Primero que nada... Felicidades por este nuevo puerto al cual los navegantes perdidos podemos dar un respiro a el mar de informacion que hay en la red ( que por cierto hay mucha, variada y aveces erronea)...

Segundo tengo un problema con una aplicacion ( que no hice yo) y la cual me piden que les de acceso atravez de mis servidores ( manejo squid), pero no saben a ciencia cierta cuales son los puertos que usan para transmitir (ellos juran y perjuran que solo es 20 y 21 de ftp) sin embargo, yo tengo habilitados esos puertos pero la aplicacion no funciona, los logs no me marcan ningun error y tampoco me marcan a donde se conectan, pongo el ethereal a monitorear esa maquina pero tampoco no me marca nada extraño, pero si lo conecto con el internet directo si fuciona, si alguien sabe de algun otra cosa que puedo hacer ver por donde salen y se comunican espero me la puedan decir...

doy acceso a esas maquinas con squid y navegan libres por internet, sin embargo esa aplicacion no funciona, usan jaber tambien para comunicacion y me pidieron habilitar es o tambien...
pero eso si funciono...
esto es en firagate

### tcp ###
$IPT -A INPUT -p tcp -i $INT --dport 20 -j ACCEPT
$IPT -A INPUT -p tcp -i $EXT --dport 20 -j ACCEPT
$IPT -A INPUT -p tcp -i $INT --dport 21 -j ACCEPT
$IPT -A INPUT -p tcp -i $EXT --dport 21 -j ACCEPT
$IPT -A OUTPUT -p tcp -i $INT --dport 20 -j ACCEPT
$IPT -A OUTPUT -p tcp -i $EXT --dport 20 -j ACCEPT
$IPT -A OUTPUT -p tcp -i $INT --dport 21 -j ACCEPT
$IPT -A OUTPUT -p tcp -i $EXT --dport 21 -j ACCEPT

#iptables -A INPUT -p tcp --sport 20 -j ACCEPT
#iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT

### jabber ###
#iptables -A INPUT -p tcp --dport 5222 -j ACCEPT
#iptables -A OUTPUT -p tcp --sport 5222 -j ACCEPT
#iptables -A INPUT -p udp --dport 5222 -j ACCEPT
#iptables -A OUTPUT -p udp --sport 5222 -j ACCEPT
$IPT -A INPUT -p tcp -i $INT --dport 5222 -j ACCEPT
$IPT -A INPUT -p udp -i $INT --dport 5222 -j ACCEPT
$IPT -A OUTPUT -p udp -i $INT --dport 5222 -j ACCEPT
$IPT -A OUTPUT -p tcp -i $INT --dport 5222 -j ACCEPT
$IPT -A INPUT -p tcp -i $EXT --dport 5222 -j ACCEPT
$IPT -A INPUT -p udp -i $EXT --dport 5222 -j ACCEPT
$IPT -A INPUT -p udp -i $EXT --dport 5222 -j ACCEPT
$IPT -A INPUT -p tcp -i $EXT --dport 5222 -j ACCEPT

y esto es en squid

acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 8443 27250 21 5222 989 990
acl Safe_ports port 80 8443 27250
acl Safe_ports port 20 27250
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210


de antemano muchisimas gracias por la ayuda (o el regaño segun sea el caso)

---

si no estoy bien, dimelo y enseñame, porque eso hacen los amigos...

Hola. Tu problema va a requerir resolverse en dos partes. La primera me recuerda una situación con la aplicación que compró un cliente hace mucho donde el proveedor le indicó un solo puerto a redireccionar. En realidad eran varios, pero fue muy sencillo determinar cuales.

Primero que nada, hay una forma muy simple de determinar cuales son los puertos desde los cuales escucha una aplicación. Utiliza nmap en este caso. Mi sugerencia es que pidas a nmap escanee puerto por puerto (nmap -p 0-65535 xx.xx.xx.xx), algo que quizá tome varios minutos.

Del resultado anterior, obviamente habrá puertos que utilizan otros servicios del sistema operativo, pero tendrás una idea de los puertos utilizados. todo lo anterior, claro, suponiendo que sea una aplicación que funcione como servidor de algún servicio y que necesites direccionar algunos puertos hacia dicha aplicación. Esto lo comento porque en el caso que te mencioné arriba, quien vendió la aplicación no conocía del todo el funcionamiento de la misma y de hecho dicha aplicación necesitaba no solamente salir a través de ciertos puertos, sino también se hiciera un DNAT hacia esos mismos puertos (comunicación bidireccional)

El segundo paso consiste en hacer los direccionamientos (DNAT), si son necesarios y permitir las salidas. Yo prefiero utilizar shorewall para tal fin. Puedes intentar hacer lo siguiente, que es abrir TODO SOLAMENTE para esa aplicación, haciendo NAT completo solo a una IP, e ir cerrando hasta ajustar los puertos que verdaderamente requiere. Usando shorewall, yo añado en /etc/shorewall/masq:



En /etc/shorewall/rules:


Con esto la aplicación debe tener acceso libre a través del cortafuegos, lo cual la permitirá trabajar, pero definitivamente deja abiertas algunas cosas. A partir de este punto es donde empiezas a cerrar la salida para que solo esté disponible lo que realmente se necesita.

Definitivamente no recomiendo que hagas pasar esta aplicación a través de Squid, así que si lo pusiste como proxy transparente, desde el cortafuegos aplica una excepción entre los redireccioamientos que hayas configurado.

Muchas gracias Joel...
Por lo pronto en el minilaboratorio que hice funciono perferctamente, pero por ahorita no lo he podido probar con la aplicacion real porque me comentaron que le van a hacer unas mejoras (y checar lo de los puertos), asi que en cuanto pueda ponerlo en produccion se los hare saber...

gracias

---

si no estoy bien, dimelo y enseñame, porque eso hacen los amigos...

pues les voy a quedar a deber como funciono en produccion ya que me facilitaron los cosas los desarrolladores (ellos ni se enteraron de que me las facilitaron la verdad), la aplicacion se conectaba via internet a un servidor fijo, por lo cual yo le di acceso a mis maquinas para que se conectaran a dicho servidor, desde squid. y listo, las maquinas ya no necesitan tener el internet abierto (cosa que me EXIGIAN, pues ellos aseguraban que era la unica forma de que funcionara) y ya puedo estar seguro de que solo accesan a donde deben de accesar (nada de cosas extranyas con mujeres/hombres con poca ropa o sin ella)...

de nuevo muchas gracias por la ayuda...

---

si no estoy bien, dimelo y enseñame, porque eso hacen los amigos...