Buen dia.
Tengo un server que tengo problemas para configurarlo de manera optima. El equipo tiene 2 tarjetas de red, eth0 conectada al router del ISP (internet) y eth1 al switch (Red lan).
IMPORTANTE: el router tiene el dhcp configurado como *relay*, y tiene puesta la IP de otro servidor de la red lan: 192.168.1.4
Quiero saber *su opinion* (estoy bien o mal), y como es mas optimo configurar la red de ambos ?... les dejo mi configuracion actual:
*# eth0 -- conectada al router ISP* *shell# cat /etc/sysconfig/network-script/ifcfg-eth0* DEVICE="eth0" BOOTPROTO="static" ONBOOT="yes" IPADDR="192.168.1.1" NETMASK="255.255.255.0" NETWORK="192.168.1.0" GATEWAY="192.168.1.254" TYPE="Ethernet" HWADDR="aa:bb:cc:dd:ee:ff" DNS1="8.8.8.8" DNS2="192.168.1.4" # ip de otro server con: Squid, DNS y DHCP
*# eth1 -- conectada al switch (red lan)* *shell# cat /etc/sysconfig/network-script/ifcfg-eth1** * DEVICE="eth1" BOOTPROTO="static" ONBOOT="yes" IPADDR="192.168.1.2" NETMASK="255.255.255.0" NETWORK="192.168.1.0" GATEWAY="192.168.1.4" # ip de otro server con: Squid, DNS y DHCP TYPE="Ethernet" HWADDR="aa:bb:cc:dd:ee:ff" DNS1="8.8.8.8" DNS2="192.168.1.4" # ip de otro server con: Squid, DNS y DHCP
Saludos !
Angel,
Por la configuración que nos muestras ambas tarjetas estan en el mismo segmento de red 192.168.1.X/24 por lo que la red externa y la red interna que mencionas son la misma red.
Dependiendo del numeros de host o nodos de tu red seran los cambios que necesites.
Mi recomendación manejalo por zonas y segmentos de red diferentes entre ellos.
Ej: Red externa o DMZ Zona: Roja Red: 192.168.1.0 Mascara de red: 255.255.255.0
Red interna (LAN) Zona: Verde o Azul Red: 10.0.1.0 Mascara de red: 255.255.255.0
Y por medios de reglas de ACL en tu firewall Iptables puedes permitir accesos de entrada o salida segun sea el caso.
Saludos! Enviado a través de BlackBerry de movistar -- Ing. Ramon Resendiz
-----Original Message----- From: angel jauregui darkdiabliyo@gmail.com Sender: centos-es-bounces@centos.org Date: Fri, 13 Sep 2013 19:17:04 To: centos-es@centos.orgcentos-es@centos.org Reply-To: centos-es@centos.org Subject: [CentOS-es] Configurar 2 tarjetas de red.
Buen dia.
Tengo un server que tengo problemas para configurarlo de manera optima. El equipo tiene 2 tarjetas de red, eth0 conectada al router del ISP (internet) y eth1 al switch (Red lan).
IMPORTANTE: el router tiene el dhcp configurado como *relay*, y tiene puesta la IP de otro servidor de la red lan: 192.168.1.4
Quiero saber *su opinion* (estoy bien o mal), y como es mas optimo configurar la red de ambos ?... les dejo mi configuracion actual:
*# eth0 -- conectada al router ISP* *shell# cat /etc/sysconfig/network-script/ifcfg-eth0* DEVICE="eth0" BOOTPROTO="static" ONBOOT="yes" IPADDR="192.168.1.1" NETMASK="255.255.255.0" NETWORK="192.168.1.0" GATEWAY="192.168.1.254" TYPE="Ethernet" HWADDR="aa:bb:cc:dd:ee:ff" DNS1="8.8.8.8" DNS2="192.168.1.4" # ip de otro server con: Squid, DNS y DHCP
*# eth1 -- conectada al switch (red lan)* *shell# cat /etc/sysconfig/network-script/ifcfg-eth1** * DEVICE="eth1" BOOTPROTO="static" ONBOOT="yes" IPADDR="192.168.1.2" NETMASK="255.255.255.0" NETWORK="192.168.1.0" GATEWAY="192.168.1.4" # ip de otro server con: Squid, DNS y DHCP TYPE="Ethernet" HWADDR="aa:bb:cc:dd:ee:ff" DNS1="8.8.8.8" DNS2="192.168.1.4" # ip de otro server con: Squid, DNS y DHCP
Saludos !
Realice un cambio en base a tus comentarios, ya que es muy cierto que se facilita mas. Quedo asi:
OJO: verifica el GATEWAY en ambas configuraciones....
*shell# cat /etc/sysconfig/network-script/ifcfg-eth0* DEVICE=eth0 BOOTPROTO=static ONBOOT=yes IPADDR=192.168.1.1 NETMASK=255.255.255.0 NETWORK=192.168.1.0 GATEWAY=192.168.1.254 TYPE=Ethernet HWADDR=aa:bb:cc:dd:ee:ff DNS1=8.8.8.8 DNS2=10.0.1.2 # ip otro servidor con: squid, dns y dhcp
*shell# cat /etc/sysconfig/network-script/ifcfg-eth1* DEVICE=eth1 BOOTPROTO=static ONBOOT=yes IPADDR=10.0.1.1 NETMASK=255.255.255.0 NETWORK=10.0.1.0 GATEWAY=192.168.1.254 TYPE=Ethernet HWADDR=aa:bb:cc:dd:ee:ff DNS1-8.8.8.8 DNS1=10.0.1.2 # ip otro servidor con: squid, dns y dhcp
Saludos !
El 13 de septiembre de 2013 19:23, Ing. Ramon Resendiz < rresendiz@globaltrack.com.mx> escribió:
El 13/09/13, angel jauregui darkdiabliyo@gmail.com escribió:
Hasta aquí si entiendo.
IMPORTANTE: el router tiene el dhcp configurado como *relay*, y tiene puesta la IP de otro servidor de la red lan: 192.168.1.4
?¿ no importa ello, lo que debes hacer es poner en red tu interfaz de red eth0 con la del router deben estar en el mismo segmento de red.
Puerta de enlace del router, verdad?
Ya tienes un dns 8.8.8.8, no creo que ya sea necesario usar una de tu red, al menos que caiga la de google (no creo que caiga)
DNS2="192.168.1.4" # ip de otro server con: Squid, DNS y DHCP
Si está en el mismo segmento de red, debe funcionar.
Generalmente cuando se usa interfaces de red es recomendable separar en segmentos de red diferentes, por ejemplo podrías usar ip privadas clase A, B o C (10.0.0.0/8, 172.16.0.0/16, 192.168.1.x/24)
Debe ser otro segemento de red, estas en la misma red, mejor no sería usar un switch y conectar el server, tu red lan y tu otro server? todos estan en el mismo segmento de red, sería lo más practico y tus clientes podrían usar diferente gateway, debería funcionar, ya no tendría sentido poner server si hay otro que da servicio como el que dices (es lo que yo pienso y lo que haría, al menos que tengas algo muy particular que quieras hacer con CentOS que no dijiste).
Lo más común es que cuando se pone un servidor dé servicio o sea un firewall haciendo salir a otras redes hacia afuera, traduciendo direcciones de red, permitiendo salir, entrar, etc., etc., y para eso generalmente se usa segmentos de red con ips privadas y teniendo en cuenta que las mascaras de red, por ahí vi que estas usando en 10.0.1.0/8, estas usando a 255.255.255.0, eso no esta bien (que yo sepa) AL MENOS que estés subneteando (lo dudo, pero puede ser), la máscara para esa clase de ip es 255.0.0.0
Pues por el momento eso te puedo comentar amigo, saludos y suerte.
Buen día.
Gracias a las personas que están interesadas, les aclarare varias dudas exponiendoles como esta el esquema de mi red, ya que en base a los cambios que me sugirió Resendiz, hice cambios completos, dejando así:
*IMPORTANTE: *actualmente no logro sacar los paquetes por el Router, ya que anteriormente manejaba una sola tarjeta de red en el Servidor DNS/DHCP, y a veces algunos usuarios listillos se asignaban IPs estáticas con GW 192.168.1.254, y se saltaban el filtro. Por ello conseguí una 2da tarjeta de red para dejar el ROUTER conectado a la eth0 y a las eth1 la red, así nadie podrá brincar el proxy web, vaya, el router estaria inalcanzable.
Servidor #1 -- tiene 2 tarjetas de red: *eth0* conectado al router (ISP) y * eth1* conectado al swicth (red lan).
- El Router maneja un rango de dirección: 192.168.1.x, ip del router: 192.168.1.254 - En la Red manejo un rango de direcciones: 10.0.1.x
El Servidor #1 mantiene los servicios: dhcp, nfs, samba y squid (filtrado web)* *y *firewall*. Vaya todos los equipos de la red pasan por este.
La configuración es:
*shell# /etc/sysconfig/network-scripts/ifcfg-eth0 * DEVICE=eth0 BOOTPROTO=static ONBOOT=yes IPADDR=192.168.1.2 NETMASK=255.255.255.0 NETWORK=192.168.1.0 GATEWAY=192.168.1.254 TYPE=Ethernet HWADDR=00:15:58:A7:23:EE DNS1=8.8.8.8 DNS2=10.0.1.2
*shell# /etc/sysconfig/network-scripts/ifcfg-eth1* DEVICE=eth1 BOOTPROTO=static ONBOOT=yes IPADDR=10.0.1.2 NETMASK=255.255.255.0 NETWORK=10.0.1.0 GATEWAY=192.168.1.254 TYPE=Ethernet HWADDR=00:A1:B0:69:5E:4A DNS1=10.0.1.2 DNS2=8.8.8.8
*Ya despues* les muestro el firewall (reglas iptable), solo quiero corroborar por ahorita que la configuracion de las tarjetas estan bien !
Saludos !
El 14 de septiembre de 2013 05:11, Rodolfo Vargas edgarr789@gmail.comescribió:
-----Mensaje original----- De: centos-es-bounces@centos.org [mailto:centos-es-bounces@centos.org] En nombre de angel jauregui Enviado el: Sábado, 14 de Septiembre de 2013 05:21 p.m. Para: centos-es@centos.org Asunto: Re: [CentOS-es] Configurar 2 tarjetas de red.
Buen día.
Gracias a las personas que están interesadas, les aclarare varias dudas exponiendoles como esta el esquema de mi red, ya que en base a los cambios que me sugirió Resendiz, hice cambios completos, dejando así:
*IMPORTANTE: *actualmente no logro sacar los paquetes por el Router, ya que anteriormente manejaba una sola tarjeta de red en el Servidor DNS/DHCP, y a veces algunos usuarios listillos se asignaban IPs estáticas con GW 192.168.1.254, y se saltaban el filtro. Por ello conseguí una 2da tarjeta de red para dejar el ROUTER conectado a la eth0 y a las eth1 la red, así nadie podrá brincar el proxy web, vaya, el router estaria inalcanzable.
Servidor #1 -- tiene 2 tarjetas de red: *eth0* conectado al router (ISP) y * eth1* conectado al swicth (red lan).
- El Router maneja un rango de dirección: 192.168.1.x, ip del router: 192.168.1.254 - En la Red manejo un rango de direcciones: 10.0.1.x
El Servidor #1 mantiene los servicios: dhcp, nfs, samba y squid (filtrado web)* *y *firewall*. Vaya todos los equipos de la red pasan por este.
La configuración es:
*shell# /etc/sysconfig/network-scripts/ifcfg-eth0 * DEVICE=eth0 BOOTPROTO=static ONBOOT=yes IPADDR=192.168.1.2 NETMASK=255.255.255.0 NETWORK=192.168.1.0 GATEWAY=192.168.1.254 TYPE=Ethernet HWADDR=00:15:58:A7:23:EE DNS1=8.8.8.8 DNS2=10.0.1.2
*shell# /etc/sysconfig/network-scripts/ifcfg-eth1* DEVICE=eth1 BOOTPROTO=static ONBOOT=yes IPADDR=10.0.1.2 NETMASK=255.255.255.0 NETWORK=10.0.1.0 GATEWAY=192.168.1.254 TYPE=Ethernet HWADDR=00:A1:B0:69:5E:4A DNS1=10.0.1.2 DNS2=8.8.8.8
*Ya despues* les muestro el firewall (reglas iptable), solo quiero corroborar por ahorita que la configuracion de las tarjetas estan bien !
Saludos !
El 14 de septiembre de 2013 05:11, Rodolfo Vargas edgarr789@gmail.comescribió:
optima.
El equipo tiene 2 tarjetas de red, eth0 conectada al router del
ISP
tiene
puesta la IP de otro servidor de la red lan: 192.168.1.4
?¿ no importa ello, lo que debes hacer es poner en red tu interfaz
de
tu
sería
eso
Reene Lara... no entendi :S !???
El 14 de septiembre de 2013 21:11, RENE LARA ALVARADO < sistemas@trimaso.com.mx> escribió:
ok cambiar la mascara por: 255.0.0.0 ??
El 14 de septiembre de 2013 20:47, angel jauregui darkdiabliyo@gmail.comescribió:
Angel,
Tienes que reenviar el trafico de tu tarjeta de red interna a la tarjeta de red externa (ip forwarding). Posteriormente tienes que permitir el trafico a traves del firewall con IPTables y Masquerading.
Busca en google ip forwarding y masquerading.
Saludos! Enviado a través de BlackBerry de movistar -- Ing. Ramon Resendiz
-----Original Message----- From: angel jauregui darkdiabliyo@gmail.com Sender: centos-es-bounces@centos.org Date: Sat, 14 Sep 2013 20:48:12 To: centos-es@centos.orgcentos-es@centos.org Reply-To: centos-es@centos.org Subject: Re: [CentOS-es] Configurar 2 tarjetas de red.
ok cambiar la mascara por: 255.0.0.0 ??
El 14 de septiembre de 2013 20:47, angel jauregui darkdiabliyo@gmail.comescribió:
Ramon me gustaria resolver lo de las IPs, Mascara y GW de las configuraciones de las dos tarjetas, despues mostrare mi IPTABLES... Es que no quiero meter mas cosas y llevar algo de organizacion en el mail !
Saludos !
El 14 de septiembre de 2013 20:53, Ing. Ramon Resendiz < rresendiz@globaltrack.com.mx> escribió:
Estaria bien esta configuracion de las tarjetas de red ?? Y viendo que la eth0 usa IP de clase C y la eth1 de clase A, no tendrian problemas para comunicarse ? Si es asi, cual seria la mejor recomiendacion ?
shell# /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 BOOTPROTO=static ONBOOT=yes IPADDR=192.168.1.2 NETMASK=255.255.255.0 NETWORK=192.168.1.0 GATEWAY=192.168.1.254 TYPE=Ethernet HWADDR=aa:bb:cc:dd:ee:ff DNS1=8.8.8.8 DNS2=10.0.1.2
shell# /etc/sysconfig/network-scripts/ifcfg-eth1 DEVICE=eth1 BOOTPROTO=static ONBOOT=yes IPADDR=10.0.1.2 NETMASK=255.0.0.0 NETWORK=10.0.0.0 GATEWAY=192.168.1.254 TYPE=Ethernet HWADDR=aa:bb:cc:dd:ee:ff DNS1=10.0.1.2 DNS2=8.8.8.8
Saludos !
El 14 de septiembre de 2013 21:17, angel jauregui darkdiabliyo@gmail.comescribió:
El 14/09/13, angel jauregui darkdiabliyo@gmail.com escribió:
Amigo lee sobre NAT (traducción de direcciones de red) y ya no dudes, lee sobre ipv4, clases de ip, pásate por la doc de redhat, alcance libre y muchas otras, es una recomendación que te hago, saludos y suerte.
Te enviaré a tu mail algunos archivos que creo te serviran para resolver eso r.lara
-----Mensaje original----- De: centos-es-bounces@centos.org [mailto:centos-es-bounces@centos.org] En nombre de angel jauregui Enviado el: Sábado, 14 de Septiembre de 2013 08:25 p.m. Para: centos-es@centos.org; rresendiz@globaltrack.com.mx Asunto: Re: [CentOS-es] Configurar 2 tarjetas de red.
Estaria bien esta configuracion de las tarjetas de red ?? Y viendo que la eth0 usa IP de clase C y la eth1 de clase A, no tendrian problemas para comunicarse ? Si es asi, cual seria la mejor recomiendacion ?
shell# /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 BOOTPROTO=static ONBOOT=yes IPADDR=192.168.1.2 NETMASK=255.255.255.0 NETWORK=192.168.1.0 GATEWAY=192.168.1.254 TYPE=Ethernet HWADDR=aa:bb:cc:dd:ee:ff DNS1=8.8.8.8 DNS2=10.0.1.2
shell# /etc/sysconfig/network-scripts/ifcfg-eth1 DEVICE=eth1 BOOTPROTO=static ONBOOT=yes IPADDR=10.0.1.2 NETMASK=255.0.0.0 NETWORK=10.0.0.0 GATEWAY=192.168.1.254 TYPE=Ethernet HWADDR=aa:bb:cc:dd:ee:ff DNS1=10.0.1.2 DNS2=8.8.8.8
Saludos !
El 14 de septiembre de 2013 21:17, angel jauregui darkdiabliyo@gmail.comescribió:
Ramon me gustaria resolver lo de las IPs, Mascara y GW de las configuraciones de las dos tarjetas, despues mostrare mi IPTABLES...
Es que
tarjeta
de red externa (ip forwarding). Posteriormente tienes que permitir
el
[mailto:centos-es-bounces@centos.org]
varias
dudas exponiendoles como esta el esquema de mi red, ya que en base a
los
Router,
GW
192.168.1.254, y se saltaban el filtro. Por ello conseguí una
2da
tarjeta de red para dejar el ROUTER conectado a la eth0 y a las eth1 la
red,
router
router:
este.
quiero
corroborar por ahorita que la configuracion de las tarjetas
estan bien
manera
optima.
El equipo tiene 2 tarjetas de red, eth0 conectada al router
del
*relay*, y
interfaz
optimo
configurar la red de ambos ?... les dejo mi configuracion
actual:
una de
DHCP
separar
en segmentos de red diferentes, por ejemplo podrías usar ip
privadas
DHCP
DHCP
Debe ser otro segemento de red, estas en la misma red, mejor
no
sería
usar un switch y conectar el server, tu red lan y tu otro
server?
todos estan en el mismo segmento de red, sería lo más practico
y tus
clientes podrían usar diferente gateway, debería funcionar, ya
no
tendría sentido poner server si hay otro que da servicio como
el que
dices (es lo que yo pienso y lo que haría, al menos que tengas
algo
muy particular que quieras hacer con CentOS que no dijiste).
Lo más común es que cuando se pone un servidor dé servicio o
sea un
firewall haciendo salir a otras redes hacia afuera,
traduciendo
direcciones de red, permitiendo salir, entrar, etc., etc., y
para
eso
generalmente se usa segmentos de red con ips privadas y
teniendo en
cuenta que las mascaras de red, por ahí vi que estas usando en 10.0.1.0/8, estas usando a 255.255.255.0, eso no esta bien
(que yo
sepa) AL MENOS que estés subneteando (lo dudo, pero puede
ser), la
máscara para esa clase de ip es 255.0.0.0
Pues por el momento eso te puedo comentar amigo, saludos y
suerte.
00000010
NETMASK=255.255.255.0 en binario: 11111111 11111111 11111111
00000000
Buenas...
Les dejo copia de mis reglas iptables, recordar que:
* Servidor DHCP/DNS/Squid/Firewall - eth0 --> 192.168.1.2 ( conectada al router ISP[192.168.1.254] ). - eth1 --> 10.0.1.2 ( conectada al switch [red lan] ). - todo el trafico llega a eth1 y debe sacarse por eth0 hacia e router.
## FIREWALL
iptables -F iptables -X iptables -Z iptables -t nat -F
# politicas por defecto iptables -P INPUT ACCEPT # aceptamos entradas iptables -P OUTPUT ACCEPT # aceptamos salidas iptables -P FORWARD ACCEPT # aceptamos reenvios iptables -t nat -P PREROUTING ACCEPT # aceptamos nat hacia dentro iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat hacia afuera echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de reenvios
iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT # dns - dhcp iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT # portmapper/rpcbind iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT # samba iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT # samba iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT # squid iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT # squid cache iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT # nfs iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT # webmind
# forwarding iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 20:22 -j ACCEPT # ftp y ssh iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT # dns - dhcp iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT # dns -dhcp (udp) iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 80 -j ACCEPT # http iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 443 -j ACCEPT # https iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT # portmapper/rpcbind iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT # samba iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT # samba iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT # squid iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT # squid cache iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT # nfs iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT # asterisk iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT # webmind para LAN
iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT # paso de una a otra red iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT # viceversa
# enmascaramiento iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.2:3128 # squid iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j MASQUERADE # todo lo que salga de la red, se enmascara
# denegaciones iptables -A INPUT -p tcp --dport 1000 -j DROP # denegar webmind iptables -A INPUT -p tcp --dport 1:1024 -j DROP # cerrar puertos privados iptables -A FORWARD -p tcp --dport 1000 -j DROP # denegar webmind #iptables -A FORWARD -j DROP # degenamos lo demas
Saludos !
El 15 de septiembre de 2013 11:51, RENE LARA ALVARADO < sistemas@trimaso.com.mx> escribió:
-
angel jauregui -
Ing. Ramon Resendiz -
RENE LARA ALVARADO -
Rodolfo Vargas