Buenas... Les dejo copia de mis reglas iptables, recordar que:
* Servidor DHCP/DNS/Squid/Firewall - eth0 --> 192.168.1.2 ( conectada al router ISP[192.168.1.254] ). - eth1 --> 10.0.1.2 ( conectada al switch [red lan] ). - todo el trafico llega a eth1 y debe sacarse por eth0 hacia e router. ## FIREWALL iptables -F iptables -X iptables -Z iptables -t nat -F # politicas por defecto iptables -P INPUT ACCEPT # aceptamos entradas iptables -P OUTPUT ACCEPT # aceptamos salidas iptables -P FORWARD ACCEPT # aceptamos reenvios iptables -t nat -P PREROUTING ACCEPT # aceptamos nat hacia dentro iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat hacia afuera echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de reenvios iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT # dns - dhcp iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT # portmapper/rpcbind iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT # samba iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT # samba iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT # squid iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT # squid cache iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT # nfs iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT # webmind # forwarding iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 20:22 -j ACCEPT # ftp y ssh iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT # dns - dhcp iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT # dns -dhcp (udp) iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 80 -j ACCEPT # http iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 443 -j ACCEPT # https iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT # portmapper/rpcbind iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT # samba iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT # samba iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT # squid iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT # squid cache iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT # nfs iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT # asterisk iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT # webmind para LAN iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT # paso de una a otra red iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT # viceversa # enmascaramiento iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.2:3128 # squid iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j MASQUERADE # todo lo que salga de la red, se enmascara # denegaciones iptables -A INPUT -p tcp --dport 1000 -j DROP # denegar webmind iptables -A INPUT -p tcp --dport 1:1024 -j DROP # cerrar puertos privados iptables -A FORWARD -p tcp --dport 1000 -j DROP # denegar webmind #iptables -A FORWARD -j DROP # degenamos lo demas Saludos ! El 15 de septiembre de 2013 11:51, RENE LARA ALVARADO < siste...@trimaso.com.mx> escribió: > Te enviaré a tu mail algunos archivos que creo te serviran para > resolver eso > r.lara > > -----Mensaje original----- > De: centos-es-boun...@centos.org [mailto:centos-es-boun...@centos.org] > En nombre de angel jauregui > Enviado el: Sábado, 14 de Septiembre de 2013 08:25 p.m. > Para: centos-es@centos.org; rresen...@globaltrack.com.mx > Asunto: Re: [CentOS-es] Configurar 2 tarjetas de red. > > Estaria bien esta configuracion de las tarjetas de red ?? > Y viendo que la eth0 usa IP de clase C y la eth1 de clase A, no > tendrian > problemas para comunicarse ? > Si es asi, cual seria la mejor recomiendacion ? > > shell# /etc/sysconfig/network-scripts/ifcfg-eth0 > DEVICE=eth0 > BOOTPROTO=static > ONBOOT=yes > IPADDR=192.168.1.2 > NETMASK=255.255.255.0 > NETWORK=192.168.1.0 > GATEWAY=192.168.1.254 > TYPE=Ethernet > HWADDR=aa:bb:cc:dd:ee:ff > DNS1=8.8.8.8 > DNS2=10.0.1.2 > > shell# /etc/sysconfig/network-scripts/ifcfg-eth1 > DEVICE=eth1 > BOOTPROTO=static > ONBOOT=yes > IPADDR=10.0.1.2 > NETMASK=255.0.0.0 > NETWORK=10.0.0.0 > GATEWAY=192.168.1.254 > TYPE=Ethernet > HWADDR=aa:bb:cc:dd:ee:ff > DNS1=10.0.1.2 > DNS2=8.8.8.8 > > Saludos ! > > > El 14 de septiembre de 2013 21:17, angel jauregui > <darkdiabl...@gmail.com>escribió: > > > Ramon me gustaria resolver lo de las IPs, Mascara y GW de las > > configuraciones de las dos tarjetas, despues mostrare mi IPTABLES... > Es que > > no quiero meter mas cosas y llevar algo de organizacion en el mail ! > > > > Saludos ! > > > > > > El 14 de septiembre de 2013 20:53, Ing. Ramon Resendiz < > > rresen...@globaltrack.com.mx> escribió: > > > > Angel, > >> > >> Tienes que reenviar el trafico de tu tarjeta de red interna a la > tarjeta > >> de red externa (ip forwarding). Posteriormente tienes que permitir > el > >> trafico a traves del firewall con IPTables y Masquerading. > >> > >> Busca en google ip forwarding y masquerading. > >> > >> Saludos! > >> Enviado a través de BlackBerry de movistar > >> -- > >> Ing. Ramon Resendiz > >> > >> -----Original Message----- > >> From: angel jauregui <darkdiabl...@gmail.com> > >> Sender: centos-es-boun...@centos.org > >> Date: Sat, 14 Sep 2013 20:48:12 > >> To: centos-es@centos.org<centos-es@centos.org> > >> Reply-To: centos-es@centos.org > >> Subject: Re: [CentOS-es] Configurar 2 tarjetas de red. > >> > >> ok cambiar la mascara por: 255.0.0.0 ?? > >> > >> > >> El 14 de septiembre de 2013 20:47, angel jauregui > >> <darkdiabl...@gmail.com>escribió: > >> > >> > Reene Lara... no entendi :S !??? > >> > > >> > > >> > El 14 de septiembre de 2013 21:11, RENE LARA ALVARADO < > >> > siste...@trimaso.com.mx> escribió: > >> > > >> > > >> >> -----Mensaje original----- > >> >> De: centos-es-boun...@centos.org > [mailto:centos-es-boun...@centos.org] > >> >> En nombre de angel jauregui > >> >> Enviado el: Sábado, 14 de Septiembre de 2013 05:21 p.m. > >> >> Para: centos-es@centos.org > >> >> Asunto: Re: [CentOS-es] Configurar 2 tarjetas de red. > >> >> > >> >> Buen día. > >> >> > >> >> Gracias a las personas que están interesadas, les aclarare > varias > >> >> dudas > >> >> exponiendoles como esta el esquema de mi red, ya que en base a > los > >> >> cambios > >> >> que me sugirió Resendiz, hice cambios completos, dejando así: > >> >> > >> >> *IMPORTANTE: *actualmente no logro sacar los paquetes por el > Router, > >> >> ya que > >> >> anteriormente manejaba una sola tarjeta de red en el Servidor > >> >> DNS/DHCP, y a > >> >> veces algunos usuarios listillos se asignaban IPs estáticas con > GW > >> >> 192.168.1.254, y se saltaban el filtro. Por ello conseguí una > 2da > >> >> tarjeta > >> >> de red para dejar el ROUTER conectado a la eth0 y a las eth1 la > red, > >> >> así > >> >> nadie podrá brincar el proxy web, vaya, el router estaria > >> >> inalcanzable. > >> >> > >> >> Servidor #1 -- tiene 2 tarjetas de red: *eth0* conectado al > router > >> >> (ISP) y * > >> >> eth1* conectado al swicth (red lan). > >> >> > >> >> - El Router maneja un rango de dirección: 192.168.1.x, ip del > router: > >> >> 192.168.1.254 > >> >> - En la Red manejo un rango de direcciones: 10.0.1.x > >> >> > >> >> El Servidor #1 mantiene los servicios: dhcp, nfs, samba y squid > >> >> (filtrado > >> >> web)* *y *firewall*. Vaya todos los equipos de la red pasan por > este. > >> >> > >> >> La configuración es: > >> >> > >> >> *shell# /etc/sysconfig/network-scripts/ifcfg-eth0 * > >> >> DEVICE=eth0 > >> >> BOOTPROTO=static > >> >> ONBOOT=yes > >> >> IPADDR=192.168.1.2 > >> >> NETMASK=255.255.255.0 > >> >> NETWORK=192.168.1.0 > >> >> GATEWAY=192.168.1.254 > >> >> TYPE=Ethernet > >> >> HWADDR=00:15:58:A7:23:EE > >> >> DNS1=8.8.8.8 > >> >> DNS2=10.0.1.2 > >> >> > >> >> *shell# /etc/sysconfig/network-scripts/ifcfg-eth1* > >> >> DEVICE=eth1 > >> >> BOOTPROTO=static > >> >> ONBOOT=yes > >> >> IPADDR=10.0.1.2 > >> >> NETMASK=255.255.255.0 > >> >> NETWORK=10.0.1.0 > >> >> GATEWAY=192.168.1.254 > >> >> TYPE=Ethernet > >> >> HWADDR=00:A1:B0:69:5E:4A > >> >> DNS1=10.0.1.2 > >> >> DNS2=8.8.8.8 > >> >> > >> >> *Ya despues* les muestro el firewall (reglas iptable), solo > quiero > >> >> corroborar por ahorita que la configuracion de las tarjetas > estan bien > >> >> ! > >> >> > >> >> Saludos ! > >> >> > >> >> > >> >> > >> >> El 14 de septiembre de 2013 05:11, Rodolfo Vargas > >> >> <edgarr...@gmail.com>escribió: > >> >> > >> >> > El 13/09/13, angel jauregui <darkdiabl...@gmail.com> escribió: > >> >> > > Buen dia. > >> >> > > > >> >> > > Tengo un server que tengo problemas para configurarlo de > manera > >> >> optima. > >> >> > > El equipo tiene 2 tarjetas de red, eth0 conectada al router > del > >> >> ISP > >> >> > > (internet) y eth1 al switch (Red lan). > >> >> > > >> >> > Hasta aquí si entiendo. > >> >> > > >> >> > > > >> >> > > IMPORTANTE: el router tiene el dhcp configurado como > *relay*, y > >> >> tiene > >> >> > > puesta la IP de otro servidor de la red lan: 192.168.1.4 > >> >> > > >> >> > ?¿ no importa ello, lo que debes hacer es poner en red tu > interfaz > >> >> de > >> >> > red eth0 con la del router > >> >> > deben estar en el mismo segmento de red. > >> >> > > >> >> > > > >> >> > > Quiero saber *su opinion* (estoy bien o mal), y como es mas > optimo > >> >> > > configurar la red de ambos ?... les dejo mi configuracion > actual: > >> >> > > > >> >> > > *# eth0 -- conectada al router ISP* > >> >> > > *shell# cat /etc/sysconfig/network-script/ifcfg-eth0* > >> >> > > DEVICE="eth0" > >> >> > > BOOTPROTO="static" > >> >> > > ONBOOT="yes" > >> >> > > IPADDR="192.168.1.1" > >> >> > > NETMASK="255.255.255.0" > >> >> > > NETWORK="192.168.1.0" > >> >> > > GATEWAY="192.168.1.254" > >> >> > > >> >> > Puerta de enlace del router, verdad? > >> >> > > >> >> > > TYPE="Ethernet" > >> >> > > HWADDR="aa:bb:cc:dd:ee:ff" > >> >> > > DNS1="8.8.8.8" > >> >> > > >> >> > Ya tienes un dns 8.8.8.8, no creo que ya sea necesario usar > una de > >> >> tu > >> >> > red, al menos que caiga la de google (no creo que caiga) > >> >> > > >> >> > > DNS2="192.168.1.4" # ip de otro server con: Squid, DNS y > DHCP > >> >> > Si está en el mismo segmento de red, debe funcionar. > >> >> > > >> >> > > >> >> > > > >> >> > > *# eth1 -- conectada al switch (red lan)* > >> >> > > *shell# cat /etc/sysconfig/network-script/ifcfg-eth1** > >> >> > > * > >> >> > > DEVICE="eth1" > >> >> > > BOOTPROTO="static" > >> >> > > ONBOOT="yes" > >> >> > > IPADDR="192.168.1.2" > >> >> > > >> >> > Generalmente cuando se usa interfaces de red es recomendable > separar > >> >> > en segmentos de red diferentes, por ejemplo podrías usar ip > privadas > >> >> > clase A, B o C (10.0.0.0/8, 172.16.0.0/16, 192.168.1.x/24) > >> >> > > >> >> > > NETMASK="255.255.255.0" > >> >> > > NETWORK="192.168.1.0" > >> >> > > GATEWAY="192.168.1.4" # ip de otro server con: Squid, DNS y > DHCP > >> >> > > TYPE="Ethernet" > >> >> > > HWADDR="aa:bb:cc:dd:ee:ff" > >> >> > > DNS1="8.8.8.8" > >> >> > > DNS2="192.168.1.4" # ip de otro server con: Squid, DNS y > DHCP > >> >> > > > >> >> > > >> >> > Debe ser otro segemento de red, estas en la misma red, mejor > no > >> >> sería > >> >> > usar un switch y conectar el server, tu red lan y tu otro > server? > >> >> > todos estan en el mismo segmento de red, sería lo más practico > y tus > >> >> > clientes podrían usar diferente gateway, debería funcionar, ya > no > >> >> > tendría sentido poner server si hay otro que da servicio como > el que > >> >> > dices (es lo que yo pienso y lo que haría, al menos que tengas > algo > >> >> > muy particular que quieras hacer con CentOS que no dijiste). > >> >> > > >> >> > Lo más común es que cuando se pone un servidor dé servicio o > sea un > >> >> > firewall haciendo salir a otras redes hacia afuera, > traduciendo > >> >> > direcciones de red, permitiendo salir, entrar, etc., etc., y > para > >> >> eso > >> >> > generalmente se usa segmentos de red con ips privadas y > teniendo en > >> >> > cuenta que las mascaras de red, por ahí vi que estas usando en > >> >> > 10.0.1.0/8, estas usando a 255.255.255.0, eso no esta bien > (que yo > >> >> > sepa) AL MENOS que estés subneteando (lo dudo, pero puede > ser), la > >> >> > máscara para esa clase de ip es 255.0.0.0 > >> >> > > >> >> > Pues por el momento eso te puedo comentar amigo, saludos y > suerte. > >> >> > > >> >> > > Saludos ! > >> >> > > -- > >> >> > > M.S.I. Angel Haniel Cantu Jauregui. > >> >> > > > >> >> > > Celular: (011-52-1)-899-871-17-22 > >> >> > > E-Mail: angel.ca...@sie-group.net > >> >> > > Web: http://www.sie-group.net/ > >> >> > > Cd. Reynosa Tamaulipas. > >> >> > > _______________________________________________ > >> >> > > CentOS-es mailing list > >> >> > > CentOS-es@centos.org > >> >> > > http://lists.centos.org/mailman/listinfo/centos-es > >> >> > > > >> >> > > >> >> > > >> >> > -- > >> >> > Live free or die! > >> >> > _______________________________________________ > >> >> > CentOS-es mailing list > >> >> > CentOS-es@centos.org > >> >> > http://lists.centos.org/mailman/listinfo/centos-es > >> >> > > >> >> > >> >> > >> >> > >> >> -- > >> >> M.S.I. Angel Haniel Cantu Jauregui. > >> >> > >> >> Celular: (011-52-1)-899-871-17-22 > >> >> E-Mail: angel.ca...@sie-group.net > >> >> Web: http://www.sie-group.net/ > >> >> Cd. Reynosa Tamaulipas. > >> >> _______________________________________________ > >> >> CentOS-es mailing list > >> >> CentOS-es@centos.org > >> >> http://lists.centos.org/mailman/listinfo/centos-es > >> >> > >> >> > >> >> > >> >> IPADDR=10.0.1.2 en binario 00001010 00000000 00000001 > 00000010 > >> >> NETMASK=255.255.255.0 en binario: 11111111 11111111 11111111 > 00000000 > >> >> > >> >> Por la mascara es una red de clase C > >> >> y si es C deberia uniciar en 192 > >> >> > >> >> ¿eso influirá? > >> >> > >> >> > >> >> Class C > >> >> 192. 0. 0. 0 = 11000000.00000000.00000000.00000000 > >> >> 223.255.255.255 = 11011111.11111111.11111111.11111111 > >> >> 110nnnnn.nnnnnnnn.nnnnnnnn.HHHHHHHH > >> >> > >> >> R.Lara > >> >> > >> >> _______________________________________________ > >> >> CentOS-es mailing list > >> >> CentOS-es@centos.org > >> >> http://lists.centos.org/mailman/listinfo/centos-es > >> >> > >> > > >> > > >> > > >> > -- > >> > M.S.I. Angel Haniel Cantu Jauregui. > >> > > >> > Celular: (011-52-1)-899-871-17-22 > >> > E-Mail: angel.ca...@sie-group.net > >> > Web: http://www.sie-group.net/ > >> > Cd. Reynosa Tamaulipas. > >> > > >> > >> > >> > >> -- > >> M.S.I. Angel Haniel Cantu Jauregui. > >> > >> Celular: (011-52-1)-899-871-17-22 > >> E-Mail: angel.ca...@sie-group.net > >> Web: http://www.sie-group.net/ > >> Cd. Reynosa Tamaulipas. > >> _______________________________________________ > >> CentOS-es mailing list > >> CentOS-es@centos.org > >> http://lists.centos.org/mailman/listinfo/centos-es > >> _______________________________________________ > >> CentOS-es mailing list > >> CentOS-es@centos.org > >> http://lists.centos.org/mailman/listinfo/centos-es > >> > > > > > > > > -- > > M.S.I. Angel Haniel Cantu Jauregui. > > > > Celular: (011-52-1)-899-871-17-22 > > E-Mail: angel.ca...@sie-group.net > > Web: http://www.sie-group.net/ > > Cd. Reynosa Tamaulipas. > > > > > > -- > M.S.I. Angel Haniel Cantu Jauregui. > > Celular: (011-52-1)-899-871-17-22 > E-Mail: angel.ca...@sie-group.net > Web: http://www.sie-group.net/ > Cd. Reynosa Tamaulipas. > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > -- M.S.I. Angel Haniel Cantu Jauregui. Celular: (011-52-1)-899-871-17-22 E-Mail: angel.ca...@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es