:39]
[/usr/share/perl5/Error.pm:416]
[/usr/share/ebox/ebox-global-action:60]
2010/12/15 18:16:46 INFO> Base.pm:151 EBox::Module::Base::save - Restarting service for module: logs
2010/12/15 18:16:47 ERROR> Global.pm:622 EBox::Global::saveAllModules - The following modules failed while saving their changes, their state is unknown: squid
2010/12/15 18:18:03 INFO> Service.pm:706 EBox::Module::Service::restartService - Restarting service for module: events
2010/12/15 18:18:04 INFO> EventDaemon.pm:301 EBox::EventDaemon::_loadModules - EBox::Event::Watcher::Log loaded from registeredEvents
2010/12/15 18:18:04 INFO> EventDaemon.pm:301 EBox::EventDaemon::_loadModules - EBox::Event::Dispatcher::Log loaded from registeredDispatchers
Mas pruebas:
sudo /etc/init.d/ebox squid stop
rm /var/lib/ebox/tmp/squid.lock
sudo /etc/init.d/ebox squid start
Da como resultado:
Use of uninitialized value in concatenation (.) or string at /usr/share/perl5/HTML/Mason/Component/Subcomponent.pm line 34.
Use of uninitialized value in concatenation (.) or string at /usr/share/perl5/HTML/Mason/Component/Subcomponent.pm line 34.
Use of uninitialized value in concatenation (.) or string at /usr/share/perl5/HTML/Mason/Component/Subcomponent.pm line 34.
Use of uninitialized value in concatenation (.) or string at /usr/share/perl5/HTML/Mason/Component/Subcomponent.pm line 34.
Use of uninitialized value in concatenation (.) or string at /usr/share/perl5/HTML/Mason/Component/Subcomponent.pm line 34.
Use of uninitialized value in concatenation (.) or string at /usr/share/perl5/HTML/Mason/Component/Subcomponent.pm line 34.
Use of uninitialized value in concatenation (.) or string at /usr/share/perl5/HTML/Mason/Component/Subcomponent.pm line 34.
Use of uninitialized value in concatenation (.) or string at /usr/share/perl5/HTML/Mason/Component/Subcomponent.pm line 34.
Use of uninitialized value in concatenation (.) or string at /usr/share/perl5/HTML/Mason/Component/Subcomponent.pm line 34.
* Restarting Zentyal module: squid
Y el log:
[/usr/share/perl5/Error.pm:416]
[/usr/share/perl5/EBox/CGI/Base.pm:278]
[/usr/share/perl5/EBox/CGI/Run.pm:120]
[/usr/share/ebox/cgi/ebox.cgi:35]
[/usr/share/perl5/Error.pm:416]
[/usr/share/ebox/cgi/ebox.cgi:104]
[/usr/lib/perl5/ModPerl/RegistryCooker.pm:204]
[/usr/lib/perl5/ModPerl/RegistryCooker.pm:170]
[/usr/lib/perl5/ModPerl/Registry.pm:31]
[-e:0]
Solución final:
apt-get purge ebox-squid
apt-get install ebox-squid
Un saludo.
68
Spanish / Re: ¿Alguien ha modificado iptables para hacer port knocking?
« on: December 15, 2010, 12:01:57 pm »
He cambiado las últimas líneas por:
/sbin/iptables -I INPUT 4 -m recent --update --name PHASE1
/sbin/iptables -I INPUT 5 -p tcp --dport 100 -m recent --set --name PHASE1
/sbin/iptables -I INPUT 6 -p tcp --dport 200 -m recent --rcheck --name PHASE1 -j INTO-PHASE2
/sbin/iptables -I INPUT 7 -p tcp --dport 300 -m recent --rcheck --name PHASE2 -j INTO-PHASE3
/sbin/iptables -I INPUT 8 -p tcp --dport 400 -m recent --rcheck --name PHASE3 -j INTO-PHASE4
/sbin/iptables -I INPUT 9 -p tcp --dport 22 -m recent --rcheck --seconds 5 --name PHASE4 -j ACCEPT
Pero obtengo el mismo resultado... mirando en /var/log/messages ... veo que llego a phase4 y la conexión ssh la que me la niega.
EDITO:
Solucionado... el problema era con los 5 segundos, he puesto 50 y todo ok.
Gracias.
Un saludo.
/sbin/iptables -I INPUT 4 -m recent --update --name PHASE1
/sbin/iptables -I INPUT 5 -p tcp --dport 100 -m recent --set --name PHASE1
/sbin/iptables -I INPUT 6 -p tcp --dport 200 -m recent --rcheck --name PHASE1 -j INTO-PHASE2
/sbin/iptables -I INPUT 7 -p tcp --dport 300 -m recent --rcheck --name PHASE2 -j INTO-PHASE3
/sbin/iptables -I INPUT 8 -p tcp --dport 400 -m recent --rcheck --name PHASE3 -j INTO-PHASE4
/sbin/iptables -I INPUT 9 -p tcp --dport 22 -m recent --rcheck --seconds 5 --name PHASE4 -j ACCEPT
Pero obtengo el mismo resultado... mirando en /var/log/messages ... veo que llego a phase4 y la conexión ssh la que me la niega.
EDITO:
Solucionado... el problema era con los 5 segundos, he puesto 50 y todo ok.
Gracias.
Un saludo.
69
Spanish / ¿Alguien ha modificado iptables para hacer port knocking?[SOLUCIONADO]
« on: December 14, 2010, 01:19:50 pm »
Mensaje editado: Había puesto información incorrecta
Pues eso, información para hacer port knocking hay un montón en la web, me he propuesto hacerlo para el puerto 22 de la máquina zentyal y le knock hacerlo con una secuencia telnet.
El código funciona bien (no es mío).
Lo que he hecho:
- Modifico el archivo firewall.postservice
- añado:
/sbin/iptables -N INTO-PHASE2
/sbin/iptables -A INTO-PHASE2 -m recent --name PHASE1 --remove
/sbin/iptables -A INTO-PHASE2 -m recent --name PHASE2 --set
/sbin/iptables -A INTO-PHASE2 -j LOG --log-prefix "INTO PHASE2: "
/sbin/iptables -N INTO-PHASE3
/sbin/iptables -A INTO-PHASE3 -m recent --name PHASE2 --remove
/sbin/iptables -A INTO-PHASE3 -m recent --name PHASE3 --set
/sbin/iptables -A INTO-PHASE3 -j LOG --log-prefix "INTO PHASE3: "
/sbin/iptables -N INTO-PHASE4
/sbin/iptables -A INTO-PHASE4 -m recent --name PHASE3 --remove
/sbin/iptables -A INTO-PHASE4 -m recent --name PHASE4 --set
/sbin/iptables -A INTO-PHASE4 -j LOG --log-prefix "INTO PHASE4: "
/sbin/iptables -A INPUT -m recent --update --name PHASE1
/sbin/iptables -A INPUT -p tcp --dport 100 -m recent --set --name PHASE1
/sbin/iptables -A INPUT -p tcp --dport 200 -m recent --rcheck --name PHASE1 -j INTO-PHASE2
/sbin/iptables -A INPUT -p tcp --dport 300 -m recent --rcheck --name PHASE2 -j INTO-PHASE3
/sbin/iptables -A INPUT -p tcp --dport 400 -m recent --rcheck --name PHASE3 -j INTO-PHASE4
/sbin/iptables -A INPUT -p tcp --dport 22 -m recent --rcheck --seconds 5 --name PHASE4 -j ACCEPT
Obtenido de: http://blog.amarelloartis.com/2009/07/07/port-knocking/
De momento no funciona.
Desde la misma maquina ejecuto:
telnet localhost 100 ; telnet localhost 200 ; telnet localhost 300 ; telnet localhost 400 ; ssh localhost
resultado:
Trying ::1...
Trying 127.0.0.1...
telnet: Unable to connect to remote host: Connection refused
Trying ::1...
Trying 127.0.0.1...
telnet: Unable to connect to remote host: Connection refused
Trying ::1...
Trying 127.0.0.1...
telnet: Unable to connect to remote host: Connection refused
Trying ::1...
Trying 127.0.0.1...
telnet: Unable to connect to remote host: Connection refused
ssh: connect to host localhost port 22: Connection refused
EDITO: Viendo iptables -L veo que las cadenas si que me las crea
Pues eso, información para hacer port knocking hay un montón en la web, me he propuesto hacerlo para el puerto 22 de la máquina zentyal y le knock hacerlo con una secuencia telnet.
El código funciona bien (no es mío).
Lo que he hecho:
- Modifico el archivo firewall.postservice
- añado:
/sbin/iptables -N INTO-PHASE2
/sbin/iptables -A INTO-PHASE2 -m recent --name PHASE1 --remove
/sbin/iptables -A INTO-PHASE2 -m recent --name PHASE2 --set
/sbin/iptables -A INTO-PHASE2 -j LOG --log-prefix "INTO PHASE2: "
/sbin/iptables -N INTO-PHASE3
/sbin/iptables -A INTO-PHASE3 -m recent --name PHASE2 --remove
/sbin/iptables -A INTO-PHASE3 -m recent --name PHASE3 --set
/sbin/iptables -A INTO-PHASE3 -j LOG --log-prefix "INTO PHASE3: "
/sbin/iptables -N INTO-PHASE4
/sbin/iptables -A INTO-PHASE4 -m recent --name PHASE3 --remove
/sbin/iptables -A INTO-PHASE4 -m recent --name PHASE4 --set
/sbin/iptables -A INTO-PHASE4 -j LOG --log-prefix "INTO PHASE4: "
/sbin/iptables -A INPUT -m recent --update --name PHASE1
/sbin/iptables -A INPUT -p tcp --dport 100 -m recent --set --name PHASE1
/sbin/iptables -A INPUT -p tcp --dport 200 -m recent --rcheck --name PHASE1 -j INTO-PHASE2
/sbin/iptables -A INPUT -p tcp --dport 300 -m recent --rcheck --name PHASE2 -j INTO-PHASE3
/sbin/iptables -A INPUT -p tcp --dport 400 -m recent --rcheck --name PHASE3 -j INTO-PHASE4
/sbin/iptables -A INPUT -p tcp --dport 22 -m recent --rcheck --seconds 5 --name PHASE4 -j ACCEPT
Obtenido de: http://blog.amarelloartis.com/2009/07/07/port-knocking/
De momento no funciona.
Desde la misma maquina ejecuto:
telnet localhost 100 ; telnet localhost 200 ; telnet localhost 300 ; telnet localhost 400 ; ssh localhost
resultado:
Trying ::1...
Trying 127.0.0.1...
telnet: Unable to connect to remote host: Connection refused
Trying ::1...
Trying 127.0.0.1...
telnet: Unable to connect to remote host: Connection refused
Trying ::1...
Trying 127.0.0.1...
telnet: Unable to connect to remote host: Connection refused
Trying ::1...
Trying 127.0.0.1...
telnet: Unable to connect to remote host: Connection refused
ssh: connect to host localhost port 22: Connection refused
EDITO: Viendo iptables -L veo que las cadenas si que me las crea
70
Spanish / Re: Internet muy lento
« on: December 13, 2010, 09:49:28 am »
Pues, gracias a los dos... el problema es del proxy transparente, en cuanto deshabilito la opción de proxy transparente funciona como un tiro.
Voy a ver si encuentro cómo solucionarlo, ya que no obtengo ningún log raro (no veo que me rechace nada)
Lo único que he hecho con el proxy ha sido añadirle shallalist.
Por ceirto, el filtrado de las listas a veces funciona y otras pasa de mí.
Gracias.
EDITO: Solucionado, reinstalando el módulo DNS.
Voy a ver si encuentro cómo solucionarlo, ya que no obtengo ningún log raro (no veo que me rechace nada)
Lo único que he hecho con el proxy ha sido añadirle shallalist.
Por ceirto, el filtrado de las listas a veces funciona y otras pasa de mí.
Gracias.
EDITO: Solucionado, reinstalando el módulo DNS.
71
Spanish / Internet muy lento [SOLUCIONADO]
« on: December 10, 2010, 06:31:52 pm »
Hola, veréis tengo un equipo nuevo que estoy utilizando como proxy(transparente) y firewall de mi red con zentyal.
Este equipo tiene dos interfaces de red (realmente tiene 6 pero sólo utilizo 2), configuradas de la siguiente forma:
eth0: Zentyal (192.168.1.156)------>router (192.168.1.1)--->WAN
Mi equipo (192.168.50.54)---->eth1:Zentyal (192.168.50.1).
Pues bien, la navegación desde mi equipo va lentísima, pero simplemente en el momento de conectar con el servidor web deseado... es decir se queda como pensando un buen rato y de repente cuando carga la página (aunque a las imágenes les cuesta más).
(Desde la propia máquina Zentyal tampoco va muy bien, pero si que va perfecto si conecto mi máquina directamente al router)
No aparece nada denegado en los registros del proxy, y en los del firewall tampoco nada que me llame la atención:
Sólo tengo puesta una puerta de enlace 192.168.1.1 (en la eth0 que es el unico interface external)
En fin que no sé que puedo hacer, o dónde mirar.
Gracias.
Este equipo tiene dos interfaces de red (realmente tiene 6 pero sólo utilizo 2), configuradas de la siguiente forma:
eth0: Zentyal (192.168.1.156)------>router (192.168.1.1)--->WAN
Mi equipo (192.168.50.54)---->eth1:Zentyal (192.168.50.1).
Pues bien, la navegación desde mi equipo va lentísima, pero simplemente en el momento de conectar con el servidor web deseado... es decir se queda como pensando un buen rato y de repente cuando carga la página (aunque a las imágenes les cuesta más).
(Desde la propia máquina Zentyal tampoco va muy bien, pero si que va perfecto si conecto mi máquina directamente al router)
No aparece nada denegado en los registros del proxy, y en los del firewall tampoco nada que me llame la atención:
Sólo tengo puesta una puerta de enlace 192.168.1.1 (en la eth0 que es el unico interface external)
En fin que no sé que puedo hacer, o dónde mirar.
Gracias.
72
Spanish / Re: duda como configura iptables zentyal
« on: December 01, 2010, 05:43:19 pm »
Muchas gracias... el problema pues, ha sido que no he sabido listar el interfaz con la opción iptables -nL.
(Debería haber puesto iptables -vnL)
Enhorabuena, un gran trabajo.
(Debería haber puesto iptables -vnL)
Enhorabuena, un gran trabajo.
73
Spanish / duda como configura iptables zentyal
« on: November 27, 2010, 10:49:45 am »
Hola sé que exactamente esto no es una duda de zentyal, pero si de como zentyal gestiona el firewall con iptables.
Uso zentyal como firewall y proxy, en principio tengo denegadas todas la conexiones desde el exterior y lo que más me sorprende es que la primera regla de la cadeda input al hacer iptables -L sea:
Chain INPUT (policy DROP)
target -------proc---------opt---------source-----------destination
ACCEPT......all.................----............anywhere............anywhere
Según mis excaso conocimiento de iptables (me he leido varios manuales de 300pag pero todavía soy un simple aprendiz) con esta regla vamos a dejar pasar todo el tráfico y se va a saltar todas las reglas que siguen...no?
sin embargo si hago un iptables-save -t filter veo que las reglas están perfectamente definidas y no se deja pasar tráfico desde fuera.
Por otra parte y para finalizar ¿existe documentación sobre las cadenas iptables que se crean con zentyal, tipo fdns, fdrop, ffwdrules, inoexternal...etc. (en los libros no sale nada)
Mil gracias por todo.
Uso zentyal como firewall y proxy, en principio tengo denegadas todas la conexiones desde el exterior y lo que más me sorprende es que la primera regla de la cadeda input al hacer iptables -L sea:
Chain INPUT (policy DROP)
target -------proc---------opt---------source-----------destination
ACCEPT......all.................----............anywhere............anywhere
Según mis excaso conocimiento de iptables (me he leido varios manuales de 300pag pero todavía soy un simple aprendiz) con esta regla vamos a dejar pasar todo el tráfico y se va a saltar todas las reglas que siguen...no?
sin embargo si hago un iptables-save -t filter veo que las reglas están perfectamente definidas y no se deja pasar tráfico desde fuera.
Por otra parte y para finalizar ¿existe documentación sobre las cadenas iptables que se crean con zentyal, tipo fdns, fdrop, ffwdrules, inoexternal...etc. (en los libros no sale nada)
Mil gracias por todo.