Acceso a puertos desde mi VPN

Bienvenido(a) a Alcance Libre 29/03/2023, 07:28

Alcance Libre Foros

	Índice del foro > Todo acerca de Linux > Seguridad	New Topic Post Reply
Acceso a puertos desde mi VPN

manowar

03/24/11 09:32AM (Leído 3,157 veces)

Miembro Activo

Estado: desconectado

Identificado: 02/26/07
Mensajes: 280
Localización:Santiago - Chile

Estimados, tengo algun problema con mi VPN, esta configurada con OPENVPN, por dhcp entrega ips de la red 172.16.1.0/24, pues bien me conecto sin problema a la VPN, mi pc cliente toma una ip desde la VPN. El problema es que no me puedo conectar a ningun puerto del FW.
Tengo indicado en el archivo policy de shorewall :

rem fw ACCEPT
fw rem ACCEPT

por ejemplo ssh hacia el FW no me funciona conexion al puerto 110 y 143(mail server en la dmz) que son los que necesito de momento menos, de hecho tampoco llego a la DMZ, asi que si envio un mail me da Relay Deny y el mi zimbra esta agregada la red de mi VPN para que pueda enviar correo. Definitivamente el lio va por el lado FW.

Que me esta faltando.

Saludos y como siempre se agradecen las ayudas.

Profile

Website

Quote

Joel Barrios Dueñas

03/24/11 10:52AM

Admin

Estado: desconectado

Identificado: 02/17/07
Mensajes: 1761
Localización:Mexico

Mmmm. Por favor, publica más detalles de tu configuración. Los contenidos completos de zones, interfaces, policy, tunnels y rules.

Profile

Website

Quote

manowar

03/24/11 11:45AM

Miembro Activo

Estado: desconectado

Identificado: 02/26/07
Mensajes: 280
Localización:Santiago - Chile

Archivo zones:
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
loc ipv4
dmz ipv4
net ipv4
# OpenVPN #
rem ipv4

Archivo interfaces:
#ZONE INTERFACE BROADCAST OPTIONS
loc eth0 detect
dmz eth1 detect
net eth2 detect
rem tun0 detect dhcp

Archivo policy:
#SOURCE DEST POLICY LOG LIMIT:BURST
# LEVEL

fw net ACCEPT
fw dmz ACCEPT
fw rem ACCEPT
dmz net ACCEPT
dmz fw ACCEPT
dmz loc ACCEPT
dmz rem ACCEPT
loc net REJECT info
loc dmz REJECT info
# OpenVpn ----
rem fw ACCEPT
rem net ACCEPT
net rem ACCEPT
rem dmz ACCEPT
# ------------
net all DROP info
all all REJECT info

Archivo tunnels:
#TYPE ZONE GATEWAY GATEWAY
# ZONE

openvpnserver:1194 rem 172.16.1.0/0

Archivo rules:
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ MARK
# PORT PORT(S) DEST LIMIT GROUP
ACCEPT net:200.113.174.2 fw tcp https,7071,3000
ACCEPT net:200.75.19.241 fw tcp https,7071,3000,22
ACCEPT net $FW:200.55.221.106 tcp http,https
ACCEPT net fw udp 1194
ACCEPT fw net udp 1194
ACCEPT net $FW:200.55.221.107 tcp http
ACCEPT net $FW:200.55.221.107 tcp 1600
ACCEPT net $FW:200.55.221.107 tcp 32760

ACCEPT loc dmz:10.8.1.10 tcp 110,143,443,7071
ACCEPT loc dmz:10.8.1.1 tcp 3000
ACCEPT loc:192.168.10.155 dmz:10.8.1.10 tcp 25 # Impresora Canon
ACCEPT loc:192.168.10.4 dmz:10.8.1.10 tcp 25 # hperez
ACCEPT loc:192.168.10.5 dmz:10.8.1.10 tcp 25 # hperez
ACCEPT loc:192.168.10.6 dmz:10.8.1.10 tcp 25 # slarrondo
ACCEPT loc:192.168.10.21 dmz:10.8.1.10 tcp 25 # lperez
ACCEPT loc:192.168.10.23 dmz:10.8.1.10 tcp 25 # parias
ACCEPT loc:192.168.10.72 dmz:10.8.1.10 tcp 25 #
ACCEPT loc dmz:10.8.1.20 tcp http,1600,32760
ACCEPT dmz:10.8.1.10 fw tcp ssh
ACCEPT dmz fw tcp 53
ACCEPT dmz fw udp 53
ACCEPT loc fw tcp 53
ACCEPT loc fw udp 53
ACCEPT loc net tcp 5400
ACCEPT loc net tcp 443,143,993
ACCEPT loc:192.168.10.23 net:164.77.181.30 tcp 110 #correo entel chile
ACCEPT loc:192.168.10.23 net:164.77.181.14 tcp 25 #correo entel chile
ACCEPT loc:192.168.10.23 net:164.77.62.8 tcp 110 #correo entel chile
ACCEPT loc:192.168.10.23 net:164.77.62.8 tcp 25 #correo entel chile
ACCEPT loc:192.168.10.4 net tcp 25,110,143,500,587,993,4500,5223 #correo externo, iDisk y Mobileme
ACCEPT loc:192.168.10.5 net tcp 25,110,143,500,587,993,4500,5223 #correo externo, iDisk y Mobileme
ACCEPT loc:192.168.10.85 net tcp 3389
##------Netbios crap------------------------------------>>
REJECT loc net tcp 137,445
REJECT loc net udp 137:139
##------------------------------------------------------>>
##
##----Para ver DVR--------------------------------------->>
DNAT net dmz:10.8.1.20 tcp http - 200.55.221.107
DNAT net dmz:10.8.1.20 tcp 1600 - 200.55.221.107
DNAT net dmz:10.8.1.20 tcp 32760 - 200.55.221.107
##------------------------------------------------------->>
##
##----Para administracion Zimbra consola grafica--------->>
DNAT net:200.75.19.241 dmz:10.8.1.10 tcp https - 200.55.221.106
DNAT net:200.75.19.241 dmz:10.8.1.10 tcp 7071 - 200.55.221.106
DNAT net:200.113.174.2 dmz:10.8.1.10 tcp https - 200.55.221.106
DNAT net:200.113.174.2 dmz:10.8.1.10 tcp 7071 - 200.55.221.106
##----Para acceso a webmail zimbra----------------------->>
DNAT net dmz:10.8.1.10 tcp http - 200.55.221.106
DNAT net dmz:10.8.1.10 tcp 25 - 200.55.221.106 4/min:8 #Limita a 4 intentos por minuto con max de 8 rafagas
##----Acceso Servidor Web-DNS-FTP----------------------->>
DNAT net:200.113.174.2 dmz:10.8.1.30 tcp domain - 200.55.221.108
DNAT net dmz:10.8.1.30 udp domain - 200.55.221.108
DNAT net dmz:10.8.1.30 tcp http - 200.55.221.108
DNAT net dmz:10.8.1.30 tcp ssh,ftp,ftp-data - 200.55.221.108
##------------------------------------------------------->>
#
##----Para Navegar via Proxy----------------------------->>
REDIRECT loc 8080 tcp 80

Profile

Website

Quote

Contenido generado en: 0.10 segundos

New Topic

Post Reply

Todas las horas son CST. Hora actual 07:28 AM.