Partamos por el principio, tu linux hace ping a google? si tu linux no hace ping tu lan nunca saldra al mundo.
El 23 de septiembre de 2013 05:00, Rodolfo Vargasedgarr789@gmail.comescribió:
El 22/09/13, angel jauregui darkdiabliyo@gmail.com escribió:
Buen día.
Rodolfo si usted se considera tan conocedor creo que debería plantear una solución u opción, no solo una critica de "esta mal" o "esta bien", de
nada
sirve que me digan que esta mal (si por algo no funciona).
La lista es para dar ideas, no siempre está obligada a resolver alguna situación, no puedes obligar a la lista a que solucionen tu caso.
Tmabién te aclaro que no me considero conocer, ese adjetivo tú me lo estas diciendo, simplemente yo LEO, ME DOCUMENTO antes de hacer alguna cosa, tienes los documentos de redhat linux en pdf, tienes a uno de los mejores portales que da soporte a CnetOS (alcanelibre.org), que yo sepa simplemente te recomendé que leas más porque tus preguntas son reiterativas y la repuesta está en los mensajes que te han dado, NO ESTAS SALIENDO A OTRAS REDES NO ESTA HACIENDO NAT
Sobre el ping interno escribí claramente que tengo *todos los servicios
en
la LAN (locales)*, vaya FTP, HTTP, SSH... todos !.. Vaya, *SI PUEDO HACER PING* a la red LAN (osease a las IPs de los equipos de la red), solo no logro llegar al segmento distinto al que estoy (10.0.1.0/24), no puedo hacer ping al Router (192.168.1.254), por logica NO salgo a internet...
La
Claro pues mi amigo, LA PUERTA DE ENLACE del router no te esta respondiendo, no estas en red con ese segmento y se debe a que no esta haciendo traducción de direcciones, puede ser a varios factores: 1.- no estas usando los parámentros de red correctos, esa máscara de la clase A esta equivocada.
2.- puede ser que no haya conexión hacia el router, no estaría de más verificar.
3.- las reglas iptables no estan correctamente puestas.
Para hacer NAT necesitas iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE y también echo 1 > /proc/sys/net/ipv4/ip_forward
Arriba pongo -o y no he añadido -s, pongo así para que traduzca entre todas las interfaces que tenga, si tienes solo dos es obvio que solo traducirá de esa.
solo eso es necesario, por eso te había recomendado borrar todas las reglas que tienes por el momento y solo escribir lo de arriba si todo esta correcto debería funcionar.
unica forma que funciono fue porque *no desconectaron* un cable de red
que
va del router al switch, que se supone no debe estar ya que la idea es
que
Lo más lógico es pensar que si salía es que estaba en red con ese router y usaba puerta de enlace de dicho router y asi podían estar con internet.
el router *solamente este conectado* a la eth0 del server, y la eth1 al switch. Si quiero navegar, tengo que poner un cable del router al switch.
Reitero: Lo más lógico es pensar que si salía es que estaba en red con ese router y usaba puerta de enlace de dicho router y así podían estar con internet.
Respecto a mis reglas, siempre que hago cambios *es obvio que limpio y vuelvo a cargar*.
Algo anda mal
En mi segmento de IPs en la eth1 uso 10.0.1.0/24 con mascara
255.255.255.0,
ya que solo me importa asignar de: 10.0.1.2 a 10.0.1.254.... Ya que 10.0.1.1 es el server y 10.0.1.255 el broadcast....
Amigo LA MASCARA DE LA CLASE A es la que te dijeron antes y te lo pusieron en binario, ni idea tenías y tampoco te has preocupado en averiguar creo, yo te dije por qué estas usando esa mascara, te dije lee sobre ips privadas clase A, B, C, creo que eso te molesta, quieres que todo te lo den mascado, quieres que te solucionen a tus preguntas, y estas esperanzado solo en la lista, deberías intentar por otros medios con las recomendaciones que te han dado, tienes mucha documentación en internet.
Ayudar significa "plantear una solución", no solo criticar !.... Por
favor
NO seas exigente con la lista, la lista no es soporte técnico a medida, no pagas por ello a nadie de la lsita, la lista te puede ayudar con ideas, pero no esta obligada a solucionar tu caso particular, no sé si habrás leído sobre soporte comunitario, en fin creo que ya te han dado suficientes argumentos para que tu puedas solucionar tu caso.
limitese a ayudar, de nada me sirve una critica sin soluciones, me deja
en
las mismas :S !
La lista es para dar ideas MAS NO ESTA OBLIGADA A SOLUCIONAR TU CASO
Cuando mencione sobre mis tarjetas de red, lo comente porque la configuración que tienen considero está bien:
*shell# /etc/sysconfig/network-scripts/ifcfg-eth0 * DEVICE=eth0 BOOTPROTO=static ONBOOT=yes IPADDR=192.168.1.1 NETMASK=255.255.255.0 NETWORK=192.168.1.0 GATEWAY=192.168.1.254 TYPE=Ethernet HWADDR=00:11:22:33:44:55 DNS1=8.8.8.8 DNS2=10.0.1.1
*shell# /etc/sysconfig/network-scripts/ifcfg-eth1* DEVICE=eth1 BOOTPROTO=static ONBOOT=yes IPADDR=10.0.1.1 NETMASK=255.255.255.0 NETWORK=10.0.1.0 TYPE=Ethernet HWADDR=aa:bb:cc:dd:ee:ff DNS1=8.8.8.8 DNS2=10.0.1.1
Saludos !
http://es.wikipedia.org/wiki/Direcci%C3%B3n_IP También podría servirte esto:
https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/...
Es mejor seguir la recomendación del mismo redhat linux, en cómo hace dicha tarea, el tuyo esta bien, pero mejor sería que separaras en otro archivo iptablesrules.sh e inicies en bott time dichas reglas personalizadas desde rc.local, no tocarías nada del archivo iptables, al final tus reglas se ejecutan y escribiran, bueno eso te puedo decir y ya no seas muy exigente con la lista, si no te dan las ideas que tú quieres, tú debes tratar de solucionar tu caso.
El 22 de septiembre de 2013 03:23, Rodolfo Vargas edgarr789@gmail.comescribió:
El 21/09/13, angel jauregui darkdiabliyo@gmail.com escribió:
Buenas...
Hace dias habia expuesto un problema de configruacion de mis tarjetas de red el cual quedo solucionado, pero sin darme cuenta existia un cable de
Quedó solucionado?¿
red conectado del router al switch, y cuando me percate lo desconecte ya que se supone que la configuracion del server es:
NO debería haber problema
eth0 --> ip:192.168.1.1 conectada al router (192.168.1.254). eth1 --> ip:10.0.1.1 conectada al switch (red lan).
Servicios del server:
- HTTP abierto para todos (LAN e Internet).
- FTP abierto para todos (LAN e Internet).
- SSH abierto para todos (LAN e Internet).
- Los demas son para la LAN.
Y la idea es:
- El segmento de red asignado es: 10.0.1.0/24, y se esta cumpliendo
!.
Le hemos dicho POR QUÉ usted usa 10.0.1.0/24? que clase de ip estas usando? ES CLASE A y su máscara es 255.0.0.0, máscara 255.255.255.0 es para clase C, o esta subneteado? no respondió tampoco.
- Los clientes tiene como Gateway la ip del server (10.0.1.1), se
cumple
!.
- La navegacion web se redirige al puerto del Squid, se cumple !.
- Los demas puertos a consultar se hacen FW, creo que se cumple !.
- Se supone que lo que entra por eth1 (lan) de sacarse por eth0 por la
puerta gateway (ip del router).
Problemas y Virtudes:
- No logro hacer ping a ninguna pagina, ni a la IP del router.
Jajajaj, señor usted en pruimer lugar debe usar ips, luego recién verificar si resuelve nombres, bueno eso yo hago :), dijo que resolvió el problema de red antes, al parecer no solucionó dicho detalle, primero debe asignar BIEN los parámetros de red, luego verificar, la forma más común es usando ping, LIMPIANDO PRIMERO REGLAS si las hay, hacer ping entre todas las interfaces por decir, tanto en la red lan y fuera, si todo va bien recien aplicar reglas en firewall (es un consejo que le doy)
- Si puedo hacer ping a los equipos locales.
Pero verifique por qué usa la máscara que no le corresponde a esa clase
A
de ip
- Si obtengo todos los servicios de red local (dhcp, asterisk, ftp,
http, mysql).
- Si funciona la redireccion del 80 al puerto squid, ya que si escribo
una
palabra restringida, sale la pagina de aviso de Squid.
Mis reglas iptables son:
iptables -F iptables -X iptables -Z iptables -t nat -F
# politicas por defecto iptables -P INPUT ACCEPT # aceptamos entradas iptables -P OUTPUT ACCEPT # aceptamos salidas iptables -P FORWARD ACCEPT # aceptamos reenvios iptables -t nat -P PREROUTING ACCEPT # aceptamos nat haciafuera
iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat haciadentro echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de reenvios
iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT # ftp y ssh iptables -A INPUT -p tcp --dport 80 -j ACCEPT # http iptables -A INPUT -p tcp --dport 443 -j ACCEPT # https iptables -A INPUT -p tcp --dport 53 -j ACCEPT # dns - dhcp iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT # portmapper/rpcbind iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -jACCEPT
# samba iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT # samba iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -jACCEPT
# squid iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -jACCEPT
# squid cache iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -jACCEPT
# nfs iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -jACCEPT
# asterisk iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -jACCEPT
# webmind para LAN # forwardnig iptables -A FORWARD -p tcp --dport 20:22 -j ACCEPT # ftp y ssh iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -jACCEPT
# dns - dhcp iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -jACCEPT
# dns -dhcp (udp) iptables -A FORWARD -p tcp --dport 80 -j ACCEPT # http iptables -A FORWARD -p tcp --dport 443 -j ACCEPT # https iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -jACCEPT
# portmapper/rpcbind iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -jACCEPT
# samba iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -jACCEPT
# samba iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -jACCEPT # squid iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT # squid cache iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT # nfs iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT # asterisk iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT # webmind para LAN
iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -jACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -jACCEPT
# enmascaramiento iptables -A OUTPUT -j ACCEPT iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -jDNAT
--to 192.168.1.1:3128 iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT
--to
192.168.1.1 iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j
MASQUERADE
# todo lo que salga de la red, se enmascara # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -s10.0.1.0/24 -j REDIRECT --to-port 3128
# denegaciones iptables -A INPUT -p tcp --dport 1000 -j DROP # denegar webmind iptables -A INPUT -p tcp --dport 1:1024 -j DROP # cerrar puertos privados iptables -A FORWARD -p tcp --dport 1000 -j DROP # denegar webmind iptables -A FORWARD -j DROP # degenamos lo demasSaludos !
Ya le han dado consejos, creo que ni los toma en cuenta, lo que le aconsejo es iptables -F, luego aplique manualmente NAT y vea si logra salir hacia afuera y hacer ping entre todas las interfaces, osea a los segmentos de red, es demasiado básico el escenario que plantea, debería funcionar, vaya por partes, en fin solo usted entiende lo que quiere hacer :), saludos y suerte, ya le dije lea sobre ipv4, NAT (entender no solo escribir)
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Live free or die! _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas.
-- Live free or die! _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es