amigos estoy implementando un firewall con shorewall con tres zonas internas pero estoy medio complicado con las reglas les muestro lo que tengo en mi configuracion para ver si me pueden guiar un poco la idea es que las zonas alu y adm salgan a internet

archivo zona
###############################################################################
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
INT ipv4 #
ADM ipv4 #
DMZ ipv4 #
ALU ipv4 #
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE

archivo interfaces
###############################################################################
#ZONE INTERFACE BROADCAST OPTIONS
INT eth0 detect dhcp
ADM eth1 detect
DMZ eth2 detect
ALU erh3 detect
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

archivo policy
###############################################################################
#SOURCE DEST POLICY LOG LIMIT:BURST
# LEVEL
fw INT ACCEPT
INT all DROP info
all all REJECT info
#LAST LINE -- DO NOT REMOVE


archivo Masquerading
###############################################################################
#INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARK
eth0 192.168.0.1/24
eth0 192.168.1.0/24
eth0 192.168.2.0/29
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE


archivo Firewall Rules

???que es lo que debo poner para que ambas redes llegen a internet?

Saludos Leonardo,

Por lo que veo estas algo perdido en los archivos del shorewall, te voy a corregir en algo, el archivo que tu dices zona es "zones" , otro es el que tu dices Masquerading su nombre real es "masq", para que puedas salir al internet debes hacer varias cosas, las cuales te las voy a poner, masticadito:

1. zones

fw firewall
net ipv4
adm ipv4
dmz ipv4
alu ipv4

2. interfaces

net eth0 detect dhcp,tcpflags,routefilter,nosmurfs,logmartians
adm eth1 detect
dmz eth2 detect
alu eth3 detect

3. policy

net all DROP info
all all REJECT info

4. masq

eth0 192.168.0.0/24,192.168.1.0/24,192.168.2.0/29

5. rules

ACCEPT adm net tcp 20:65535
ACCEPT dmz net tcp 20:65535
ACCEPT alu net tcp 20:65535
ACCEPT adm net udp 43,53,123,443,1024:65535
ACCEPT alu net udp 43,53,123,443,1024:65535
ACCEPT dmz net udp 43,53,123,443,1024:65535
##En caso de tener un proxy en la red local se acepta el acceso al puerto 3128 o 8080 segun como se tenga configurado####
ACCEPT adm fw tcp 3128
ACCEPT alu fw tcp 3128
ACCEPT adm fw tcp 53 - - 10/sec:5
ACCEPT dmz fw tcp 53 - - 10/sec:5
ACCEPT alu fw tcp 53 - - 10/sec:5
ACCEPT adm fw udp 53 - - 10/sec:5
ACCEPT dmz fw udp 53 - - 10/sec:5
ACCEPT alu fw udp 53 - - 10/sec:5
##Dejamos entrar al servidor a un administrador del servidor o de la red##
ACCEPT adm:192.168.1.25 fw tcp 22
ACCEPT fw net tcp 5:65535
ACCEPT fw net udp 5:65535
##Para hacer un proxy transparente Redireccionamos las conecciones##
REDIRECT loc 3128 tcp 80 - - 20/sec:10
ACCEPT net fw icmp echo-request - - 5/sec:5
ACCEPT net fw icmp echo-reply - - 5/sec:5
ACCEPT net fw icmp redirect - - 5/sec:5
ACCEPT net fw icmp time-exceeded - - 5/sec:5
ACCEPT net fw icmp destination-unreachable - - 5/sec:5
DNAT net dmz:172.16.0.50 tcp 80,443,25,21
Trcrt/ACCEPT fw net
Trcrt/ACCEPT adm net
Trcrt/ACCEPT alu net
Ping/ACCEPT adm fw
Ping/ACCEPT alu fw
Ping/ACCEPT adm net
Ping/ACCEPT alu net
DROP net:192.168.0.0/16 fw
DROP net:192.168.100.0/24 fw
DROP net:172.16.0.0/12 fw
DROP net:172.16.0.0/16 fw
DROP net:172.16.0.0/24 fw
DROP net:10.0.0.0/8 fw
DROP net:10.0.0.0/24 fw
DROP net:224.0.0.0/4 fw
DROP net:240.0.0.0/5 fw
DROP net:127.0.0.0/8 fw
DROP net:0.0.0.0/8 fw
DROP net:169.254.0.0/16 fw
DROP net:255.255.255.255 fw

Y aqui se termina esto, claro que puedes usar muchas mas reglas pero eso ya te lo dejo para que investigues tu mismo, con esto es mas que suficiente para que su tu red LAN pueda navegar con tranquilidad.

NOTA: Cuidado vomitas nada mas de tanto masticar.

Aun con problemas
prbando ya logre sacer las redes a internet ahora mi problema radica en lo siguiente estoy haciendo dnat a una pc dentrode mi dmz en el cual esta levantado apache corriendo sin problemas en esa maquina tengo configurada cono puerta de enlace la ip de mi shorewal en este caso la 192.168.1.1/29, en el firewall tengo puesto el reenbio de paquetes en /etc/sysctl.cfg aun asi no funca la cosa tambien no logro acceder a mi firewall por ssh y webmin les paso mi configuracion a ver si se ve algo malo


Rules File
#############################################################################################################
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ MARK
# PORT PORT(S) DEST LIMIT GROUP
#SECTION ESTABLISHED
#SECTION RELATED
SECTION NEW
ACCEPT fw INT all
ACCEPT ADM:192.168.0.26,192.168.0.239 INT all
Ping/ACCEPT ADM:192.168.0.26,192.168.0.239 INT
Ping/ACCEPT fw ADM
Ping/ACCEPT fw DMZ
Ping/ACCEPT ADM:192.168.0.26,192.168.0.239 fw
ACCEPT ADM INT tcp 20,21,22,43,53,80,443,1024:65535
ACCEPT ADM INT udp 43,53,123,443,1024:65535
ACCEPT ALU INT tcp 20,21,22,43,53,80,443,1024:65535
ACCEPT ALU INT udp 43,53,123,443,1024:65535
ACCEPT DMZ INT tcp 20,21,22,43,53,80,443,1024:65535
ACCEPT DMZ INT udp 43,53,123,443,1024:65535
ACCEPT ADM:192.168.0.26,192.168.0.239 fw tcp 10000,22
ACCEPT INT fw tcp 10000,22
DNAT INT DMZ:192.168.1.2 tcp 80
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

interfaces
###############################################################################
#ZONE INTERFACE BROADCAST OPTIONS
INT eth0 detect tcpflags,blacklist,norfc1918,routefilter,nosmurfs,logmartians
ADM eth1 detect
DMZ eth2 detect
ALU eth3 detect
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

policy
###############################################################################
#SOURCE DEST POLICY LOG LIMIT:BURST
# LEVEL
INT all DROP info
all all REJECT info
#LAST LINE -- DO NOT REMOVE

masq
###############################################################################
#INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARK
eth0 192.168.0.1/24
eth0 192.168.1.0/29
eth0 192.168.2.0/24
eth0 10.10.10.0/24
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE

zones
###############################################################################
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
INT ipv4 #
ADM ipv4 #
DMZ ipv4 #
ALU ipv4 #
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE

otra voz
llegue ayer a mi casa y iba a tratar de conectarme a mi firewall via remota para solucionar lo del d-nat pero me encuentro con la sorpresa que estaba funcionando bien ... o sea desde afuera de mi red se puede ver llame a un amgo y me corroboro ya que el llegaba al la pagina lo raro es que desde mi red no hAY caso de hacerlo navego sin problemas en internet pero cuando trato de llegar mi mi direccion publica nada de nada .... que puede ser ??? ojala me puedan responder y guiame yo por mi parte seguire buscando a ver que encuentro

Yo creo que deverias de hacerle caso a DAVID ROSADO...


No se por que no lo has echo ????

Saludos

P.D. Lee el manual de Joel nuevamente, Digiere ...

---

LinuxTol LinuxMéxico