Buen día.
Rodolfo si usted se considera tan conocedor creo que debería plantear una solución u opción, no solo una critica de "esta mal" o "esta bien", de nada sirve que me digan que esta mal (si por algo no funciona).
Sobre el ping interno escribí claramente que tengo *todos los servicios en la LAN (locales)*, vaya FTP, HTTP, SSH... todos !.. Vaya, *SI PUEDO HACER PING* a la red LAN (osease a las IPs de los equipos de la red), solo no logro llegar al segmento distinto al que estoy (10.0.1.0/24), no puedo hacer ping al Router (192.168.1.254), por logica NO salgo a internet... La unica forma que funciono fue porque *no desconectaron* un cable de red que va del router al switch, que se supone no debe estar ya que la idea es que el router *solamente este conectado* a la eth0 del server, y la eth1 al switch. Si quiero navegar, tengo que poner un cable del router al switch.
Respecto a mis reglas, siempre que hago cambios *es obvio que limpio y vuelvo a cargar*.
En mi segmento de IPs en la eth1 uso 10.0.1.0/24 con mascara 255.255.255.0, ya que solo me importa asignar de: 10.0.1.2 a 10.0.1.254.... Ya que 10.0.1.1 es el server y 10.0.1.255 el broadcast....
Ayudar significa "plantear una solución", no solo criticar !.... Por favor limitese a ayudar, de nada me sirve una critica sin soluciones, me deja en las mismas :S !
Cuando mencione sobre mis tarjetas de red, lo comente porque la configuración que tienen considero está bien:
*shell# /etc/sysconfig/network-scripts/ifcfg-eth0 * DEVICE=eth0 BOOTPROTO=static ONBOOT=yes IPADDR=192.168.1.1 NETMASK=255.255.255.0 NETWORK=192.168.1.0 GATEWAY=192.168.1.254 TYPE=Ethernet HWADDR=00:11:22:33:44:55 DNS1=8.8.8.8 DNS2=10.0.1.1
*shell# /etc/sysconfig/network-scripts/ifcfg-eth1* DEVICE=eth1 BOOTPROTO=static ONBOOT=yes IPADDR=10.0.1.1 NETMASK=255.255.255.0 NETWORK=10.0.1.0 TYPE=Ethernet HWADDR=aa:bb:cc:dd:ee:ff DNS1=8.8.8.8 DNS2=10.0.1.1
Saludos !
El 22 de septiembre de 2013 03:23, Rodolfo Vargas edgarr789@gmail.comescribió:
El 21/09/13, angel jauregui darkdiabliyo@gmail.com escribió:
Buenas...
Hace dias habia expuesto un problema de configruacion de mis tarjetas de red el cual quedo solucionado, pero sin darme cuenta existia un cable de
Quedó solucionado?¿
red conectado del router al switch, y cuando me percate lo desconecte ya que se supone que la configuracion del server es:
NO debería haber problema
eth0 --> ip:192.168.1.1 conectada al router (192.168.1.254). eth1 --> ip:10.0.1.1 conectada al switch (red lan).
Servicios del server:
- HTTP abierto para todos (LAN e Internet).
- FTP abierto para todos (LAN e Internet).
- SSH abierto para todos (LAN e Internet).
- Los demas son para la LAN.
Y la idea es:
- El segmento de red asignado es: 10.0.1.0/24, y se esta cumpliendo !.
Le hemos dicho POR QUÉ usted usa 10.0.1.0/24? que clase de ip estas usando? ES CLASE A y su máscara es 255.0.0.0, máscara 255.255.255.0 es para clase C, o esta subneteado? no respondió tampoco.
- Los clientes tiene como Gateway la ip del server (10.0.1.1), se cumple
!.
- La navegacion web se redirige al puerto del Squid, se cumple !.
- Los demas puertos a consultar se hacen FW, creo que se cumple !.
- Se supone que lo que entra por eth1 (lan) de sacarse por eth0 por la
puerta gateway (ip del router).
Problemas y Virtudes:
- No logro hacer ping a ninguna pagina, ni a la IP del router.
Jajajaj, señor usted en pruimer lugar debe usar ips, luego recién verificar si resuelve nombres, bueno eso yo hago :), dijo que resolvió el problema de red antes, al parecer no solucionó dicho detalle, primero debe asignar BIEN los parámetros de red, luego verificar, la forma más común es usando ping, LIMPIANDO PRIMERO REGLAS si las hay, hacer ping entre todas las interfaces por decir, tanto en la red lan y fuera, si todo va bien recien aplicar reglas en firewall (es un consejo que le doy)
- Si puedo hacer ping a los equipos locales.
Pero verifique por qué usa la máscara que no le corresponde a esa clase A de ip
- Si obtengo todos los servicios de red local (dhcp, asterisk, ftp, http,
mysql).
- Si funciona la redireccion del 80 al puerto squid, ya que si escribo
una
palabra restringida, sale la pagina de aviso de Squid.
Mis reglas iptables son:
iptables -F iptables -X iptables -Z iptables -t nat -F
# politicas por defecto iptables -P INPUT ACCEPT # aceptamos entradas iptables -P OUTPUT ACCEPT # aceptamos salidas iptables -P FORWARD ACCEPT # aceptamos reenvios iptables -t nat -P PREROUTING ACCEPT # aceptamos nat haciafuera
iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat haciadentro echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de reenvios
iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT # ftp y ssh iptables -A INPUT -p tcp --dport 80 -j ACCEPT # http iptables -A INPUT -p tcp --dport 443 -j ACCEPT # https iptables -A INPUT -p tcp --dport 53 -j ACCEPT # dns - dhcp iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT # portmapper/rpcbind iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -jACCEPT
# samba iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT # samba iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT # squid iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT # squid cache iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT # nfs iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT # asterisk iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT # webmind para LAN # forwardnig iptables -A FORWARD -p tcp --dport 20:22 -j ACCEPT # ftp y ssh iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT # dns - dhcp iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT # dns -dhcp (udp) iptables -A FORWARD -p tcp --dport 80 -j ACCEPT # http iptables -A FORWARD -p tcp --dport 443 -j ACCEPT # https iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT # portmapper/rpcbind iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -jACCEPT
# samba iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT # samba iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT # squid iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT # squid cache iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT # nfs iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT # asterisk iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT # webmind para LAN iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT # enmascaramiento iptables -A OUTPUT -j ACCEPT iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT--to 192.168.1.1:3128 iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT
--to
192.168.1.1 iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j
MASQUERADE
# todo lo que salga de la red, se enmascara # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -s10.0.1.0/24 -j REDIRECT --to-port 3128
# denegaciones iptables -A INPUT -p tcp --dport 1000 -j DROP # denegar webmind iptables -A INPUT -p tcp --dport 1:1024 -j DROP # cerrar puertos privados iptables -A FORWARD -p tcp --dport 1000 -j DROP # denegar webmind iptables -A FORWARD -j DROP # degenamos lo demasSaludos !
Ya le han dado consejos, creo que ni los toma en cuenta, lo que le aconsejo es iptables -F, luego aplique manualmente NAT y vea si logra salir hacia afuera y hacer ping entre todas las interfaces, osea a los segmentos de red, es demasiado básico el escenario que plantea, debería funcionar, vaya por partes, en fin solo usted entiende lo que quiere hacer :), saludos y suerte, ya le dije lea sobre ipv4, NAT (entender no solo escribir)
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Live free or die! _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es