[CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !

angel jauregui darkdiabliyo en gmail.com
Lun Sep 23 01:52:57 UTC 2013 

Buen día.

Rodolfo si usted se considera tan conocedor creo que debería plantear una
solución u opción, no solo una critica de "esta mal" o "esta bien", de nada
sirve que me digan que esta mal (si por algo no funciona).

Sobre el ping interno escribí claramente que tengo *todos los servicios en
la LAN (locales)*, vaya FTP, HTTP, SSH... todos !.. Vaya, *SI PUEDO HACER
PING* a la red LAN (osease a las IPs de los equipos de la red), solo no
logro llegar al segmento distinto al que estoy (10.0.1.0/24), no puedo
hacer ping al Router (192.168.1.254), por logica NO salgo a internet... La
unica forma que funciono fue porque *no desconectaron* un cable de red que
va del router al switch, que se supone no debe estar ya que la idea es que
el router *solamente este conectado* a la eth0 del server, y la eth1 al
switch. Si quiero navegar, tengo que poner un cable del router al switch.

Respecto a mis reglas, siempre que hago cambios *es obvio que limpio y
vuelvo a cargar*.

En mi segmento de IPs en la eth1 uso 10.0.1.0/24 con mascara 255.255.255.0,
ya que solo me importa asignar de: 10.0.1.2 a 10.0.1.254.... Ya que
10.0.1.1 es el server y 10.0.1.255 el broadcast....

Ayudar significa "plantear una solución", no solo criticar !.... Por favor
limitese a ayudar, de nada me sirve una critica sin soluciones, me deja en
las mismas :S !

Cuando mencione sobre mis tarjetas de red, lo comente porque la
configuración que tienen considero está bien:

*shell# /etc/sysconfig/network-scripts/ifcfg-eth0 *
DEVICE=eth0
BOOTPROTO=static
ONBOOT=yes
IPADDR=192.168.1.1
NETMASK=255.255.255.0
NETWORK=192.168.1.0
GATEWAY=192.168.1.254
TYPE=Ethernet
HWADDR=00:11:22:33:44:55
DNS1=8.8.8.8
DNS2=10.0.1.1

*shell# /etc/sysconfig/network-scripts/ifcfg-eth1*
DEVICE=eth1
BOOTPROTO=static
ONBOOT=yes
IPADDR=10.0.1.1
NETMASK=255.255.255.0
NETWORK=10.0.1.0
TYPE=Ethernet
HWADDR=aa:bb:cc:dd:ee:ff
DNS1=8.8.8.8
DNS2=10.0.1.1

Saludos !


El 22 de septiembre de 2013 03:23, Rodolfo Vargas <edgarr789 en gmail.com>escribió:

> El 21/09/13, angel jauregui <darkdiabliyo en gmail.com> escribió:
> > Buenas...
> >
> > Hace dias habia expuesto un problema de configruacion de mis tarjetas de
> > red el cual quedo solucionado, pero sin darme cuenta existia un cable de
>
> Quedó solucionado?¿
>
> > red conectado del router al switch, y cuando me percate lo desconecte ya
> > que se supone que la configuracion del server es:
>
> NO debería haber problema
>
> >
> > eth0 --> ip:192.168.1.1 conectada al router (192.168.1.254).
> > eth1 --> ip:10.0.1.1 conectada al switch (red lan).
> >
> > Servicios del server:
> >
> > - HTTP abierto para todos (LAN e Internet).
> > - FTP abierto para todos (LAN e Internet).
> > - SSH abierto para todos (LAN e Internet).
> > - Los demas son para la LAN.
> >
> > Y la idea es:
> >
> > - El segmento de red asignado es: 10.0.1.0/24, y se esta cumpliendo !.
>
> Le hemos dicho POR QUÉ usted usa 10.0.1.0/24? que clase de ip estas
> usando? ES CLASE A y su máscara es 255.0.0.0, máscara 255.255.255.0 es
> para clase C, o esta subneteado? no respondió tampoco.
>
> > - Los clientes tiene como Gateway la ip del server (10.0.1.1), se cumple
> !.
> > - La navegacion web se redirige al puerto del Squid, se cumple !.
> > - Los demas puertos a consultar se hacen FW, creo que se cumple !.
> > - Se supone que lo que entra por eth1 (lan) de sacarse por eth0 por la
> > puerta gateway (ip del router).
> >
> > Problemas y Virtudes:
> > - No logro hacer ping a ninguna pagina, ni a la IP del router.
>
> Jajajaj, señor usted en pruimer lugar debe usar ips, luego recién
> verificar si resuelve nombres, bueno eso yo hago :), dijo que resolvió
> el problema de red antes, al parecer no solucionó dicho detalle,
> primero debe asignar BIEN los parámetros de red, luego verificar, la
> forma más común es usando ping, LIMPIANDO PRIMERO REGLAS si las hay,
> hacer ping entre todas las interfaces por decir, tanto en la red lan y
> fuera, si todo va bien recien aplicar reglas en firewall (es un
> consejo que le doy)
>
> > - Si puedo hacer ping a los equipos locales.
>
> Pero verifique por qué usa la máscara que no le corresponde a esa clase A
> de ip
>
> > - Si obtengo todos los servicios de red local (dhcp, asterisk, ftp, http,
> > mysql).
>
> > - Si funciona la redireccion del 80 al puerto squid, ya que si escribo
> una
> > palabra restringida, sale la pagina de aviso de Squid.
> >
> > Mis reglas iptables son:
> >
> > iptables -F
> >         iptables -X
> >         iptables -Z
> >         iptables -t nat -F
> >
> >         # politicas por defecto
> >         iptables -P INPUT ACCEPT                # aceptamos entradas
> >         iptables -P OUTPUT ACCEPT               # aceptamos salidas
> >         iptables -P FORWARD ACCEPT              # aceptamos reenvios
> >         iptables -t nat -P PREROUTING ACCEPT    # aceptamos nat hacia
> fuera
> >         iptables -t nat -P POSTROUTING ACCEPT   # aceptamos nat hacia
> > dentro
> >         echo 1 > /proc/sys/net/ipv4/ip_forward  # habilitamos BIT de
> > reenvios
> >
> >         iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo
> >         iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT
> >       # ftp y ssh
> >         iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> >      # http
> >         iptables -A INPUT -p tcp --dport 443 -j ACCEPT
> >       # https
> >         iptables -A INPUT -p tcp --dport 53 -j ACCEPT
> >      # dns - dhcp
> >         iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
> >                     # portmapper/rpcbind
> >         iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j
> ACCEPT
> >                     # samba
> >         iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
> >                     # samba
> >         iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
> >                      # squid
> >         iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
> >                      # squid cache
> >         iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
> >                      # nfs
> >         iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
> >                      # asterisk
> >         iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT
> >                      # webmind para LAN
> >
> >        # forwardnig
> >         iptables -A FORWARD -p tcp --dport 20:22 -j ACCEPT
> >       # ftp y ssh
> >         iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
> >                      # dns - dhcp
> >         iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT
> >                      # dns -dhcp (udp)
> >         iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
> >      # http
> >         iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
> >       # https
> >         iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
> >                     # portmapper/rpcbind
> >         iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j
> ACCEPT
> >                     # samba
> >         iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
> >                     # samba
> >         iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
> >                      # squid
> >         iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
> >                      # squid cache
> >         iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
> >                      # nfs
> >         iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
> >                      # asterisk
> >         iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT
> >                      # webmind para LAN
> >
> >         iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT
> >         iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT
> >
> >         # enmascaramiento
> >         iptables -A OUTPUT -j ACCEPT
> >         iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT
> > --to 192.168.1.1:3128
> >         iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT
> --to
> > 192.168.1.1
> >         iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j
> MASQUERADE
> >     # todo lo que salga de la red, se enmascara
> >         # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -s
> > 10.0.1.0/24 -j REDIRECT --to-port 3128
> >
> >
> >        # denegaciones
> >         iptables -A INPUT -p tcp --dport 1000 -j DROP
> >     # denegar webmind
> >         iptables -A INPUT -p tcp --dport 1:1024 -j DROP
> >     # cerrar puertos privados
> >         iptables -A FORWARD -p tcp --dport 1000 -j DROP
> >     # denegar webmind
> >         iptables -A FORWARD -j DROP
> >     # degenamos lo demas
> >
> > Saludos !
> >
>
> Ya le han dado consejos, creo que ni los toma en cuenta, lo que le
> aconsejo es iptables -F, luego aplique manualmente NAT y vea si logra
> salir hacia afuera y hacer ping entre todas las interfaces, osea a los
> segmentos de red, es demasiado básico el escenario que plantea,
> debería funcionar, vaya por partes, en fin solo usted entiende lo que
> quiere hacer :), saludos y suerte, ya le dije lea sobre ipv4, NAT
> (entender no solo escribir)
>
> > --
> > M.S.I. Angel Haniel Cantu Jauregui.
> >
> > Celular: (011-52-1)-899-871-17-22
> > E-Mail: angel.cantu en sie-group.net
> > Web: http://www.sie-group.net/
> > Cd. Reynosa Tamaulipas.
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
>
>
> --
> Live free or die!
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.cantu en sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.

Más información sobre la lista de distribución CentOS-es