[CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !
Rodolfo Vargas
edgarr789 en gmail.com
Mar Sep 24 08:08:24 UTC 2013
El 23/09/13, angel jauregui <darkdiabliyo en gmail.com> escribió:
> oooo que maravilla :D.... era el maldito cable... en serio que voy a
> enmarcar ese cable de red y le ponde "el maldito cable que me hizo bullying
> de red".
Me alegro que ayas solucionado tu problema, viste? tú mismo, por ahí
dije algo de revisar conexión por hardware, no esta demás, hay muchas
cosas que uno puede ir descartando cuando algo no esta como queremos,
no solo mirar a un solo lado, es una recomendación mía de algunas
experiencias que tuve por ahi.
>
> Ya hice pruebas en los equipos de red y ya logro hacer ping a la IP del
> router 192.168.1.254 y a cualquier pagina.
EL ping es un indicador, pero qué pasaría si el servidor que almacena
la aplicación tiene un firewall que no permite hacer ping? deshabilita
esa opción? (microsoft por ejemplo) deshabilta el icmp, qué pensarías?
otra cosa para investigar :), pero deshabiltado esta online y esta
activo, recuerde que lo más importante son las ips públicas de esa
manera se conectan todo internet, servidores dns para resolver
nombres, ya que tuviste uno por ahí deberías usarlo como primario y
hacer forwarder a google por ejemplo 8.8.8.8 8.8.4.4
>
> Ahora solo me gustaria aclarar algunos comentarios que me hicieron en un
> foro sobre mis reglas IPTABLES en la parte de "#enmascaramientos", ustedes
> que opinan ??:
>
> iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
>
> # politicas por defecto
> iptables -P INPUT ACCEPT # denegamos entradas
> iptables -P OUTPUT ACCEPT # aceptamos salidas
> iptables -P FORWARD ACCEPT # denegamos reenvios
> iptables -t nat -P PREROUTING ACCEPT # aceptamos nat hacia fuera
> iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat hacia
> dentro
> echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de
> reenvios
>
> iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo
> iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT
> # ftp y ssh
> iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> # http
> iptables -A INPUT -p tcp --dport 443 -j ACCEPT
> # https
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
> # dns - dhcp
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
> # portmapper/rpcbind
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT
> # samba
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
> # samba
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
> # squid
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
> # squid cache
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
> # nfs
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
> # asterisk
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT
> # webmind para LAN
>
> # forwardnig
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 20:22 -j ACCEPT
> # ftp y ssh
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
> # dns - dhcp
> iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT
> # dns -dhcp (udp)
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 80 -j ACCEPT
> # http
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 443 -j ACCEPT
> # https
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
> # portmapper/rpcbind
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT
> # samba
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
> # samba
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
> # squid
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
> # squid cache
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
> # nfs
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
> # asterisk
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 10000 -j ACCEPT
> # webmind para LAN
>
> iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT
> iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT
>
> # enmascaramiento
> iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT --to
> 192.168.1.1 # cambiamos la direccion source
> iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j MASQUERADE
> # enmascaramos
> iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT
> --to 192.168.1.1:3128 # con destino al 80 en eth1 lo cambiamos
>
> Como verán el firewall es estricto, si en la empresa no me confirman que
> abramos un servicio interno o para el exterior, no sale.... solo lo
> confirmado:
>
> - Para todos (de adentro y fuera [internet]): 80, 21 y 22.
> - Para lo demas va controlado solo la red interna "-s".
> - Para los Forward (conexion afuera) va controlada por "-s"
POr ahí leí que dices no respondía y jamás mostraba la página, amigo
tienes que entender que cuando es drop tienes que indicarle OUTPUT E
INPUT deben estar en tus reglas diciendo accept debajo de lo que ya
pusieras como input output drop, se abre poco a poco los servicios,
hay buena documentación en internet.
Ahora te doy un consejo (nunca esta demás tomarlo en cuenta) si
trabajas para una empresa debes tratar de hacer lo mejor que puedas en
cualquier cosa, tal vez te digan presenta un informe de lo que haz
hecho y más tarde otro técnico pueda ver y hacer cambios o actualizar
etc., etc., y vea lo que has hecho y diga quién ha hecho esto no esta
respetando las nomas en clases de ip, esta subneteando? no dice nada y
puede ser que te vean como aprendíz, si quieres mejorar y crecer como
network administrator debes seguir stándares y leer bastante, pero
por ahi sigo viendo que no estas usando los parámetros correctos para
una clase de ip, te mandé un link para que leyeras, por qué usar
alguna máscara de red para dicha clase de ip, no es porque se me
antoja decirte, son normas ya escritas para redes privadas.
Funciona y es cierto, pero no es lo correcto, mira que máscara tiene,
incluso puedes usar ips públicas y funcionaría, pero no es lo correcto
y lo recomendado para redes lan, es un consejo si quieres lo tomas si
no es tu decisión, saludos.
>
> Saludos !
>
>
>
> El 23 de septiembre de 2013 15:25, angel jauregui
> <darkdiabliyo en gmail.com>escribió:
>
>> Acabo de cambiar el cable de red que va del router a la eth0 del server y
>> ahora puedo hacer ping desde el server hacia la IP del router y cualquier
>> web.
>>
>> Voy a probar en los demas equipos de la red.
>>
>> Saludos !
>>
>>
>> El 23 de septiembre de 2013 15:18, angel jauregui
>> <darkdiabliyo en gmail.com>escribió:
>>
>> ## RENE
>>>
>>> Mis equipos están en el segmento 10.0.1.0/24, se asignan IPs de 10.0.1.2
>>> a 10.0.1.254....
>>>
>>> La red 192.168.1.0/24 es el rango de IPs que maneja el server para hacer
>>> su propia red, por lo cual no muevo dicha configuración alcabo solo
>>> existiran 2 IPs...
>>>
>>> 1- La ip del router: 192.168.1.254
>>> 2- La ip estatica del server: 192.168.1.1 (eth0).
>>>
>>> En el segmento 10.0.1.0/24 no tengo problemas para compartir
>>> información, consultar los servicios del server (apache, mysql, nfs.
>>> samba,
>>> etc...).
>>>
>>> El problema es al momento de intentar acceder a una web, los paquetes
>>> como que no llegan al router, creo que mi problema se centra mal en las
>>> reglas IPTABLES, algo estoy haciendo mal o algo me falta.
>>>
>>> ## DAVID
>>>
>>> "pingera" me imagino te refieres hacer ping a un dominio o ip... Y pues
>>> lo uso con la idea se saber si se esta existiendo funcionamiento, vaya,
>>> tambien uso: "host google.com" para ver si resuelve. Vaya, pruebas
>>> basicas para saber si mis paquetes circulan como deb (de la PC al
>>> server,
>>> del server al router, y viceversa).
>>>
>>> Fijate que * NO PUEDO llegar la router* desde el server, y vaya que esta
>>> conectado a la eth0.
>>>
>>> Mi configuración:
>>>
>>> *server# ifconfig -a *
>>> eth0 Link encap:Ethernet HWaddr 00:11:22:33:44:55
>>> inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
>>>
>>> eth1 Link encap:Ethernet HWaddr 66:77:88:99:aa:bb
>>> inet addr:10.0.1.1 Bcast:10.0.1.255 Mask:255.255.255.0
>>>
>>> *server# router*
>>> 10.0.1.0 * 255.255.255.0 U 0 0 0
>>> eth1
>>> 192.168.1.0 * 255.255.255.0 U 0 0 0
>>> eth0
>>> link-local * 255.255.0.0 U 1002 0 0
>>> eth1
>>> link-local * 255.255.0.0 U 1003 0 0
>>> eth0
>>> default home 0.0.0.0 UG 0 0 0
>>> eth0
>>>
>>> *server# ping 192.168.1.254*
>>> PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data.
>>> From 192.168.1.1 icmp_seq=3 Destination Host Unreachable
>>>
>>> Saludos !
>>>
>>>
>>>
>>>
>>>
>>>
>>> El 23 de septiembre de 2013 14:03, David González Romero <
>>> dgrvedado en gmail.com> escribió:
>>>
>>> Yo no soy partidario de este esquema que propones de poner el
>>> Modem-Router
>>>> directo al servidor. Porque entonces el conceto DMZ queda obsoleto ahi.
>>>> Esta bien su esquema de red. Lo que yo me cuestiono es si realmente el
>>>> necesito que los clientes de la red 10.0.1.0/24 puedan "pingear" a
>>>> internet. Y no me queda claro si el servidor en SI ve internet mismo...
>>>>
>>>> Saludos,
>>>> David
>>>>
>>>>
>>>> El 23 de septiembre de 2013 15:56, RENE LARA ALVARADO <
>>>> sistemas en trimaso.com.mx> escribió:
>>>>
>>>> > Creo que bajo tu esquema, deseeas usar tu servidor (maq con dos
>>>> > interfaces de red y en distinta red)
>>>> > con la funcion de ruteador.
>>>> >
>>>> > A reserva de si es conveniente o no, en ese caso sería mejor que
>>>> > pusieras tu modem-router en modo
>>>> > puente, conectado a una de las interfases.
>>>> >
>>>> > De esa forma solo lidiaras solo don dos redes y no con tres.
>>>> > La direccion ip que te asigna el proveedor quedará en una de las
>>>> > tarjetas y en la otra tu la red
>>>> > de tus equipos
>>>> > r.lara
>>>> >
>>>> > _______________________________________________
>>>> > CentOS-es mailing list
>>>> > CentOS-es en centos.org
>>>> > http://lists.centos.org/mailman/listinfo/centos-es
>>>> >
>>>> _______________________________________________
>>>> CentOS-es mailing list
>>>> CentOS-es en centos.org
>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>
>>>
>>>
>>>
>>> --
>>> M.S.I. Angel Haniel Cantu Jauregui.
>>>
>>> Celular: (011-52-1)-899-871-17-22
>>> E-Mail: angel.cantu en sie-group.net
>>> Web: http://www.sie-group.net/
>>> Cd. Reynosa Tamaulipas.
>>>
>>
>>
>>
>> --
>> M.S.I. Angel Haniel Cantu Jauregui.
>>
>> Celular: (011-52-1)-899-871-17-22
>> E-Mail: angel.cantu en sie-group.net
>> Web: http://www.sie-group.net/
>> Cd. Reynosa Tamaulipas.
>>
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.cantu en sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
--
Live free or die!
Más información sobre la lista de distribución CentOS-es