[CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !
Rodolfo Vargas
edgarr789 en gmail.com
Lun Sep 23 08:00:34 UTC 2013
El 22/09/13, angel jauregui <darkdiabliyo en gmail.com> escribió:
> Buen día.
>
> Rodolfo si usted se considera tan conocedor creo que debería plantear una
> solución u opción, no solo una critica de "esta mal" o "esta bien", de nada
> sirve que me digan que esta mal (si por algo no funciona).
La lista es para dar ideas, no siempre está obligada a resolver alguna
situación, no puedes obligar a la lista a que solucionen tu caso.
Tmabién te aclaro que no me considero conocer, ese adjetivo tú me lo
estas diciendo, simplemente yo LEO, ME DOCUMENTO antes de hacer alguna
cosa, tienes los documentos de redhat linux en pdf, tienes a uno de
los mejores portales que da soporte a CnetOS (alcanelibre.org), que yo
sepa simplemente te recomendé que leas más porque tus preguntas son
reiterativas y la repuesta está en los mensajes que te han dado, NO
ESTAS SALIENDO A OTRAS REDES NO ESTA HACIENDO NAT
>
> Sobre el ping interno escribí claramente que tengo *todos los servicios en
> la LAN (locales)*, vaya FTP, HTTP, SSH... todos !.. Vaya, *SI PUEDO HACER
> PING* a la red LAN (osease a las IPs de los equipos de la red), solo no
> logro llegar al segmento distinto al que estoy (10.0.1.0/24), no puedo
> hacer ping al Router (192.168.1.254), por logica NO salgo a internet... La
Claro pues mi amigo, LA PUERTA DE ENLACE del router no te esta
respondiendo, no estas en red con ese segmento y se debe a que no esta
haciendo traducción de direcciones, puede ser a varios factores:
1.- no estas usando los parámentros de red correctos, esa máscara de
la clase A esta equivocada.
2.- puede ser que no haya conexión hacia el router, no estaría de más verificar.
3.- las reglas iptables no estan correctamente puestas.
Para hacer NAT necesitas iptables -t nat -A POSTROUTING -o eth0 -j
MASQUERADE y también echo 1 > /proc/sys/net/ipv4/ip_forward
Arriba pongo -o y no he añadido -s, pongo así para que traduzca entre
todas las interfaces que tenga, si tienes solo dos es obvio que solo
traducirá de esa.
solo eso es necesario, por eso te había recomendado borrar todas las
reglas que tienes por el momento y solo escribir lo de arriba si todo
esta correcto debería funcionar.
> unica forma que funciono fue porque *no desconectaron* un cable de red que
> va del router al switch, que se supone no debe estar ya que la idea es que
Lo más lógico es pensar que si salía es que estaba en red con ese
router y usaba puerta de enlace de dicho router y asi podían estar con
internet.
> el router *solamente este conectado* a la eth0 del server, y la eth1 al
> switch. Si quiero navegar, tengo que poner un cable del router al switch.
>
Reitero:
Lo más lógico es pensar que si salía es que estaba en red con ese
router y usaba puerta de enlace de dicho router y así podían estar con
internet.
> Respecto a mis reglas, siempre que hago cambios *es obvio que limpio y
> vuelvo a cargar*.
Algo anda mal
>
> En mi segmento de IPs en la eth1 uso 10.0.1.0/24 con mascara 255.255.255.0,
> ya que solo me importa asignar de: 10.0.1.2 a 10.0.1.254.... Ya que
> 10.0.1.1 es el server y 10.0.1.255 el broadcast....
Amigo LA MASCARA DE LA CLASE A es la que te dijeron antes y te lo
pusieron en binario, ni idea tenías y tampoco te has preocupado en
averiguar creo, yo te dije por qué estas usando esa mascara, te dije
lee sobre ips privadas clase A, B, C, creo que eso te molesta, quieres
que todo te lo den mascado, quieres que te solucionen a tus preguntas,
y estas esperanzado solo en la lista, deberías intentar por otros
medios con las recomendaciones que te han dado, tienes mucha
documentación en internet.
>
> Ayudar significa "plantear una solución", no solo criticar !.... Por favor
NO seas exigente con la lista, la lista no es soporte técnico a
medida, no pagas por ello a nadie de la lsita, la lista te puede
ayudar con ideas, pero no esta obligada a solucionar tu caso
particular, no sé si habrás leído sobre soporte comunitario, en fin
creo que ya te han dado suficientes argumentos para que tu puedas
solucionar tu caso.
> limitese a ayudar, de nada me sirve una critica sin soluciones, me deja en
> las mismas :S !
La lista es para dar ideas MAS NO ESTA OBLIGADA A SOLUCIONAR TU CASO
>
> Cuando mencione sobre mis tarjetas de red, lo comente porque la
> configuración que tienen considero está bien:
>
> *shell# /etc/sysconfig/network-scripts/ifcfg-eth0 *
> DEVICE=eth0
> BOOTPROTO=static
> ONBOOT=yes
> IPADDR=192.168.1.1
> NETMASK=255.255.255.0
> NETWORK=192.168.1.0
> GATEWAY=192.168.1.254
> TYPE=Ethernet
> HWADDR=00:11:22:33:44:55
> DNS1=8.8.8.8
> DNS2=10.0.1.1
>
> *shell# /etc/sysconfig/network-scripts/ifcfg-eth1*
> DEVICE=eth1
> BOOTPROTO=static
> ONBOOT=yes
> IPADDR=10.0.1.1
> NETMASK=255.255.255.0
> NETWORK=10.0.1.0
> TYPE=Ethernet
> HWADDR=aa:bb:cc:dd:ee:ff
> DNS1=8.8.8.8
> DNS2=10.0.1.1
>
> Saludos !
http://es.wikipedia.org/wiki/Direcci%C3%B3n_IP
También podría servirte esto:
https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html
Es mejor seguir la recomendación del mismo redhat linux, en cómo hace
dicha tarea, el tuyo esta bien, pero mejor sería que separaras en otro
archivo iptablesrules.sh e inicies en bott time dichas reglas
personalizadas desde rc.local, no tocarías nada del archivo iptables,
al final tus reglas se ejecutan y escribiran, bueno eso te puedo decir
y ya no seas muy exigente con la lista, si no te dan las ideas que tú
quieres, tú debes tratar de solucionar tu caso.
>
>
> El 22 de septiembre de 2013 03:23, Rodolfo Vargas
> <edgarr789 en gmail.com>escribió:
>
>> El 21/09/13, angel jauregui <darkdiabliyo en gmail.com> escribió:
>> > Buenas...
>> >
>> > Hace dias habia expuesto un problema de configruacion de mis tarjetas
>> > de
>> > red el cual quedo solucionado, pero sin darme cuenta existia un cable
>> > de
>>
>> Quedó solucionado?¿
>>
>> > red conectado del router al switch, y cuando me percate lo desconecte
>> > ya
>> > que se supone que la configuracion del server es:
>>
>> NO debería haber problema
>>
>> >
>> > eth0 --> ip:192.168.1.1 conectada al router (192.168.1.254).
>> > eth1 --> ip:10.0.1.1 conectada al switch (red lan).
>> >
>> > Servicios del server:
>> >
>> > - HTTP abierto para todos (LAN e Internet).
>> > - FTP abierto para todos (LAN e Internet).
>> > - SSH abierto para todos (LAN e Internet).
>> > - Los demas son para la LAN.
>> >
>> > Y la idea es:
>> >
>> > - El segmento de red asignado es: 10.0.1.0/24, y se esta cumpliendo !.
>>
>> Le hemos dicho POR QUÉ usted usa 10.0.1.0/24? que clase de ip estas
>> usando? ES CLASE A y su máscara es 255.0.0.0, máscara 255.255.255.0 es
>> para clase C, o esta subneteado? no respondió tampoco.
>>
>> > - Los clientes tiene como Gateway la ip del server (10.0.1.1), se
>> > cumple
>> !.
>> > - La navegacion web se redirige al puerto del Squid, se cumple !.
>> > - Los demas puertos a consultar se hacen FW, creo que se cumple !.
>> > - Se supone que lo que entra por eth1 (lan) de sacarse por eth0 por la
>> > puerta gateway (ip del router).
>> >
>> > Problemas y Virtudes:
>> > - No logro hacer ping a ninguna pagina, ni a la IP del router.
>>
>> Jajajaj, señor usted en pruimer lugar debe usar ips, luego recién
>> verificar si resuelve nombres, bueno eso yo hago :), dijo que resolvió
>> el problema de red antes, al parecer no solucionó dicho detalle,
>> primero debe asignar BIEN los parámetros de red, luego verificar, la
>> forma más común es usando ping, LIMPIANDO PRIMERO REGLAS si las hay,
>> hacer ping entre todas las interfaces por decir, tanto en la red lan y
>> fuera, si todo va bien recien aplicar reglas en firewall (es un
>> consejo que le doy)
>>
>> > - Si puedo hacer ping a los equipos locales.
>>
>> Pero verifique por qué usa la máscara que no le corresponde a esa clase A
>> de ip
>>
>> > - Si obtengo todos los servicios de red local (dhcp, asterisk, ftp,
>> > http,
>> > mysql).
>>
>> > - Si funciona la redireccion del 80 al puerto squid, ya que si escribo
>> una
>> > palabra restringida, sale la pagina de aviso de Squid.
>> >
>> > Mis reglas iptables son:
>> >
>> > iptables -F
>> > iptables -X
>> > iptables -Z
>> > iptables -t nat -F
>> >
>> > # politicas por defecto
>> > iptables -P INPUT ACCEPT # aceptamos entradas
>> > iptables -P OUTPUT ACCEPT # aceptamos salidas
>> > iptables -P FORWARD ACCEPT # aceptamos reenvios
>> > iptables -t nat -P PREROUTING ACCEPT # aceptamos nat hacia
>> fuera
>> > iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat hacia
>> > dentro
>> > echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de
>> > reenvios
>> >
>> > iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo
>> > iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT
>> > # ftp y ssh
>> > iptables -A INPUT -p tcp --dport 80 -j ACCEPT
>> > # http
>> > iptables -A INPUT -p tcp --dport 443 -j ACCEPT
>> > # https
>> > iptables -A INPUT -p tcp --dport 53 -j ACCEPT
>> > # dns - dhcp
>> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
>> > # portmapper/rpcbind
>> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j
>> ACCEPT
>> > # samba
>> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
>> > # samba
>> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
>> > # squid
>> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
>> > # squid cache
>> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
>> > # nfs
>> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
>> > # asterisk
>> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT
>> > # webmind para LAN
>> >
>> > # forwardnig
>> > iptables -A FORWARD -p tcp --dport 20:22 -j ACCEPT
>> > # ftp y ssh
>> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
>> > # dns - dhcp
>> > iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT
>> > # dns -dhcp (udp)
>> > iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
>> > # http
>> > iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
>> > # https
>> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
>> > # portmapper/rpcbind
>> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j
>> ACCEPT
>> > # samba
>> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
>> > # samba
>> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j
>> > ACCEPT
>> > # squid
>> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j
>> > ACCEPT
>> > # squid cache
>> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j
>> > ACCEPT
>> > # nfs
>> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j
>> > ACCEPT
>> > # asterisk
>> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1000 -j
>> > ACCEPT
>> > # webmind para LAN
>> >
>> > iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT
>> > iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT
>> >
>> > # enmascaramiento
>> > iptables -A OUTPUT -j ACCEPT
>> > iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT
>> > --to 192.168.1.1:3128
>> > iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT
>> --to
>> > 192.168.1.1
>> > iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j
>> MASQUERADE
>> > # todo lo que salga de la red, se enmascara
>> > # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -s
>> > 10.0.1.0/24 -j REDIRECT --to-port 3128
>> >
>> >
>> > # denegaciones
>> > iptables -A INPUT -p tcp --dport 1000 -j DROP
>> > # denegar webmind
>> > iptables -A INPUT -p tcp --dport 1:1024 -j DROP
>> > # cerrar puertos privados
>> > iptables -A FORWARD -p tcp --dport 1000 -j DROP
>> > # denegar webmind
>> > iptables -A FORWARD -j DROP
>> > # degenamos lo demas
>> >
>> > Saludos !
>> >
>>
>> Ya le han dado consejos, creo que ni los toma en cuenta, lo que le
>> aconsejo es iptables -F, luego aplique manualmente NAT y vea si logra
>> salir hacia afuera y hacer ping entre todas las interfaces, osea a los
>> segmentos de red, es demasiado básico el escenario que plantea,
>> debería funcionar, vaya por partes, en fin solo usted entiende lo que
>> quiere hacer :), saludos y suerte, ya le dije lea sobre ipv4, NAT
>> (entender no solo escribir)
>>
>> > --
>> > M.S.I. Angel Haniel Cantu Jauregui.
>> >
>> > Celular: (011-52-1)-899-871-17-22
>> > E-Mail: angel.cantu en sie-group.net
>> > Web: http://www.sie-group.net/
>> > Cd. Reynosa Tamaulipas.
>> > _______________________________________________
>> > CentOS-es mailing list
>> > CentOS-es en centos.org
>> > http://lists.centos.org/mailman/listinfo/centos-es
>> >
>>
>>
>> --
>> Live free or die!
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.cantu en sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
>
--
Live free or die!
Más información sobre la lista de distribución CentOS-es