[eside-ghost] un linux al otro lado de un ISA server

[Iker Sagasti Markina]

Buenas Nando,

Nando Quintana escribió:
> Estoy en un DMZ detrás de un proxy M$ ISA (internet security and acceleration)

's/m$isa/squid/g' :-))

> El problema es que:
> - no puedo abrir conexiones ssh hacia fuera.
> - no puedo resolver nombres desde la consola (no es tan grave, podría
> tirar de /etc/hosts para media docena de nombres...)
> - no puedo utilizar un cliente svn (normalmente utilizo el protocolo
> http para llegar al repositorio, en plan
> http://svn.nosequé.nosecuantos...)
> 
> Mi pregunta es ¿qué excepciones debería pedir a mi sysadmin?
> - que el proxy me deje abrir conexiones TCP salientes al 22 ¿las de
> vuelta, se hacen todas por puertos altos?¿suelen chaparse, o no?

Esto va a depender de las políticas que tenga a nivel de firewall y/o de 
proxy.

Lo que necesitas es a nivel de firewall sería:

- Conexiones salientes al 22 (eso significa que tu abres un puerto 
aleatorio alto y sales al 22)
- Todas las entrantes relativas a una conexión saliente generada

Para esto el firewall tiene que ser "statefull"

Los proxy no suelen tener en cuenta las conexiones entrantes, por lo que 
entiendo que si hay algo que lo bloquea podría ser un firewall.

> - que el proxy me deje pasar peticiones de resolución de nombres
> ¿salen por un puerto siempre? ¿saliente TCP 53 y saliente UDP 53? ¿953
> UDP?

Para consultas DNS necesitas poder realizar conexiones al puerto 53 UDP. 
En un escenario como el que comentas este servicio de DNS te suele dar 
el DNS interno, es decir tu pides al DNS interno y el DNS interno pide 
por ti (este si que tiene acceso)

Un saludo y ya nos contarás

-- 
Iker Sagasti Markina
Irontec, Internet y Sistemas sobre GNU/LinuX - http://www.irontec.com
Voz IP y Asterisk - http://www.voz-ip.com
+34 94.404.81.82