Yo veo que esto es una discusión absurda. Angel la cuestión es muy sencilla: 1- Tu server hace ping a internet? SI 2- Tu red deberá poder navegar por medio del SQUID 3- Tu red, NUNCA podrá hacer PING a internet, porque no estas USANDO NAT para adentro. Porque entonces que sentido tendría el SQUID? 4- Tu server no hace PING a internet 5- Entonces tu Iptables esta muy duro o existe otra causa de configuración que impide que tu server vea internet
TIPS para montar servidores de red 1- Configurar servicios primarios a- DNS b- DHCP c- MAIL d- SQUID e- APACHE 2- Comprobar que dichos servicios funcionan para toda la red 3- Proteger mi server y la red a- Parando servicios no necesarios (NTP y CUPS por ejemplo) b- Ir armando mi Firewall y por cada regla comprobar que el punto 2 se cumpla. 4- Mi server esta listo para producción, prueba de producción durante un tiempo y si la cumple, BINGO!!! Por demás meterse en discusiones salomónicas no resuelve nada. Saludos, David El 23 de septiembre de 2013 08:07, Pablo Alberto Flores <pabfl...@uchile.cl>escribió: > Partamos por el principio, tu linux hace ping a google? si tu linux no hace > ping tu lan nunca saldra al mundo. > > > El 23 de septiembre de 2013 05:00, Rodolfo Vargas<edgarr...@gmail.com > >escribió: > > > El 22/09/13, angel jauregui <darkdiabl...@gmail.com> escribió: > > > Buen día. > > > > > > Rodolfo si usted se considera tan conocedor creo que debería plantear > una > > > solución u opción, no solo una critica de "esta mal" o "esta bien", de > > nada > > > sirve que me digan que esta mal (si por algo no funciona). > > > > La lista es para dar ideas, no siempre está obligada a resolver alguna > > situación, no puedes obligar a la lista a que solucionen tu caso. > > > > Tmabién te aclaro que no me considero conocer, ese adjetivo tú me lo > > estas diciendo, simplemente yo LEO, ME DOCUMENTO antes de hacer alguna > > cosa, tienes los documentos de redhat linux en pdf, tienes a uno de > > los mejores portales que da soporte a CnetOS (alcanelibre.org), que yo > > sepa simplemente te recomendé que leas más porque tus preguntas son > > reiterativas y la repuesta está en los mensajes que te han dado, NO > > ESTAS SALIENDO A OTRAS REDES NO ESTA HACIENDO NAT > > > > > > > > Sobre el ping interno escribí claramente que tengo *todos los servicios > > en > > > la LAN (locales)*, vaya FTP, HTTP, SSH... todos !.. Vaya, *SI PUEDO > HACER > > > PING* a la red LAN (osease a las IPs de los equipos de la red), solo no > > > logro llegar al segmento distinto al que estoy (10.0.1.0/24), no puedo > > > hacer ping al Router (192.168.1.254), por logica NO salgo a internet... > > La > > > > > > Claro pues mi amigo, LA PUERTA DE ENLACE del router no te esta > > respondiendo, no estas en red con ese segmento y se debe a que no esta > > haciendo traducción de direcciones, puede ser a varios factores: > > 1.- no estas usando los parámentros de red correctos, esa máscara de > > la clase A esta equivocada. > > > > 2.- puede ser que no haya conexión hacia el router, no estaría de más > > verificar. > > > > 3.- las reglas iptables no estan correctamente puestas. > > > > Para hacer NAT necesitas iptables -t nat -A POSTROUTING -o eth0 -j > > MASQUERADE y también echo 1 > /proc/sys/net/ipv4/ip_forward > > > > Arriba pongo -o y no he añadido -s, pongo así para que traduzca entre > > todas las interfaces que tenga, si tienes solo dos es obvio que solo > > traducirá de esa. > > > > solo eso es necesario, por eso te había recomendado borrar todas las > > reglas que tienes por el momento y solo escribir lo de arriba si todo > > esta correcto debería funcionar. > > > > > unica forma que funciono fue porque *no desconectaron* un cable de red > > que > > > va del router al switch, que se supone no debe estar ya que la idea es > > que > > > > > > Lo más lógico es pensar que si salía es que estaba en red con ese > > router y usaba puerta de enlace de dicho router y asi podían estar con > > internet. > > > > > el router *solamente este conectado* a la eth0 del server, y la eth1 al > > > switch. Si quiero navegar, tengo que poner un cable del router al > switch. > > > > > > > Reitero: > > Lo más lógico es pensar que si salía es que estaba en red con ese > > router y usaba puerta de enlace de dicho router y así podían estar con > > internet. > > > > > > > Respecto a mis reglas, siempre que hago cambios *es obvio que limpio y > > > vuelvo a cargar*. > > > > Algo anda mal > > > > > > > > En mi segmento de IPs en la eth1 uso 10.0.1.0/24 con mascara > > 255.255.255.0, > > > ya que solo me importa asignar de: 10.0.1.2 a 10.0.1.254.... Ya que > > > 10.0.1.1 es el server y 10.0.1.255 el broadcast.... > > > > Amigo LA MASCARA DE LA CLASE A es la que te dijeron antes y te lo > > pusieron en binario, ni idea tenías y tampoco te has preocupado en > > averiguar creo, yo te dije por qué estas usando esa mascara, te dije > > lee sobre ips privadas clase A, B, C, creo que eso te molesta, quieres > > que todo te lo den mascado, quieres que te solucionen a tus preguntas, > > y estas esperanzado solo en la lista, deberías intentar por otros > > medios con las recomendaciones que te han dado, tienes mucha > > documentación en internet. > > > > > > > > Ayudar significa "plantear una solución", no solo criticar !.... Por > > favor > > > > NO seas exigente con la lista, la lista no es soporte técnico a > > medida, no pagas por ello a nadie de la lsita, la lista te puede > > ayudar con ideas, pero no esta obligada a solucionar tu caso > > particular, no sé si habrás leído sobre soporte comunitario, en fin > > creo que ya te han dado suficientes argumentos para que tu puedas > > solucionar tu caso. > > > > > limitese a ayudar, de nada me sirve una critica sin soluciones, me deja > > en > > > las mismas :S ! > > > > La lista es para dar ideas MAS NO ESTA OBLIGADA A SOLUCIONAR TU CASO > > > > > > > > Cuando mencione sobre mis tarjetas de red, lo comente porque la > > > configuración que tienen considero está bien: > > > > > > *shell# /etc/sysconfig/network-scripts/ifcfg-eth0 * > > > DEVICE=eth0 > > > BOOTPROTO=static > > > ONBOOT=yes > > > IPADDR=192.168.1.1 > > > NETMASK=255.255.255.0 > > > NETWORK=192.168.1.0 > > > GATEWAY=192.168.1.254 > > > TYPE=Ethernet > > > HWADDR=00:11:22:33:44:55 > > > DNS1=8.8.8.8 > > > DNS2=10.0.1.1 > > > > > > *shell# /etc/sysconfig/network-scripts/ifcfg-eth1* > > > DEVICE=eth1 > > > BOOTPROTO=static > > > ONBOOT=yes > > > IPADDR=10.0.1.1 > > > NETMASK=255.255.255.0 > > > NETWORK=10.0.1.0 > > > TYPE=Ethernet > > > HWADDR=aa:bb:cc:dd:ee:ff > > > DNS1=8.8.8.8 > > > DNS2=10.0.1.1 > > > > > > Saludos ! > > > > http://es.wikipedia.org/wiki/Direcci%C3%B3n_IP > > También podría servirte esto: > > > > > > > https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html > > > > Es mejor seguir la recomendación del mismo redhat linux, en cómo hace > > dicha tarea, el tuyo esta bien, pero mejor sería que separaras en otro > > archivo iptablesrules.sh e inicies en bott time dichas reglas > > personalizadas desde rc.local, no tocarías nada del archivo iptables, > > al final tus reglas se ejecutan y escribiran, bueno eso te puedo decir > > y ya no seas muy exigente con la lista, si no te dan las ideas que tú > > quieres, tú debes tratar de solucionar tu caso. > > > > > > > > > > > El 22 de septiembre de 2013 03:23, Rodolfo Vargas > > > <edgarr...@gmail.com>escribió: > > > > > >> El 21/09/13, angel jauregui <darkdiabl...@gmail.com> escribió: > > >> > Buenas... > > >> > > > >> > Hace dias habia expuesto un problema de configruacion de mis > tarjetas > > >> > de > > >> > red el cual quedo solucionado, pero sin darme cuenta existia un > cable > > >> > de > > >> > > >> Quedó solucionado?¿ > > >> > > >> > red conectado del router al switch, y cuando me percate lo > desconecte > > >> > ya > > >> > que se supone que la configuracion del server es: > > >> > > >> NO debería haber problema > > >> > > >> > > > >> > eth0 --> ip:192.168.1.1 conectada al router (192.168.1.254). > > >> > eth1 --> ip:10.0.1.1 conectada al switch (red lan). > > >> > > > >> > Servicios del server: > > >> > > > >> > - HTTP abierto para todos (LAN e Internet). > > >> > - FTP abierto para todos (LAN e Internet). > > >> > - SSH abierto para todos (LAN e Internet). > > >> > - Los demas son para la LAN. > > >> > > > >> > Y la idea es: > > >> > > > >> > - El segmento de red asignado es: 10.0.1.0/24, y se esta cumpliendo > > !. > > >> > > >> Le hemos dicho POR QUÉ usted usa 10.0.1.0/24? que clase de ip estas > > >> usando? ES CLASE A y su máscara es 255.0.0.0, máscara 255.255.255.0 es > > >> para clase C, o esta subneteado? no respondió tampoco. > > >> > > >> > - Los clientes tiene como Gateway la ip del server (10.0.1.1), se > > >> > cumple > > >> !. > > >> > - La navegacion web se redirige al puerto del Squid, se cumple !. > > >> > - Los demas puertos a consultar se hacen FW, creo que se cumple !. > > >> > - Se supone que lo que entra por eth1 (lan) de sacarse por eth0 por > la > > >> > puerta gateway (ip del router). > > >> > > > >> > Problemas y Virtudes: > > >> > - No logro hacer ping a ninguna pagina, ni a la IP del router. > > >> > > >> Jajajaj, señor usted en pruimer lugar debe usar ips, luego recién > > >> verificar si resuelve nombres, bueno eso yo hago :), dijo que resolvió > > >> el problema de red antes, al parecer no solucionó dicho detalle, > > >> primero debe asignar BIEN los parámetros de red, luego verificar, la > > >> forma más común es usando ping, LIMPIANDO PRIMERO REGLAS si las hay, > > >> hacer ping entre todas las interfaces por decir, tanto en la red lan y > > >> fuera, si todo va bien recien aplicar reglas en firewall (es un > > >> consejo que le doy) > > >> > > >> > - Si puedo hacer ping a los equipos locales. > > >> > > >> Pero verifique por qué usa la máscara que no le corresponde a esa > clase > > A > > >> de ip > > >> > > >> > - Si obtengo todos los servicios de red local (dhcp, asterisk, ftp, > > >> > http, > > >> > mysql). > > >> > > >> > - Si funciona la redireccion del 80 al puerto squid, ya que si > escribo > > >> una > > >> > palabra restringida, sale la pagina de aviso de Squid. > > >> > > > >> > Mis reglas iptables son: > > >> > > > >> > iptables -F > > >> > iptables -X > > >> > iptables -Z > > >> > iptables -t nat -F > > >> > > > >> > # politicas por defecto > > >> > iptables -P INPUT ACCEPT # aceptamos entradas > > >> > iptables -P OUTPUT ACCEPT # aceptamos salidas > > >> > iptables -P FORWARD ACCEPT # aceptamos reenvios > > >> > iptables -t nat -P PREROUTING ACCEPT # aceptamos nat > hacia > > >> fuera > > >> > iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat > hacia > > >> > dentro > > >> > echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de > > >> > reenvios > > >> > > > >> > iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo > > >> > iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT > > >> > # ftp y ssh > > >> > iptables -A INPUT -p tcp --dport 80 -j ACCEPT > > >> > # http > > >> > iptables -A INPUT -p tcp --dport 443 -j ACCEPT > > >> > # https > > >> > iptables -A INPUT -p tcp --dport 53 -j ACCEPT > > >> > # dns - dhcp > > >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j > ACCEPT > > >> > # portmapper/rpcbind > > >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j > > >> ACCEPT > > >> > # samba > > >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j > ACCEPT > > >> > # samba > > >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j > > ACCEPT > > >> > # squid > > >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j > > ACCEPT > > >> > # squid cache > > >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j > > ACCEPT > > >> > # nfs > > >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j > > ACCEPT > > >> > # asterisk > > >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j > > ACCEPT > > >> > # webmind para LAN > > >> > > > >> > # forwardnig > > >> > iptables -A FORWARD -p tcp --dport 20:22 -j ACCEPT > > >> > # ftp y ssh > > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j > > ACCEPT > > >> > # dns - dhcp > > >> > iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j > > ACCEPT > > >> > # dns -dhcp (udp) > > >> > iptables -A FORWARD -p tcp --dport 80 -j ACCEPT > > >> > # http > > >> > iptables -A FORWARD -p tcp --dport 443 -j ACCEPT > > >> > # https > > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j > > ACCEPT > > >> > # portmapper/rpcbind > > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 > -j > > >> ACCEPT > > >> > # samba > > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j > > ACCEPT > > >> > # samba > > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j > > >> > ACCEPT > > >> > # squid > > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j > > >> > ACCEPT > > >> > # squid cache > > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j > > >> > ACCEPT > > >> > # nfs > > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j > > >> > ACCEPT > > >> > # asterisk > > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1000 -j > > >> > ACCEPT > > >> > # webmind para LAN > > >> > > > >> > iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j > > ACCEPT > > >> > iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j > > ACCEPT > > >> > > > >> > # enmascaramiento > > >> > iptables -A OUTPUT -j ACCEPT > > >> > iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j > > DNAT > > >> > --to 192.168.1.1:3128 > > >> > iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j > SNAT > > >> --to > > >> > 192.168.1.1 > > >> > iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j > > >> MASQUERADE > > >> > # todo lo que salga de la red, se enmascara > > >> > # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -s > > >> > 10.0.1.0/24 -j REDIRECT --to-port 3128 > > >> > > > >> > > > >> > # denegaciones > > >> > iptables -A INPUT -p tcp --dport 1000 -j DROP > > >> > # denegar webmind > > >> > iptables -A INPUT -p tcp --dport 1:1024 -j DROP > > >> > # cerrar puertos privados > > >> > iptables -A FORWARD -p tcp --dport 1000 -j DROP > > >> > # denegar webmind > > >> > iptables -A FORWARD -j DROP > > >> > # degenamos lo demas > > >> > > > >> > Saludos ! > > >> > > > >> > > >> Ya le han dado consejos, creo que ni los toma en cuenta, lo que le > > >> aconsejo es iptables -F, luego aplique manualmente NAT y vea si logra > > >> salir hacia afuera y hacer ping entre todas las interfaces, osea a los > > >> segmentos de red, es demasiado básico el escenario que plantea, > > >> debería funcionar, vaya por partes, en fin solo usted entiende lo que > > >> quiere hacer :), saludos y suerte, ya le dije lea sobre ipv4, NAT > > >> (entender no solo escribir) > > >> > > >> > -- > > >> > M.S.I. Angel Haniel Cantu Jauregui. > > >> > > > >> > Celular: (011-52-1)-899-871-17-22 > > >> > E-Mail: angel.ca...@sie-group.net > > >> > Web: http://www.sie-group.net/ > > >> > Cd. Reynosa Tamaulipas. > > >> > _______________________________________________ > > >> > CentOS-es mailing list > > >> > CentOS-es@centos.org > > >> > http://lists.centos.org/mailman/listinfo/centos-es > > >> > > > >> > > >> > > >> -- > > >> Live free or die! > > >> _______________________________________________ > > >> CentOS-es mailing list > > >> CentOS-es@centos.org > > >> http://lists.centos.org/mailman/listinfo/centos-es > > >> > > > > > > > > > > > > -- > > > M.S.I. Angel Haniel Cantu Jauregui. > > > > > > Celular: (011-52-1)-899-871-17-22 > > > E-Mail: angel.ca...@sie-group.net > > > Web: http://www.sie-group.net/ > > > Cd. Reynosa Tamaulipas. > > > > > > > > > -- > > Live free or die! > > _______________________________________________ > > CentOS-es mailing list > > CentOS-es@centos.org > > http://lists.centos.org/mailman/listinfo/centos-es > > > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es