Que tal buenas tardes He instalado un firewall con dos interfaces en modo bridge con el fin de no modificar ya los direccionamientos de la LAN y del lado del proveedor de servicios (una red MPLS). Al momento, funciona sin mayor problema Estoy utilizando shorewall sobre centOS 6.3. El fin principal es el bloqueo de los puertos 80 y 443 de un rango específico dentro de la lan. En la red local tengo PC´s y telefonía IP. A nivel de red, bridge0 esta formado por eth0 y eth1. La configuración general de shorewall es: #INTERFACES wrd bridge0 detect bridge net bridge0:eth0 detect //net(eth0) conexión hacia el router del proveedor loc bridge0:eth1 detect //loc(eth1) es la conexión hacia mi switch principal #POLICY fw all ACCEPT info all all DROP info #RULES ACCEPT all all icmp 8 ACCEPT all all udp 53 ACCEPT loc:10.168.24.242 net:192.168.1.236 ip ACCEPT net:192.168.1.236 loc:10.168.24.242 ip DROP:info loc:192.168.24.122-192.168.25.250 net tcp 80,443 ACCEPT all all ip Como ven el nivel de restricción en estos momentos es básico, sin embargo me están apareciendo estos mensajes: kernel:nf_ct_Q.931: dropping packetIN= OUT=bridge0 PHYSIN=eth1 PHYSOUT=eth0 SRC=10.168.24.242 DST=192.168.1.236 LEN=1048 TOS=0x08 PREC=0x60 TTL=64 ID=22644 DF PROTO=TCP SPT=1720 DPT=12354 SEQ=45772439 ACK=1657058355 WINDOW=8192 RES=0x00 ACK PSH URGP=0 OPT (0101080A00E0A1000007D967) kernel:nf_ct_Q.931: dropping packetIN= OUT=bridge0 PHYSIN=eth0 PHYSOUT=eth1 SRC=192.168.1.236 DST=10.168.24.242 LEN=509 TOS=0x00 PREC=0x00 TTL=60 ID=5418 DF PROTO=TCP SPT=1720 DPT=12789 SEQ=1618785489 ACK=7117307 WINDOW=8192 RES=0x00 ACK PSH URGP=0 OPT (0101080A0007D84500E09FD9) Estuve investigando y se refiere a un protocolo de señalización para telefonía IP, no me ha afectado en la comunicación IP Me llama la atención que difieren de DROP, y no aparece la etiqueta “Shorewall:” como sucede con los eventos de shorewall Tengo duda si se trata de shorewall como tal, o mas bien tiene relación con el bridge. No se si alguien pueda orientarme respecto a como corregir este problema. De antemano agradezco su ayuda. Saludos

La LAN y la salida a Internet pueden estar en el mismo dispositivo (bridge0). Debes asignar un dispositivo distinto a cada una (net en brindge0, loc en bridge1).

Buenas noches Joel. Solo quisiera comentar: Generé el bridge0 para que pudiera pasar el tráfico de la LAN a la salida de internet sin requerir alguna función de ruteo. Tengo dadas de alta eth0 y eth1, sobre bridge0. No se si te refieras a dar de alta sobre estas mismas interfaces un nuevo bridge1. de ser así no comprendo como tendría que configurar los archivos. Disculpa si no comprendo tu sugerencia. Agradezco tu ayuda Joel. Saludos

Si, loc debe estar en un bridge diferente. Para que funcione el cortafuegos con NAT/DNAT/SNAT y demás, los dispositivos de loc y net deben ser física y lógicamente diferentes. Para shorewall no existen eth0 ni eth1 si estás definiendo bridge0 como interfaz para loc y net.

Muchas gracias Joel

Tengo definido en el archivo zones
fw firewall
wrd ipv4
net:wrd bport
loc:wrd bport

En interfaces:
wrd bridge0 detect bridge
net bridge0:eth0 detect
loc bridge0:eth1 detect

Permiteme comentarte que aplico reglas sobre loc hacia net, como esta
DROP:info loc:192.168.24.122-192.168.25.250 net tcp 80,443

Y funciona la regla. POr ejemplo:
Oct 17 10:28:22 localhost kernel: Shorewall:loc2netROP:IN=bridge0 OUT=bridge0 PHYSIN=eth1 PHYSOUT=eth0 SRC=10.168.23.23 DST=192.36.144.23 LEN=76 TOS=0x00 PREC=0x00 TTL=63 ID=65383 DF PROTO=UDP SPT=1027 DPT=123 LEN=56

En resumen, hace lo que requiero que haga(aunque quiza no sean buenas practicas) salvo esos paquetes de kernel:nf_ct_Q.931 que me esta tirando, y no se si es shorewall o el bridge.

De antemano agradezco tu atención y ayuda. Saludos

Y te ocurrirá porque tienes la LAN y la salida a Internet en el mismo dispositivo. Nuevamente, necesitas que loc y net usen dispositivos diferentes, cada uno en un switch/hub separado, con redes distintas, ya que de otro modo vas a tener toneladas de paquetes marcianos.

Entiendo lo que me dices Joel.

En la práctica no me permiten modificar los direccionamientos.

resulta que el equipo de la salida a la red WAN (MPLS e Internet) es el mismo segmento de la red LAN. me explico:
IP router (interface local): 192.168.24.1/23
IP switch core: 192.168.24.3/23

El camino que he seguido entiendo no es correcto, habría posibilidad de filtrar paquetes sin modificar direccionamientos?

Nota: probare detener el firewall y verificar si se sigue comportando de la misma manera, lo que me indicaría problemas con el bridge

Nuevamente agradezco tu apoyo. Saludos