Bienvenido(a) a Alcance Libre 24/06/2022, 23:55

Alcance Libre Foros

 Índice del foro > Todo acerca de Linux > Seguridad New Topic Post Reply
 Acceso a puertos desde mi VPN
Tópico anterior Tópico siguiente
   
manowar
 03/24/11 09:32AM (Leído 3,110 veces)  

Miembro Activo

Estado: desconectado
Forum User

Identificado: 02/26/07
Mensajes: 280
Localización:Santiago - Chile
Estimados, tengo algun problema con mi VPN, esta configurada con OPENVPN, por dhcp entrega ips de la red 172.16.1.0/24, pues bien me conecto sin problema a la VPN, mi pc cliente toma una ip desde la VPN. El problema es que no me puedo conectar a ningun puerto del FW.
Tengo indicado en el archivo policy de shorewall :

rem fw ACCEPT
fw rem ACCEPT

por ejemplo ssh hacia el FW no me funciona conexion al puerto 110 y 143(mail server en la dmz) que son los que necesito de momento menos, de hecho tampoco llego a la DMZ, asi que si envio un mail me da Relay Deny y el mi zimbra esta agregada la red de mi VPN para que pueda enviar correo. Definitivamente el lio va por el lado FW.

Que me esta faltando.

Saludos y como siempre se agradecen las ayudas.
 
Profile Email Website
 Quote
Joel Barrios Dueñas
 03/24/11 10:52AM  

Admin

Estado: desconectado
Site Admin

Identificado: 02/17/07
Mensajes: 1761
Localización:Mexico
Mmmm. Por favor, publica más detalles de tu configuración. Los contenidos completos de zones, interfaces, policy, tunnels y rules.
 
Profile Email Website
 Quote
manowar
 03/24/11 11:45AM  

Miembro Activo

Estado: desconectado
Forum User

Identificado: 02/26/07
Mensajes: 280
Localización:Santiago - Chile
Archivo zones:
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
loc ipv4
dmz ipv4
net ipv4
# OpenVPN #
rem ipv4

Archivo interfaces:
#ZONE INTERFACE BROADCAST OPTIONS
loc eth0 detect
dmz eth1 detect
net eth2 detect
rem tun0 detect dhcp

Archivo policy:
#SOURCE DEST POLICY LOG LIMIT:BURST
# LEVEL

fw net ACCEPT
fw dmz ACCEPT
fw rem ACCEPT
dmz net ACCEPT
dmz fw ACCEPT
dmz loc ACCEPT
dmz rem ACCEPT
loc net REJECT info
loc dmz REJECT info
# OpenVpn ----
rem fw ACCEPT
rem net ACCEPT
net rem ACCEPT
rem dmz ACCEPT
# ------------
net all DROP info
all all REJECT info

Archivo tunnels:
#TYPE ZONE GATEWAY GATEWAY
# ZONE

openvpnserver:1194 rem 172.16.1.0/0

Archivo rules:

#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ MARK
# PORT PORT(S) DEST LIMIT GROUP
ACCEPT net:200.113.174.2 fw tcp https,7071,3000
ACCEPT net:200.75.19.241 fw tcp https,7071,3000,22
ACCEPT net $FW:200.55.221.106 tcp http,https
ACCEPT net fw udp 1194
ACCEPT fw net udp 1194
ACCEPT net $FW:200.55.221.107 tcp http
ACCEPT net $FW:200.55.221.107 tcp 1600
ACCEPT net $FW:200.55.221.107 tcp 32760

ACCEPT loc dmz:10.8.1.10 tcp 110,143,443,7071
ACCEPT loc dmz:10.8.1.1 tcp 3000
ACCEPT loc:192.168.10.155 dmz:10.8.1.10 tcp 25 # Impresora Canon
ACCEPT loc:192.168.10.4 dmz:10.8.1.10 tcp 25 # hperez
ACCEPT loc:192.168.10.5 dmz:10.8.1.10 tcp 25 # hperez
ACCEPT loc:192.168.10.6 dmz:10.8.1.10 tcp 25 # slarrondo
ACCEPT loc:192.168.10.21 dmz:10.8.1.10 tcp 25 # lperez
ACCEPT loc:192.168.10.23 dmz:10.8.1.10 tcp 25 # parias
ACCEPT loc:192.168.10.72 dmz:10.8.1.10 tcp 25 #
ACCEPT loc dmz:10.8.1.20 tcp http,1600,32760
ACCEPT dmz:10.8.1.10 fw tcp ssh
ACCEPT dmz fw tcp 53
ACCEPT dmz fw udp 53
ACCEPT loc fw tcp 53
ACCEPT loc fw udp 53
ACCEPT loc net tcp 5400
ACCEPT loc net tcp 443,143,993
ACCEPT loc:192.168.10.23 net:164.77.181.30 tcp 110 #correo entel chile
ACCEPT loc:192.168.10.23 net:164.77.181.14 tcp 25 #correo entel chile
ACCEPT loc:192.168.10.23 net:164.77.62.8 tcp 110 #correo entel chile
ACCEPT loc:192.168.10.23 net:164.77.62.8 tcp 25 #correo entel chile
ACCEPT loc:192.168.10.4 net tcp 25,110,143,500,587,993,4500,5223 #correo externo, iDisk y Mobileme
ACCEPT loc:192.168.10.5 net tcp 25,110,143,500,587,993,4500,5223 #correo externo, iDisk y Mobileme
ACCEPT loc:192.168.10.85 net tcp 3389
##------Netbios crap------------------------------------>>
REJECT loc net tcp 137,445
REJECT loc net udp 137:139
##------------------------------------------------------>>
##
##----Para ver DVR--------------------------------------->>
DNAT net dmz:10.8.1.20 tcp http - 200.55.221.107
DNAT net dmz:10.8.1.20 tcp 1600 - 200.55.221.107
DNAT net dmz:10.8.1.20 tcp 32760 - 200.55.221.107
##------------------------------------------------------->>
##
##----Para administracion Zimbra consola grafica--------->>
DNAT net:200.75.19.241 dmz:10.8.1.10 tcp https - 200.55.221.106
DNAT net:200.75.19.241 dmz:10.8.1.10 tcp 7071 - 200.55.221.106
DNAT net:200.113.174.2 dmz:10.8.1.10 tcp https - 200.55.221.106
DNAT net:200.113.174.2 dmz:10.8.1.10 tcp 7071 - 200.55.221.106
##----Para acceso a webmail zimbra----------------------->>
DNAT net dmz:10.8.1.10 tcp http - 200.55.221.106
DNAT net dmz:10.8.1.10 tcp 25 - 200.55.221.106 4/min:8 #Limita a 4 intentos por minuto con max de 8 rafagas
##----Acceso Servidor Web-DNS-FTP----------------------->>
DNAT net:200.113.174.2 dmz:10.8.1.30 tcp domain - 200.55.221.108
DNAT net dmz:10.8.1.30 udp domain - 200.55.221.108
DNAT net dmz:10.8.1.30 tcp http - 200.55.221.108
DNAT net dmz:10.8.1.30 tcp ssh,ftp,ftp-data - 200.55.221.108
##------------------------------------------------------->>
#
##----Para Navegar via Proxy----------------------------->>
REDIRECT loc 8080 tcp 80






 
Profile Email Website
 Quote
Contenido generado en: 0.10 segundos New Topic Post Reply
 Todas las horas son CDT. Hora actual 11:55 PM.
Tópico normal Tópico normal
Tópico Pegado Tópico Pegado
Tópico bloqueado Tópico bloqueado
Mensaje Nuevo Mensaje Nuevo
Tópico pegado con nuevo mensaje Tópico pegado con nuevo mensaje
Tópico bloqueado con nuevo mensaje Tópico bloqueado con nuevo mensaje
Ver mensajes anónimos 
Los usuarios anónimos pueden enviar 
Se permite HTML Filtrado 
Contenido censurado