Buen día.

Rodolfo si usted se considera tan conocedor creo que debería plantear una solución u opción, no solo una critica de "esta mal" o "esta bien", de nada sirve que me digan que esta mal (si por algo no funciona).

Sobre el ping interno escribí claramente que tengo *todos los servicios en la LAN (locales)*, vaya FTP, HTTP, SSH... todos !.. Vaya, *SI PUEDO HACER PING* a la red LAN (osease a las IPs de los equipos de la red), solo no logro llegar al segmento distinto al que estoy (10.0.1.0/24), no puedo hacer ping al Router (192.168.1.254), por logica NO salgo a internet... La unica forma que funciono fue porque *no desconectaron* un cable de red que va del router al switch, que se supone no debe estar ya que la idea es que el router *solamente este conectado* a la eth0 del server, y la eth1 al switch. Si quiero navegar, tengo que poner un cable del router al switch.

Respecto a mis reglas, siempre que hago cambios *es obvio que limpio y vuelvo a cargar*.

En mi segmento de IPs en la eth1 uso 10.0.1.0/24 con mascara 255.255.255.0, ya que solo me importa asignar de: 10.0.1.2 a 10.0.1.254.... Ya que 10.0.1.1 es el server y 10.0.1.255 el broadcast....

Ayudar significa "plantear una solución", no solo criticar !.... Por favor limitese a ayudar, de nada me sirve una critica sin soluciones, me deja en las mismas :S !

Cuando mencione sobre mis tarjetas de red, lo comente porque la configuración que tienen considero está bien:

*shell# /etc/sysconfig/network-scripts/ifcfg-eth0 * DEVICE=eth0 BOOTPROTO=static ONBOOT=yes IPADDR=192.168.1.1 NETMASK=255.255.255.0 NETWORK=192.168.1.0 GATEWAY=192.168.1.254 TYPE=Ethernet HWADDR=00:11:22:33:44:55 DNS1=8.8.8.8 DNS2=10.0.1.1

*shell# /etc/sysconfig/network-scripts/ifcfg-eth1* DEVICE=eth1 BOOTPROTO=static ONBOOT=yes IPADDR=10.0.1.1 NETMASK=255.255.255.0 NETWORK=10.0.1.0 TYPE=Ethernet HWADDR=aa:bb:cc:dd:ee:ff DNS1=8.8.8.8 DNS2=10.0.1.1

Saludos !

El 22 de septiembre de 2013 03:23, Rodolfo Vargas edgarr789@gmail.comescribió:

El 21/09/13, angel jauregui darkdiabliyo@gmail.com escribió:

...

Buenas...

Hace dias habia expuesto un problema de configruacion de mis tarjetas de red el cual quedo solucionado, pero sin darme cuenta existia un cable de

Quedó solucionado?¿

...

red conectado del router al switch, y cuando me percate lo desconecte ya que se supone que la configuracion del server es:

NO debería haber problema

...

eth0 --> ip:192.168.1.1 conectada al router (192.168.1.254). eth1 --> ip:10.0.1.1 conectada al switch (red lan).

Servicios del server:

• HTTP abierto para todos (LAN e Internet).
• FTP abierto para todos (LAN e Internet).
• SSH abierto para todos (LAN e Internet).
• Los demas son para la LAN.

Y la idea es:

• El segmento de red asignado es: 10.0.1.0/24, y se esta cumpliendo !.

Le hemos dicho POR QUÉ usted usa 10.0.1.0/24? que clase de ip estas usando? ES CLASE A y su máscara es 255.0.0.0, máscara 255.255.255.0 es para clase C, o esta subneteado? no respondió tampoco.

...

• Los clientes tiene como Gateway la ip del server (10.0.1.1), se cumple

!.

...

• La navegacion web se redirige al puerto del Squid, se cumple !.
• Los demas puertos a consultar se hacen FW, creo que se cumple !.
• Se supone que lo que entra por eth1 (lan) de sacarse por eth0 por la

puerta gateway (ip del router).

Problemas y Virtudes:

• No logro hacer ping a ninguna pagina, ni a la IP del router.

Jajajaj, señor usted en pruimer lugar debe usar ips, luego recién verificar si resuelve nombres, bueno eso yo hago :), dijo que resolvió el problema de red antes, al parecer no solucionó dicho detalle, primero debe asignar BIEN los parámetros de red, luego verificar, la forma más común es usando ping, LIMPIANDO PRIMERO REGLAS si las hay, hacer ping entre todas las interfaces por decir, tanto en la red lan y fuera, si todo va bien recien aplicar reglas en firewall (es un consejo que le doy)

...

• Si puedo hacer ping a los equipos locales.

Pero verifique por qué usa la máscara que no le corresponde a esa clase A de ip

...

• Si obtengo todos los servicios de red local (dhcp, asterisk, ftp, http,

mysql).

...

• Si funciona la redireccion del 80 al puerto squid, ya que si escribo

una

...

palabra restringida, sale la pagina de aviso de Squid.

Mis reglas iptables son:

iptables -F iptables -X iptables -Z iptables -t nat -F

    # politicas por defecto
    iptables -P INPUT ACCEPT                # aceptamos entradas
    iptables -P OUTPUT ACCEPT               # aceptamos salidas
    iptables -P FORWARD ACCEPT              # aceptamos reenvios
    iptables -t nat -P PREROUTING ACCEPT    # aceptamos nat hacia

fuera

...

    iptables -t nat -P POSTROUTING ACCEPT   # aceptamos nat hacia

dentro echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de reenvios

    iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo
    iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT
  # ftp y ssh
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
 # http
    iptables -A INPUT -p tcp --dport 443 -j ACCEPT
  # https
    iptables -A INPUT -p tcp --dport 53 -j ACCEPT
 # dns - dhcp
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
                # portmapper/rpcbind
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j

ACCEPT

...

                # samba
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
                # samba
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
                 # squid
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
                 # squid cache
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
                 # nfs
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
                 # asterisk
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT
                 # webmind para LAN

   # forwardnig
    iptables -A FORWARD -p tcp --dport 20:22 -j ACCEPT
  # ftp y ssh
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
                 # dns - dhcp
    iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT
                 # dns -dhcp (udp)
    iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
 # http
    iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
  # https
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
                # portmapper/rpcbind
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j

ACCEPT

...

                # samba
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
                # samba
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
                 # squid
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
                 # squid cache
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
                 # nfs
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
                 # asterisk
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT
                 # webmind para LAN

    iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT
    iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT

    # enmascaramiento
    iptables -A OUTPUT -j ACCEPT
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT

--to 192.168.1.1:3128 iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT

--to

...

192.168.1.1 iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j

MASQUERADE

...

# todo lo que salga de la red, se enmascara
    # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -s

10.0.1.0/24 -j REDIRECT --to-port 3128

   # denegaciones
    iptables -A INPUT -p tcp --dport 1000 -j DROP
# denegar webmind
    iptables -A INPUT -p tcp --dport 1:1024 -j DROP
# cerrar puertos privados
    iptables -A FORWARD -p tcp --dport 1000 -j DROP
# denegar webmind
    iptables -A FORWARD -j DROP
# degenamos lo demas

Saludos !

Ya le han dado consejos, creo que ni los toma en cuenta, lo que le aconsejo es iptables -F, luego aplique manualmente NAT y vea si logra salir hacia afuera y hacer ping entre todas las interfaces, osea a los segmentos de red, es demasiado básico el escenario que plantea, debería funcionar, vaya por partes, en fin solo usted entiende lo que quiere hacer :), saludos y suerte, ya le dije lea sobre ipv4, NAT (entender no solo escribir)

...

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

-- Live free or die! _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

Gracias MIGUEL por tu atenta respuesta, te comento:

Servidor: eth0 --> 192.168.1.1 conectada al router (ip: 192.168.1.254) eth1 --> 10.0.1.1 conectada al switch (red LAN).

En el servidor tengo DNSMASQ y asigno como gateway la IP de la eth1 del server (10.0.1.1).

Saludos !

El 23 de septiembre de 2013 02:48, Miguel González < miguel_3_gonzalez@yahoo.es> escribió:

...

Sobre el ping interno escribí claramente que tengo *todos los servicios en la LAN (locales)*, vaya FTP, HTTP, SSH... todos !.. Vaya, *SI PUEDO HACER PING* a la red LAN (osease a las IPs de los equipos de la red), solo no logro llegar al segmento distinto al que estoy (10.0.1.0/24), no puedo hacer ping al Router (192.168.1.254), por logica NO salgo a internet...

Hola:

Estaría bien tener un pequeño esquema de texto de los equipos que tiene en su red. Yo al menos con el intercambio de emails no comprendo todavía que quiere hacer exactamente.

Si no he entendido mal su red LAN tiene un rango 10.0.1.x no? Luego tiene un servidor linux ¿? que tiene una interfaz en esa subred de la LAN y otra en otra subred 192.168.1.x ? Y luego en esa subred esta el router? Algo asi como:

Clientes LAN (10.0.1.x)  ------------> (10.0.1.1) Servidor iptables

(192.168.1.1) |-------------------------------------> (192.168.1.?) Router -----------> Internet

Primeramente estaría bien saber cual es el gateway que tiene

configurado en los clientes de la LAN. Perdone si algunos de estos detalles ya los ha dado, pero no tengo el resto de emails.

Saludos

Miguel

---

CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

Desde cualquier equipo conectado al switch puedo hacer ping a cualquier equipo de la red, tambien tengo todos los servicios que brinda el servidor: http, ftp, ssh, nfs, samba, etc....

El punto es que desde cualquier equipo de la red no puedo hacer ping a la IP del router 192.168.1.254 y mucho menos ping a paginas web :(

Tambien intento resolver usando: "host google.com" y nada !...

Saludos !

El 23 de septiembre de 2013 09:45, Miguel González < miguel_3_gonzalez@yahoo.es> escribió:

On 9/23/2013 4:19 PM, angel jauregui wrote:

...

Gracias MIGUEL por tu atenta respuesta, te comento:

Servidor: eth0 --> 192.168.1.1 conectada al router (ip: 192.168.1.254) eth1 --> 10.0.1.1 conectada al switch (red LAN).

En el servidor tengo DNSMASQ y asigno como gateway la IP de la eth1 del server (10.0.1.1).

Vale, vamos avanzando. Has probado como te han dicho a hacer ping desde el servidor a internet directamente?

Saludos

Miguel _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

El 22/09/13, angel jauregui darkdiabliyo@gmail.com escribió:

Buen día.

Rodolfo si usted se considera tan conocedor creo que debería plantear una solución u opción, no solo una critica de "esta mal" o "esta bien", de nada sirve que me digan que esta mal (si por algo no funciona).

La lista es para dar ideas, no siempre está obligada a resolver alguna situación, no puedes obligar a la lista a que solucionen tu caso.

Tmabién te aclaro que no me considero conocer, ese adjetivo tú me lo estas diciendo, simplemente yo LEO, ME DOCUMENTO antes de hacer alguna cosa, tienes los documentos de redhat linux en pdf, tienes a uno de los mejores portales que da soporte a CnetOS (alcanelibre.org), que yo sepa simplemente te recomendé que leas más porque tus preguntas son reiterativas y la repuesta está en los mensajes que te han dado, NO ESTAS SALIENDO A OTRAS REDES NO ESTA HACIENDO NAT

Sobre el ping interno escribí claramente que tengo *todos los servicios en la LAN (locales)*, vaya FTP, HTTP, SSH... todos !.. Vaya, *SI PUEDO HACER PING* a la red LAN (osease a las IPs de los equipos de la red), solo no logro llegar al segmento distinto al que estoy (10.0.1.0/24), no puedo hacer ping al Router (192.168.1.254), por logica NO salgo a internet... La

Claro pues mi amigo, LA PUERTA DE ENLACE del router no te esta respondiendo, no estas en red con ese segmento y se debe a que no esta haciendo traducción de direcciones, puede ser a varios factores: 1.- no estas usando los parámentros de red correctos, esa máscara de la clase A esta equivocada.

2.- puede ser que no haya conexión hacia el router, no estaría de más verificar.

3.- las reglas iptables no estan correctamente puestas.

Para hacer NAT necesitas iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE y también echo 1 > /proc/sys/net/ipv4/ip_forward

Arriba pongo -o y no he añadido -s, pongo así para que traduzca entre todas las interfaces que tenga, si tienes solo dos es obvio que solo traducirá de esa.

solo eso es necesario, por eso te había recomendado borrar todas las reglas que tienes por el momento y solo escribir lo de arriba si todo esta correcto debería funcionar.

unica forma que funciono fue porque *no desconectaron* un cable de red que va del router al switch, que se supone no debe estar ya que la idea es que

Lo más lógico es pensar que si salía es que estaba en red con ese router y usaba puerta de enlace de dicho router y asi podían estar con internet.

el router *solamente este conectado* a la eth0 del server, y la eth1 al switch. Si quiero navegar, tengo que poner un cable del router al switch.

Reitero: Lo más lógico es pensar que si salía es que estaba en red con ese router y usaba puerta de enlace de dicho router y así podían estar con internet.

Respecto a mis reglas, siempre que hago cambios *es obvio que limpio y vuelvo a cargar*.

Algo anda mal

En mi segmento de IPs en la eth1 uso 10.0.1.0/24 con mascara 255.255.255.0, ya que solo me importa asignar de: 10.0.1.2 a 10.0.1.254.... Ya que 10.0.1.1 es el server y 10.0.1.255 el broadcast....

Amigo LA MASCARA DE LA CLASE A es la que te dijeron antes y te lo pusieron en binario, ni idea tenías y tampoco te has preocupado en averiguar creo, yo te dije por qué estas usando esa mascara, te dije lee sobre ips privadas clase A, B, C, creo que eso te molesta, quieres que todo te lo den mascado, quieres que te solucionen a tus preguntas, y estas esperanzado solo en la lista, deberías intentar por otros medios con las recomendaciones que te han dado, tienes mucha documentación en internet.

Ayudar significa "plantear una solución", no solo criticar !.... Por favor

NO seas exigente con la lista, la lista no es soporte técnico a medida, no pagas por ello a nadie de la lsita, la lista te puede ayudar con ideas, pero no esta obligada a solucionar tu caso particular, no sé si habrás leído sobre soporte comunitario, en fin creo que ya te han dado suficientes argumentos para que tu puedas solucionar tu caso.

limitese a ayudar, de nada me sirve una critica sin soluciones, me deja en las mismas :S !

La lista es para dar ideas MAS NO ESTA OBLIGADA A SOLUCIONAR TU CASO

Cuando mencione sobre mis tarjetas de red, lo comente porque la configuración que tienen considero está bien:

*shell# /etc/sysconfig/network-scripts/ifcfg-eth0 * DEVICE=eth0 BOOTPROTO=static ONBOOT=yes IPADDR=192.168.1.1 NETMASK=255.255.255.0 NETWORK=192.168.1.0 GATEWAY=192.168.1.254 TYPE=Ethernet HWADDR=00:11:22:33:44:55 DNS1=8.8.8.8 DNS2=10.0.1.1

*shell# /etc/sysconfig/network-scripts/ifcfg-eth1* DEVICE=eth1 BOOTPROTO=static ONBOOT=yes IPADDR=10.0.1.1 NETMASK=255.255.255.0 NETWORK=10.0.1.0 TYPE=Ethernet HWADDR=aa:bb:cc:dd:ee:ff DNS1=8.8.8.8 DNS2=10.0.1.1

Saludos !

http://es.wikipedia.org/wiki/Direcci%C3%B3n_IP También podría servirte esto:

https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/...

Es mejor seguir la recomendación del mismo redhat linux, en cómo hace dicha tarea, el tuyo esta bien, pero mejor sería que separaras en otro archivo iptablesrules.sh e inicies en bott time dichas reglas personalizadas desde rc.local, no tocarías nada del archivo iptables, al final tus reglas se ejecutan y escribiran, bueno eso te puedo decir y ya no seas muy exigente con la lista, si no te dan las ideas que tú quieres, tú debes tratar de solucionar tu caso.

El 22 de septiembre de 2013 03:23, Rodolfo Vargas edgarr789@gmail.comescribió:

...

El 21/09/13, angel jauregui darkdiabliyo@gmail.com escribió:

...

Buenas...

Hace dias habia expuesto un problema de configruacion de mis tarjetas de red el cual quedo solucionado, pero sin darme cuenta existia un cable de

Quedó solucionado?¿

...

red conectado del router al switch, y cuando me percate lo desconecte ya que se supone que la configuracion del server es:

NO debería haber problema

...

eth0 --> ip:192.168.1.1 conectada al router (192.168.1.254). eth1 --> ip:10.0.1.1 conectada al switch (red lan).

Servicios del server:

• HTTP abierto para todos (LAN e Internet).
• FTP abierto para todos (LAN e Internet).
• SSH abierto para todos (LAN e Internet).
• Los demas son para la LAN.

Y la idea es:

• El segmento de red asignado es: 10.0.1.0/24, y se esta cumpliendo !.

Le hemos dicho POR QUÉ usted usa 10.0.1.0/24? que clase de ip estas usando? ES CLASE A y su máscara es 255.0.0.0, máscara 255.255.255.0 es para clase C, o esta subneteado? no respondió tampoco.

...

• Los clientes tiene como Gateway la ip del server (10.0.1.1), se

cumple

!.

...

• La navegacion web se redirige al puerto del Squid, se cumple !.
• Los demas puertos a consultar se hacen FW, creo que se cumple !.
• Se supone que lo que entra por eth1 (lan) de sacarse por eth0 por la

puerta gateway (ip del router).

Problemas y Virtudes:

• No logro hacer ping a ninguna pagina, ni a la IP del router.

Jajajaj, señor usted en pruimer lugar debe usar ips, luego recién verificar si resuelve nombres, bueno eso yo hago :), dijo que resolvió el problema de red antes, al parecer no solucionó dicho detalle, primero debe asignar BIEN los parámetros de red, luego verificar, la forma más común es usando ping, LIMPIANDO PRIMERO REGLAS si las hay, hacer ping entre todas las interfaces por decir, tanto en la red lan y fuera, si todo va bien recien aplicar reglas en firewall (es un consejo que le doy)

...

• Si puedo hacer ping a los equipos locales.

Pero verifique por qué usa la máscara que no le corresponde a esa clase A de ip

...

• Si obtengo todos los servicios de red local (dhcp, asterisk, ftp,

http, mysql).

...

• Si funciona la redireccion del 80 al puerto squid, ya que si escribo

una

...

palabra restringida, sale la pagina de aviso de Squid.

Mis reglas iptables son:

iptables -F iptables -X iptables -Z iptables -t nat -F

    # politicas por defecto
    iptables -P INPUT ACCEPT                # aceptamos entradas
    iptables -P OUTPUT ACCEPT               # aceptamos salidas
    iptables -P FORWARD ACCEPT              # aceptamos reenvios
    iptables -t nat -P PREROUTING ACCEPT    # aceptamos nat hacia

fuera

...

    iptables -t nat -P POSTROUTING ACCEPT   # aceptamos nat hacia

dentro echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de reenvios

    iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo
    iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT
  # ftp y ssh
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
 # http
    iptables -A INPUT -p tcp --dport 443 -j ACCEPT
  # https
    iptables -A INPUT -p tcp --dport 53 -j ACCEPT
 # dns - dhcp
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
                # portmapper/rpcbind
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j

ACCEPT

...

                # samba
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
                # samba
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
                 # squid
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
                 # squid cache
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
                 # nfs
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
                 # asterisk
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT
                 # webmind para LAN

   # forwardnig
    iptables -A FORWARD -p tcp --dport 20:22 -j ACCEPT
  # ftp y ssh
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
                 # dns - dhcp
    iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT
                 # dns -dhcp (udp)
    iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
 # http
    iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
  # https
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
                # portmapper/rpcbind
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j

ACCEPT

...

                # samba
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
                # samba
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j

ACCEPT # squid iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT # squid cache iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT # nfs iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT # asterisk iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT # webmind para LAN

    iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT
    iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT

    # enmascaramiento
    iptables -A OUTPUT -j ACCEPT
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT

--to 192.168.1.1:3128 iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT

--to

...

192.168.1.1 iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j

MASQUERADE

...

# todo lo que salga de la red, se enmascara
    # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -s

10.0.1.0/24 -j REDIRECT --to-port 3128

   # denegaciones
    iptables -A INPUT -p tcp --dport 1000 -j DROP
# denegar webmind
    iptables -A INPUT -p tcp --dport 1:1024 -j DROP
# cerrar puertos privados
    iptables -A FORWARD -p tcp --dport 1000 -j DROP
# denegar webmind
    iptables -A FORWARD -j DROP
# degenamos lo demas

Saludos !

Ya le han dado consejos, creo que ni los toma en cuenta, lo que le aconsejo es iptables -F, luego aplique manualmente NAT y vea si logra salir hacia afuera y hacer ping entre todas las interfaces, osea a los segmentos de red, es demasiado básico el escenario que plantea, debería funcionar, vaya por partes, en fin solo usted entiende lo que quiere hacer :), saludos y suerte, ya le dije lea sobre ipv4, NAT (entender no solo escribir)

...

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

-- Live free or die! _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas.

Yo veo que esto es una discusión absurda.

Angel la cuestión es muy sencilla: 1- Tu server hace ping a internet? SI 2- Tu red deberá poder navegar por medio del SQUID 3- Tu red, NUNCA podrá hacer PING a internet, porque no estas USANDO NAT para adentro. Porque entonces que sentido tendría el SQUID? 4- Tu server no hace PING a internet 5- Entonces tu Iptables esta muy duro o existe otra causa de configuración que impide que tu server vea internet

TIPS para montar servidores de red 1- Configurar servicios primarios a- DNS b- DHCP c- MAIL d- SQUID e- APACHE

2- Comprobar que dichos servicios funcionan para toda la red 3- Proteger mi server y la red a- Parando servicios no necesarios (NTP y CUPS por ejemplo) b- Ir armando mi Firewall y por cada regla comprobar que el punto 2 se cumpla.

4- Mi server esta listo para producción, prueba de producción durante un tiempo y si la cumple, BINGO!!!

Por demás meterse en discusiones salomónicas no resuelve nada.

Saludos, David

El 23 de septiembre de 2013 08:07, Pablo Alberto Flores pabflore@uchile.clescribió:

Partamos por el principio, tu linux hace ping a google? si tu linux no hace ping tu lan nunca saldra al mundo.

El 23 de septiembre de 2013 05:00, Rodolfo Vargas<edgarr789@gmail.com

...

escribió:

...

El 22/09/13, angel jauregui darkdiabliyo@gmail.com escribió:

...

Buen día.

Rodolfo si usted se considera tan conocedor creo que debería plantear

una

...

...

solución u opción, no solo una critica de "esta mal" o "esta bien", de

nada

...

sirve que me digan que esta mal (si por algo no funciona).

La lista es para dar ideas, no siempre está obligada a resolver alguna situación, no puedes obligar a la lista a que solucionen tu caso.

Tmabién te aclaro que no me considero conocer, ese adjetivo tú me lo estas diciendo, simplemente yo LEO, ME DOCUMENTO antes de hacer alguna cosa, tienes los documentos de redhat linux en pdf, tienes a uno de los mejores portales que da soporte a CnetOS (alcanelibre.org), que yo sepa simplemente te recomendé que leas más porque tus preguntas son reiterativas y la repuesta está en los mensajes que te han dado, NO ESTAS SALIENDO A OTRAS REDES NO ESTA HACIENDO NAT

...

Sobre el ping interno escribí claramente que tengo *todos los servicios

en

...

la LAN (locales)*, vaya FTP, HTTP, SSH... todos !.. Vaya, *SI PUEDO

HACER

...

...

PING* a la red LAN (osease a las IPs de los equipos de la red), solo no logro llegar al segmento distinto al que estoy (10.0.1.0/24), no puedo hacer ping al Router (192.168.1.254), por logica NO salgo a internet...

La

Claro pues mi amigo, LA PUERTA DE ENLACE del router no te esta respondiendo, no estas en red con ese segmento y se debe a que no esta haciendo traducción de direcciones, puede ser a varios factores: 1.- no estas usando los parámentros de red correctos, esa máscara de la clase A esta equivocada.

2.- puede ser que no haya conexión hacia el router, no estaría de más verificar.

3.- las reglas iptables no estan correctamente puestas.

Para hacer NAT necesitas iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE y también echo 1 > /proc/sys/net/ipv4/ip_forward

Arriba pongo -o y no he añadido -s, pongo así para que traduzca entre todas las interfaces que tenga, si tienes solo dos es obvio que solo traducirá de esa.

solo eso es necesario, por eso te había recomendado borrar todas las reglas que tienes por el momento y solo escribir lo de arriba si todo esta correcto debería funcionar.

...

unica forma que funciono fue porque *no desconectaron* un cable de red

que

...

va del router al switch, que se supone no debe estar ya que la idea es

que

Lo más lógico es pensar que si salía es que estaba en red con ese router y usaba puerta de enlace de dicho router y asi podían estar con internet.

...

el router *solamente este conectado* a la eth0 del server, y la eth1 al switch. Si quiero navegar, tengo que poner un cable del router al

switch.

...

...

Reitero: Lo más lógico es pensar que si salía es que estaba en red con ese router y usaba puerta de enlace de dicho router y así podían estar con internet.

...

Respecto a mis reglas, siempre que hago cambios *es obvio que limpio y vuelvo a cargar*.

Algo anda mal

...

En mi segmento de IPs en la eth1 uso 10.0.1.0/24 con mascara

255.255.255.0,

...

ya que solo me importa asignar de: 10.0.1.2 a 10.0.1.254.... Ya que 10.0.1.1 es el server y 10.0.1.255 el broadcast....

Amigo LA MASCARA DE LA CLASE A es la que te dijeron antes y te lo pusieron en binario, ni idea tenías y tampoco te has preocupado en averiguar creo, yo te dije por qué estas usando esa mascara, te dije lee sobre ips privadas clase A, B, C, creo que eso te molesta, quieres que todo te lo den mascado, quieres que te solucionen a tus preguntas, y estas esperanzado solo en la lista, deberías intentar por otros medios con las recomendaciones que te han dado, tienes mucha documentación en internet.

...

Ayudar significa "plantear una solución", no solo criticar !.... Por

favor

NO seas exigente con la lista, la lista no es soporte técnico a medida, no pagas por ello a nadie de la lsita, la lista te puede ayudar con ideas, pero no esta obligada a solucionar tu caso particular, no sé si habrás leído sobre soporte comunitario, en fin creo que ya te han dado suficientes argumentos para que tu puedas solucionar tu caso.

...

limitese a ayudar, de nada me sirve una critica sin soluciones, me deja

en

...

las mismas :S !

La lista es para dar ideas MAS NO ESTA OBLIGADA A SOLUCIONAR TU CASO

...

Cuando mencione sobre mis tarjetas de red, lo comente porque la configuración que tienen considero está bien:

*shell# /etc/sysconfig/network-scripts/ifcfg-eth0 * DEVICE=eth0 BOOTPROTO=static ONBOOT=yes IPADDR=192.168.1.1 NETMASK=255.255.255.0 NETWORK=192.168.1.0 GATEWAY=192.168.1.254 TYPE=Ethernet HWADDR=00:11:22:33:44:55 DNS1=8.8.8.8 DNS2=10.0.1.1

*shell# /etc/sysconfig/network-scripts/ifcfg-eth1* DEVICE=eth1 BOOTPROTO=static ONBOOT=yes IPADDR=10.0.1.1 NETMASK=255.255.255.0 NETWORK=10.0.1.0 TYPE=Ethernet HWADDR=aa:bb:cc:dd:ee:ff DNS1=8.8.8.8 DNS2=10.0.1.1

Saludos !

http://es.wikipedia.org/wiki/Direcci%C3%B3n_IP También podría servirte esto:

https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/...

...

Es mejor seguir la recomendación del mismo redhat linux, en cómo hace dicha tarea, el tuyo esta bien, pero mejor sería que separaras en otro archivo iptablesrules.sh e inicies en bott time dichas reglas personalizadas desde rc.local, no tocarías nada del archivo iptables, al final tus reglas se ejecutan y escribiran, bueno eso te puedo decir y ya no seas muy exigente con la lista, si no te dan las ideas que tú quieres, tú debes tratar de solucionar tu caso.

...

El 22 de septiembre de 2013 03:23, Rodolfo Vargas edgarr789@gmail.comescribió:

...

El 21/09/13, angel jauregui darkdiabliyo@gmail.com escribió:

...

Buenas...

Hace dias habia expuesto un problema de configruacion de mis

tarjetas

...

...

...

...

de red el cual quedo solucionado, pero sin darme cuenta existia un

cable

...

...

...

...

de

Quedó solucionado?¿

...

red conectado del router al switch, y cuando me percate lo

desconecte

...

...

...

...

ya que se supone que la configuracion del server es:

NO debería haber problema

...

eth0 --> ip:192.168.1.1 conectada al router (192.168.1.254). eth1 --> ip:10.0.1.1 conectada al switch (red lan).

Servicios del server:

• HTTP abierto para todos (LAN e Internet).
• FTP abierto para todos (LAN e Internet).
• SSH abierto para todos (LAN e Internet).
• Los demas son para la LAN.

Y la idea es:

• El segmento de red asignado es: 10.0.1.0/24, y se esta cumpliendo

!.

...

...

Le hemos dicho POR QUÉ usted usa 10.0.1.0/24? que clase de ip estas usando? ES CLASE A y su máscara es 255.0.0.0, máscara 255.255.255.0 es para clase C, o esta subneteado? no respondió tampoco.

...

• Los clientes tiene como Gateway la ip del server (10.0.1.1), se

cumple

!.

...

• La navegacion web se redirige al puerto del Squid, se cumple !.
• Los demas puertos a consultar se hacen FW, creo que se cumple !.
• Se supone que lo que entra por eth1 (lan) de sacarse por eth0 por

la

...

...

...

...

puerta gateway (ip del router).

Problemas y Virtudes:

• No logro hacer ping a ninguna pagina, ni a la IP del router.

Jajajaj, señor usted en pruimer lugar debe usar ips, luego recién verificar si resuelve nombres, bueno eso yo hago :), dijo que resolvió el problema de red antes, al parecer no solucionó dicho detalle, primero debe asignar BIEN los parámetros de red, luego verificar, la forma más común es usando ping, LIMPIANDO PRIMERO REGLAS si las hay, hacer ping entre todas las interfaces por decir, tanto en la red lan y fuera, si todo va bien recien aplicar reglas en firewall (es un consejo que le doy)

...

• Si puedo hacer ping a los equipos locales.

Pero verifique por qué usa la máscara que no le corresponde a esa

clase

...

A

...

...

de ip

...

• Si obtengo todos los servicios de red local (dhcp, asterisk, ftp,

http, mysql).

...

• Si funciona la redireccion del 80 al puerto squid, ya que si

escribo

...

...

...

una

...

palabra restringida, sale la pagina de aviso de Squid.

Mis reglas iptables son:

iptables -F iptables -X iptables -Z iptables -t nat -F

    # politicas por defecto
    iptables -P INPUT ACCEPT                # aceptamos entradas
    iptables -P OUTPUT ACCEPT               # aceptamos salidas
    iptables -P FORWARD ACCEPT              # aceptamos reenvios
    iptables -t nat -P PREROUTING ACCEPT    # aceptamos nat

hacia

...

...

...

fuera

...

    iptables -t nat -P POSTROUTING ACCEPT   # aceptamos nat

hacia

...

...

...

...

dentro echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de reenvios

    iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo
    iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT
  # ftp y ssh
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
 # http
    iptables -A INPUT -p tcp --dport 443 -j ACCEPT
  # https
    iptables -A INPUT -p tcp --dport 53 -j ACCEPT
 # dns - dhcp
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j

ACCEPT

...

...

...

...

                # portmapper/rpcbind
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j

ACCEPT

...

                # samba
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j

ACCEPT

...

...

...

...

                # samba
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j

ACCEPT

...

...

...

                 # squid
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j

ACCEPT

...

...

...

                 # squid cache
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j

ACCEPT

...

...

...

                 # nfs
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j

ACCEPT

...

...

...

                 # asterisk
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j

ACCEPT

...

...

...

                 # webmind para LAN

   # forwardnig
    iptables -A FORWARD -p tcp --dport 20:22 -j ACCEPT
  # ftp y ssh
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j

ACCEPT

...

...

...

                 # dns - dhcp
    iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j

ACCEPT

...

...

...

                 # dns -dhcp (udp)
    iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
 # http
    iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
  # https
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j

ACCEPT

...

...

...

                # portmapper/rpcbind
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139

-j

...

...

...

ACCEPT

...

                # samba
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j

ACCEPT

...

...

...

                # samba
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j

ACCEPT # squid iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT # squid cache iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT # nfs iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT # asterisk iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT # webmind para LAN

    iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j

ACCEPT

...

...

...

    iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j

ACCEPT

...

...

...

    # enmascaramiento
    iptables -A OUTPUT -j ACCEPT
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j

DNAT

...

...

...

--to 192.168.1.1:3128 iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j

SNAT

...

...

...

--to

...

192.168.1.1 iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j

MASQUERADE

...

# todo lo que salga de la red, se enmascara
    # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -s

10.0.1.0/24 -j REDIRECT --to-port 3128

   # denegaciones
    iptables -A INPUT -p tcp --dport 1000 -j DROP
# denegar webmind
    iptables -A INPUT -p tcp --dport 1:1024 -j DROP
# cerrar puertos privados
    iptables -A FORWARD -p tcp --dport 1000 -j DROP
# denegar webmind
    iptables -A FORWARD -j DROP
# degenamos lo demas

Saludos !

Ya le han dado consejos, creo que ni los toma en cuenta, lo que le aconsejo es iptables -F, luego aplique manualmente NAT y vea si logra salir hacia afuera y hacer ping entre todas las interfaces, osea a los segmentos de red, es demasiado básico el escenario que plantea, debería funcionar, vaya por partes, en fin solo usted entiende lo que quiere hacer :), saludos y suerte, ya le dije lea sobre ipv4, NAT (entender no solo escribir)

...

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

-- Live free or die! _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas.

-- Live free or die! _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

---

CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

## RENE

Mis equipos están en el segmento 10.0.1.0/24, se asignan IPs de 10.0.1.2 a 10.0.1.254....

La red 192.168.1.0/24 es el rango de IPs que maneja el server para hacer su propia red, por lo cual no muevo dicha configuración alcabo solo existiran 2 IPs...

1- La ip del router: 192.168.1.254 2- La ip estatica del server: 192.168.1.1 (eth0).

En el segmento 10.0.1.0/24 no tengo problemas para compartir información, consultar los servicios del server (apache, mysql, nfs. samba, etc...).

El problema es al momento de intentar acceder a una web, los paquetes como que no llegan al router, creo que mi problema se centra mal en las reglas IPTABLES, algo estoy haciendo mal o algo me falta.

## DAVID

"pingera" me imagino te refieres hacer ping a un dominio o ip... Y pues lo uso con la idea se saber si se esta existiendo funcionamiento, vaya, tambien uso: "host google.com" para ver si resuelve. Vaya, pruebas basicas para saber si mis paquetes circulan como deb (de la PC al server, del server al router, y viceversa).

Fijate que * NO PUEDO llegar la router* desde el server, y vaya que esta conectado a la eth0.

Mi configuración:

*server# ifconfig -a * eth0 Link encap:Ethernet HWaddr 00:11:22:33:44:55 inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0

eth1 Link encap:Ethernet HWaddr 66:77:88:99:aa:bb inet addr:10.0.1.1 Bcast:10.0.1.255 Mask:255.255.255.0

*server# router* 10.0.1.0 * 255.255.255.0 U 0 0 0 eth1 192.168.1.0 * 255.255.255.0 U 0 0 0 eth0 link-local * 255.255.0.0 U 1002 0 0 eth1 link-local * 255.255.0.0 U 1003 0 0 eth0 default home 0.0.0.0 UG 0 0 0 eth0

*server# ping 192.168.1.254* PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data.

From 192.168.1.1 icmp_seq=3 Destination Host Unreachable

Saludos !

El 23 de septiembre de 2013 14:03, David González Romero < dgrvedado@gmail.com> escribió:

Yo no soy partidario de este esquema que propones de poner el Modem-Router directo al servidor. Porque entonces el conceto DMZ queda obsoleto ahi. Esta bien su esquema de red. Lo que yo me cuestiono es si realmente el necesito que los clientes de la red 10.0.1.0/24 puedan "pingear" a internet. Y no me queda claro si el servidor en SI ve internet mismo...

Saludos, David

El 23 de septiembre de 2013 15:56, RENE LARA ALVARADO < sistemas@trimaso.com.mx> escribió:

...

Creo que bajo tu esquema, deseeas usar tu servidor (maq con dos interfaces de red y en distinta red) con la funcion de ruteador.

A reserva de si es conveniente o no, en ese caso sería mejor que pusieras tu modem-router en modo puente, conectado a una de las interfases.

De esa forma solo lidiaras solo don dos redes y no con tres. La direccion ip que te asigna el proveedor quedará en una de las tarjetas y en la otra tu la red de tus equipos r.lara

---

CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

---

CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

oooo que maravilla :D.... era el maldito cable... en serio que voy a enmarcar ese cable de red y le ponde "el maldito cable que me hizo bullying de red".

Ya hice pruebas en los equipos de red y ya logro hacer ping a la IP del router 192.168.1.254 y a cualquier pagina.

Ahora solo me gustaria aclarar algunos comentarios que me hicieron en un foro sobre mis reglas IPTABLES en la parte de "#enmascaramientos", ustedes que opinan ??:

iptables -F iptables -X iptables -Z iptables -t nat -F

# politicas por defecto iptables -P INPUT ACCEPT # denegamos entradas iptables -P OUTPUT ACCEPT # aceptamos salidas iptables -P FORWARD ACCEPT # denegamos reenvios iptables -t nat -P PREROUTING ACCEPT # aceptamos nat hacia fuera iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat hacia dentro echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de reenvios

iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT # ftp y ssh iptables -A INPUT -p tcp --dport 80 -j ACCEPT # http iptables -A INPUT -p tcp --dport 443 -j ACCEPT # https iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT # dns - dhcp iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT # portmapper/rpcbind iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT # samba iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT # samba iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT # squid iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT # squid cache iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT # nfs iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT # asterisk iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT # webmind para LAN

# forwardnig iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 20:22 -j ACCEPT # ftp y ssh iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT # dns - dhcp iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT # dns -dhcp (udp) iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 80 -j ACCEPT # http iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 443 -j ACCEPT # https iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT # portmapper/rpcbind iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT # samba iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT # samba iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT # squid iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT # squid cache iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT # nfs iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT # asterisk iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 10000 -j ACCEPT # webmind para LAN

iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT

# enmascaramiento iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT --to 192.168.1.1 # cambiamos la direccion source iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j MASQUERADE # enmascaramos iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.1:3128 # con destino al 80 en eth1 lo cambiamos

Como verán el firewall es estricto, si en la empresa no me confirman que abramos un servicio interno o para el exterior, no sale.... solo lo confirmado:

- Para todos (de adentro y fuera [internet]): 80, 21 y 22. - Para lo demas va controlado solo la red interna "-s". - Para los Forward (conexion afuera) va controlada por "-s"

Saludos !

El 23 de septiembre de 2013 15:25, angel jauregui darkdiabliyo@gmail.comescribió:

Acabo de cambiar el cable de red que va del router a la eth0 del server y ahora puedo hacer ping desde el server hacia la IP del router y cualquier web.

Voy a probar en los demas equipos de la red.

Saludos !

El 23 de septiembre de 2013 15:18, angel jauregui darkdiabliyo@gmail.comescribió:

## RENE

...

Mis equipos están en el segmento 10.0.1.0/24, se asignan IPs de 10.0.1.2 a 10.0.1.254....

La red 192.168.1.0/24 es el rango de IPs que maneja el server para hacer su propia red, por lo cual no muevo dicha configuración alcabo solo existiran 2 IPs...

1- La ip del router: 192.168.1.254 2- La ip estatica del server: 192.168.1.1 (eth0).

En el segmento 10.0.1.0/24 no tengo problemas para compartir información, consultar los servicios del server (apache, mysql, nfs. samba, etc...).

El problema es al momento de intentar acceder a una web, los paquetes como que no llegan al router, creo que mi problema se centra mal en las reglas IPTABLES, algo estoy haciendo mal o algo me falta.

## DAVID

"pingera" me imagino te refieres hacer ping a un dominio o ip... Y pues lo uso con la idea se saber si se esta existiendo funcionamiento, vaya, tambien uso: "host google.com" para ver si resuelve. Vaya, pruebas basicas para saber si mis paquetes circulan como deb (de la PC al server, del server al router, y viceversa).

Fijate que * NO PUEDO llegar la router* desde el server, y vaya que esta conectado a la eth0.

Mi configuración:

*server# ifconfig -a * eth0 Link encap:Ethernet HWaddr 00:11:22:33:44:55 inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0

eth1 Link encap:Ethernet HWaddr 66:77:88:99:aa:bb inet addr:10.0.1.1 Bcast:10.0.1.255 Mask:255.255.255.0

*server# router* 10.0.1.0 * 255.255.255.0 U 0 0 0 eth1 192.168.1.0 * 255.255.255.0 U 0 0 0 eth0 link-local * 255.255.0.0 U 1002 0 0 eth1 link-local * 255.255.0.0 U 1003 0 0 eth0 default home 0.0.0.0 UG 0 0 0 eth0

*server# ping 192.168.1.254* PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data. From 192.168.1.1 icmp_seq=3 Destination Host Unreachable

Saludos !

El 23 de septiembre de 2013 14:03, David González Romero < dgrvedado@gmail.com> escribió:

Yo no soy partidario de este esquema que propones de poner el Modem-Router

...

directo al servidor. Porque entonces el conceto DMZ queda obsoleto ahi. Esta bien su esquema de red. Lo que yo me cuestiono es si realmente el necesito que los clientes de la red 10.0.1.0/24 puedan "pingear" a internet. Y no me queda claro si el servidor en SI ve internet mismo...

Saludos, David

El 23 de septiembre de 2013 15:56, RENE LARA ALVARADO < sistemas@trimaso.com.mx> escribió:

...

Creo que bajo tu esquema, deseeas usar tu servidor (maq con dos interfaces de red y en distinta red) con la funcion de ruteador.

A reserva de si es conveniente o no, en ese caso sería mejor que pusieras tu modem-router en modo puente, conectado a una de las interfases.

De esa forma solo lidiaras solo don dos redes y no con tres. La direccion ip que te asigna el proveedor quedará en una de las tarjetas y en la otra tu la red de tus equipos r.lara

---

CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

---

CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas.

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas.

El 23/09/13, angel jauregui darkdiabliyo@gmail.com escribió:

oooo que maravilla :D.... era el maldito cable... en serio que voy a enmarcar ese cable de red y le ponde "el maldito cable que me hizo bullying de red".

Me alegro que ayas solucionado tu problema, viste? tú mismo, por ahí dije algo de revisar conexión por hardware, no esta demás, hay muchas cosas que uno puede ir descartando cuando algo no esta como queremos, no solo mirar a un solo lado, es una recomendación mía de algunas experiencias que tuve por ahi.

Ya hice pruebas en los equipos de red y ya logro hacer ping a la IP del router 192.168.1.254 y a cualquier pagina.

EL ping es un indicador, pero qué pasaría si el servidor que almacena la aplicación tiene un firewall que no permite hacer ping? deshabilita esa opción? (microsoft por ejemplo) deshabilta el icmp, qué pensarías? otra cosa para investigar :), pero deshabiltado esta online y esta activo, recuerde que lo más importante son las ips públicas de esa manera se conectan todo internet, servidores dns para resolver nombres, ya que tuviste uno por ahí deberías usarlo como primario y hacer forwarder a google por ejemplo 8.8.8.8 8.8.4.4

Ahora solo me gustaria aclarar algunos comentarios que me hicieron en un foro sobre mis reglas IPTABLES en la parte de "#enmascaramientos", ustedes que opinan ??:

iptables -F iptables -X iptables -Z iptables -t nat -F

    # politicas por defecto
    iptables -P INPUT ACCEPT                # denegamos entradas
    iptables -P OUTPUT ACCEPT               # aceptamos salidas
    iptables -P FORWARD ACCEPT              # denegamos reenvios
    iptables -t nat -P PREROUTING ACCEPT    # aceptamos nat hacia fuera
    iptables -t nat -P POSTROUTING ACCEPT   # aceptamos nat hacia

dentro echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de reenvios

    iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo
    iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT
  # ftp y ssh
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
 # http
    iptables -A INPUT -p tcp --dport 443 -j ACCEPT
  # https
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
                 # dns - dhcp
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
                # portmapper/rpcbind
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT
                # samba
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
                # samba
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
                 # squid
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
                 # squid cache
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
                 # nfs
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
                 # asterisk
    iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT
                 # webmind para LAN

   # forwardnig
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 20:22 -j ACCEPT
                # ftp y ssh
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
                 # dns - dhcp
    iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT
                 # dns -dhcp (udp)
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 80 -j ACCEPT
                 # http
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 443 -j ACCEPT
                # https
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
                # portmapper/rpcbind
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT
                # samba
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
                # samba
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
                 # squid
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
                 # squid cache
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
                 # nfs
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
                 # asterisk
    iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 10000 -j ACCEPT
                 # webmind para LAN

    iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT
    iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT

    # enmascaramiento

iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT --to 192.168.1.1 # cambiamos la direccion source iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j MASQUERADE # enmascaramos iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.1:3128 # con destino al 80 en eth1 lo cambiamos

Como verán el firewall es estricto, si en la empresa no me confirman que abramos un servicio interno o para el exterior, no sale.... solo lo confirmado:

• Para todos (de adentro y fuera [internet]): 80, 21 y 22.
• Para lo demas va controlado solo la red interna "-s".
• Para los Forward (conexion afuera) va controlada por "-s"

POr ahí leí que dices no respondía y jamás mostraba la página, amigo tienes que entender que cuando es drop tienes que indicarle OUTPUT E INPUT deben estar en tus reglas diciendo accept debajo de lo que ya pusieras como input output drop, se abre poco a poco los servicios, hay buena documentación en internet.

Ahora te doy un consejo (nunca esta demás tomarlo en cuenta) si trabajas para una empresa debes tratar de hacer lo mejor que puedas en cualquier cosa, tal vez te digan presenta un informe de lo que haz hecho y más tarde otro técnico pueda ver y hacer cambios o actualizar etc., etc., y vea lo que has hecho y diga quién ha hecho esto no esta respetando las nomas en clases de ip, esta subneteando? no dice nada y puede ser que te vean como aprendíz, si quieres mejorar y crecer como network administrator debes seguir stándares y leer bastante, pero por ahi sigo viendo que no estas usando los parámetros correctos para una clase de ip, te mandé un link para que leyeras, por qué usar alguna máscara de red para dicha clase de ip, no es porque se me antoja decirte, son normas ya escritas para redes privadas.

Funciona y es cierto, pero no es lo correcto, mira que máscara tiene, incluso puedes usar ips públicas y funcionaría, pero no es lo correcto y lo recomendado para redes lan, es un consejo si quieres lo tomas si no es tu decisión, saludos.

Saludos !

El 23 de septiembre de 2013 15:25, angel jauregui darkdiabliyo@gmail.comescribió:

...

Acabo de cambiar el cable de red que va del router a la eth0 del server y ahora puedo hacer ping desde el server hacia la IP del router y cualquier web.

Voy a probar en los demas equipos de la red.

Saludos !

El 23 de septiembre de 2013 15:18, angel jauregui darkdiabliyo@gmail.comescribió:

## RENE

...

Mis equipos están en el segmento 10.0.1.0/24, se asignan IPs de 10.0.1.2 a 10.0.1.254....

La red 192.168.1.0/24 es el rango de IPs que maneja el server para hacer su propia red, por lo cual no muevo dicha configuración alcabo solo existiran 2 IPs...

1- La ip del router: 192.168.1.254 2- La ip estatica del server: 192.168.1.1 (eth0).

En el segmento 10.0.1.0/24 no tengo problemas para compartir información, consultar los servicios del server (apache, mysql, nfs. samba, etc...).

El problema es al momento de intentar acceder a una web, los paquetes como que no llegan al router, creo que mi problema se centra mal en las reglas IPTABLES, algo estoy haciendo mal o algo me falta.

## DAVID

"pingera" me imagino te refieres hacer ping a un dominio o ip... Y pues lo uso con la idea se saber si se esta existiendo funcionamiento, vaya, tambien uso: "host google.com" para ver si resuelve. Vaya, pruebas basicas para saber si mis paquetes circulan como deb (de la PC al server, del server al router, y viceversa).

Fijate que * NO PUEDO llegar la router* desde el server, y vaya que esta conectado a la eth0.

Mi configuración:

*server# ifconfig -a * eth0 Link encap:Ethernet HWaddr 00:11:22:33:44:55 inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0

eth1 Link encap:Ethernet HWaddr 66:77:88:99:aa:bb inet addr:10.0.1.1 Bcast:10.0.1.255 Mask:255.255.255.0

*server# router* 10.0.1.0 * 255.255.255.0 U 0 0 0 eth1 192.168.1.0 * 255.255.255.0 U 0 0 0 eth0 link-local * 255.255.0.0 U 1002 0 0 eth1 link-local * 255.255.0.0 U 1003 0 0 eth0 default home 0.0.0.0 UG 0 0 0 eth0

*server# ping 192.168.1.254* PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data. From 192.168.1.1 icmp_seq=3 Destination Host Unreachable

Saludos !

El 23 de septiembre de 2013 14:03, David González Romero < dgrvedado@gmail.com> escribió:

Yo no soy partidario de este esquema que propones de poner el Modem-Router

...

directo al servidor. Porque entonces el conceto DMZ queda obsoleto ahi. Esta bien su esquema de red. Lo que yo me cuestiono es si realmente el necesito que los clientes de la red 10.0.1.0/24 puedan "pingear" a internet. Y no me queda claro si el servidor en SI ve internet mismo...

Saludos, David

El 23 de septiembre de 2013 15:56, RENE LARA ALVARADO < sistemas@trimaso.com.mx> escribió:

...

Creo que bajo tu esquema, deseeas usar tu servidor (maq con dos interfaces de red y en distinta red) con la funcion de ruteador.

A reserva de si es conveniente o no, en ese caso sería mejor que pusieras tu modem-router en modo puente, conectado a una de las interfases.

De esa forma solo lidiaras solo don dos redes y no con tres. La direccion ip que te asigna el proveedor quedará en una de las tarjetas y en la otra tu la red de tus equipos r.lara

---

CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

---

CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas.

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas.

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es