<br><br><div><span class="gmail_quote">El día 9/03/08, <b class="gmail_sendername">Sebastián D. Criado</b> escribió:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Me puse a hacer las correcciones a los script para que filtren la red<br> interna y me encontré con algunos problemas que no habíamos visto.<br> <br> Primeramente modifique el nombre del archivo firewall.ath0 para que sea<br>
firewall.public así también algunas cosas en el script de natting que<br> estaban mal, ya que tomaban la configuración de DEV anterior. Ahora está<br> mejor.</blockquote><div><br>No deberiamos haber eliminado todos esos firewall.* que hacen iptables-restore ?<br>
Una ves hecho el /etc/init.d/firewall stop, todas las cadenas quedan en ACCEPT y a partir de alli se hace el natting y el filtrado de la LAN local si fuera necesario.<br>Me perdi algo ? :S<br></div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
He tenido que hacer las correcciones tanto para el modo cliente como<br> para el modo gateway dado que en caso de ser cliente se requerirá<br> conocer la red de eth0 solamente (la que esté configurada en el archivo<br> de configuración network), pero si se está en modo gateway se requiere<br>
conocer la IP del default route.<br> <br> Me encontré con un problema en las reglas de firewall al momento de<br> levanta el nodogsplah que mete una regla con un ADD para la cadena<br> FORWARD.<br> <br> ndsNET all -- ath0 * <a href="http://0.0.0.0/0" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">0.0.0.0/0</a> <a href="http://0.0.0.0/0" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">0.0.0.0/0</a></blockquote>
<div><br>Claro, en un mail viejo ya habiamos visto ese asunto. ! Las reglas de filtrado de la iface Public deben manejarse por NDS<br></div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
lo cual, como podrán apreciar, invalida las reglas que vimos el sábado<br> ya que las mismas se ejecutan antes del nodogsplash.</blockquote><div><br><br></div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Me puse a buscar en los script a ver si había algo, pero nada. Luego me<br> dí cuenta que lo que habilitaba esa regla era el propio nodogsplash al<br> momento de tener en su configuración la linea:<br> <br> FirewallRule allow la cual no se puede quitar :D</blockquote>
<br>Así que deje el script configure_all como antes, con las reglas que<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"> habíamos hecho anteriormente y que modificaban el archivo de<br>
configuración del nodogsplash (aunque cambie la forma de obtener la IP<br> del gateway) y solo puse en el script natting reglas para gate0.<br> <br> De esa forma, queda filtrada la red interna tanto para la interface<br>
publica como para la mesh.</blockquote><div><br>Y a la iface Private como la dejaste ? Con acceso a la lan interna en ambos casos ? <br></div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Saludos.-<br> --</blockquote><div><br>Saludo / GUS <br></div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Sebastián D. Criado - <br> NO A LA MATRICULACIÓN OBLIGATORIA -<br> <a href="http://noalamatricula.wordpress.com/about/" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://noalamatricula.wordpress.com/about/</a><br>
<a href="http://L.U.G.Ro" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">L.U.G.Ro</a> - <a href="http://www.lugro.org.ar" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://www.lugro.org.ar</a><br>
GNU/Linux Registered User # 146768<br> -------------------------------------------------------------------<br> "Si el Universo fuera un programa estaría hecho en C, y correría sobre<br> un sistema UNIX"<br> <br>
_______________________________________________<br> Lugro-mesh mailing list<br> <a href="mailto:Lugro-mesh@lugro.org.ar" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">Lugro-mesh@lugro.org.ar</a><br>
<a href="http://www.lugro.org.ar/mailman/listinfo/lugro-mesh" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://www.lugro.org.ar/mailman/listinfo/lugro-mesh</a><br>
<br><br></blockquote></div><br>