[CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !
Pablo Alberto Flores
pabflore en uchile.cl
Lun Sep 23 12:07:35 UTC 2013
Partamos por el principio, tu linux hace ping a google? si tu linux no hace
ping tu lan nunca saldra al mundo.
El 23 de septiembre de 2013 05:00, Rodolfo Vargas<edgarr789 en gmail.com>escribió:
> El 22/09/13, angel jauregui <darkdiabliyo en gmail.com> escribió:
> > Buen día.
> >
> > Rodolfo si usted se considera tan conocedor creo que debería plantear una
> > solución u opción, no solo una critica de "esta mal" o "esta bien", de
> nada
> > sirve que me digan que esta mal (si por algo no funciona).
>
> La lista es para dar ideas, no siempre está obligada a resolver alguna
> situación, no puedes obligar a la lista a que solucionen tu caso.
>
> Tmabién te aclaro que no me considero conocer, ese adjetivo tú me lo
> estas diciendo, simplemente yo LEO, ME DOCUMENTO antes de hacer alguna
> cosa, tienes los documentos de redhat linux en pdf, tienes a uno de
> los mejores portales que da soporte a CnetOS (alcanelibre.org), que yo
> sepa simplemente te recomendé que leas más porque tus preguntas son
> reiterativas y la repuesta está en los mensajes que te han dado, NO
> ESTAS SALIENDO A OTRAS REDES NO ESTA HACIENDO NAT
>
> >
> > Sobre el ping interno escribí claramente que tengo *todos los servicios
> en
> > la LAN (locales)*, vaya FTP, HTTP, SSH... todos !.. Vaya, *SI PUEDO HACER
> > PING* a la red LAN (osease a las IPs de los equipos de la red), solo no
> > logro llegar al segmento distinto al que estoy (10.0.1.0/24), no puedo
> > hacer ping al Router (192.168.1.254), por logica NO salgo a internet...
> La
>
>
> Claro pues mi amigo, LA PUERTA DE ENLACE del router no te esta
> respondiendo, no estas en red con ese segmento y se debe a que no esta
> haciendo traducción de direcciones, puede ser a varios factores:
> 1.- no estas usando los parámentros de red correctos, esa máscara de
> la clase A esta equivocada.
>
> 2.- puede ser que no haya conexión hacia el router, no estaría de más
> verificar.
>
> 3.- las reglas iptables no estan correctamente puestas.
>
> Para hacer NAT necesitas iptables -t nat -A POSTROUTING -o eth0 -j
> MASQUERADE y también echo 1 > /proc/sys/net/ipv4/ip_forward
>
> Arriba pongo -o y no he añadido -s, pongo así para que traduzca entre
> todas las interfaces que tenga, si tienes solo dos es obvio que solo
> traducirá de esa.
>
> solo eso es necesario, por eso te había recomendado borrar todas las
> reglas que tienes por el momento y solo escribir lo de arriba si todo
> esta correcto debería funcionar.
>
> > unica forma que funciono fue porque *no desconectaron* un cable de red
> que
> > va del router al switch, que se supone no debe estar ya que la idea es
> que
>
>
> Lo más lógico es pensar que si salía es que estaba en red con ese
> router y usaba puerta de enlace de dicho router y asi podían estar con
> internet.
>
> > el router *solamente este conectado* a la eth0 del server, y la eth1 al
> > switch. Si quiero navegar, tengo que poner un cable del router al switch.
> >
>
> Reitero:
> Lo más lógico es pensar que si salía es que estaba en red con ese
> router y usaba puerta de enlace de dicho router y así podían estar con
> internet.
>
>
> > Respecto a mis reglas, siempre que hago cambios *es obvio que limpio y
> > vuelvo a cargar*.
>
> Algo anda mal
>
> >
> > En mi segmento de IPs en la eth1 uso 10.0.1.0/24 con mascara
> 255.255.255.0,
> > ya que solo me importa asignar de: 10.0.1.2 a 10.0.1.254.... Ya que
> > 10.0.1.1 es el server y 10.0.1.255 el broadcast....
>
> Amigo LA MASCARA DE LA CLASE A es la que te dijeron antes y te lo
> pusieron en binario, ni idea tenías y tampoco te has preocupado en
> averiguar creo, yo te dije por qué estas usando esa mascara, te dije
> lee sobre ips privadas clase A, B, C, creo que eso te molesta, quieres
> que todo te lo den mascado, quieres que te solucionen a tus preguntas,
> y estas esperanzado solo en la lista, deberías intentar por otros
> medios con las recomendaciones que te han dado, tienes mucha
> documentación en internet.
>
> >
> > Ayudar significa "plantear una solución", no solo criticar !.... Por
> favor
>
> NO seas exigente con la lista, la lista no es soporte técnico a
> medida, no pagas por ello a nadie de la lsita, la lista te puede
> ayudar con ideas, pero no esta obligada a solucionar tu caso
> particular, no sé si habrás leído sobre soporte comunitario, en fin
> creo que ya te han dado suficientes argumentos para que tu puedas
> solucionar tu caso.
>
> > limitese a ayudar, de nada me sirve una critica sin soluciones, me deja
> en
> > las mismas :S !
>
> La lista es para dar ideas MAS NO ESTA OBLIGADA A SOLUCIONAR TU CASO
>
> >
> > Cuando mencione sobre mis tarjetas de red, lo comente porque la
> > configuración que tienen considero está bien:
> >
> > *shell# /etc/sysconfig/network-scripts/ifcfg-eth0 *
> > DEVICE=eth0
> > BOOTPROTO=static
> > ONBOOT=yes
> > IPADDR=192.168.1.1
> > NETMASK=255.255.255.0
> > NETWORK=192.168.1.0
> > GATEWAY=192.168.1.254
> > TYPE=Ethernet
> > HWADDR=00:11:22:33:44:55
> > DNS1=8.8.8.8
> > DNS2=10.0.1.1
> >
> > *shell# /etc/sysconfig/network-scripts/ifcfg-eth1*
> > DEVICE=eth1
> > BOOTPROTO=static
> > ONBOOT=yes
> > IPADDR=10.0.1.1
> > NETMASK=255.255.255.0
> > NETWORK=10.0.1.0
> > TYPE=Ethernet
> > HWADDR=aa:bb:cc:dd:ee:ff
> > DNS1=8.8.8.8
> > DNS2=10.0.1.1
> >
> > Saludos !
>
> http://es.wikipedia.org/wiki/Direcci%C3%B3n_IP
> También podría servirte esto:
>
>
> https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html
>
> Es mejor seguir la recomendación del mismo redhat linux, en cómo hace
> dicha tarea, el tuyo esta bien, pero mejor sería que separaras en otro
> archivo iptablesrules.sh e inicies en bott time dichas reglas
> personalizadas desde rc.local, no tocarías nada del archivo iptables,
> al final tus reglas se ejecutan y escribiran, bueno eso te puedo decir
> y ya no seas muy exigente con la lista, si no te dan las ideas que tú
> quieres, tú debes tratar de solucionar tu caso.
>
> >
> >
> > El 22 de septiembre de 2013 03:23, Rodolfo Vargas
> > <edgarr789 en gmail.com>escribió:
> >
> >> El 21/09/13, angel jauregui <darkdiabliyo en gmail.com> escribió:
> >> > Buenas...
> >> >
> >> > Hace dias habia expuesto un problema de configruacion de mis tarjetas
> >> > de
> >> > red el cual quedo solucionado, pero sin darme cuenta existia un cable
> >> > de
> >>
> >> Quedó solucionado?¿
> >>
> >> > red conectado del router al switch, y cuando me percate lo desconecte
> >> > ya
> >> > que se supone que la configuracion del server es:
> >>
> >> NO debería haber problema
> >>
> >> >
> >> > eth0 --> ip:192.168.1.1 conectada al router (192.168.1.254).
> >> > eth1 --> ip:10.0.1.1 conectada al switch (red lan).
> >> >
> >> > Servicios del server:
> >> >
> >> > - HTTP abierto para todos (LAN e Internet).
> >> > - FTP abierto para todos (LAN e Internet).
> >> > - SSH abierto para todos (LAN e Internet).
> >> > - Los demas son para la LAN.
> >> >
> >> > Y la idea es:
> >> >
> >> > - El segmento de red asignado es: 10.0.1.0/24, y se esta cumpliendo
> !.
> >>
> >> Le hemos dicho POR QUÉ usted usa 10.0.1.0/24? que clase de ip estas
> >> usando? ES CLASE A y su máscara es 255.0.0.0, máscara 255.255.255.0 es
> >> para clase C, o esta subneteado? no respondió tampoco.
> >>
> >> > - Los clientes tiene como Gateway la ip del server (10.0.1.1), se
> >> > cumple
> >> !.
> >> > - La navegacion web se redirige al puerto del Squid, se cumple !.
> >> > - Los demas puertos a consultar se hacen FW, creo que se cumple !.
> >> > - Se supone que lo que entra por eth1 (lan) de sacarse por eth0 por la
> >> > puerta gateway (ip del router).
> >> >
> >> > Problemas y Virtudes:
> >> > - No logro hacer ping a ninguna pagina, ni a la IP del router.
> >>
> >> Jajajaj, señor usted en pruimer lugar debe usar ips, luego recién
> >> verificar si resuelve nombres, bueno eso yo hago :), dijo que resolvió
> >> el problema de red antes, al parecer no solucionó dicho detalle,
> >> primero debe asignar BIEN los parámetros de red, luego verificar, la
> >> forma más común es usando ping, LIMPIANDO PRIMERO REGLAS si las hay,
> >> hacer ping entre todas las interfaces por decir, tanto en la red lan y
> >> fuera, si todo va bien recien aplicar reglas en firewall (es un
> >> consejo que le doy)
> >>
> >> > - Si puedo hacer ping a los equipos locales.
> >>
> >> Pero verifique por qué usa la máscara que no le corresponde a esa clase
> A
> >> de ip
> >>
> >> > - Si obtengo todos los servicios de red local (dhcp, asterisk, ftp,
> >> > http,
> >> > mysql).
> >>
> >> > - Si funciona la redireccion del 80 al puerto squid, ya que si escribo
> >> una
> >> > palabra restringida, sale la pagina de aviso de Squid.
> >> >
> >> > Mis reglas iptables son:
> >> >
> >> > iptables -F
> >> > iptables -X
> >> > iptables -Z
> >> > iptables -t nat -F
> >> >
> >> > # politicas por defecto
> >> > iptables -P INPUT ACCEPT # aceptamos entradas
> >> > iptables -P OUTPUT ACCEPT # aceptamos salidas
> >> > iptables -P FORWARD ACCEPT # aceptamos reenvios
> >> > iptables -t nat -P PREROUTING ACCEPT # aceptamos nat hacia
> >> fuera
> >> > iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat hacia
> >> > dentro
> >> > echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de
> >> > reenvios
> >> >
> >> > iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo
> >> > iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT
> >> > # ftp y ssh
> >> > iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> >> > # http
> >> > iptables -A INPUT -p tcp --dport 443 -j ACCEPT
> >> > # https
> >> > iptables -A INPUT -p tcp --dport 53 -j ACCEPT
> >> > # dns - dhcp
> >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
> >> > # portmapper/rpcbind
> >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j
> >> ACCEPT
> >> > # samba
> >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
> >> > # samba
> >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j
> ACCEPT
> >> > # squid
> >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j
> ACCEPT
> >> > # squid cache
> >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j
> ACCEPT
> >> > # nfs
> >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j
> ACCEPT
> >> > # asterisk
> >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j
> ACCEPT
> >> > # webmind para LAN
> >> >
> >> > # forwardnig
> >> > iptables -A FORWARD -p tcp --dport 20:22 -j ACCEPT
> >> > # ftp y ssh
> >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j
> ACCEPT
> >> > # dns - dhcp
> >> > iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j
> ACCEPT
> >> > # dns -dhcp (udp)
> >> > iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
> >> > # http
> >> > iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
> >> > # https
> >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j
> ACCEPT
> >> > # portmapper/rpcbind
> >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j
> >> ACCEPT
> >> > # samba
> >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j
> ACCEPT
> >> > # samba
> >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j
> >> > ACCEPT
> >> > # squid
> >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j
> >> > ACCEPT
> >> > # squid cache
> >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j
> >> > ACCEPT
> >> > # nfs
> >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j
> >> > ACCEPT
> >> > # asterisk
> >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1000 -j
> >> > ACCEPT
> >> > # webmind para LAN
> >> >
> >> > iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j
> ACCEPT
> >> > iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j
> ACCEPT
> >> >
> >> > # enmascaramiento
> >> > iptables -A OUTPUT -j ACCEPT
> >> > iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j
> DNAT
> >> > --to 192.168.1.1:3128
> >> > iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT
> >> --to
> >> > 192.168.1.1
> >> > iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j
> >> MASQUERADE
> >> > # todo lo que salga de la red, se enmascara
> >> > # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -s
> >> > 10.0.1.0/24 -j REDIRECT --to-port 3128
> >> >
> >> >
> >> > # denegaciones
> >> > iptables -A INPUT -p tcp --dport 1000 -j DROP
> >> > # denegar webmind
> >> > iptables -A INPUT -p tcp --dport 1:1024 -j DROP
> >> > # cerrar puertos privados
> >> > iptables -A FORWARD -p tcp --dport 1000 -j DROP
> >> > # denegar webmind
> >> > iptables -A FORWARD -j DROP
> >> > # degenamos lo demas
> >> >
> >> > Saludos !
> >> >
> >>
> >> Ya le han dado consejos, creo que ni los toma en cuenta, lo que le
> >> aconsejo es iptables -F, luego aplique manualmente NAT y vea si logra
> >> salir hacia afuera y hacer ping entre todas las interfaces, osea a los
> >> segmentos de red, es demasiado básico el escenario que plantea,
> >> debería funcionar, vaya por partes, en fin solo usted entiende lo que
> >> quiere hacer :), saludos y suerte, ya le dije lea sobre ipv4, NAT
> >> (entender no solo escribir)
> >>
> >> > --
> >> > M.S.I. Angel Haniel Cantu Jauregui.
> >> >
> >> > Celular: (011-52-1)-899-871-17-22
> >> > E-Mail: angel.cantu en sie-group.net
> >> > Web: http://www.sie-group.net/
> >> > Cd. Reynosa Tamaulipas.
> >> > _______________________________________________
> >> > CentOS-es mailing list
> >> > CentOS-es en centos.org
> >> > http://lists.centos.org/mailman/listinfo/centos-es
> >> >
> >>
> >>
> >> --
> >> Live free or die!
> >> _______________________________________________
> >> CentOS-es mailing list
> >> CentOS-es en centos.org
> >> http://lists.centos.org/mailman/listinfo/centos-es
> >>
> >
> >
> >
> > --
> > M.S.I. Angel Haniel Cantu Jauregui.
> >
> > Celular: (011-52-1)-899-871-17-22
> > E-Mail: angel.cantu en sie-group.net
> > Web: http://www.sie-group.net/
> > Cd. Reynosa Tamaulipas.
> >
>
>
> --
> Live free or die!
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
Más información sobre la lista de distribución CentOS-es