[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Internet Mail Delivery wrote: > This report relates to a message you sent with the following header fields: > > Message-id: <399D66B2 B3172B70 en prodigy net mx> > Date: Fri, 18 Aug 2000 11:39:14 -0500 > From: Omar Herrera <oherrera en prodigy net mx> > To: LCC Domingo Varela Y <dvarela en athena sicomnet edu mx> > Subject: Re: [Sop.Tec.LinuxPPP] Problema de Seguridad > > Your message is being returned; it has been enqueued and undeliverable for > 1 days to the following recipients: > > Recipient address: dvarela en athena sicomnet edu mx > Reason: unable to deliver this message after 1 day > > Delivery attempt history for your mail: > > Sat, 19 Aug 2000 17:04:10 -0500 (CDT) > Error reading SMTP packet > > Sat, 19 Aug 2000 09:49:05 -0500 (CDT) > Error reading SMTP packet > > Sat, 19 Aug 2000 01:37:55 -0500 (CDT) > Error reading SMTP packet > > Sat, 19 Aug 2000 00:31:15 -0500 (CDT) > Error reading SMTP packet > > Sat, 19 Aug 2000 00:09:04 -0500 (CDT) > Error reading SMTP packet > > Fri, 18 Aug 2000 23:57:45 -0500 (CDT) > Error reading SMTP packet > > ------------------------------------------------------------------------ > Reporting-MTA: dns; smtp.prodigy.net.mx > > Action: failed > Status: 5.0.0 (unable to deliver this message after 1 day) > Original-recipient: rfc822;dvarela en athena sicomnet edu mx > Final-recipient: rfc822;dvarela en athena sicomnet edu mx > > ------------------------------------------------------------------------ > > Subject: Re: [Sop.Tec.LinuxPPP] Problema de Seguridad > Date: Fri, 18 Aug 2000 11:39:14 -0500 > From: Omar Herrera <oherrera en prodigy net mx> > To: LCC Domingo Varela Y <dvarela en athena sicomnet edu mx> > References: <Pine LNX 4 21 0008170915170 3322-100000 en athena sicomnet edu mx> > > LCC Domingo Varela Y wrote:LCC Domingo Varela Y wrote: > > > Hola Omar buen dia tengas hoy... mira te comento que no solo es dos > > maquinas o tres...mas bien son maquinas que entraran a la nt via > > antena... y otras por dial up.. pero las de dial up no hay problema > > porque se logean desde la intranet... > > > > esto es real y confidencial... > > > > el chow es este : > > > > > > tengo 9 dependencias de las cuales son 2 pc's c/u que desean entrar via > > antena a la nt a traves del firewall... > > > > en mi firewall/gateway esta de esta manera: > > > > > > otras dependencias que desean entrar hasta la nt via antena a traves del > > firewall > > > > SEP > > SCT > > SALUD > > > > ip Ext : 150.10.4.2 > > Gw: 150.10.4.1 > > | > > | > > firewall/gateway > > | eth1: 192.168.2.1 > > | gw: 150.10.4.1 > > | > > ____________________________________________________________ > > | | > > | ........ otras pc's | > > Server NT server dial up > > ip : 192.168.2.25 > > esta tiene las aplicaciones > > > > ipchains -P input ACCEPT > > ipchains -A input -p tcp -s 150.10.4.32 -d 192.168.2.25 1023: -j ACCEPT > > ipchains -A input -p tcp -s 140.148.2.99 -d 192.168.2.25 1023: -j ACCEPT > > ipchains -A input -p tcp -s 140.148.22.6 -d 192.168.2.25 1023: -j ACCEPT > > ipchains -A input -p tcp -s 0.0.0.0/0 -d 192.168.2.25 1023: -j DENY > > > > Segun tus sabios consejos.. esta es la forma en la cual quedaria las > > reglas para que los usuarios puedan logearse en la nt sin problemas de > > dominio... > > > > Te comento que para que pueda yo ver el servidor NT que esta dentro de la > > intranet uso la sigte regla: > > > > /sbin/ipchains -A input -p icmp -j ACCEPT <----- con esto yo veo la NT > > > > Ok, viendo el diagrama me queda un poco más claro, tus PCs externas deberían > de poder ver la intranet (192.168.x.x) > porque no hay un ruteador de por medio, es decir, aunque no son direcciones > no ruteables, las IP externas (150.*) no > tienen que salir a Internet para llegar a la intranet (de acuerdo a tu > diagrama), no estoy seguro si esto es así, pero lo > estoy asumiendo porque dices que con la regla de ICMP para ipchains ya puedes > ver la intranet. > > Para salir de dudas rápidamente, si aplicas la regla anterior de ICMP y > haces > > ping 192.168.2.25 > > ?te contesta el servidor NT? > > Si te contesta prueba agregando tu regla de ICMP al final y esta: > > /sbin/ipchains -P output ACCEPT > > (ponla después de /sbin/ipchains -P input ACCEPT) > > Supongo que tu máquina no tiene instalado ningún notro filtro (en > instalaciones de default para la mayoría de los sistemas Linux no hay filtros > instalados), pero por si las dudas, no olvides borrar todas las reglas con: > > /sbin/ipchains -X > > antes de agregar todas los filtros que definimos > > >... mmm ahora bien.. dime o guiame por favor.. con rayos hago NAT'S y no > >usar masquerade... y en lo anterior.. en que estoy mal... espero tu > >valiosisisisisisima ayuda... y tu resp. > > > >saludos... > > > >Domingo.- > > Solo necesitarías NAT o Masquerading si tus PC externas tienen que > comunicarse a través de Internet hacia tu > firewall/gateway. Por tu diagrama y porque dices que sí puedes ver tu > servidor NT desde tus máquinas externas con la > regla ICMP, pero si hiciste la prueba del ping de arriba y te contesta, no > tienes este problema (tienes una red local con > direcciones homologadas que se conectan a una DMZ (zona desmilitarizada) > donde tienes tu servidor, y entre tu LAN > (150.* que posiblemente se ve desde Internet) y la DMZ (192.168.*) no hay > ningún router de por medio > (normalmente los ruteadores deshechan las direcciones no homologadas como > 192.168.* , por eso te decía que si > necesitabas llegar a través de Internet al gateway/firewall, no hubieras > podido ver tu DMZ sin Masquerading o NAT y > de hecho, el firewall/gateway debe tener en ese caso una dir. homologada y > enlace a Internet). > > En fin vamos a usar el método científico para ver de una vez por todas qué > sucede, ejecuta: > > tcpdump src or dst 192.168.2.25 and tcp port 1023 > > En tu firwall (asumo que tu aplicación corre en TCP sobre el puerto 1023), de > esta forma podrás ver todos los paquetes que van hacia o vienen de tu > servidor NT, así te puedes dar cuenta si solo recibes peticiones pero no > respuestas o si hay mensajes de error (ejecuta sin "and tcp port 1023" para > ver todo sobre IP, así verás también mensajes de icmp por ejemplo). Corriendo > Tcpdump, trata de conectarte desde tus máquinas externas. > > También puede ser que tu aplicación resuelva únicamente por nombre y no por > dirección IP, en este caso, si puedes hacer ping pero sigue sin funcionar la > aplación, prueba editando el archivo Hosts de tus máquinas externas (en > windows está, si no mal recuerdo, en: \windows\system\Hosts ; en unix en > /etc/hosts) y agrega una línea como: > 192.168.2.25 NOMBRE_DEL_NT > > Prueba con esto y si no funciona dime qué se está viendo con el tcpdump (una > muestra). > Saludos > Omar --------------------------------------------------------------------- Lista de soporte de LinuxPPP Reglas de la lista en http://pepe.net.mx/reglas.html