[CentOS-es] Configurar 2 tarjetas de red.

angel jauregui darkdiabliyo en gmail.com
Dom Sep 15 17:56:16 UTC 2013


Buenas...

Les dejo copia de mis reglas iptables, recordar que:

* Servidor DHCP/DNS/Squid/Firewall
- eth0 --> 192.168.1.2 ( conectada al router ISP[192.168.1.254] ).
- eth1 --> 10.0.1.2 ( conectada al switch [red lan] ).
- todo el trafico llega a eth1 y debe sacarse por eth0 hacia e router.

## FIREWALL

iptables -F
        iptables -X
        iptables -Z
        iptables -t nat -F

        # politicas por defecto
        iptables -P INPUT ACCEPT                # aceptamos entradas
        iptables -P OUTPUT ACCEPT               # aceptamos salidas
        iptables -P FORWARD ACCEPT              # aceptamos reenvios
        iptables -t nat -P PREROUTING ACCEPT    # aceptamos nat hacia dentro
        iptables -t nat -P POSTROUTING ACCEPT   # aceptamos nat hacia afuera
        echo 1 > /proc/sys/net/ipv4/ip_forward  # habilitamos BIT de
reenvios

        iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo
        iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
                     # dns - dhcp
        iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
                    # portmapper/rpcbind
        iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT
                    # samba
        iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
                    # samba
        iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
                     # squid
        iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
                     # squid cache
        iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
                     # nfs
        iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT
                     # webmind

       # forwarding
        iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 20:22 -j ACCEPT
                    # ftp y ssh
        iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
                     # dns - dhcp
        iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT
                     # dns -dhcp (udp)
        iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 80 -j ACCEPT
                     # http
        iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 443 -j ACCEPT
                    # https
        iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
                    # portmapper/rpcbind
        iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT
                    # samba
        iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
                    # samba
        iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
                     # squid
        iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
                     # squid cache
        iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
                     # nfs
        iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
                     # asterisk
        iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT
                     # webmind para LAN

        iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT #
paso de una a otra red
        iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT #
viceversa

        # enmascaramiento
        iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT
--to 192.168.1.2:3128 # squid
        iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j MASQUERADE
    # todo lo que salga de la red, se enmascara

       # denegaciones
        iptables -A INPUT -p tcp --dport 1000 -j DROP
    # denegar webmind
        iptables -A INPUT -p tcp --dport 1:1024 -j DROP
    # cerrar puertos privados
        iptables -A FORWARD -p tcp --dport 1000 -j DROP
    # denegar webmind
        #iptables -A FORWARD -j DROP
      # degenamos lo demas

Saludos !


El 15 de septiembre de 2013 11:51, RENE LARA ALVARADO <
sistemas en trimaso.com.mx> escribió:

> Te enviaré a tu mail algunos archivos que creo te serviran para
> resolver eso
> r.lara
>
> -----Mensaje original-----
> De: centos-es-bounces en centos.org [mailto:centos-es-bounces en centos.org]
> En nombre de angel jauregui
> Enviado el: Sábado, 14 de Septiembre de 2013 08:25 p.m.
> Para: centos-es en centos.org; rresendiz en globaltrack.com.mx
> Asunto: Re: [CentOS-es] Configurar 2 tarjetas de red.
>
> Estaria bien esta configuracion de las tarjetas de red ??
> Y viendo que la eth0 usa IP de clase C y la eth1 de clase A, no
> tendrian
> problemas para comunicarse ?
> Si es asi, cual seria la mejor recomiendacion ?
>
> shell# /etc/sysconfig/network-scripts/ifcfg-eth0
> DEVICE=eth0
> BOOTPROTO=static
> ONBOOT=yes
> IPADDR=192.168.1.2
> NETMASK=255.255.255.0
> NETWORK=192.168.1.0
> GATEWAY=192.168.1.254
> TYPE=Ethernet
> HWADDR=aa:bb:cc:dd:ee:ff
> DNS1=8.8.8.8
> DNS2=10.0.1.2
>
> shell# /etc/sysconfig/network-scripts/ifcfg-eth1
> DEVICE=eth1
> BOOTPROTO=static
> ONBOOT=yes
> IPADDR=10.0.1.2
> NETMASK=255.0.0.0
> NETWORK=10.0.0.0
> GATEWAY=192.168.1.254
> TYPE=Ethernet
> HWADDR=aa:bb:cc:dd:ee:ff
> DNS1=10.0.1.2
> DNS2=8.8.8.8
>
> Saludos !
>
>
> El 14 de septiembre de 2013 21:17, angel jauregui
> <darkdiabliyo en gmail.com>escribió:
>
> > Ramon me gustaria resolver lo de las IPs, Mascara y GW de las
> > configuraciones de las dos tarjetas, despues mostrare mi IPTABLES...
> Es que
> > no quiero meter mas cosas y llevar algo de organizacion en el mail !
> >
> > Saludos !
> >
> >
> > El 14 de septiembre de 2013 20:53, Ing. Ramon Resendiz <
> > rresendiz en globaltrack.com.mx> escribió:
> >
> > Angel,
> >>
> >> Tienes que reenviar el trafico de tu tarjeta de red interna a la
> tarjeta
> >> de red externa (ip forwarding). Posteriormente tienes que permitir
> el
> >> trafico a traves del firewall con IPTables y Masquerading.
> >>
> >> Busca en google ip forwarding y masquerading.
> >>
> >> Saludos!
> >> Enviado a través de BlackBerry de movistar
> >> --
> >> Ing. Ramon Resendiz
> >>
> >> -----Original Message-----
> >> From: angel jauregui <darkdiabliyo en gmail.com>
> >> Sender: centos-es-bounces en centos.org
> >> Date: Sat, 14 Sep 2013 20:48:12
> >> To: centos-es en centos.org<centos-es en centos.org>
> >> Reply-To: centos-es en centos.org
> >> Subject: Re: [CentOS-es] Configurar 2 tarjetas de red.
> >>
> >> ok cambiar la mascara por: 255.0.0.0 ??
> >>
> >>
> >> El 14 de septiembre de 2013 20:47, angel jauregui
> >> <darkdiabliyo en gmail.com>escribió:
> >>
> >> > Reene Lara... no entendi :S !???
> >> >
> >> >
> >> > El 14 de septiembre de 2013 21:11, RENE LARA ALVARADO <
> >> > sistemas en trimaso.com.mx> escribió:
> >> >
> >> >
> >> >> -----Mensaje original-----
> >> >> De: centos-es-bounces en centos.org
> [mailto:centos-es-bounces en centos.org]
> >> >> En nombre de angel jauregui
> >> >> Enviado el: Sábado, 14 de Septiembre de 2013 05:21 p.m.
> >> >> Para: centos-es en centos.org
> >> >> Asunto: Re: [CentOS-es] Configurar 2 tarjetas de red.
> >> >>
> >> >> Buen día.
> >> >>
> >> >> Gracias a las personas que están interesadas, les aclarare
> varias
> >> >> dudas
> >> >> exponiendoles como esta el esquema de mi red, ya que en base a
> los
> >> >> cambios
> >> >> que me sugirió Resendiz, hice cambios completos, dejando así:
> >> >>
> >> >> *IMPORTANTE: *actualmente no logro sacar los paquetes por el
> Router,
> >> >> ya que
> >> >> anteriormente manejaba una sola tarjeta de red en el Servidor
> >> >> DNS/DHCP, y a
> >> >> veces algunos usuarios listillos se asignaban IPs estáticas con
> GW
> >> >> 192.168.1.254, y se saltaban el filtro. Por ello conseguí una
> 2da
> >> >> tarjeta
> >> >> de red para dejar el ROUTER conectado a la eth0 y a las eth1 la
> red,
> >> >> así
> >> >> nadie podrá brincar el proxy web, vaya, el router estaria
> >> >> inalcanzable.
> >> >>
> >> >> Servidor #1 -- tiene 2 tarjetas de red: *eth0* conectado al
> router
> >> >> (ISP) y *
> >> >> eth1* conectado al swicth (red lan).
> >> >>
> >> >> - El Router maneja un rango de dirección: 192.168.1.x, ip del
> router:
> >> >> 192.168.1.254
> >> >> - En la Red manejo un rango de direcciones: 10.0.1.x
> >> >>
> >> >> El Servidor #1 mantiene los servicios: dhcp, nfs, samba y squid
> >> >> (filtrado
> >> >> web)* *y *firewall*. Vaya todos los equipos de la red pasan por
> este.
> >> >>
> >> >> La configuración es:
> >> >>
> >> >> *shell# /etc/sysconfig/network-scripts/ifcfg-eth0 *
> >> >> DEVICE=eth0
> >> >> BOOTPROTO=static
> >> >> ONBOOT=yes
> >> >> IPADDR=192.168.1.2
> >> >> NETMASK=255.255.255.0
> >> >> NETWORK=192.168.1.0
> >> >> GATEWAY=192.168.1.254
> >> >> TYPE=Ethernet
> >> >> HWADDR=00:15:58:A7:23:EE
> >> >> DNS1=8.8.8.8
> >> >> DNS2=10.0.1.2
> >> >>
> >> >> *shell# /etc/sysconfig/network-scripts/ifcfg-eth1*
> >> >> DEVICE=eth1
> >> >> BOOTPROTO=static
> >> >> ONBOOT=yes
> >> >> IPADDR=10.0.1.2
> >> >> NETMASK=255.255.255.0
> >> >> NETWORK=10.0.1.0
> >> >> GATEWAY=192.168.1.254
> >> >> TYPE=Ethernet
> >> >> HWADDR=00:A1:B0:69:5E:4A
> >> >> DNS1=10.0.1.2
> >> >> DNS2=8.8.8.8
> >> >>
> >> >> *Ya despues* les muestro el firewall (reglas iptable), solo
> quiero
> >> >> corroborar por ahorita que la configuracion de las tarjetas
> estan bien
> >> >> !
> >> >>
> >> >> Saludos !
> >> >>
> >> >>
> >> >>
> >> >> El 14 de septiembre de 2013 05:11, Rodolfo Vargas
> >> >> <edgarr789 en gmail.com>escribió:
> >> >>
> >> >> > El 13/09/13, angel jauregui <darkdiabliyo en gmail.com> escribió:
> >> >> > > Buen dia.
> >> >> > >
> >> >> > > Tengo un server que tengo problemas para configurarlo de
> manera
> >> >> optima.
> >> >> > > El equipo tiene 2 tarjetas de red, eth0 conectada al router
> del
> >> >> ISP
> >> >> > > (internet) y eth1 al switch (Red lan).
> >> >> >
> >> >> > Hasta aquí si entiendo.
> >> >> >
> >> >> > >
> >> >> > > IMPORTANTE: el router tiene el dhcp configurado como
> *relay*, y
> >> >> tiene
> >> >> > > puesta la IP de otro servidor de la red lan: 192.168.1.4
> >> >> >
> >> >> > ?¿ no importa ello, lo que debes hacer es poner en red tu
> interfaz
> >> >> de
> >> >> > red eth0 con la del router
> >> >> > deben estar en el mismo segmento de red.
> >> >> >
> >> >> > >
> >> >> > > Quiero saber *su opinion* (estoy bien o mal), y como es mas
> optimo
> >> >> > > configurar la red de ambos ?... les dejo mi configuracion
> actual:
> >> >> > >
> >> >> > > *# eth0 -- conectada al router ISP*
> >> >> > > *shell# cat /etc/sysconfig/network-script/ifcfg-eth0*
> >> >> > > DEVICE="eth0"
> >> >> > > BOOTPROTO="static"
> >> >> > > ONBOOT="yes"
> >> >> > > IPADDR="192.168.1.1"
> >> >> > > NETMASK="255.255.255.0"
> >> >> > > NETWORK="192.168.1.0"
> >> >> > > GATEWAY="192.168.1.254"
> >> >> >
> >> >> > Puerta de enlace del router, verdad?
> >> >> >
> >> >> > > TYPE="Ethernet"
> >> >> > > HWADDR="aa:bb:cc:dd:ee:ff"
> >> >> > > DNS1="8.8.8.8"
> >> >> >
> >> >> > Ya tienes un dns 8.8.8.8, no creo que ya sea necesario usar
> una de
> >> >> tu
> >> >> > red, al menos que caiga la de google (no creo que caiga)
> >> >> >
> >> >> > > DNS2="192.168.1.4"  # ip de otro server con: Squid, DNS y
> DHCP
> >> >> > Si está en el mismo segmento de red, debe funcionar.
> >> >> >
> >> >> >
> >> >> > >
> >> >> > > *# eth1 -- conectada al switch (red lan)*
> >> >> > > *shell# cat /etc/sysconfig/network-script/ifcfg-eth1**
> >> >> > > *
> >> >> > > DEVICE="eth1"
> >> >> > > BOOTPROTO="static"
> >> >> > > ONBOOT="yes"
> >> >> > > IPADDR="192.168.1.2"
> >> >> >
> >> >> > Generalmente cuando se usa interfaces de red es recomendable
> separar
> >> >> > en segmentos de red diferentes, por ejemplo podrías usar ip
> privadas
> >> >> > clase A, B o C (10.0.0.0/8, 172.16.0.0/16, 192.168.1.x/24)
> >> >> >
> >> >> > > NETMASK="255.255.255.0"
> >> >> > > NETWORK="192.168.1.0"
> >> >> > > GATEWAY="192.168.1.4" # ip de otro server con: Squid, DNS y
> DHCP
> >> >> > > TYPE="Ethernet"
> >> >> > > HWADDR="aa:bb:cc:dd:ee:ff"
> >> >> > > DNS1="8.8.8.8"
> >> >> > > DNS2="192.168.1.4"  # ip de otro server con: Squid, DNS y
> DHCP
> >> >> > >
> >> >> >
> >> >> > Debe ser otro segemento de red, estas en la misma red, mejor
> no
> >> >> sería
> >> >> > usar un switch y conectar el server, tu red lan y tu otro
> server?
> >> >> > todos estan en el mismo segmento de red, sería lo más practico
> y tus
> >> >> > clientes podrían usar diferente gateway, debería funcionar, ya
> no
> >> >> > tendría sentido poner server si hay otro que da servicio como
> el que
> >> >> > dices (es lo que yo pienso y lo que haría, al menos que tengas
> algo
> >> >> > muy particular que quieras hacer con CentOS que no dijiste).
> >> >> >
> >> >> > Lo más común es que cuando se pone un servidor dé servicio o
> sea un
> >> >> > firewall haciendo salir a otras redes hacia afuera,
> traduciendo
> >> >> > direcciones de red, permitiendo salir, entrar, etc., etc., y
> para
> >> >> eso
> >> >> > generalmente se usa segmentos de red con ips privadas y
> teniendo en
> >> >> > cuenta que las mascaras de red, por ahí vi que estas usando en
> >> >> > 10.0.1.0/8, estas usando a 255.255.255.0, eso no esta bien
> (que yo
> >> >> > sepa) AL MENOS que estés subneteando (lo dudo, pero puede
> ser), la
> >> >> > máscara para esa clase de ip es 255.0.0.0
> >> >> >
> >> >> > Pues por el momento eso te puedo comentar amigo, saludos y
> suerte.
> >> >> >
> >> >> > > Saludos !
> >> >> > > --
> >> >> > > M.S.I. Angel Haniel Cantu Jauregui.
> >> >> > >
> >> >> > > Celular: (011-52-1)-899-871-17-22
> >> >> > > E-Mail: angel.cantu en sie-group.net
> >> >> > > Web: http://www.sie-group.net/
> >> >> > > Cd. Reynosa Tamaulipas.
> >> >> > > _______________________________________________
> >> >> > > CentOS-es mailing list
> >> >> > > CentOS-es en centos.org
> >> >> > > http://lists.centos.org/mailman/listinfo/centos-es
> >> >> > >
> >> >> >
> >> >> >
> >> >> > --
> >> >> > Live free or die!
> >> >> > _______________________________________________
> >> >> > CentOS-es mailing list
> >> >> > CentOS-es en centos.org
> >> >> > http://lists.centos.org/mailman/listinfo/centos-es
> >> >> >
> >> >>
> >> >>
> >> >>
> >> >> --
> >> >> M.S.I. Angel Haniel Cantu Jauregui.
> >> >>
> >> >> Celular: (011-52-1)-899-871-17-22
> >> >> E-Mail: angel.cantu en sie-group.net
> >> >> Web: http://www.sie-group.net/
> >> >> Cd. Reynosa Tamaulipas.
> >> >> _______________________________________________
> >> >> CentOS-es mailing list
> >> >> CentOS-es en centos.org
> >> >> http://lists.centos.org/mailman/listinfo/centos-es
> >> >>
> >> >>
> >> >>
> >> >> IPADDR=10.0.1.2 en binario        00001010 00000000 00000001
> 00000010
> >> >> NETMASK=255.255.255.0 en binario: 11111111 11111111 11111111
> 00000000
> >> >>
> >> >> Por la mascara es una red de clase C
> >> >> y si es C deberia uniciar en 192
> >> >>
> >> >> ¿eso influirá?
> >> >>
> >> >>
> >> >> Class C
> >> >> 192.  0.  0.  0 = 11000000.00000000.00000000.00000000
> >> >> 223.255.255.255 = 11011111.11111111.11111111.11111111
> >> >>                   110nnnnn.nnnnnnnn.nnnnnnnn.HHHHHHHH
> >> >>
> >> >> R.Lara
> >> >>
> >> >> _______________________________________________
> >> >> CentOS-es mailing list
> >> >> CentOS-es en centos.org
> >> >> http://lists.centos.org/mailman/listinfo/centos-es
> >> >>
> >> >
> >> >
> >> >
> >> > --
> >> > M.S.I. Angel Haniel Cantu Jauregui.
> >> >
> >> > Celular: (011-52-1)-899-871-17-22
> >> > E-Mail: angel.cantu en sie-group.net
> >> > Web: http://www.sie-group.net/
> >> > Cd. Reynosa Tamaulipas.
> >> >
> >>
> >>
> >>
> >> --
> >> M.S.I. Angel Haniel Cantu Jauregui.
> >>
> >> Celular: (011-52-1)-899-871-17-22
> >> E-Mail: angel.cantu en sie-group.net
> >> Web: http://www.sie-group.net/
> >> Cd. Reynosa Tamaulipas.
> >> _______________________________________________
> >> CentOS-es mailing list
> >> CentOS-es en centos.org
> >> http://lists.centos.org/mailman/listinfo/centos-es
> >> _______________________________________________
> >> CentOS-es mailing list
> >> CentOS-es en centos.org
> >> http://lists.centos.org/mailman/listinfo/centos-es
> >>
> >
> >
> >
> > --
> > M.S.I. Angel Haniel Cantu Jauregui.
> >
> > Celular: (011-52-1)-899-871-17-22
> > E-Mail: angel.cantu en sie-group.net
> > Web: http://www.sie-group.net/
> > Cd. Reynosa Tamaulipas.
> >
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.cantu en sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.cantu en sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.


Más información sobre la lista de distribución CentOS-es