Hola amigos un saludo a todos por molestarles con un peque problema haber si me pueden guiar con mi problema, paso a explicar
Tengo un servidor centos 5.10 con 3 tarjetas de red, presta servicio dhcp proxy firewall y adicional esta conectado a un equipo que tiene un tunel de datos con otra oficina.
El equipo al cuál está conectado el servidor linux tiene varias interfaces de red e internamente tiene vlans para dar el servicio de internet y el servicio del tunel datos, actualmente este equipo tiene asignado la ip 192.168.0.3 en la una oficina y en al otra oficina tiene la ip 172.25.144.3, desde la oficina con al ip 172 puedo hacer ping a la ip 192.168.0.3 sin problemas.
Para poder llegar a los equipos con la ip 172 tengo creada esta ruta route add -net 172.25.144.0 netmask 255.255.255.0 gw 192.168.0.3 eth2
Cuando activo esta interfaz de red (eth2) y creo la ruta puedo hacer ping a la ip 172.25.144.3 pero me quedo sin internet en mi servidor, he hablado con el proveedor y ellos me dicen que no es probloema de ellos sino mio he realizado algunas pruebas pero en todas cuando activo la interfaz eth2 me quedo sin internet.
Acá el resumen de mis tarjetas
eth0 = ip del isp 181.XX.XX.XX eth1 = ip local de la red 192.168.0.1 eth2= ip tunel de datos 192.168.0.4 puerta de enlace 192.168.0.3
Gracias a todos los que puedan ayudarme en este dilema
Saludos
César
Hola César.
Parece un problema en la configuración de las tarjetas de red o en el enrutamiento. Revisa los ficheros de rutas estáticas.
¿Podrías adjuntar los ifcfg-ethX y una salida del " route -n "?
Saludos.
El 06/03/14 01:57, César Martinez escribió:
Hola amigos un saludo a todos por molestarles con un peque problema haber si me pueden guiar con mi problema, paso a explicar
Tengo un servidor centos 5.10 con 3 tarjetas de red, presta servicio dhcp proxy firewall y adicional esta conectado a un equipo que tiene un tunel de datos con otra oficina.
El equipo al cuál está conectado el servidor linux tiene varias interfaces de red e internamente tiene vlans para dar el servicio de internet y el servicio del tunel datos, actualmente este equipo tiene asignado la ip 192.168.0.3 en la una oficina y en al otra oficina tiene la ip 172.25.144.3, desde la oficina con al ip 172 puedo hacer ping a la ip 192.168.0.3 sin problemas.
Para poder llegar a los equipos con la ip 172 tengo creada esta ruta route add -net 172.25.144.0 netmask 255.255.255.0 gw 192.168.0.3 eth2
Cuando activo esta interfaz de red (eth2) y creo la ruta puedo hacer ping a la ip 172.25.144.3 pero me quedo sin internet en mi servidor, he hablado con el proveedor y ellos me dicen que no es probloema de ellos sino mio he realizado algunas pruebas pero en todas cuando activo la interfaz eth2 me quedo sin internet.
Acá el resumen de mis tarjetas
eth0 = ip del isp 181.XX.XX.XX eth1 = ip local de la red 192.168.0.1 eth2= ip tunel de datos 192.168.0.4 puerta de enlace 192.168.0.3
Gracias a todos los que puedan ayudarme en este dilema
Saludos
César
Hola,
El 06/03/2014 1:57, César Martinez escribió:
(...)
Acá el resumen de mis tarjetas
eth0 = ip del isp 181.XX.XX.XX eth1 = ip local de la red 192.168.0.1 eth2= ip tunel de datos 192.168.0.4 puerta de enlace 192.168.0.3
Gracias a todos los que puedan ayudarme en este dilema
Para poder ayudarte un poco más manda la salida de los comandos:
ip route show table local ip route cat /etc/iproute2/rt_tables
Saludos
Saludos.
Hola perdón por la demora adjuntop lo que me pidieron, gracias
[root@server ~]# ip route show table local broadcast 181.113.66.79 dev eth0 proto kernel scope link src 181.113.66.78 broadcast 192.168.0.255 dev eth1 proto kernel scope link src 192.168.0.1 broadcast 192.168.0.255 dev eth2 proto kernel scope link src 192.168.0.4 local 181.113.66.78 dev eth0 proto kernel scope host src 181.113.66.78 broadcast 127.255.255.255 dev lo proto kernel scope link src 127.0.0.1 broadcast 181.113.66.72 dev eth0 proto kernel scope link src 181.113.66.78 local 192.168.0.1 dev eth1 proto kernel scope host src 192.168.0.1 broadcast 192.168.0.0 dev eth1 proto kernel scope link src 192.168.0.1 broadcast 192.168.0.0 dev eth2 proto kernel scope link src 192.168.0.4 local 192.168.0.4 dev eth2 proto kernel scope host src 192.168.0.4 broadcast 127.0.0.0 dev lo proto kernel scope link src 127.0.0.1 local 127.0.0.1 dev lo proto kernel scope host src 127.0.0.1 local 127.0.0.0/8 dev lo proto kernel scope host src 127.0.0.1
[root@server ~]# ip route 181.113.66.72/29 dev eth0 proto kernel scope link src 181.113.66.78 192.168.0.0/24 dev eth1 proto kernel scope link src 192.168.0.1 192.168.0.0/24 dev eth2 proto kernel scope link src 192.168.0.4 172.25.144.0/24 via 192.168.0.3 dev eth2 169.254.0.0/16 dev eth2 scope link default via 192.168.0.3 dev eth1
[root@server ~]# cat /etc/iproute2/rt] cat: /etc/iproute2/rt]: No existe el fichero o el directorio [root@server ~]# cat /etc/iproute2/rt_tables # # reserved values # 255 local 254 main 253 default 0 unspec # # local # #1 inr.ruhep
[root@server ~]# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 181.113.66.72 0.0.0.0 255.255.255.248 U 0 0 0 eth0 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2 172.25.144.0 192.168.0.3 255.255.255.0 UG 0 0 0 eth2 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth2 0.0.0.0 192.168.0.3 0.0.0.0 UG 0 0 0 eth1
[root@server ~]# ifconfig eth0 Link encap:Ethernet HWaddr 00:26:5A:84:C3:B0 inet addr:181.113.66.78 Bcast:181.113.66.79 Mask:255.255.255.248 inet6 addr: fe80::226:5aff:fe84:c3b0/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:252760 errors:0 dropped:0 overruns:0 frame:0 TX packets:217835 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:244532967 (233.2 MiB) TX bytes:43337721 (41.3 MiB) Interrupt:169 Base address:0xa000
eth1 Link encap:Ethernet HWaddr 3C:4A:92:B2:92:E4 inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0 inet6 addr: fe80::3e4a:92ff:feb2:92e4/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:316476 errors:0 dropped:0 overruns:0 frame:0 TX packets:266660 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:52758130 (50.3 MiB) TX bytes:248769712 (237.2 MiB) Interrupt:177 Memory:fbdf0000-fbe00000
eth2 Link encap:Ethernet HWaddr 54:E6:FC:80:4C:C5 inet addr:192.168.0.4 Bcast:192.168.0.255 Mask:255.255.255.0 inet6 addr: fe80::56e6:fcff:fe80:4cc5/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:6 errors:0 dropped:0 overruns:0 frame:0 TX packets:33 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:2292 (2.2 KiB) TX bytes:5848 (5.7 KiB) Interrupt:90 Base address:0xc000
lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:965 errors:0 dropped:0 overruns:0 frame:0 TX packets:965 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:96576 (94.3 KiB) TX bytes:96576 (94.3 KiB)
Cordialmente
César Martínez Mora Ingeniero de Sistemas SERVICOM User Linux 494131
Números Convencionales 02-2554-271 02-2221-386 Extensión 4501 Móvil 09-99374-317 Usa (315) 519-7220 Email & Msn cmartinez@servicomecuador.com Skype servicomecuador Web www.servicomecuador.com Síguenos en Twitter: http://twitter.com/servicomecuador Facebook: http://www.facebook.com/servicomec Zona Clientes: www.servicomecuador.com/billing Blog: http://servicomecuador.com/blog
Dir. Av. 10 de Agosto N29-140 Entre Acuña y Cuero y Caicedo Edificio Vivanco Castillo 2do. Piso Oficina 201 Quito - Ecuador - Sudamérica
=================================================
Cláusula de Confidencialidad La información contenida en este e-mail es confidencial y solo puede ser utilizada por la persona a la cual esta dirigida.Si Usted no es el receptor autorizado, cualquier retención, difusión, distribución o copia de este mensaje es prohibida y sancionada por la ley. Si por error recibe este mensaje, por favor reenviarlo al remitente y borre el mensaje recibido inmediatamente. =================================================
On 06/03/14 03:49, Francesc Guitart wrote:
Hola,
El 06/03/2014 1:57, César Martinez escribió:
(...)
Acá el resumen de mis tarjetas
eth0 = ip del isp 181.XX.XX.XX eth1 = ip local de la red 192.168.0.1 eth2= ip tunel de datos 192.168.0.4 puerta de enlace 192.168.0.3
Gracias a todos los que puedan ayudarme en este dilema
Para poder ayudarte un poco más manda la salida de los comandos:
ip route show table local ip route cat /etc/iproute2/rt_tables
Saludos
Saludos.
Hola,
El 06/03/2014 17:57, César Martinez escribió:
Hola perdón por la demora adjuntop lo que me pidieron, gracias
[root@server ~]# ip route show table local broadcast 181.113.66.79 dev eth0 proto kernel scope link src 181.113.66.78 broadcast 192.168.0.255 dev eth1 proto kernel scope link src 192.168.0.1 broadcast 192.168.0.255 dev eth2 proto kernel scope link src 192.168.0.4 local 181.113.66.78 dev eth0 proto kernel scope host src 181.113.66.78 broadcast 127.255.255.255 dev lo proto kernel scope link src 127.0.0.1 broadcast 181.113.66.72 dev eth0 proto kernel scope link src 181.113.66.78 local 192.168.0.1 dev eth1 proto kernel scope host src 192.168.0.1 broadcast 192.168.0.0 dev eth1 proto kernel scope link src 192.168.0.1 broadcast 192.168.0.0 dev eth2 proto kernel scope link src 192.168.0.4 local 192.168.0.4 dev eth2 proto kernel scope host src 192.168.0.4 broadcast 127.0.0.0 dev lo proto kernel scope link src 127.0.0.1 local 127.0.0.1 dev lo proto kernel scope host src 127.0.0.1 local 127.0.0.0/8 dev lo proto kernel scope host src 127.0.0.1
[root@server ~]# ip route 181.113.66.72/29 dev eth0 proto kernel scope link src 181.113.66.78 192.168.0.0/24 dev eth1 proto kernel scope link src 192.168.0.1 192.168.0.0/24 dev eth2 proto kernel scope link src 192.168.0.4 172.25.144.0/24 via 192.168.0.3 dev eth2 169.254.0.0/16 dev eth2 scope link default via 192.168.0.3 dev eth1
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
El problema está aquí. La gateway por defecto es 192.168.0.3 y debería ser 181.113.66.78
Prueba con:
ip route change default via 181.113.66.78 dev eth0 ip route flush cache
Además del tema de la gateway por defecto no entiendo porqué tienes dos interfaces en el mismo rango de red (eth1 y eth2 en 192.168.0.0/24). Seguramente te dará problemas ya que en cualquier momento saldrá a buscar la 192.168.0.3 por eth1 y no por eth2 como debería hacer.
Hola Gracias por responder debería entonces hacer dos cosas
1.- Cambiar el segmento de la red que se genera por la eth1 por ejemplo a 192.168.1.1 2.- Crear una ruta aqui para que le puedan ver al segmento 192.168.0.X
Con esto crees que funcione ya el internet y el tunel ?
Gracias
César
Hola,
El 06/03/2014 17:57, César Martinez escribió:
Hola perdón por la demora adjuntop lo que me pidieron, gracias
[root@server ~]# ip route show table local broadcast 181.113.66.79 dev eth0 proto kernel scope link src 181.113.66.78 broadcast 192.168.0.255 dev eth1 proto kernel scope link src 192.168.0.1 broadcast 192.168.0.255 dev eth2 proto kernel scope link src 192.168.0.4 local 181.113.66.78 dev eth0 proto kernel scope host src 181.113.66.78 broadcast 127.255.255.255 dev lo proto kernel scope link src 127.0.0.1 broadcast 181.113.66.72 dev eth0 proto kernel scope link src 181.113.66.78 local 192.168.0.1 dev eth1 proto kernel scope host src 192.168.0.1 broadcast 192.168.0.0 dev eth1 proto kernel scope link src 192.168.0.1 broadcast 192.168.0.0 dev eth2 proto kernel scope link src 192.168.0.4 local 192.168.0.4 dev eth2 proto kernel scope host src 192.168.0.4 broadcast 127.0.0.0 dev lo proto kernel scope link src 127.0.0.1 local 127.0.0.1 dev lo proto kernel scope host src 127.0.0.1 local 127.0.0.0/8 dev lo proto kernel scope host src 127.0.0.1
[root@server ~]# ip route 181.113.66.72/29 dev eth0 proto kernel scope link src 181.113.66.78 192.168.0.0/24 dev eth1 proto kernel scope link src 192.168.0.1 192.168.0.0/24 dev eth2 proto kernel scope link src 192.168.0.4 172.25.144.0/24 via 192.168.0.3 dev eth2 169.254.0.0/16 dev eth2 scope link default via 192.168.0.3 dev eth1
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
El problema está aquí. La gateway por defecto es 192.168.0.3 y debería ser 181.113.66.78
Prueba con:
ip route change default via 181.113.66.78 dev eth0 ip route flush cache
Además del tema de la gateway por defecto no entiendo porqué tienes dos interfaces en el mismo rango de red (eth1 y eth2 en 192.168.0.0/24). Seguramente te dará problemas ya que en cualquier momento saldrá a buscar la 192.168.0.3 por eth1 y no por eth2 como debería hacer.
El 06/03/2014 18:48, César Martinez escribió:
Hola Gracias por responder debería entonces hacer dos cosas
1.- Cambiar el segmento de la red que se genera por la eth1 por ejemplo a 192.168.1.1 2.- Crear una ruta aqui para que le puedan ver al segmento 192.168.0.X
Con esto crees que funcione ya el internet y el tunel ?
Sí, aunque yo cambiaría el segmento de red en eth2. Así sólo deberás cambiar dos IPs, la eth2 del CentOS y la interface del equipo que hace el túnel. Si cambias el segmento de la red en eth1 también tendrás que hacerlo en todos los equipos de la red interna.
¿La red que hay en el otro extremo del túnel es de confianza? Porqué quizás es más fácil (y lógico) conectar la interface del equipo que hace el túnel (192.168.0.3) directamente en la red local (por ejemplo en el switch donde también esta la eth1 del CentOS). ¿Entiendes por donde voy?
Gracias
De nada.
En realidad cambiar el segmento de las máquinas no es mayor problema ya que estan en dhcp y el Linux genera estas ips entonces seria cuestion solo de hacer un par de cambios y ya, porque el tunel esta ya funcionando con el segmento 192.168.0.3 y en la otra oficina ya esta creada la ruta y allá estan funcionando bien y seria más problema aca, ahora me surge un par de preguntas si cambio el segmento de la eth1 que actual es 192.168.0.1 a 192.168.1.1
1.- Debería hacer igual esto que mencionaste antes
ip route change default via 181.113.66.78 dev eth0 ip route flush cache
2.- Solo al crear una ruta en mi servidor para que vea las ips del segmento 192.168.0.X por la interfaz eth1 automáticamente las máquinas que estan detrás del servidor + firewall van a poder ver igual la red 192.168.0.X para llegar a la otra oficina que tiene la interfaz 172.25.144
Necesitaría que una máquina que tenga la ip 192.168.1.10 por ejemplo pueda llegar a un servidor que tiene la ip 172.25.144.2 en la otra oficina
Gracias
César
El 06/03/2014 18:48, César Martinez escribió:
Hola Gracias por responder debería entonces hacer dos cosas
1.- Cambiar el segmento de la red que se genera por la eth1 por ejemplo a 192.168.1.1 2.- Crear una ruta aqui para que le puedan ver al segmento 192.168.0.X
Con esto crees que funcione ya el internet y el tunel ?
Sí, aunque yo cambiaría el segmento de red en eth2. Así sólo deberás cambiar dos IPs, la eth2 del CentOS y la interface del equipo que hace el túnel. Si cambias el segmento de la red en eth1 también tendrás que hacerlo en todos los equipos de la red interna.
¿La red que hay en el otro extremo del túnel es de confianza? Porqué quizás es más fácil (y lógico) conectar la interface del equipo que hace el túnel (192.168.0.3) directamente en la red local (por ejemplo en el switch donde también esta la eth1 del CentOS). ¿Entiendes por donde voy?
Gracias
De nada.
Tengo medio solucionado mi problema porque ya tengo internet en el servidor y puedo hacer ping desde el servidor hacia el equipo en la otra oficina pero no puedo hacer ping desde el servidor a la otra interfaz de red del tunel, o dese un equipo que esta de tras del proxy.
eth0= ip del ISP eth1 = 192.168.1.1 eth2= 192.168.0.4
Tengo estas rutas route add -net 172.25.144.0 netmask 255.255.255.0 gw 192.168.0.3 eth2 route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.1.1 eth
Y mi salida de route -n es
181.113.66.72 0.0.0.0 255.255.255.248 U 0 0 0 eth0 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.0.0 192.168.1.1 255.255.255.0 UG 0 0 0 eth1 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2 172.25.144.0 192.168.0.3 255.255.255.0 UG 0 0 0 eth2 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth2 0.0.0.0 181.113.66.78 0.0.0.0 UG 0 0 0 eth0
Hola Gracias por responder debería entonces hacer dos cosas
1.- Cambiar el segmento de la red que se genera por la eth1 por ejemplo a 192.168.1.1 2.- Crear una ruta aqui para que le puedan ver al segmento 192.168.0.X
Con esto crees que funcione ya el internet y el tunel ?
Sí, aunque yo cambiaría el segmento de red en eth2. Así sólo deberás cambiar dos IPs, la eth2 del CentOS y la interface del equipo que hace el túnel. Si cambias el segmento de la red en eth1 también tendrás que hacerlo en todos los equipos de la red interna.
¿La red que hay en el otro extremo del túnel es de confianza? Porqué quizás es más fácil (y lógico) conectar la interface del equipo que hace el túnel (192.168.0.3) directamente en la red local (por ejemplo en el switch donde también esta la eth1 del CentOS). ¿Entiendes por donde voy?
Gracias
De nada.
Hola Cesar,
Por favor, envía los mails a la lista. La discusión de tu problema se estaba realizando en ese canal. ¿Porqué cambiar?
Si he entendido bien después de varios mensajes, tienes la interfaz del aparato que hace el túnel conectado directamente a la red interna. Entonces ¿porqué pasas por el firewall para ir de una oficina a otra? Hay algo que no he entendido bien. ¿Puedes explicar la situación actual desde el principio sin omitir nada?
Añade por favor la salida de estos comandos:
ip route ip route show table local ifconfig -a iptables -L -n
Gracias.
Hola Gracias por responder, paso por le proxy porque el cable del tunel de datos esta conectado ahora directo al switch que esta en el segmento 192.168.0.X, el isp creo unas rutas para enviar todo el trafico de datos a la ip 192.168.0.1 que es la ip de mi proxy actualmente. Como te menciono si bajo el firewall momentaneamente puedo hacer ping o entrar a un recurso compartido de la red 172.25.144.4 que es actualmente donde debo llegar, esta ip es un servidor windows que tiene una carpeta compartida. Te adjunto la salida de los comandos, muchas gracias por tu ayuda
ip route 181.113.66.72/29 dev eth0 proto kernel scope link src 181.113.66.78 192.168.0.0/24 dev eth1 proto kernel scope link src 192.168.0.1 172.25.144.0/24 via 192.168.0.3 dev eth1 169.254.0.0/16 dev eth1 scope link default via 181.113.66.73 dev eth
ip route show table local broadcast 181.113.66.79 dev eth0 proto kernel scope link src 181.113.66.78 broadcast 192.168.0.255 dev eth1 proto kernel scope link src 192.168.0.1 local 181.113.66.78 dev eth0 proto kernel scope host src 181.113.66.78 broadcast 127.255.255.255 dev lo proto kernel scope link src 127.0.0.1 broadcast 181.113.66.72 dev eth0 proto kernel scope link src 181.113.66.78 local 192.168.0.1 dev eth1 proto kernel scope host src 192.168.0.1 broadcast 192.168.0.0 dev eth1 proto kernel scope link src 192.168.0.1 broadcast 127.0.0.0 dev lo proto kernel scope link src 127.0.0.1 local 127.0.0.1 dev lo proto kernel scope host src 127.0.0.1 local 127.0.0.0/8 dev lo proto kernel scope host src 127.0.0.1
ifconfig -a eth0 Link encap:Ethernet HWaddr 00:26:5A:84:C3:B0 inet addr:181.113.66.78 Bcast:181.113.66.79 Mask:255.255.255.248 inet6 addr: fe80::226:5aff:fe84:c3b0/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:322452 errors:0 dropped:0 overruns:0 frame:0 TX packets:315335 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:218551617 (208.4 MiB) TX bytes:50814320 (48.4 MiB) Interrupt:169 Base address:0xc000
eth1 Link encap:Ethernet HWaddr 3C:4A:92:B2:92:E4 inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0 inet6 addr: fe80::3e4a:92ff:feb2:92e4/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:401472 errors:0 dropped:0 overruns:0 frame:0 TX packets:326596 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:60175972 (57.3 MiB) TX bytes:235191189 (224.2 MiB) Interrupt:177 Memory:fbdf0000-fbe00000
eth2 Link encap:Ethernet HWaddr 54:E6:FC:80:4C:C5 BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) Interrupt:90 Base address:0xa000
lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:485 errors:0 dropped:0 overruns:0 frame:0 TX packets:485 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:59577 (58.1 KiB) TX bytes:59577 (58.1 KiB)
sit0 Link encap:IPv6-in-IPv4 NOARP MTU:1480 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b
iptables -L -nChain INPUT (policy ACCEPT) target prot opt source destination DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 192.168.0.0/24 0.0.0.0/0 ACCEPT 41 -- 0.0.0.0/0 0.0.0.0/0 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:137 reject-with icmp-port-unreachable ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1976 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:587 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:143 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:11200 ACCEPT all -- 192.168.0.0/24 0.0.0.0/0 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1433 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: MSSQL ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1433 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6670 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Deepthrt ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6670 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6711 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Sub7 ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6711 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6712 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Sub7 ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6712 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6713 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Sub7 ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6713 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:12345 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Netbus ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:12345 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:12346 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Netbus ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:12346 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20034 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Netbus ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20034 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:31337 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: BO ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:31337 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6000 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: XWin ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6000 DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpts:33434:33523 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 reject-with icmp-port-unreachable REJECT 2 -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 5/min burst 5 LOG flags 0 level 4 prefix `Firewalled packet:' REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT) target prot opt source destination REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:55347 reject-with icmp-port-unreachable DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:137 reject-with icmp-port-unreachable REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:138 reject-with icmp-port-unreachable REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:139 reject-with icmp-port-unreachable REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:137 reject-with icmp-port-unreachable REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:138 reject-with icmp-port-unreachable REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:139 reject-with icmp-port-unreachable ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 5/min burst 5 LOG flags 0 level 4 prefix `Firewalled packet:' REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 172.25.144.0/24 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW ACCEPT all -- 0.0.0.0/0 172.25.144.0/24 ACCEPT tcp -- 0.0.0.0/0 172.25.144.0/24 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Hola Cesar,
Por favor, envía los mails a la lista. La discusión de tu problema se estaba realizando en ese canal. ¿Porqué cambiar?
Si he entendido bien después de varios mensajes, tienes la interfaz del aparato que hace el túnel conectado directamente a la red interna. Entonces ¿porqué pasas por el firewall para ir de una oficina a otra? Hay algo que no he entendido bien. ¿Puedes explicar la situación actual desde el principio sin omitir nada?
Añade por favor la salida de estos comandos:
ip route ip route show table local ifconfig -a iptables -L -n
Gracias.
Hola César,
Prueba añadiendo esta regla:
$IPTABLES -I FORWARD -d 172.25.144.0/24 -i eth1 -j ACCEPT
Por cierto, en cuanto a las reglas que me mandaste en el otro mail: $IPTABLES -A INPUT -s 192.168.0.0/24 -j ACCEPT $IPTABLES -A OUTPUT -d 172.25.144.0/24 -j ACCEPT $IPTABLES -A OUTPUT -p tcp -d 172.25.144.0/24 -j ACCEPT $IPTABLES -I OUTPUT -d 172.25.144.0/24 -j ACCEPT $IPTABLES -A POSTROUTING -t nat -o $EXTERNALIF -j MASQUERADE
La primera y la cuarta son exactamente iguales. Elimina una de las dos. La tercera esta incluida dentro de la segunda (o la cuarta, como prefieras). Bórrala también.
El 07/03/2014 11:04, César Martinez escribió:
Hola Gracias por responder, paso por le proxy porque el cable del tunel de datos esta conectado ahora directo al switch que esta en el segmento 192.168.0.X, el isp creo unas rutas para enviar todo el trafico de datos a la ip 192.168.0.1 que es la ip de mi proxy actualmente. Como te menciono si bajo el firewall momentaneamente puedo hacer ping o entrar a un recurso compartido de la red 172.25.144.4 que es actualmente donde debo llegar, esta ip es un servidor windows que tiene una carpeta compartida. Te adjunto la salida de los comandos, muchas gracias por tu ayuda
ip route 181.113.66.72/29 dev eth0 proto kernel scope link src 181.113.66.78 192.168.0.0/24 dev eth1 proto kernel scope link src 192.168.0.1 172.25.144.0/24 via 192.168.0.3 dev eth1 169.254.0.0/16 dev eth1 scope link default via 181.113.66.73 dev eth
ip route show table local broadcast 181.113.66.79 dev eth0 proto kernel scope link src 181.113.66.78 broadcast 192.168.0.255 dev eth1 proto kernel scope link src 192.168.0.1 local 181.113.66.78 dev eth0 proto kernel scope host src 181.113.66.78 broadcast 127.255.255.255 dev lo proto kernel scope link src 127.0.0.1 broadcast 181.113.66.72 dev eth0 proto kernel scope link src 181.113.66.78 local 192.168.0.1 dev eth1 proto kernel scope host src 192.168.0.1 broadcast 192.168.0.0 dev eth1 proto kernel scope link src 192.168.0.1 broadcast 127.0.0.0 dev lo proto kernel scope link src 127.0.0.1 local 127.0.0.1 dev lo proto kernel scope host src 127.0.0.1 local 127.0.0.0/8 dev lo proto kernel scope host src 127.0.0.1
ifconfig -a eth0 Link encap:Ethernet HWaddr 00:26:5A:84:C3:B0 inet addr:181.113.66.78 Bcast:181.113.66.79 Mask:255.255.255.248 inet6 addr: fe80::226:5aff:fe84:c3b0/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:322452 errors:0 dropped:0 overruns:0 frame:0 TX packets:315335 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:218551617 (208.4 MiB) TX bytes:50814320 (48.4 MiB) Interrupt:169 Base address:0xc000
eth1 Link encap:Ethernet HWaddr 3C:4A:92:B2:92:E4 inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0 inet6 addr: fe80::3e4a:92ff:feb2:92e4/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:401472 errors:0 dropped:0 overruns:0 frame:0 TX packets:326596 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:60175972 (57.3 MiB) TX bytes:235191189 (224.2 MiB) Interrupt:177 Memory:fbdf0000-fbe00000
eth2 Link encap:Ethernet HWaddr 54:E6:FC:80:4C:C5 BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) Interrupt:90 Base address:0xa000
lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:485 errors:0 dropped:0 overruns:0 frame:0 TX packets:485 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:59577 (58.1 KiB) TX bytes:59577 (58.1 KiB)
sit0 Link encap:IPv6-in-IPv4 NOARP MTU:1480 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b
iptables -L -nChain INPUT (policy ACCEPT) target prot opt source destination DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 192.168.0.0/24 0.0.0.0/0 ACCEPT 41 -- 0.0.0.0/0 0.0.0.0/0 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:137 reject-with icmp-port-unreachable ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1976 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:587 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:143 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:11200 ACCEPT all -- 192.168.0.0/24 0.0.0.0/0 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1433 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: MSSQL ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1433 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6670 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Deepthrt ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6670 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6711 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Sub7 ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6711 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6712 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Sub7 ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6712 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6713 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Sub7 ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6713 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:12345 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Netbus ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:12345 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:12346 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Netbus ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:12346 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20034 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Netbus ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20034 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:31337 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: BO ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:31337 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6000 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: XWin ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6000 DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpts:33434:33523 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 reject-with icmp-port-unreachable REJECT 2 -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 5/min burst 5 LOG flags 0 level 4 prefix `Firewalled packet:' REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT) target prot opt source destination REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:55347 reject-with icmp-port-unreachable DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:137 reject-with icmp-port-unreachable REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:138 reject-with icmp-port-unreachable REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:139 reject-with icmp-port-unreachable REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:137 reject-with icmp-port-unreachable REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:138 reject-with icmp-port-unreachable REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:139 reject-with icmp-port-unreachable ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 5/min burst 5 LOG flags 0 level 4 prefix `Firewalled packet:' REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 172.25.144.0/24 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW ACCEPT all -- 0.0.0.0/0 172.25.144.0/24 ACCEPT tcp -- 0.0.0.0/0 172.25.144.0/24 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Hola Cesar,
Por favor, envía los mails a la lista. La discusión de tu problema se estaba realizando en ese canal. ¿Porqué cambiar?
Si he entendido bien después de varios mensajes, tienes la interfaz del aparato que hace el túnel conectado directamente a la red interna. Entonces ¿porqué pasas por el firewall para ir de una oficina a otra? Hay algo que no he entendido bien. ¿Puedes explicar la situación actual desde el principio sin omitir nada?
Añade por favor la salida de estos comandos:
ip route ip route show table local ifconfig -a iptables -L -n
Gracias.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
El 07/03/2014 11:24, Francesc Guitart escribió:
Hola César,
Prueba añadiendo esta regla:
$IPTABLES -I FORWARD -d 172.25.144.0/24 -i eth1 -j ACCEPT
Por cierto, en cuanto a las reglas que me mandaste en el otro mail: $IPTABLES -A INPUT -s 192.168.0.0/24 -j ACCEPT $IPTABLES -A OUTPUT -d 172.25.144.0/24 -j ACCEPT $IPTABLES -A OUTPUT -p tcp -d 172.25.144.0/24 -j ACCEPT $IPTABLES -I OUTPUT -d 172.25.144.0/24 -j ACCEPT $IPTABLES -A POSTROUTING -t nat -o $EXTERNALIF -j MASQUERADE
La primera y la cuarta son exactamente iguales. Elimina una de las dos. La tercera esta incluida dentro de la segunda (o la cuarta, como prefieras). Bórrala también.
Olvidé una cosa. La quita regla parece que funciona bien, pero para ser exactos sería más bien:
$IPTABLES -t nat -A POSTROUTING -o $EXTERNALIF -j MASQUERADE
El 07/03/2014 11:04, César Martinez escribió:
Hola Gracias por responder, paso por le proxy porque el cable del tunel de datos esta conectado ahora directo al switch que esta en el segmento 192.168.0.X, el isp creo unas rutas para enviar todo el trafico de datos a la ip 192.168.0.1 que es la ip de mi proxy actualmente. Como te menciono si bajo el firewall momentaneamente puedo hacer ping o entrar a un recurso compartido de la red 172.25.144.4 que es actualmente donde debo llegar, esta ip es un servidor windows que tiene una carpeta compartida. Te adjunto la salida de los comandos, muchas gracias por tu ayuda
ip route 181.113.66.72/29 dev eth0 proto kernel scope link src 181.113.66.78 192.168.0.0/24 dev eth1 proto kernel scope link src 192.168.0.1 172.25.144.0/24 via 192.168.0.3 dev eth1 169.254.0.0/16 dev eth1 scope link default via 181.113.66.73 dev eth
ip route show table localbroadcast 181.113.66.79 dev eth0 proto kernel scope link src 181.113.66.78 broadcast 192.168.0.255 dev eth1 proto kernel scope link src 192.168.0.1 local 181.113.66.78 dev eth0 proto kernel scope host src 181.113.66.78 broadcast 127.255.255.255 dev lo proto kernel scope link src 127.0.0.1 broadcast 181.113.66.72 dev eth0 proto kernel scope link src 181.113.66.78 local 192.168.0.1 dev eth1 proto kernel scope host src 192.168.0.1 broadcast 192.168.0.0 dev eth1 proto kernel scope link src 192.168.0.1 broadcast 127.0.0.0 dev lo proto kernel scope link src 127.0.0.1 local 127.0.0.1 dev lo proto kernel scope host src 127.0.0.1 local 127.0.0.0/8 dev lo proto kernel scope host src 127.0.0.1
ifconfig -aeth0 Link encap:Ethernet HWaddr 00:26:5A:84:C3:B0 inet addr:181.113.66.78 Bcast:181.113.66.79 Mask:255.255.255.248 inet6 addr: fe80::226:5aff:fe84:c3b0/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:322452 errors:0 dropped:0 overruns:0 frame:0 TX packets:315335 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:218551617 (208.4 MiB) TX bytes:50814320 (48.4 MiB) Interrupt:169 Base address:0xc000
eth1 Link encap:Ethernet HWaddr 3C:4A:92:B2:92:E4 inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0 inet6 addr: fe80::3e4a:92ff:feb2:92e4/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:401472 errors:0 dropped:0 overruns:0 frame:0 TX packets:326596 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:60175972 (57.3 MiB) TX bytes:235191189 (224.2 MiB) Interrupt:177 Memory:fbdf0000-fbe00000
eth2 Link encap:Ethernet HWaddr 54:E6:FC:80:4C:C5 BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) Interrupt:90 Base address:0xa000
lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:485 errors:0 dropped:0 overruns:0 frame:0 TX packets:485 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:59577 (58.1 KiB) TX bytes:59577 (58.1 KiB)
sit0 Link encap:IPv6-in-IPv4 NOARP MTU:1480 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b
iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destination DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 192.168.0.0/24 0.0.0.0/0 ACCEPT 41 -- 0.0.0.0/0 0.0.0.0/0 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:137 reject-with icmp-port-unreachable ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1976 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:587 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:143 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:11200 ACCEPT all -- 192.168.0.0/24 0.0.0.0/0 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1433 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: MSSQL ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1433 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6670 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Deepthrt ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6670 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6711 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Sub7 ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6711 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6712 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Sub7 ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6712 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6713 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Sub7 ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6713 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:12345 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Netbus ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:12345 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:12346 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Netbus ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:12346 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20034 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Netbus ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20034 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:31337 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: BO ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:31337 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6000 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: XWin ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6000 DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpts:33434:33523 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 reject-with icmp-port-unreachable REJECT 2 -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 5/min burst 5 LOG flags 0 level 4 prefix `Firewalled packet:' REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT) target prot opt source destination REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:55347 reject-with icmp-port-unreachable DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:137 reject-with icmp-port-unreachable REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:138 reject-with icmp-port-unreachable REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:139 reject-with icmp-port-unreachable REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:137 reject-with icmp-port-unreachable REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:138 reject-with icmp-port-unreachable REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:139 reject-with icmp-port-unreachable ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 5/min burst 5 LOG flags 0 level 4 prefix `Firewalled packet:' REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 172.25.144.0/24 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW ACCEPT all -- 0.0.0.0/0 172.25.144.0/24 ACCEPT tcp -- 0.0.0.0/0 172.25.144.0/24 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Hola Cesar,
Por favor, envía los mails a la lista. La discusión de tu problema se estaba realizando en ese canal. ¿Porqué cambiar?
Si he entendido bien después de varios mensajes, tienes la interfaz del aparato que hace el túnel conectado directamente a la red interna. Entonces ¿porqué pasas por el firewall para ir de una oficina a otra? Hay algo que no he entendido bien. ¿Puedes explicar la situación actual desde el principio sin omitir nada?
Añade por favor la salida de estos comandos:
ip route ip route show table local ifconfig -a iptables -L -n
Gracias.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Gracias voy a realizar estos cambios y probar haber si funciona y comento como me fue, gracias nuevamente
César
El 07/03/2014 11:24, Francesc Guitart escribió:
Hola César,
Prueba añadiendo esta regla:
$IPTABLES -I FORWARD -d 172.25.144.0/24 -i eth1 -j ACCEPT
Por cierto, en cuanto a las reglas que me mandaste en el otro mail: $IPTABLES -A INPUT -s 192.168.0.0/24 -j ACCEPT $IPTABLES -A OUTPUT -d 172.25.144.0/24 -j ACCEPT $IPTABLES -A OUTPUT -p tcp -d 172.25.144.0/24 -j ACCEPT $IPTABLES -I OUTPUT -d 172.25.144.0/24 -j ACCEPT $IPTABLES -A POSTROUTING -t nat -o $EXTERNALIF -j MASQUERADE
La primera y la cuarta son exactamente iguales. Elimina una de las dos. La tercera esta incluida dentro de la segunda (o la cuarta, como prefieras). Bórrala también.
Olvidé una cosa. La quita regla parece que funciona bien, pero para ser exactos sería más bien:
$IPTABLES -t nat -A POSTROUTING -o $EXTERNALIF -j MASQUERADE
El 07/03/2014 11:04, César Martinez escribió:
Hola Gracias por responder, paso por le proxy porque el cable del tunel de datos esta conectado ahora directo al switch que esta en el segmento 192.168.0.X, el isp creo unas rutas para enviar todo el trafico de datos a la ip 192.168.0.1 que es la ip de mi proxy actualmente. Como te menciono si bajo el firewall momentaneamente puedo hacer ping o entrar a un recurso compartido de la red 172.25.144.4 que es actualmente donde debo llegar, esta ip es un servidor windows que tiene una carpeta compartida. Te adjunto la salida de los comandos, muchas gracias por tu ayuda
ip route 181.113.66.72/29 dev eth0 proto kernel scope link src 181.113.66.78 192.168.0.0/24 dev eth1 proto kernel scope link src 192.168.0.1 172.25.144.0/24 via 192.168.0.3 dev eth1 169.254.0.0/16 dev eth1 scope link default via 181.113.66.73 dev eth
ip route show table localbroadcast 181.113.66.79 dev eth0 proto kernel scope link src 181.113.66.78 broadcast 192.168.0.255 dev eth1 proto kernel scope link src 192.168.0.1 local 181.113.66.78 dev eth0 proto kernel scope host src 181.113.66.78 broadcast 127.255.255.255 dev lo proto kernel scope link src 127.0.0.1 broadcast 181.113.66.72 dev eth0 proto kernel scope link src 181.113.66.78 local 192.168.0.1 dev eth1 proto kernel scope host src 192.168.0.1 broadcast 192.168.0.0 dev eth1 proto kernel scope link src 192.168.0.1 broadcast 127.0.0.0 dev lo proto kernel scope link src 127.0.0.1 local 127.0.0.1 dev lo proto kernel scope host src 127.0.0.1 local 127.0.0.0/8 dev lo proto kernel scope host src 127.0.0.1
ifconfig -aeth0 Link encap:Ethernet HWaddr 00:26:5A:84:C3:B0 inet addr:181.113.66.78 Bcast:181.113.66.79 Mask:255.255.255.248 inet6 addr: fe80::226:5aff:fe84:c3b0/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:322452 errors:0 dropped:0 overruns:0 frame:0 TX packets:315335 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:218551617 (208.4 MiB) TX bytes:50814320 (48.4 MiB) Interrupt:169 Base address:0xc000
eth1 Link encap:Ethernet HWaddr 3C:4A:92:B2:92:E4 inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0 inet6 addr: fe80::3e4a:92ff:feb2:92e4/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:401472 errors:0 dropped:0 overruns:0 frame:0 TX packets:326596 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:60175972 (57.3 MiB) TX bytes:235191189 (224.2 MiB) Interrupt:177 Memory:fbdf0000-fbe00000
eth2 Link encap:Ethernet HWaddr 54:E6:FC:80:4C:C5 BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) Interrupt:90 Base address:0xa000
lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:485 errors:0 dropped:0 overruns:0 frame:0 TX packets:485 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:59577 (58.1 KiB) TX bytes:59577 (58.1 KiB)
sit0 Link encap:IPv6-in-IPv4 NOARP MTU:1480 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b
iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destination DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 192.168.0.0/24 0.0.0.0/0 ACCEPT 41 -- 0.0.0.0/0 0.0.0.0/0 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:137 reject-with icmp-port-unreachable ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1976 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:587 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:143 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:11200 ACCEPT all -- 192.168.0.0/24 0.0.0.0/0 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1433 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: MSSQL ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1433 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6670 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Deepthrt ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6670 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6711 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Sub7 ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6711 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6712 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Sub7 ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6712 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6713 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Sub7 ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6713 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:12345 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Netbus ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:12345 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:12346 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Netbus ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:12346 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20034 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Netbus ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20034 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:31337 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: BO ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:31337 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6000 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: XWin ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6000 DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpts:33434:33523 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 reject-with icmp-port-unreachable REJECT 2 -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 5/min burst 5 LOG flags 0 level 4 prefix `Firewalled packet:' REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT) target prot opt source destination REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:55347 reject-with icmp-port-unreachable DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:137 reject-with icmp-port-unreachable REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:138 reject-with icmp-port-unreachable REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:139 reject-with icmp-port-unreachable REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:137 reject-with icmp-port-unreachable REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:138 reject-with icmp-port-unreachable REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:139 reject-with icmp-port-unreachable ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 5/min burst 5 LOG flags 0 level 4 prefix `Firewalled packet:' REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 172.25.144.0/24 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW ACCEPT all -- 0.0.0.0/0 172.25.144.0/24 ACCEPT tcp -- 0.0.0.0/0 172.25.144.0/24 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Hola Cesar,
Por favor, envía los mails a la lista. La discusión de tu problema se estaba realizando en ese canal. ¿Porqué cambiar?
Si he entendido bien después de varios mensajes, tienes la interfaz del aparato que hace el túnel conectado directamente a la red interna. Entonces ¿porqué pasas por el firewall para ir de una oficina a otra? Hay algo que no he entendido bien. ¿Puedes explicar la situación actual desde el principio sin omitir nada?
Añade por favor la salida de estos comandos:
ip route ip route show table local ifconfig -a iptables -L -n
Gracias.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Hola Francesc perdón por la demora la regla funcionó a la perfección muchas gracias por todo
Saludos
César
El 07/03/2014 11:24, Francesc Guitart escribió:
Hola César,
Prueba añadiendo esta regla:
$IPTABLES -I FORWARD -d 172.25.144.0/24 -i eth1 -j ACCEPT
Por cierto, en cuanto a las reglas que me mandaste en el otro mail: $IPTABLES -A INPUT -s 192.168.0.0/24 -j ACCEPT $IPTABLES -A OUTPUT -d 172.25.144.0/24 -j ACCEPT $IPTABLES -A OUTPUT -p tcp -d 172.25.144.0/24 -j ACCEPT $IPTABLES -I OUTPUT -d 172.25.144.0/24 -j ACCEPT $IPTABLES -A POSTROUTING -t nat -o $EXTERNALIF -j MASQUERADE
La primera y la cuarta son exactamente iguales. Elimina una de las dos. La tercera esta incluida dentro de la segunda (o la cuarta, como prefieras). Bórrala también.
Olvidé una cosa. La quita regla parece que funciona bien, pero para ser exactos sería más bien:
$IPTABLES -t nat -A POSTROUTING -o $EXTERNALIF -j MASQUERADE
El 07/03/2014 11:04, César Martinez escribió:
Hola Gracias por responder, paso por le proxy porque el cable del tunel de datos esta conectado ahora directo al switch que esta en el segmento 192.168.0.X, el isp creo unas rutas para enviar todo el trafico de datos a la ip 192.168.0.1 que es la ip de mi proxy actualmente. Como te menciono si bajo el firewall momentaneamente puedo hacer ping o entrar a un recurso compartido de la red 172.25.144.4 que es actualmente donde debo llegar, esta ip es un servidor windows que tiene una carpeta compartida. Te adjunto la salida de los comandos, muchas gracias por tu ayuda
ip route 181.113.66.72/29 dev eth0 proto kernel scope link src 181.113.66.78 192.168.0.0/24 dev eth1 proto kernel scope link src 192.168.0.1 172.25.144.0/24 via 192.168.0.3 dev eth1 169.254.0.0/16 dev eth1 scope link default via 181.113.66.73 dev eth
ip route show table localbroadcast 181.113.66.79 dev eth0 proto kernel scope link src 181.113.66.78 broadcast 192.168.0.255 dev eth1 proto kernel scope link src 192.168.0.1 local 181.113.66.78 dev eth0 proto kernel scope host src 181.113.66.78 broadcast 127.255.255.255 dev lo proto kernel scope link src 127.0.0.1 broadcast 181.113.66.72 dev eth0 proto kernel scope link src 181.113.66.78 local 192.168.0.1 dev eth1 proto kernel scope host src 192.168.0.1 broadcast 192.168.0.0 dev eth1 proto kernel scope link src 192.168.0.1 broadcast 127.0.0.0 dev lo proto kernel scope link src 127.0.0.1 local 127.0.0.1 dev lo proto kernel scope host src 127.0.0.1 local 127.0.0.0/8 dev lo proto kernel scope host src 127.0.0.1
ifconfig -aeth0 Link encap:Ethernet HWaddr 00:26:5A:84:C3:B0 inet addr:181.113.66.78 Bcast:181.113.66.79 Mask:255.255.255.248 inet6 addr: fe80::226:5aff:fe84:c3b0/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:322452 errors:0 dropped:0 overruns:0 frame:0 TX packets:315335 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:218551617 (208.4 MiB) TX bytes:50814320 (48.4 MiB) Interrupt:169 Base address:0xc000
eth1 Link encap:Ethernet HWaddr 3C:4A:92:B2:92:E4 inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0 inet6 addr: fe80::3e4a:92ff:feb2:92e4/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:401472 errors:0 dropped:0 overruns:0 frame:0 TX packets:326596 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:60175972 (57.3 MiB) TX bytes:235191189 (224.2 MiB) Interrupt:177 Memory:fbdf0000-fbe00000
eth2 Link encap:Ethernet HWaddr 54:E6:FC:80:4C:C5 BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) Interrupt:90 Base address:0xa000
lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:485 errors:0 dropped:0 overruns:0 frame:0 TX packets:485 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:59577 (58.1 KiB) TX bytes:59577 (58.1 KiB)
sit0 Link encap:IPv6-in-IPv4 NOARP MTU:1480 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b
iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destination DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 192.168.0.0/24 0.0.0.0/0 ACCEPT 41 -- 0.0.0.0/0 0.0.0.0/0 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:137 reject-with icmp-port-unreachable ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1976 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:587 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:143 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:11200 ACCEPT all -- 192.168.0.0/24 0.0.0.0/0 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1433 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: MSSQL ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1433 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6670 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Deepthrt ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6670 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6711 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Sub7 ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6711 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6712 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Sub7 ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6712 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6713 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Sub7 ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6713 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:12345 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Netbus ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:12345 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:12346 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Netbus ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:12346 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20034 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Netbus ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20034 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:31337 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: BO ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:31337 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6000 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: XWin ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6000 DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpts:33434:33523 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 reject-with icmp-port-unreachable REJECT 2 -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 5/min burst 5 LOG flags 0 level 4 prefix `Firewalled packet:' REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT) target prot opt source destination REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:55347 reject-with icmp-port-unreachable DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:137 reject-with icmp-port-unreachable REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:138 reject-with icmp-port-unreachable REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:139 reject-with icmp-port-unreachable REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:137 reject-with icmp-port-unreachable REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:138 reject-with icmp-port-unreachable REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:139 reject-with icmp-port-unreachable ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 5/min burst 5 LOG flags 0 level 4 prefix `Firewalled packet:' REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 172.25.144.0/24 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW ACCEPT all -- 0.0.0.0/0 172.25.144.0/24 ACCEPT tcp -- 0.0.0.0/0 172.25.144.0/24 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Hola Cesar,
Por favor, envía los mails a la lista. La discusión de tu problema se estaba realizando en ese canal. ¿Porqué cambiar?
Si he entendido bien después de varios mensajes, tienes la interfaz del aparato que hace el túnel conectado directamente a la red interna. Entonces ¿porqué pasas por el firewall para ir de una oficina a otra? Hay algo que no he entendido bien. ¿Puedes explicar la situación actual desde el principio sin omitir nada?
Añade por favor la salida de estos comandos:
ip route ip route show table local ifconfig -a iptables -L -n
Gracias.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
El 11/03/2014 0:20, César Martinez escribió:
Hola Francesc perdón por la demora la regla funcionó a la perfección muchas gracias por todo
Recuerda que,
INPUT es para paquetes con destino el firewall. OUTPUT es para paquetes originados en el propio firewall. FORWARD es para paquetes que pasan a traves del firewall. Es decir que no tienen como destino final ni origen el propio firewall si no que pasan a través de él, como era tu caso.
Saludos
César
Saludos,
El 07/03/2014 11:24, Francesc Guitart escribió:
Hola César,
Prueba añadiendo esta regla:
$IPTABLES -I FORWARD -d 172.25.144.0/24 -i eth1 -j ACCEPT
Por cierto, en cuanto a las reglas que me mandaste en el otro mail: $IPTABLES -A INPUT -s 192.168.0.0/24 -j ACCEPT $IPTABLES -A OUTPUT -d 172.25.144.0/24 -j ACCEPT $IPTABLES -A OUTPUT -p tcp -d 172.25.144.0/24 -j ACCEPT $IPTABLES -I OUTPUT -d 172.25.144.0/24 -j ACCEPT $IPTABLES -A POSTROUTING -t nat -o $EXTERNALIF -j MASQUERADE
La primera y la cuarta son exactamente iguales. Elimina una de las dos. La tercera esta incluida dentro de la segunda (o la cuarta, como prefieras). Bórrala también.
Olvidé una cosa. La quita regla parece que funciona bien, pero para ser exactos sería más bien:
$IPTABLES -t nat -A POSTROUTING -o $EXTERNALIF -j MASQUERADE
El 07/03/2014 11:04, César Martinez escribió:
Hola Gracias por responder, paso por le proxy porque el cable del tunel de datos esta conectado ahora directo al switch que esta en el segmento 192.168.0.X, el isp creo unas rutas para enviar todo el trafico de datos a la ip 192.168.0.1 que es la ip de mi proxy actualmente. Como te menciono si bajo el firewall momentaneamente puedo hacer ping o entrar a un recurso compartido de la red 172.25.144.4 que es actualmente donde debo llegar, esta ip es un servidor windows que tiene una carpeta compartida. Te adjunto la salida de los comandos, muchas gracias por tu ayuda
ip route 181.113.66.72/29 dev eth0 proto kernel scope link src 181.113.66.78 192.168.0.0/24 dev eth1 proto kernel scope link src 192.168.0.1 172.25.144.0/24 via 192.168.0.3 dev eth1 169.254.0.0/16 dev eth1 scope link default via 181.113.66.73 dev eth
ip route show table localbroadcast 181.113.66.79 dev eth0 proto kernel scope link src 181.113.66.78 broadcast 192.168.0.255 dev eth1 proto kernel scope link src 192.168.0.1 local 181.113.66.78 dev eth0 proto kernel scope host src 181.113.66.78 broadcast 127.255.255.255 dev lo proto kernel scope link src 127.0.0.1 broadcast 181.113.66.72 dev eth0 proto kernel scope link src 181.113.66.78 local 192.168.0.1 dev eth1 proto kernel scope host src 192.168.0.1 broadcast 192.168.0.0 dev eth1 proto kernel scope link src 192.168.0.1 broadcast 127.0.0.0 dev lo proto kernel scope link src 127.0.0.1 local 127.0.0.1 dev lo proto kernel scope host src 127.0.0.1 local 127.0.0.0/8 dev lo proto kernel scope host src 127.0.0.1
ifconfig -aeth0 Link encap:Ethernet HWaddr 00:26:5A:84:C3:B0 inet addr:181.113.66.78 Bcast:181.113.66.79 Mask:255.255.255.248 inet6 addr: fe80::226:5aff:fe84:c3b0/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:322452 errors:0 dropped:0 overruns:0 frame:0 TX packets:315335 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:218551617 (208.4 MiB) TX bytes:50814320 (48.4 MiB) Interrupt:169 Base address:0xc000
eth1 Link encap:Ethernet HWaddr 3C:4A:92:B2:92:E4 inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0 inet6 addr: fe80::3e4a:92ff:feb2:92e4/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:401472 errors:0 dropped:0 overruns:0 frame:0 TX packets:326596 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:60175972 (57.3 MiB) TX bytes:235191189 (224.2 MiB) Interrupt:177 Memory:fbdf0000-fbe00000
eth2 Link encap:Ethernet HWaddr 54:E6:FC:80:4C:C5 BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) Interrupt:90 Base address:0xa000
lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:485 errors:0 dropped:0 overruns:0 frame:0 TX packets:485 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:59577 (58.1 KiB) TX bytes:59577 (58.1 KiB)
sit0 Link encap:IPv6-in-IPv4 NOARP MTU:1480 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b
iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destination DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 192.168.0.0/24 0.0.0.0/0 ACCEPT 41 -- 0.0.0.0/0 0.0.0.0/0 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:137 reject-with icmp-port-unreachable ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1976 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:587 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:143 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:11200 ACCEPT all -- 192.168.0.0/24 0.0.0.0/0 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1433 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: MSSQL ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1433 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6670 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Deepthrt ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6670 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6711 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Sub7 ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6711 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6712 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Sub7 ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6712 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6713 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Sub7 ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6713 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:12345 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Netbus ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:12345 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:12346 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Netbus ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:12346 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20034 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: Netbus ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20034 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:31337 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: BO ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:31337 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6000 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `Firewalled packet: XWin ' DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6000 DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpts:33434:33523 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 reject-with icmp-port-unreachable REJECT 2 -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 5/min burst 5 LOG flags 0 level 4 prefix `Firewalled packet:' REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT) target prot opt source destination REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:55347 reject-with icmp-port-unreachable DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:137 reject-with icmp-port-unreachable REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:138 reject-with icmp-port-unreachable REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:139 reject-with icmp-port-unreachable REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:137 reject-with icmp-port-unreachable REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:138 reject-with icmp-port-unreachable REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:139 reject-with icmp-port-unreachable ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 5/min burst 5 LOG flags 0 level 4 prefix `Firewalled packet:' REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 172.25.144.0/24 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW ACCEPT all -- 0.0.0.0/0 172.25.144.0/24 ACCEPT tcp -- 0.0.0.0/0 172.25.144.0/24 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Hola Cesar,
Por favor, envía los mails a la lista. La discusión de tu problema se estaba realizando en ese canal. ¿Porqué cambiar?
Si he entendido bien después de varios mensajes, tienes la interfaz del aparato que hace el túnel conectado directamente a la red interna. Entonces ¿porqué pasas por el firewall para ir de una oficina a otra? Hay algo que no he entendido bien. ¿Puedes explicar la situación actual desde el principio sin omitir nada?
Añade por favor la salida de estos comandos:
ip route ip route show table local ifconfig -a iptables -L -n
Gracias.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
El 07/03/2014 11:32, Francesc Guitart escribió:
El 07/03/2014 11:24, Francesc Guitart escribió:
Hola César,
Prueba añadiendo esta regla:
$IPTABLES -I FORWARD -d 172.25.144.0/24 -i eth1 -j ACCEPT
Por cierto, en cuanto a las reglas que me mandaste en el otro mail: $IPTABLES -A INPUT -s 192.168.0.0/24 -j ACCEPT $IPTABLES -A OUTPUT -d 172.25.144.0/24 -j ACCEPT $IPTABLES -A OUTPUT -p tcp -d 172.25.144.0/24 -j ACCEPT $IPTABLES -I OUTPUT -d 172.25.144.0/24 -j ACCEPT $IPTABLES -A POSTROUTING -t nat -o $EXTERNALIF -j MASQUERADE
La primera y la cuarta son exactamente iguales. Elimina una de las dos.
^^^^^^^
Perdón, quería decir la segunda. La segunda y la cuarta son iguales.
La tercera esta incluida dentro de la segunda (o la cuarta, como prefieras). Bórrala también.
Olvidé una cosa. La quita regla parece que funciona bien, pero para ser exactos sería más bien:
$IPTABLES -t nat -A POSTROUTING -o $EXTERNALIF -j MASQUERADE
He estado leyendo un poco estos días a raíz de tu consulta y esta afirmación que hice no es cierta. Está perfectamente aceptado poner la cadena antes de la tabla como tu hiciste.
Saludos.
Hola Francesc es decir que esta regla esta bien
$IPTABLES -A POSTROUTING -t nat -o $EXTERNALIF -j MASQUERADE
El 07/03/2014 11:32, Francesc Guitart escribió:
El 07/03/2014 11:24, Francesc Guitart escribió:
Hola César,
Prueba añadiendo esta regla:
$IPTABLES -I FORWARD -d 172.25.144.0/24 -i eth1 -j ACCEPT
Por cierto, en cuanto a las reglas que me mandaste en el otro mail: $IPTABLES -A INPUT -s 192.168.0.0/24 -j ACCEPT $IPTABLES -A OUTPUT -d 172.25.144.0/24 -j ACCEPT $IPTABLES -A OUTPUT -p tcp -d 172.25.144.0/24 -j ACCEPT $IPTABLES -I OUTPUT -d 172.25.144.0/24 -j ACCEPT $IPTABLES -A POSTROUTING -t nat -o $EXTERNALIF -j MASQUERADE
La primera y la cuarta son exactamente iguales. Elimina una de las dos.
^^^^^^^Perdón, quería decir la segunda. La segunda y la cuarta son iguales.
La tercera esta incluida dentro de la segunda (o la cuarta, como prefieras). Bórrala también.
Olvidé una cosa. La quita regla parece que funciona bien, pero para ser exactos sería más bien:
$IPTABLES -t nat -A POSTROUTING -o $EXTERNALIF -j MASQUERADE
He estado leyendo un poco estos días a raíz de tu consulta y esta afirmación que hice no es cierta. Está perfectamente aceptado poner la cadena antes de la tabla como tu hiciste.
Saludos.
El 11/03/2014 13:38, César Martinez escribió:
Hola Francesc es decir que esta regla esta bien
$IPTABLES -A POSTROUTING -t nat -o $EXTERNALIF -j MASQUERADE
Exactamente, las dos son válidas.
El 07/03/2014 11:32, Francesc Guitart escribió:
El 07/03/2014 11:24, Francesc Guitart escribió:
Hola César,
Prueba añadiendo esta regla:
$IPTABLES -I FORWARD -d 172.25.144.0/24 -i eth1 -j ACCEPT
Por cierto, en cuanto a las reglas que me mandaste en el otro mail: $IPTABLES -A INPUT -s 192.168.0.0/24 -j ACCEPT $IPTABLES -A OUTPUT -d 172.25.144.0/24 -j ACCEPT $IPTABLES -A OUTPUT -p tcp -d 172.25.144.0/24 -j ACCEPT $IPTABLES -I OUTPUT -d 172.25.144.0/24 -j ACCEPT $IPTABLES -A POSTROUTING -t nat -o $EXTERNALIF -j MASQUERADE
La primera y la cuarta son exactamente iguales. Elimina una de las dos.
^^^^^^^Perdón, quería decir la segunda. La segunda y la cuarta son iguales.
La tercera esta incluida dentro de la segunda (o la cuarta, como prefieras). Bórrala también.
Olvidé una cosa. La quita regla parece que funciona bien, pero para ser exactos sería más bien:
$IPTABLES -t nat -A POSTROUTING -o $EXTERNALIF -j MASQUERADE
He estado leyendo un poco estos días a raíz de tu consulta y esta afirmación que hice no es cierta. Está perfectamente aceptado poner la cadena antes de la tabla como tu hiciste.
Saludos.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Gracias porque con la otra que me enviaste igual esta funcionando bien
El 11/03/2014 13:38, César Martinez escribió:
Hola Francesc es decir que esta regla esta bien
$IPTABLES -A POSTROUTING -t nat -o $EXTERNALIF -j MASQUERADE
Exactamente, las dos son válidas.
El 07/03/2014 11:32, Francesc Guitart escribió:
El 07/03/2014 11:24, Francesc Guitart escribió:
Hola César,
Prueba añadiendo esta regla:
$IPTABLES -I FORWARD -d 172.25.144.0/24 -i eth1 -j ACCEPT
Por cierto, en cuanto a las reglas que me mandaste en el otro mail: $IPTABLES -A INPUT -s 192.168.0.0/24 -j ACCEPT $IPTABLES -A OUTPUT -d 172.25.144.0/24 -j ACCEPT $IPTABLES -A OUTPUT -p tcp -d 172.25.144.0/24 -j ACCEPT $IPTABLES -I OUTPUT -d 172.25.144.0/24 -j ACCEPT $IPTABLES -A POSTROUTING -t nat -o $EXTERNALIF -j MASQUERADE
La primera y la cuarta son exactamente iguales. Elimina una de las dos.
^^^^^^^Perdón, quería decir la segunda. La segunda y la cuarta son iguales.
La tercera esta incluida dentro de la segunda (o la cuarta, como prefieras). Bórrala también.
Olvidé una cosa. La quita regla parece que funciona bien, pero para ser exactos sería más bien:
$IPTABLES -t nat -A POSTROUTING -o $EXTERNALIF -j MASQUERADE
He estado leyendo un poco estos días a raíz de tu consulta y esta afirmación que hice no es cierta. Está perfectamente aceptado poner la cadena antes de la tabla como tu hiciste.
Saludos.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-
Calkyns -
César Martinez -
Francesc Guitart