oooo que maravilla :D.... era el maldito cable... en serio que voy a enmarcar ese cable de red y le ponde "el maldito cable que me hizo bullying de red".
Ya hice pruebas en los equipos de red y ya logro hacer ping a la IP del router 192.168.1.254 y a cualquier pagina.
Ahora solo me gustaria aclarar algunos comentarios que me hicieron en un foro sobre mis reglas IPTABLES en la parte de "#enmascaramientos", ustedes que opinan ??:
iptables -F iptables -X iptables -Z iptables -t nat -F
# politicas por defecto iptables -P INPUT ACCEPT # denegamos entradas iptables -P OUTPUT ACCEPT # aceptamos salidas iptables -P FORWARD ACCEPT # denegamos reenvios iptables -t nat -P PREROUTING ACCEPT # aceptamos nat hacia fuera iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat hacia dentro echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de reenvios
iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT # ftp y ssh iptables -A INPUT -p tcp --dport 80 -j ACCEPT # http iptables -A INPUT -p tcp --dport 443 -j ACCEPT # https iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT # dns - dhcp iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT # portmapper/rpcbind iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT # samba iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT # samba iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT # squid iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT # squid cache iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT # nfs iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT # asterisk iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT # webmind para LAN
# forwardnig iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 20:22 -j ACCEPT # ftp y ssh iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT # dns - dhcp iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT # dns -dhcp (udp) iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 80 -j ACCEPT # http iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 443 -j ACCEPT # https iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT # portmapper/rpcbind iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT # samba iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT # samba iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT # squid iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT # squid cache iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT # nfs iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT # asterisk iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 10000 -j ACCEPT # webmind para LAN
iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT
# enmascaramiento iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT --to 192.168.1.1 # cambiamos la direccion source iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j MASQUERADE # enmascaramos iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.1:3128 # con destino al 80 en eth1 lo cambiamos
Como verán el firewall es estricto, si en la empresa no me confirman que abramos un servicio interno o para el exterior, no sale.... solo lo confirmado:
- Para todos (de adentro y fuera [internet]): 80, 21 y 22. - Para lo demas va controlado solo la red interna "-s". - Para los Forward (conexion afuera) va controlada por "-s"
Saludos !
El 23 de septiembre de 2013 15:25, angel jauregui darkdiabliyo@gmail.comescribió:
Acabo de cambiar el cable de red que va del router a la eth0 del server y ahora puedo hacer ping desde el server hacia la IP del router y cualquier web.
Voy a probar en los demas equipos de la red.
Saludos !
El 23 de septiembre de 2013 15:18, angel jauregui darkdiabliyo@gmail.comescribió:
## RENE
Mis equipos están en el segmento 10.0.1.0/24, se asignan IPs de 10.0.1.2 a 10.0.1.254....
La red 192.168.1.0/24 es el rango de IPs que maneja el server para hacer su propia red, por lo cual no muevo dicha configuración alcabo solo existiran 2 IPs...
1- La ip del router: 192.168.1.254 2- La ip estatica del server: 192.168.1.1 (eth0).
En el segmento 10.0.1.0/24 no tengo problemas para compartir información, consultar los servicios del server (apache, mysql, nfs. samba, etc...).
El problema es al momento de intentar acceder a una web, los paquetes como que no llegan al router, creo que mi problema se centra mal en las reglas IPTABLES, algo estoy haciendo mal o algo me falta.
## DAVID
"pingera" me imagino te refieres hacer ping a un dominio o ip... Y pues lo uso con la idea se saber si se esta existiendo funcionamiento, vaya, tambien uso: "host google.com" para ver si resuelve. Vaya, pruebas basicas para saber si mis paquetes circulan como deb (de la PC al server, del server al router, y viceversa).
Fijate que * NO PUEDO llegar la router* desde el server, y vaya que esta conectado a la eth0.
Mi configuración:
*server# ifconfig -a * eth0 Link encap:Ethernet HWaddr 00:11:22:33:44:55 inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
eth1 Link encap:Ethernet HWaddr 66:77:88:99:aa:bb inet addr:10.0.1.1 Bcast:10.0.1.255 Mask:255.255.255.0
*server# router* 10.0.1.0 * 255.255.255.0 U 0 0 0 eth1 192.168.1.0 * 255.255.255.0 U 0 0 0 eth0 link-local * 255.255.0.0 U 1002 0 0 eth1 link-local * 255.255.0.0 U 1003 0 0 eth0 default home 0.0.0.0 UG 0 0 0 eth0
*server# ping 192.168.1.254* PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data. From 192.168.1.1 icmp_seq=3 Destination Host Unreachable
Saludos !
El 23 de septiembre de 2013 14:03, David González Romero < dgrvedado@gmail.com> escribió:
Yo no soy partidario de este esquema que propones de poner el Modem-Router
directo al servidor. Porque entonces el conceto DMZ queda obsoleto ahi. Esta bien su esquema de red. Lo que yo me cuestiono es si realmente el necesito que los clientes de la red 10.0.1.0/24 puedan "pingear" a internet. Y no me queda claro si el servidor en SI ve internet mismo...
Saludos, David
El 23 de septiembre de 2013 15:56, RENE LARA ALVARADO < sistemas@trimaso.com.mx> escribió:
Creo que bajo tu esquema, deseeas usar tu servidor (maq con dos interfaces de red y en distinta red) con la funcion de ruteador.
A reserva de si es conveniente o no, en ese caso sería mejor que pusieras tu modem-router en modo puente, conectado a una de las interfases.
De esa forma solo lidiaras solo don dos redes y no con tres. La direccion ip que te asigna el proveedor quedará en una de las tarjetas y en la otra tu la red de tus equipos r.lara
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas.
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas.