CARLOS
BUSCO INSTALAR UN SERVIDOR FIREWALL PARA MI RED LAN
11:44:25
Felipe Peña
Por favor espera un momento...
11:44:24System assistantFelipe Peña has accepted the chat!
System assistantVisitor has joined the chat!
11:44:47
Felipe Peña
Pues mira.
Tienes varias opciones.
Pero primero.
Tienes una red LAN dentro de un router?
Y quieres ponerle firewall a esa red?
Algun proposito en especial?
11:46:58
CARLOS
si he estado viendo en linux que es lo que prefiero hay versiones pagas y la otra que he visto es iptables pero me preguntaba si hay otras alternativas
bueno tengo informacion valiosa en mis equipos y he sufrido accesos no autorizados
y robo de informacion
11:49:14
Felipe Peña
Bueno, te hablo de las opciones:
11:50:01
CARLOS
si porfavor
11:50:02
Felipe Peña
1) Usando el router actual. Generalmente los routers tienen opciones de Firewall. Puedes explorarlo para ver como pones las reglas. Te podria servir leer su manual de usuario para Firewall o cortafuegos.
2) Usando un router especial. Puedes optar por router con capacidades de configuracion muy especificas, como por ejemplo Mikrotik...
los cuales tienen secciones de Firewall bien configurables. Es como tener iptables pero de forma grafica. Incluso el sistema operativo de estos aparatos son RouterOS que se basan en Linux.
3) Comprar un aparato que actue especificamente con Firewall.
En terminos de costos. La 1) no te valdria nada mas.
La 2) te podria costar unos 70 USD.
...dependiendo del equipo.
La 3) puede ser mucho mas costosa. Quizas unos 300 USD o mas.
Ahora bien, para usar IPTables en un equipo, por ejemplo en Centos, necesitarias que todo el trafico de tu red pasara por ese equipo, para lo cual necesitarias ajustar las interfaces de red acorde a eso. Esto podria resultar un poco engorroso. Y realmente podria serte mejor la Routerboard Mikrotik.
11:56:51
CARLOS
bueno tengo conociemientos de los equipos y sus precios en mi pais, pero en la empresa en la que laboro el presupuesto para el departamento de sistemas y redes es corto y tengo montar uno libre y la mejor opcion que veo es un linux
pero que la opcion que tome sea comprensible por otras personas
11:57:36
Felipe Peña
Pero has pensado en las interfaces de red que necesitaras para que todo el trafico de tu LAN pase por tu Linux.
Ademas del costo mensual del recibo de luz por ese equipo.
Realmente para un equipo Mikrotik no se requiere mucho presupuesto. Hay unas routerboards de unos 200 a 300 pesos colombianos.
Les arreglas el firewall...
Les conectas adecuadamente los routers actuales y listo.
11:59:40
CARLOS
bueno en realidad he estado viendo eso y el costo a largo plazo es superior al de un equipo con esa funcion especifica pero bueno hay gente cerrada de cabeza y bolsillo
11:59:41
Felipe Peña
Realmente bien comprensible y muy economico.
12:00:01
CARLOS
ps si
12:00:28
Felipe Peña
El asunto es que pienses como vas a enrutar todo el trafico por el computador..
Necesitaras por lo menos dos interfaces de red.
Uno entrante, otro saliente.
12:01:15
CARLOS
de escho eso lo tengo ya pensado el problema es que firewall usar
12:01:31
Felipe Peña
Puedes usar uno grafico y gratuito como...
12:01:35
CARLOS
de echo requiero 4 por los servidores en linea
tarfjetas de red
12:01:59
Felipe Peña
...pfsense.
Es open source gratis. Muy usado. Lo puedes usar en tu PC.
12:02:40
CARLOS
y como se la lleva con el trafico y las restricciones?
12:02:42
Felipe Peña
Y pues, bueno supongo que esas interfaces adicionales a tu PC pueden llegarte a costar mas que una routerboard.
Realmente creo que solo podrias necesitar 2 interfaces...
Uno de entrada y otro de salida.
12:03:27
CARLOS
bueno de echo tengo las partes y equipos necesarios para poder armar
12:03:34
Felipe Peña
El pfsense te ayudaria en firewall y ruteo.
Ok. Veo.
Puedes usar pfsense...
12:04:30
CARLOS
y tiene la opcion de administrador por plataforma web
12:04:32
Felipe Peña
Es como el RouterOS de Mikrotik.
Pero gratis.
12:04:47
CARLOS
interesante
12:05:13
Felipe Peña
Seria que leyeras del pfsense...
Lo implementaras..
Y luegos nos cuentes como te fue.
12:05:38
CARLOS
si claro ya lo investigo
de inmediato y con gusto les comento mi resultado
le agradesco la ayuda
12:06:10
Felipe Peña
Es que IPtables puede ser un poco mas engorros.
PFSense ya esta mas masticadito.
12:06:27
CARLOS
en que sentido
12:06:34
Felipe Peña
Permitame subo esta conversacion al foro respectivo.
12:06:35
CARLOS
(iptables)
si claro no problema amigo
12:06:56
Felipe Peña
Masticadito.
Mas intuitivo, acomodado.
12:07:21
CARLOS
mmmm entiendo
12:07:37
Felipe Peña
Mira y nos cuentas en el foro.
Ya lo paso para alla.
Espero te sirva la recomendacion.
12:07:54
CARLOS
claro cuente con ello
12:07:57
Felipe Peña
NO conocias pfSense?
12:08:29
CARLOS
sinceramente escuche algo pero no como firewall
12:09:02
Felipe Peña
pfSense® software includes the same features as most expensive commercial firewall solutions.

Gonzalo
las reglas del iptables ?
No me queda claro como se cargan las tablass
11:37:43
John Morales
Ahora podemos finalmente guardar nuestra configuración de Firewall:

iptables-save | sudo tee /etc/sysconfig/iptables
El archivo de configuración de iptables en CentOS se encuentra en / etc / sysconfig / iptables . El comando anterior guardó las reglas que creamos en ese archivo. Sólo para asegurarnos de que todo funcione, podemos reiniciar el Firewall:

service iptables restart
11:39:42
John Morales
Mira, esa parte.
iptables-save | sudo tee /etc/sysconfig/iptables
Puede que el sudo no lo necesites colocar si ya estás como root.
11:40:56
John Morales
Listo. Mira, te invito a probar de nuevo...
Usar mis indicaciones...
11:41:17
Gonzalo
bueno, reviso e intento aplicar tus indicaciones.
11:41:27
John Morales
Cualquier cosa, el foro está abierto. No necesitas registrarte...
11:41:30
Gonzalo
Gracias por la información tan util
11:41:38
John Morales
Sólo dale en Responder y puedes postear allí.
Saludes

Gonzalo
Como puedo saber si iptables está funcionando y hace lo que yo configuré
11:28:45
John Morales
Por favor espera un momento...
11:28:50System assistantJohn Morales has accepted the chat!
System assistantVisitor has joined the chat!
11:30:00
John Morales
Un momento.
Mira, puedes usar -j LOG
para loguear por dónde pasa el tráfico...
Por ejemplo:
11:31:10
Gonzalo
aplico cada regla con -j LOG?
11:31:13
John Morales
iptables -A INPUT -j LOG – -log-prefix “Actividad del cortafuegos (INPUT)”
iptables -A OUTPUT -j LOG – -log-prefix “Actividad del cortafuegos (OUTPUT)”
iptables -A FORWARD -j LOG – -log-prefix ” Actividad del cortafuegos (FORWARD)”
11:31:38
Gonzalo
y genera un log en /var/log?
11:32:01
John Morales
Para poder visualizar la actividad se ejecuta la siguiente sintaxis;

tail -f /var/log/messages
Es decir, los puedes ver en /var/log/messages
11:32:47
Gonzalo
Muchas gracias, con wireshark también se podria hacer?
11:32:48
John Morales
Debees guardar las reglas.
Claro.
Puedes capturar tráfico con tcpdump....
11:33:13
Gonzalo
ahhh
11:33:18
John Morales
...guardándolo en un archivo...
Y luego lo analizas en WireShark.
11:33:54
Gonzalo
Yo creo un scripts con las reglas y como hago para que eso se cargue al inicio ?
11:34:10
John Morales
Las reglas de -j log...
se pueden colocar al final.
Qué se cargue qué cosa?

Ok. Entonces no necesitas hacerle nada al computador sino que donde debes hacer la redirección de puertos es en el router o módem. Busca la parte de Redirección de Puertos o Port Forwarding y busca colocar:

Que en la parte externa esté el puerto, puede ser el 8089 (puede ser otro también). Es por donde entrarás desde afuera de internet.

Y que en la parte interna esté la IP privada de la centralita Grandstream con el puerto 8089 (este debe ser el mismo que al entrar por la WAN al Grandstream; por ejemplo cuando entras con el computador cuando ambos están conectados a un mismo router, con el mismo segmento de red).

Recomendaciones.
- Recuerda habilitar la entrada por la WAN a la centralita si es que estuviera cerrada.
- Asegura que la IP privada que le dé el router a la centralita permanezca la misma con el objetivo de que se mantenga el ingreso con la regla de port forwarding escrita antes. Lo puedes hacer usando la función de DHCP con préstamo estático o directamente con IP estática en la centralita.
- Puede que el router no diga en la parte de Redirección de puertos interna o externa sino Inicial y Final, en cuyo caso probablemente serán la parte externa e interna respectivamente. Incluso puede usar otros términos. En todo caso analiza para que pongas los 3 datos anteriores: Puerto externo por donde entrar en la internet, e IP:Puerto privados.

Saludes!!!

La centralita es ta independependiente, si necesito abrir puertos para administrar y publicarla desde fuera,si estan en el mismo router.

Hola don Guillermo. Pero no te entendemos muy bien. La centralita Grandstream está independiente, verdad?
Necesitas abrir puertos para administrar la centralita desde afuera?
El servidor está bajo el mismo router de la centralita?