Principal » Foro » Redes » Seguridad

Problemas con FWRULES y paquetes ICMP

Publicado: 22 Septiembre, 2008 - 03:26 Problemas con FWRULES y paquetes ICMP

Estimados:
Tengo problemas con un proxy, el cual utiliza el paquete FWRULES como Firewall. El inconveniente precisamente se da ya que tengo en la interfaz interna(red privada)del proxy un MTU de 1500 y en la interfaz externa (ISP) un MTU de 576. Al querer enviar un paquete desde mi red privada hacia internet este es descartado por el proxy ya que excede el tamaño de paquete, y nunca se entera que debe fragmentar porque no le llega el paquete ICMP correspondiente debido a que mis reglas en el FWRULES no permiten que esto ocurra. Ya probe varias alternativas, pero la solución creo que esta en saber si alguien conoce sobre FWRULES y me pueda ayudar a saber como tratar y dejar pasar esta clase de paquetes ICMP.

Gracias y saludos!

Publicado: 22 Septiembre, 2008 - 12:55 Re: Problemas con FWRULES y paquetes ICMP #1

Versión del kernel?, que distribución usas?

Creer que algo es imposible es el primer paso para que lo sea ---- «Sí, ¡haga lo que le digo!» - y desde entonces mi debian ya no es lo que era
Publicado: 22 Septiembre, 2008 - 13:50 Re: Problemas con FWRULES y paquetes ICMP #2

La distribución que estoy usando es Debian GNU/Linux con un Kernel 2.6.21

Saludos.

Publicado: 22 Septiembre, 2008 - 14:09 Re: Problemas con FWRULES y paquetes ICMP #3

Pues ni siquiera estoy seguro de saber que es fwrules, pero busca por ahi la opción de aceptar conexiones relacionadas (RELATED). Eso debería bastar para que los ICMP pasen.

Conceptualmente, un datagrama no se fragmentará solo si quien lo generó indica explícitamente en la cabecera IP que eso no debe hacerce. En ese caso se envia el datagrama icmp del que tu hablas indicando que es necesario fragmentar. Pero a ese mensaje lo generará tu firewall/proxy, ya que es él quien no puede fragmentar, por lo que tal vez debas permitir output hacia tu lan de mensajes icmp.

Creer que algo es imposible es el primer paso para que lo sea ---- «Sí, ¡haga lo que le digo!» - y desde entonces mi debian ya no es lo que era
Publicado: 22 Septiembre, 2008 - 18:17 Re: Problemas con FWRULES y paquetes ICMP #4

Pato Silva
Las fwrules, son una forma de expresar las reglas iptables de una forma mas resumida, identificando el hardware de red, interfaz, subredes, ip, etc, con nombres simbólicos. Permitiendo de esta manera que ante un cambio en algún parámetro de red, como por ejemplo la ip, adopte dichos cambios sin tener que modificar nada de dichas reglas.

En cuanto a permitir que mi Servidor no dropee los paquetes ICMP, eso es lo que aún no logro hacer.
De todas maneras gracias por tus comentarios y saludos.

Relacionado con Problemas con FWRULES y paquetes ICMP