Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !
vale, entonces la clave aqui es que no puedes hacer ping desde el servidor al router. Sabes si el router tiene filtrado los paquetes ICMP? No hay ningún otro servicio que te funcione desde el servidor hacía Internet? A veces los firewalls filtran los paquetes ICMP del ping pero el resto no. Sino yo miraría si hay algún problema a nivel fisico, el cable, la tarjeta de red, probaría con otro equipo conectado con el mismo cable al router... Saludos Miguel De: angel jauregui darkdiabl...@gmail.com Para: centos-es@centos.org centos-es@centos.org Enviado: Lunes 23 de septiembre de 2013 22:18 Asunto: Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion ! ## RENE Mis equipos están en el segmento 10.0.1.0/24, se asignan IPs de 10.0.1.2 a 10.0.1.254 La red 192.168.1.0/24 es el rango de IPs que maneja el server para hacer su propia red, por lo cual no muevo dicha configuración alcabo solo existiran 2 IPs... 1- La ip del router: 192.168.1.254 2- La ip estatica del server: 192.168.1.1 (eth0). En el segmento 10.0.1.0/24 no tengo problemas para compartir información, consultar los servicios del server (apache, mysql, nfs. samba, etc...). El problema es al momento de intentar acceder a una web, los paquetes como que no llegan al router, creo que mi problema se centra mal en las reglas IPTABLES, algo estoy haciendo mal o algo me falta. ## DAVID pingera me imagino te refieres hacer ping a un dominio o ip... Y pues lo uso con la idea se saber si se esta existiendo funcionamiento, vaya, tambien uso: host google.com para ver si resuelve. Vaya, pruebas basicas para saber si mis paquetes circulan como deb (de la PC al server, del server al router, y viceversa). Fijate que * NO PUEDO llegar la router* desde el server, y vaya que esta conectado a la eth0. Mi configuración: *server# ifconfig -a * eth0 Link encap:Ethernet HWaddr 00:11:22:33:44:55 inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0 eth1 Link encap:Ethernet HWaddr 66:77:88:99:aa:bb inet addr:10.0.1.1 Bcast:10.0.1.255 Mask:255.255.255.0 *server# router* 10.0.1.0 * 255.255.255.0 U 0 0 0 eth1 192.168.1.0 * 255.255.255.0 U 0 0 0 eth0 link-local * 255.255.0.0 U 1002 0 0 eth1 link-local * 255.255.0.0 U 1003 0 0 eth0 default home 0.0.0.0 UG 0 0 0 eth0 *server# ping 192.168.1.254* PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data. From 192.168.1.1 icmp_seq=3 Destination Host Unreachable Saludos ! El 23 de septiembre de 2013 14:03, David González Romero dgrved...@gmail.com escribió: Yo no soy partidario de este esquema que propones de poner el Modem-Router directo al servidor. Porque entonces el conceto DMZ queda obsoleto ahi. Esta bien su esquema de red. Lo que yo me cuestiono es si realmente el necesito que los clientes de la red 10.0.1.0/24 puedan pingear a internet. Y no me queda claro si el servidor en SI ve internet mismo... Saludos, David El 23 de septiembre de 2013 15:56, RENE LARA ALVARADO siste...@trimaso.com.mx escribió: Creo que bajo tu esquema, deseeas usar tu servidor (maq con dos interfaces de red y en distinta red) con la funcion de ruteador. A reserva de si es conveniente o no, en ese caso sería mejor que pusieras tu modem-router en modo puente, conectado a una de las interfases. De esa forma solo lidiaras solo don dos redes y no con tres. La direccion ip que te asigna el proveedor quedará en una de las tarjetas y en la otra tu la red de tus equipos r.lara ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- M.S.I. Angel Haniel Cantu Jauregui. Celular: (011-52-1)-899-871-17-22 E-Mail: angel.ca...@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !
El 23/09/13, angel jauregui darkdiabl...@gmail.com escribió: que maravilla :D era el maldito cable... en serio que voy a enmarcar ese cable de red y le ponde el maldito cable que me hizo bullying de red. Me alegro que ayas solucionado tu problema, viste? tú mismo, por ahí dije algo de revisar conexión por hardware, no esta demás, hay muchas cosas que uno puede ir descartando cuando algo no esta como queremos, no solo mirar a un solo lado, es una recomendación mía de algunas experiencias que tuve por ahi. Ya hice pruebas en los equipos de red y ya logro hacer ping a la IP del router 192.168.1.254 y a cualquier pagina. EL ping es un indicador, pero qué pasaría si el servidor que almacena la aplicación tiene un firewall que no permite hacer ping? deshabilita esa opción? (microsoft por ejemplo) deshabilta el icmp, qué pensarías? otra cosa para investigar :), pero deshabiltado esta online y esta activo, recuerde que lo más importante son las ips públicas de esa manera se conectan todo internet, servidores dns para resolver nombres, ya que tuviste uno por ahí deberías usarlo como primario y hacer forwarder a google por ejemplo 8.8.8.8 8.8.4.4 Ahora solo me gustaria aclarar algunos comentarios que me hicieron en un foro sobre mis reglas IPTABLES en la parte de #enmascaramientos, ustedes que opinan ??: iptables -F iptables -X iptables -Z iptables -t nat -F # politicas por defecto iptables -P INPUT ACCEPT# denegamos entradas iptables -P OUTPUT ACCEPT # aceptamos salidas iptables -P FORWARD ACCEPT # denegamos reenvios iptables -t nat -P PREROUTING ACCEPT# aceptamos nat hacia fuera iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat hacia dentro echo 1 /proc/sys/net/ipv4/ip_forward # habilitamos BIT de reenvios iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT # ftp y ssh iptables -A INPUT -p tcp --dport 80 -j ACCEPT # http iptables -A INPUT -p tcp --dport 443 -j ACCEPT # https iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT # dns - dhcp iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT # portmapper/rpcbind iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT # samba iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT # samba iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT # squid iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT # squid cache iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT # nfs iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT # asterisk iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT # webmind para LAN # forwardnig iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 20:22 -j ACCEPT # ftp y ssh iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT # dns - dhcp iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT # dns -dhcp (udp) iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 80 -j ACCEPT # http iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 443 -j ACCEPT # https iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT # portmapper/rpcbind iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT # samba iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT # samba iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT # squid iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT # squid cache iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT # nfs iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT # asterisk iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1 -j ACCEPT # webmind para LAN iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT # enmascaramiento iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT --to 192.168.1.1 # cambiamos la direccion source iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j MASQUERADE # enmascaramos iptables -t nat -A PREROUTING -i eth1 -p tcp --dport
Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !
Sobre el ping interno escribí claramente que tengo *todos los servicios en la LAN (locales)*, vaya FTP, HTTP, SSH... todos !.. Vaya, *SI PUEDO HACER PING* a la red LAN (osease a las IPs de los equipos de la red), solo no logro llegar al segmento distinto al que estoy (10.0.1.0/24), no puedo hacer ping al Router (192.168.1.254), por logica NO salgo a internet... Hola: Estaría bien tener un pequeño esquema de texto de los equipos que tiene en su red. Yo al menos con el intercambio de emails no comprendo todavía que quiere hacer exactamente. Si no he entendido mal su red LAN tiene un rango 10.0.1.x no? Luego tiene un servidor linux ¿? que tiene una interfaz en esa subred de la LAN y otra en otra subred 192.168.1.x ? Y luego en esa subred esta el router? Algo asi como: Clientes LAN (10.0.1.x) (10.0.1.1) Servidor iptables (192.168.1.1) |- (192.168.1.?) Router --- Internet Primeramente estaría bien saber cual es el gateway que tiene configurado en los clientes de la LAN. Perdone si algunos de estos detalles ya los ha dado, pero no tengo el resto de emails. Saludos Miguel ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !
El 22/09/13, angel jauregui darkdiabl...@gmail.com escribió: Buen día. Rodolfo si usted se considera tan conocedor creo que debería plantear una solución u opción, no solo una critica de esta mal o esta bien, de nada sirve que me digan que esta mal (si por algo no funciona). La lista es para dar ideas, no siempre está obligada a resolver alguna situación, no puedes obligar a la lista a que solucionen tu caso. Tmabién te aclaro que no me considero conocer, ese adjetivo tú me lo estas diciendo, simplemente yo LEO, ME DOCUMENTO antes de hacer alguna cosa, tienes los documentos de redhat linux en pdf, tienes a uno de los mejores portales que da soporte a CnetOS (alcanelibre.org), que yo sepa simplemente te recomendé que leas más porque tus preguntas son reiterativas y la repuesta está en los mensajes que te han dado, NO ESTAS SALIENDO A OTRAS REDES NO ESTA HACIENDO NAT Sobre el ping interno escribí claramente que tengo *todos los servicios en la LAN (locales)*, vaya FTP, HTTP, SSH... todos !.. Vaya, *SI PUEDO HACER PING* a la red LAN (osease a las IPs de los equipos de la red), solo no logro llegar al segmento distinto al que estoy (10.0.1.0/24), no puedo hacer ping al Router (192.168.1.254), por logica NO salgo a internet... La Claro pues mi amigo, LA PUERTA DE ENLACE del router no te esta respondiendo, no estas en red con ese segmento y se debe a que no esta haciendo traducción de direcciones, puede ser a varios factores: 1.- no estas usando los parámentros de red correctos, esa máscara de la clase A esta equivocada. 2.- puede ser que no haya conexión hacia el router, no estaría de más verificar. 3.- las reglas iptables no estan correctamente puestas. Para hacer NAT necesitas iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE y también echo 1 /proc/sys/net/ipv4/ip_forward Arriba pongo -o y no he añadido -s, pongo así para que traduzca entre todas las interfaces que tenga, si tienes solo dos es obvio que solo traducirá de esa. solo eso es necesario, por eso te había recomendado borrar todas las reglas que tienes por el momento y solo escribir lo de arriba si todo esta correcto debería funcionar. unica forma que funciono fue porque *no desconectaron* un cable de red que va del router al switch, que se supone no debe estar ya que la idea es que Lo más lógico es pensar que si salía es que estaba en red con ese router y usaba puerta de enlace de dicho router y asi podían estar con internet. el router *solamente este conectado* a la eth0 del server, y la eth1 al switch. Si quiero navegar, tengo que poner un cable del router al switch. Reitero: Lo más lógico es pensar que si salía es que estaba en red con ese router y usaba puerta de enlace de dicho router y así podían estar con internet. Respecto a mis reglas, siempre que hago cambios *es obvio que limpio y vuelvo a cargar*. Algo anda mal En mi segmento de IPs en la eth1 uso 10.0.1.0/24 con mascara 255.255.255.0, ya que solo me importa asignar de: 10.0.1.2 a 10.0.1.254 Ya que 10.0.1.1 es el server y 10.0.1.255 el broadcast Amigo LA MASCARA DE LA CLASE A es la que te dijeron antes y te lo pusieron en binario, ni idea tenías y tampoco te has preocupado en averiguar creo, yo te dije por qué estas usando esa mascara, te dije lee sobre ips privadas clase A, B, C, creo que eso te molesta, quieres que todo te lo den mascado, quieres que te solucionen a tus preguntas, y estas esperanzado solo en la lista, deberías intentar por otros medios con las recomendaciones que te han dado, tienes mucha documentación en internet. Ayudar significa plantear una solución, no solo criticar ! Por favor NO seas exigente con la lista, la lista no es soporte técnico a medida, no pagas por ello a nadie de la lsita, la lista te puede ayudar con ideas, pero no esta obligada a solucionar tu caso particular, no sé si habrás leído sobre soporte comunitario, en fin creo que ya te han dado suficientes argumentos para que tu puedas solucionar tu caso. limitese a ayudar, de nada me sirve una critica sin soluciones, me deja en las mismas :S ! La lista es para dar ideas MAS NO ESTA OBLIGADA A SOLUCIONAR TU CASO Cuando mencione sobre mis tarjetas de red, lo comente porque la configuración que tienen considero está bien: *shell# /etc/sysconfig/network-scripts/ifcfg-eth0 * DEVICE=eth0 BOOTPROTO=static ONBOOT=yes IPADDR=192.168.1.1 NETMASK=255.255.255.0 NETWORK=192.168.1.0 GATEWAY=192.168.1.254 TYPE=Ethernet HWADDR=00:11:22:33:44:55 DNS1=8.8.8.8 DNS2=10.0.1.1 *shell# /etc/sysconfig/network-scripts/ifcfg-eth1* DEVICE=eth1 BOOTPROTO=static ONBOOT=yes IPADDR=10.0.1.1 NETMASK=255.255.255.0 NETWORK=10.0.1.0 TYPE=Ethernet HWADDR=aa:bb:cc:dd:ee:ff DNS1=8.8.8.8 DNS2=10.0.1.1 Saludos ! http://es.wikipedia.org/wiki/Direcci%C3%B3n_IP También podría servirte esto: https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html Es
Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !
Partamos por el principio, tu linux hace ping a google? si tu linux no hace ping tu lan nunca saldra al mundo. El 23 de septiembre de 2013 05:00, Rodolfo Vargasedgarr...@gmail.comescribió: El 22/09/13, angel jauregui darkdiabl...@gmail.com escribió: Buen día. Rodolfo si usted se considera tan conocedor creo que debería plantear una solución u opción, no solo una critica de esta mal o esta bien, de nada sirve que me digan que esta mal (si por algo no funciona). La lista es para dar ideas, no siempre está obligada a resolver alguna situación, no puedes obligar a la lista a que solucionen tu caso. Tmabién te aclaro que no me considero conocer, ese adjetivo tú me lo estas diciendo, simplemente yo LEO, ME DOCUMENTO antes de hacer alguna cosa, tienes los documentos de redhat linux en pdf, tienes a uno de los mejores portales que da soporte a CnetOS (alcanelibre.org), que yo sepa simplemente te recomendé que leas más porque tus preguntas son reiterativas y la repuesta está en los mensajes que te han dado, NO ESTAS SALIENDO A OTRAS REDES NO ESTA HACIENDO NAT Sobre el ping interno escribí claramente que tengo *todos los servicios en la LAN (locales)*, vaya FTP, HTTP, SSH... todos !.. Vaya, *SI PUEDO HACER PING* a la red LAN (osease a las IPs de los equipos de la red), solo no logro llegar al segmento distinto al que estoy (10.0.1.0/24), no puedo hacer ping al Router (192.168.1.254), por logica NO salgo a internet... La Claro pues mi amigo, LA PUERTA DE ENLACE del router no te esta respondiendo, no estas en red con ese segmento y se debe a que no esta haciendo traducción de direcciones, puede ser a varios factores: 1.- no estas usando los parámentros de red correctos, esa máscara de la clase A esta equivocada. 2.- puede ser que no haya conexión hacia el router, no estaría de más verificar. 3.- las reglas iptables no estan correctamente puestas. Para hacer NAT necesitas iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE y también echo 1 /proc/sys/net/ipv4/ip_forward Arriba pongo -o y no he añadido -s, pongo así para que traduzca entre todas las interfaces que tenga, si tienes solo dos es obvio que solo traducirá de esa. solo eso es necesario, por eso te había recomendado borrar todas las reglas que tienes por el momento y solo escribir lo de arriba si todo esta correcto debería funcionar. unica forma que funciono fue porque *no desconectaron* un cable de red que va del router al switch, que se supone no debe estar ya que la idea es que Lo más lógico es pensar que si salía es que estaba en red con ese router y usaba puerta de enlace de dicho router y asi podían estar con internet. el router *solamente este conectado* a la eth0 del server, y la eth1 al switch. Si quiero navegar, tengo que poner un cable del router al switch. Reitero: Lo más lógico es pensar que si salía es que estaba en red con ese router y usaba puerta de enlace de dicho router y así podían estar con internet. Respecto a mis reglas, siempre que hago cambios *es obvio que limpio y vuelvo a cargar*. Algo anda mal En mi segmento de IPs en la eth1 uso 10.0.1.0/24 con mascara 255.255.255.0, ya que solo me importa asignar de: 10.0.1.2 a 10.0.1.254 Ya que 10.0.1.1 es el server y 10.0.1.255 el broadcast Amigo LA MASCARA DE LA CLASE A es la que te dijeron antes y te lo pusieron en binario, ni idea tenías y tampoco te has preocupado en averiguar creo, yo te dije por qué estas usando esa mascara, te dije lee sobre ips privadas clase A, B, C, creo que eso te molesta, quieres que todo te lo den mascado, quieres que te solucionen a tus preguntas, y estas esperanzado solo en la lista, deberías intentar por otros medios con las recomendaciones que te han dado, tienes mucha documentación en internet. Ayudar significa plantear una solución, no solo criticar ! Por favor NO seas exigente con la lista, la lista no es soporte técnico a medida, no pagas por ello a nadie de la lsita, la lista te puede ayudar con ideas, pero no esta obligada a solucionar tu caso particular, no sé si habrás leído sobre soporte comunitario, en fin creo que ya te han dado suficientes argumentos para que tu puedas solucionar tu caso. limitese a ayudar, de nada me sirve una critica sin soluciones, me deja en las mismas :S ! La lista es para dar ideas MAS NO ESTA OBLIGADA A SOLUCIONAR TU CASO Cuando mencione sobre mis tarjetas de red, lo comente porque la configuración que tienen considero está bien: *shell# /etc/sysconfig/network-scripts/ifcfg-eth0 * DEVICE=eth0 BOOTPROTO=static ONBOOT=yes IPADDR=192.168.1.1 NETMASK=255.255.255.0 NETWORK=192.168.1.0 GATEWAY=192.168.1.254 TYPE=Ethernet HWADDR=00:11:22:33:44:55 DNS1=8.8.8.8 DNS2=10.0.1.1 *shell# /etc/sysconfig/network-scripts/ifcfg-eth1* DEVICE=eth1 BOOTPROTO=static ONBOOT=yes IPADDR=10.0.1.1 NETMASK=255.255.255.0 NETWORK=10.0.1.0 TYPE=Ethernet
Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !
Yo veo que esto es una discusión absurda. Angel la cuestión es muy sencilla: 1- Tu server hace ping a internet? SI 2- Tu red deberá poder navegar por medio del SQUID 3- Tu red, NUNCA podrá hacer PING a internet, porque no estas USANDO NAT para adentro. Porque entonces que sentido tendría el SQUID? 4- Tu server no hace PING a internet 5- Entonces tu Iptables esta muy duro o existe otra causa de configuración que impide que tu server vea internet TIPS para montar servidores de red 1- Configurar servicios primarios a- DNS b- DHCP c- MAIL d- SQUID e- APACHE 2- Comprobar que dichos servicios funcionan para toda la red 3- Proteger mi server y la red a- Parando servicios no necesarios (NTP y CUPS por ejemplo) b- Ir armando mi Firewall y por cada regla comprobar que el punto 2 se cumpla. 4- Mi server esta listo para producción, prueba de producción durante un tiempo y si la cumple, BINGO!!! Por demás meterse en discusiones salomónicas no resuelve nada. Saludos, David El 23 de septiembre de 2013 08:07, Pablo Alberto Flores pabfl...@uchile.clescribió: Partamos por el principio, tu linux hace ping a google? si tu linux no hace ping tu lan nunca saldra al mundo. El 23 de septiembre de 2013 05:00, Rodolfo Vargasedgarr...@gmail.com escribió: El 22/09/13, angel jauregui darkdiabl...@gmail.com escribió: Buen día. Rodolfo si usted se considera tan conocedor creo que debería plantear una solución u opción, no solo una critica de esta mal o esta bien, de nada sirve que me digan que esta mal (si por algo no funciona). La lista es para dar ideas, no siempre está obligada a resolver alguna situación, no puedes obligar a la lista a que solucionen tu caso. Tmabién te aclaro que no me considero conocer, ese adjetivo tú me lo estas diciendo, simplemente yo LEO, ME DOCUMENTO antes de hacer alguna cosa, tienes los documentos de redhat linux en pdf, tienes a uno de los mejores portales que da soporte a CnetOS (alcanelibre.org), que yo sepa simplemente te recomendé que leas más porque tus preguntas son reiterativas y la repuesta está en los mensajes que te han dado, NO ESTAS SALIENDO A OTRAS REDES NO ESTA HACIENDO NAT Sobre el ping interno escribí claramente que tengo *todos los servicios en la LAN (locales)*, vaya FTP, HTTP, SSH... todos !.. Vaya, *SI PUEDO HACER PING* a la red LAN (osease a las IPs de los equipos de la red), solo no logro llegar al segmento distinto al que estoy (10.0.1.0/24), no puedo hacer ping al Router (192.168.1.254), por logica NO salgo a internet... La Claro pues mi amigo, LA PUERTA DE ENLACE del router no te esta respondiendo, no estas en red con ese segmento y se debe a que no esta haciendo traducción de direcciones, puede ser a varios factores: 1.- no estas usando los parámentros de red correctos, esa máscara de la clase A esta equivocada. 2.- puede ser que no haya conexión hacia el router, no estaría de más verificar. 3.- las reglas iptables no estan correctamente puestas. Para hacer NAT necesitas iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE y también echo 1 /proc/sys/net/ipv4/ip_forward Arriba pongo -o y no he añadido -s, pongo así para que traduzca entre todas las interfaces que tenga, si tienes solo dos es obvio que solo traducirá de esa. solo eso es necesario, por eso te había recomendado borrar todas las reglas que tienes por el momento y solo escribir lo de arriba si todo esta correcto debería funcionar. unica forma que funciono fue porque *no desconectaron* un cable de red que va del router al switch, que se supone no debe estar ya que la idea es que Lo más lógico es pensar que si salía es que estaba en red con ese router y usaba puerta de enlace de dicho router y asi podían estar con internet. el router *solamente este conectado* a la eth0 del server, y la eth1 al switch. Si quiero navegar, tengo que poner un cable del router al switch. Reitero: Lo más lógico es pensar que si salía es que estaba en red con ese router y usaba puerta de enlace de dicho router y así podían estar con internet. Respecto a mis reglas, siempre que hago cambios *es obvio que limpio y vuelvo a cargar*. Algo anda mal En mi segmento de IPs en la eth1 uso 10.0.1.0/24 con mascara 255.255.255.0, ya que solo me importa asignar de: 10.0.1.2 a 10.0.1.254 Ya que 10.0.1.1 es el server y 10.0.1.255 el broadcast Amigo LA MASCARA DE LA CLASE A es la que te dijeron antes y te lo pusieron en binario, ni idea tenías y tampoco te has preocupado en averiguar creo, yo te dije por qué estas usando esa mascara, te dije lee sobre ips privadas clase A, B, C, creo que eso te molesta, quieres que todo te lo den mascado, quieres que te solucionen a tus preguntas, y estas esperanzado solo en la lista, deberías intentar por otros medios con las recomendaciones que te han dado, tienes mucha documentación en internet.
Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !
Gracias MIGUEL por tu atenta respuesta, te comento: Servidor: eth0 -- 192.168.1.1 conectada al router (ip: 192.168.1.254) eth1 -- 10.0.1.1 conectada al switch (red LAN). En el servidor tengo DNSMASQ y asigno como gateway la IP de la eth1 del server (10.0.1.1). Saludos ! El 23 de septiembre de 2013 02:48, Miguel González miguel_3_gonza...@yahoo.es escribió: Sobre el ping interno escribí claramente que tengo *todos los servicios en la LAN (locales)*, vaya FTP, HTTP, SSH... todos !.. Vaya, *SI PUEDO HACER PING* a la red LAN (osease a las IPs de los equipos de la red), solo no logro llegar al segmento distinto al que estoy (10.0.1.0/24), no puedo hacer ping al Router (192.168.1.254), por logica NO salgo a internet... Hola: Estaría bien tener un pequeño esquema de texto de los equipos que tiene en su red. Yo al menos con el intercambio de emails no comprendo todavía que quiere hacer exactamente. Si no he entendido mal su red LAN tiene un rango 10.0.1.x no? Luego tiene un servidor linux ¿? que tiene una interfaz en esa subred de la LAN y otra en otra subred 192.168.1.x ? Y luego en esa subred esta el router? Algo asi como: Clientes LAN (10.0.1.x) (10.0.1.1) Servidor iptables (192.168.1.1) |- (192.168.1.?) Router --- Internet Primeramente estaría bien saber cual es el gateway que tiene configurado en los clientes de la LAN. Perdone si algunos de estos detalles ya los ha dado, pero no tengo el resto de emails. Saludos Miguel ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- M.S.I. Angel Haniel Cantu Jauregui. Celular: (011-52-1)-899-871-17-22 E-Mail: angel.ca...@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !
On 9/23/2013 4:19 PM, angel jauregui wrote: Gracias MIGUEL por tu atenta respuesta, te comento: Servidor: eth0 -- 192.168.1.1 conectada al router (ip: 192.168.1.254) eth1 -- 10.0.1.1 conectada al switch (red LAN). En el servidor tengo DNSMASQ y asigno como gateway la IP de la eth1 del server (10.0.1.1). Vale, vamos avanzando. Has probado como te han dicho a hacer ping desde el servidor a internet directamente? Saludos Miguel ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !
Creo que bajo tu esquema, deseeas usar tu servidor (maq con dos interfaces de red y en distinta red) con la funcion de ruteador. A reserva de si es conveniente o no, en ese caso sería mejor que pusieras tu modem-router en modo puente, conectado a una de las interfases. De esa forma solo lidiaras solo don dos redes y no con tres. La direccion ip que te asigna el proveedor quedará en una de las tarjetas y en la otra tu la red de tus equipos r.lara ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !
Yo no soy partidario de este esquema que propones de poner el Modem-Router directo al servidor. Porque entonces el conceto DMZ queda obsoleto ahi. Esta bien su esquema de red. Lo que yo me cuestiono es si realmente el necesito que los clientes de la red 10.0.1.0/24 puedan pingear a internet. Y no me queda claro si el servidor en SI ve internet mismo... Saludos, David El 23 de septiembre de 2013 15:56, RENE LARA ALVARADO siste...@trimaso.com.mx escribió: Creo que bajo tu esquema, deseeas usar tu servidor (maq con dos interfaces de red y en distinta red) con la funcion de ruteador. A reserva de si es conveniente o no, en ese caso sería mejor que pusieras tu modem-router en modo puente, conectado a una de las interfases. De esa forma solo lidiaras solo don dos redes y no con tres. La direccion ip que te asigna el proveedor quedará en una de las tarjetas y en la otra tu la red de tus equipos r.lara ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !
Angel: Entiendo que en tu servidor tienes 2 tarjetas lo que involcran dos redes 192.168.1.0/24 IPADDR=192.168.1.1 NETMASK=255.255.255.0 NETWORK=192.168.1.0 GATEWAY=192.168.1.254 y 10.0.1.0/24 IPADDR=10.0.1.1 NETMASK=255.255.255.0 NETWORK=10.0.1.0 A reserva de que eso de IPADDR=10.0.1.1 NETMASK=255.255.255.0 se me hace adecuado por todo loescrito antes, tampoco podria afirmar que sea la razon del problema Tus equipos son estan en la red 10.0.1.0/24 ¿es asi) ¿Qué les pones como gateway? Supongo que 10.0.1.1 Pero ¿Cómo pasas los dedatos de la red 10.0.1.0/24 a la red 192.168.1.0/24? Quiza nececites agrega una ruta con el comando route. Considera que traes no solo dos redes si no tres: la red de internet y las dos que mencionamos. Pasar de 192.168.1.0/24 a l red internte te lo hace tu router-modem lo lo que sea que te dio tu proveedor. Cuando mencione sobre mis tarjetas de red, lo comente porque la configuración que tienen considero está bien: *shell# /etc/sysconfig/network-scripts/ifcfg-eth0 * DEVICE=eth0 BOOTPROTO=static ONBOOT=yes IPADDR=192.168.1.1 NETMASK=255.255.255.0 NETWORK=192.168.1.0 GATEWAY=192.168.1.254 TYPE=Ethernet HWADDR=00:11:22:33:44:55 DNS1=8.8.8.8 DNS2=10.0.1.1 *shell# /etc/sysconfig/network-scripts/ifcfg-eth1* DEVICE=eth1 BOOTPROTO=static ONBOOT=yes IPADDR=10.0.1.1 NETMASK=255.255.255.0 NETWORK=10.0.1.0 TYPE=Ethernet HWADDR=aa:bb:cc:dd:ee:ff DNS1=8.8.8.8 DNS2=10.0.1.1 Saludos ! ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !
## RENE Mis equipos están en el segmento 10.0.1.0/24, se asignan IPs de 10.0.1.2 a 10.0.1.254 La red 192.168.1.0/24 es el rango de IPs que maneja el server para hacer su propia red, por lo cual no muevo dicha configuración alcabo solo existiran 2 IPs... 1- La ip del router: 192.168.1.254 2- La ip estatica del server: 192.168.1.1 (eth0). En el segmento 10.0.1.0/24 no tengo problemas para compartir información, consultar los servicios del server (apache, mysql, nfs. samba, etc...). El problema es al momento de intentar acceder a una web, los paquetes como que no llegan al router, creo que mi problema se centra mal en las reglas IPTABLES, algo estoy haciendo mal o algo me falta. ## DAVID pingera me imagino te refieres hacer ping a un dominio o ip... Y pues lo uso con la idea se saber si se esta existiendo funcionamiento, vaya, tambien uso: host google.com para ver si resuelve. Vaya, pruebas basicas para saber si mis paquetes circulan como deb (de la PC al server, del server al router, y viceversa). Fijate que * NO PUEDO llegar la router* desde el server, y vaya que esta conectado a la eth0. Mi configuración: *server# ifconfig -a * eth0 Link encap:Ethernet HWaddr 00:11:22:33:44:55 inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0 eth1 Link encap:Ethernet HWaddr 66:77:88:99:aa:bb inet addr:10.0.1.1 Bcast:10.0.1.255 Mask:255.255.255.0 *server# router* 10.0.1.0* 255.255.255.0 U 0 00 eth1 192.168.1.0 * 255.255.255.0 U 0 00 eth0 link-local * 255.255.0.0 U 1002 00 eth1 link-local * 255.255.0.0 U 1003 00 eth0 default home0.0.0.0 UG0 00 eth0 *server# ping 192.168.1.254* PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data. From 192.168.1.1 icmp_seq=3 Destination Host Unreachable Saludos ! El 23 de septiembre de 2013 14:03, David González Romero dgrved...@gmail.com escribió: Yo no soy partidario de este esquema que propones de poner el Modem-Router directo al servidor. Porque entonces el conceto DMZ queda obsoleto ahi. Esta bien su esquema de red. Lo que yo me cuestiono es si realmente el necesito que los clientes de la red 10.0.1.0/24 puedan pingear a internet. Y no me queda claro si el servidor en SI ve internet mismo... Saludos, David El 23 de septiembre de 2013 15:56, RENE LARA ALVARADO siste...@trimaso.com.mx escribió: Creo que bajo tu esquema, deseeas usar tu servidor (maq con dos interfaces de red y en distinta red) con la funcion de ruteador. A reserva de si es conveniente o no, en ese caso sería mejor que pusieras tu modem-router en modo puente, conectado a una de las interfases. De esa forma solo lidiaras solo don dos redes y no con tres. La direccion ip que te asigna el proveedor quedará en una de las tarjetas y en la otra tu la red de tus equipos r.lara ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- M.S.I. Angel Haniel Cantu Jauregui. Celular: (011-52-1)-899-871-17-22 E-Mail: angel.ca...@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !
Desde cualquier equipo conectado al switch puedo hacer ping a cualquier equipo de la red, tambien tengo todos los servicios que brinda el servidor: http, ftp, ssh, nfs, samba, etc El punto es que desde cualquier equipo de la red no puedo hacer ping a la IP del router 192.168.1.254 y mucho menos ping a paginas web :( Tambien intento resolver usando: host google.com y nada !... Saludos ! El 23 de septiembre de 2013 09:45, Miguel González miguel_3_gonza...@yahoo.es escribió: On 9/23/2013 4:19 PM, angel jauregui wrote: Gracias MIGUEL por tu atenta respuesta, te comento: Servidor: eth0 -- 192.168.1.1 conectada al router (ip: 192.168.1.254) eth1 -- 10.0.1.1 conectada al switch (red LAN). En el servidor tengo DNSMASQ y asigno como gateway la IP de la eth1 del server (10.0.1.1). Vale, vamos avanzando. Has probado como te han dicho a hacer ping desde el servidor a internet directamente? Saludos Miguel ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- M.S.I. Angel Haniel Cantu Jauregui. Celular: (011-52-1)-899-871-17-22 E-Mail: angel.ca...@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !
Acabo de cambiar el cable de red que va del router a la eth0 del server y ahora puedo hacer ping desde el server hacia la IP del router y cualquier web. Voy a probar en los demas equipos de la red. Saludos ! El 23 de septiembre de 2013 15:18, angel jauregui darkdiabl...@gmail.comescribió: ## RENE Mis equipos están en el segmento 10.0.1.0/24, se asignan IPs de 10.0.1.2 a 10.0.1.254 La red 192.168.1.0/24 es el rango de IPs que maneja el server para hacer su propia red, por lo cual no muevo dicha configuración alcabo solo existiran 2 IPs... 1- La ip del router: 192.168.1.254 2- La ip estatica del server: 192.168.1.1 (eth0). En el segmento 10.0.1.0/24 no tengo problemas para compartir información, consultar los servicios del server (apache, mysql, nfs. samba, etc...). El problema es al momento de intentar acceder a una web, los paquetes como que no llegan al router, creo que mi problema se centra mal en las reglas IPTABLES, algo estoy haciendo mal o algo me falta. ## DAVID pingera me imagino te refieres hacer ping a un dominio o ip... Y pues lo uso con la idea se saber si se esta existiendo funcionamiento, vaya, tambien uso: host google.com para ver si resuelve. Vaya, pruebas basicas para saber si mis paquetes circulan como deb (de la PC al server, del server al router, y viceversa). Fijate que * NO PUEDO llegar la router* desde el server, y vaya que esta conectado a la eth0. Mi configuración: *server# ifconfig -a * eth0 Link encap:Ethernet HWaddr 00:11:22:33:44:55 inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0 eth1 Link encap:Ethernet HWaddr 66:77:88:99:aa:bb inet addr:10.0.1.1 Bcast:10.0.1.255 Mask:255.255.255.0 *server# router* 10.0.1.0* 255.255.255.0 U 0 00 eth1 192.168.1.0 * 255.255.255.0 U 0 00 eth0 link-local * 255.255.0.0 U 1002 00 eth1 link-local * 255.255.0.0 U 1003 00 eth0 default home0.0.0.0 UG0 00 eth0 *server# ping 192.168.1.254* PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data. From 192.168.1.1 icmp_seq=3 Destination Host Unreachable Saludos ! El 23 de septiembre de 2013 14:03, David González Romero dgrved...@gmail.com escribió: Yo no soy partidario de este esquema que propones de poner el Modem-Router directo al servidor. Porque entonces el conceto DMZ queda obsoleto ahi. Esta bien su esquema de red. Lo que yo me cuestiono es si realmente el necesito que los clientes de la red 10.0.1.0/24 puedan pingear a internet. Y no me queda claro si el servidor en SI ve internet mismo... Saludos, David El 23 de septiembre de 2013 15:56, RENE LARA ALVARADO siste...@trimaso.com.mx escribió: Creo que bajo tu esquema, deseeas usar tu servidor (maq con dos interfaces de red y en distinta red) con la funcion de ruteador. A reserva de si es conveniente o no, en ese caso sería mejor que pusieras tu modem-router en modo puente, conectado a una de las interfases. De esa forma solo lidiaras solo don dos redes y no con tres. La direccion ip que te asigna el proveedor quedará en una de las tarjetas y en la otra tu la red de tus equipos r.lara ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- M.S.I. Angel Haniel Cantu Jauregui. Celular: (011-52-1)-899-871-17-22 E-Mail: angel.ca...@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. -- M.S.I. Angel Haniel Cantu Jauregui. Celular: (011-52-1)-899-871-17-22 E-Mail: angel.ca...@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !
que maravilla :D era el maldito cable... en serio que voy a enmarcar ese cable de red y le ponde el maldito cable que me hizo bullying de red. Ya hice pruebas en los equipos de red y ya logro hacer ping a la IP del router 192.168.1.254 y a cualquier pagina. Ahora solo me gustaria aclarar algunos comentarios que me hicieron en un foro sobre mis reglas IPTABLES en la parte de #enmascaramientos, ustedes que opinan ??: iptables -F iptables -X iptables -Z iptables -t nat -F # politicas por defecto iptables -P INPUT ACCEPT# denegamos entradas iptables -P OUTPUT ACCEPT # aceptamos salidas iptables -P FORWARD ACCEPT # denegamos reenvios iptables -t nat -P PREROUTING ACCEPT# aceptamos nat hacia fuera iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat hacia dentro echo 1 /proc/sys/net/ipv4/ip_forward # habilitamos BIT de reenvios iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT # ftp y ssh iptables -A INPUT -p tcp --dport 80 -j ACCEPT # http iptables -A INPUT -p tcp --dport 443 -j ACCEPT # https iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT # dns - dhcp iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT # portmapper/rpcbind iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT # samba iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT # samba iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT # squid iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT # squid cache iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT # nfs iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT # asterisk iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT # webmind para LAN # forwardnig iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 20:22 -j ACCEPT # ftp y ssh iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT # dns - dhcp iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT # dns -dhcp (udp) iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 80 -j ACCEPT # http iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 443 -j ACCEPT # https iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT # portmapper/rpcbind iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT # samba iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT # samba iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT # squid iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT # squid cache iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT # nfs iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT # asterisk iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1 -j ACCEPT # webmind para LAN iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT # enmascaramiento iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT --to 192.168.1.1 # cambiamos la direccion source iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j MASQUERADE # enmascaramos iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.1:3128# con destino al 80 en eth1 lo cambiamos Como verán el firewall es estricto, si en la empresa no me confirman que abramos un servicio interno o para el exterior, no sale solo lo confirmado: - Para todos (de adentro y fuera [internet]): 80, 21 y 22. - Para lo demas va controlado solo la red interna -s. - Para los Forward (conexion afuera) va controlada por -s Saludos ! El 23 de septiembre de 2013 15:25, angel jauregui darkdiabl...@gmail.comescribió: Acabo de cambiar el cable de red que va del router a la eth0 del server y ahora puedo hacer ping desde el server hacia la IP del router y cualquier web. Voy a probar en los demas equipos de la red. Saludos ! El 23 de septiembre de 2013 15:18, angel jauregui darkdiabl...@gmail.comescribió: ## RENE Mis equipos están en el segmento 10.0.1.0/24, se asignan IPs de 10.0.1.2 a 10.0.1.254 La red 192.168.1.0/24 es el rango de IPs que maneja el server para hacer su
Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !
Estuve pensando poner las reglas iniciales iptables -P INPUT ACCEPT por DROP, pero el detalle es que al momento de que el navegador de conecta a internet usa un puertos distinto al destino (80) por lo cual se queda pensando. Hice pruebas poninendo: iptables -P INPUT -j DROP iptables -P FORWARD -j DROP iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -p tcp --dport 80 -j ACCEPT Y se quedaba pensando el navegador, jamas mosotro la pagina Saludos ! El 23 de septiembre de 2013 16:11, angel jauregui darkdiabl...@gmail.comescribió: que maravilla :D era el maldito cable... en serio que voy a enmarcar ese cable de red y le ponde el maldito cable que me hizo bullying de red. Ya hice pruebas en los equipos de red y ya logro hacer ping a la IP del router 192.168.1.254 y a cualquier pagina. Ahora solo me gustaria aclarar algunos comentarios que me hicieron en un foro sobre mis reglas IPTABLES en la parte de #enmascaramientos, ustedes que opinan ??: iptables -F iptables -X iptables -Z iptables -t nat -F # politicas por defecto iptables -P INPUT ACCEPT# denegamos entradas iptables -P OUTPUT ACCEPT # aceptamos salidas iptables -P FORWARD ACCEPT # denegamos reenvios iptables -t nat -P PREROUTING ACCEPT# aceptamos nat hacia fuera iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat hacia dentro echo 1 /proc/sys/net/ipv4/ip_forward # habilitamos BIT de reenvios iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT # ftp y ssh iptables -A INPUT -p tcp --dport 80 -j ACCEPT # http iptables -A INPUT -p tcp --dport 443 -j ACCEPT # https iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT # dns - dhcp iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT # portmapper/rpcbind iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT # samba iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT # samba iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT # squid iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT # squid cache iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT # nfs iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT # asterisk iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT # webmind para LAN # forwardnig iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 20:22 -j ACCEPT # ftp y ssh iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT # dns - dhcp iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT # dns -dhcp (udp) iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 80 -j ACCEPT # http iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 443 -j ACCEPT # https iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT # portmapper/rpcbind iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT # samba iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT # samba iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT # squid iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT # squid cache iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT # nfs iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT # asterisk iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1 -j ACCEPT # webmind para LAN iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT # enmascaramiento iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT --to 192.168.1.1 # cambiamos la direccion source iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j MASQUERADE # enmascaramos iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.1:3128# con destino al 80 en eth1 lo cambiamos Como verán el firewall es estricto, si en la empresa no me confirman que abramos un servicio interno o para el exterior, no sale solo lo confirmado: - Para todos (de adentro y fuera [internet]): 80, 21 y 22. -
Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !
no tuve tiempo de revisar tus reglas de iptables, por lo general son dos una de salida y la otra de vuelta o entrada (regreso), como quieran llamar verificaste esa regla?? Atte Jose Manuel GPG Key ID: UBCMEOLVQMHEILINJBE De: angel jauregui darkdiabl...@gmail.com Para: centos-es@centos.org centos-es@centos.org Enviado: Lunes 23 de septiembre de 2013 10:58 Asunto: Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion ! Desde cualquier equipo conectado al switch puedo hacer ping a cualquier equipo de la red, tambien tengo todos los servicios que brinda el servidor: http, ftp, ssh, nfs, samba, etc El punto es que desde cualquier equipo de la red no puedo hacer ping a la IP del router 192.168.1.254 y mucho menos ping a paginas web :( Tambien intento resolver usando: host google.com y nada !... Saludos ! El 23 de septiembre de 2013 09:45, Miguel González miguel_3_gonza...@yahoo.es escribió: On 9/23/2013 4:19 PM, angel jauregui wrote: Gracias MIGUEL por tu atenta respuesta, te comento: Servidor: eth0 -- 192.168.1.1 conectada al router (ip: 192.168.1.254) eth1 -- 10.0.1.1 conectada al switch (red LAN). En el servidor tengo DNSMASQ y asigno como gateway la IP de la eth1 del server (10.0.1.1). Vale, vamos avanzando. Has probado como te han dicho a hacer ping desde el servidor a internet directamente? Saludos Miguel ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- M.S.I. Angel Haniel Cantu Jauregui. Celular: (011-52-1)-899-871-17-22 E-Mail: angel.ca...@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !
El 21/09/13, angel jauregui darkdiabl...@gmail.com escribió: Buenas... Hace dias habia expuesto un problema de configruacion de mis tarjetas de red el cual quedo solucionado, pero sin darme cuenta existia un cable de Quedó solucionado?¿ red conectado del router al switch, y cuando me percate lo desconecte ya que se supone que la configuracion del server es: NO debería haber problema eth0 -- ip:192.168.1.1 conectada al router (192.168.1.254). eth1 -- ip:10.0.1.1 conectada al switch (red lan). Servicios del server: - HTTP abierto para todos (LAN e Internet). - FTP abierto para todos (LAN e Internet). - SSH abierto para todos (LAN e Internet). - Los demas son para la LAN. Y la idea es: - El segmento de red asignado es: 10.0.1.0/24, y se esta cumpliendo !. Le hemos dicho POR QUÉ usted usa 10.0.1.0/24? que clase de ip estas usando? ES CLASE A y su máscara es 255.0.0.0, máscara 255.255.255.0 es para clase C, o esta subneteado? no respondió tampoco. - Los clientes tiene como Gateway la ip del server (10.0.1.1), se cumple !. - La navegacion web se redirige al puerto del Squid, se cumple !. - Los demas puertos a consultar se hacen FW, creo que se cumple !. - Se supone que lo que entra por eth1 (lan) de sacarse por eth0 por la puerta gateway (ip del router). Problemas y Virtudes: - No logro hacer ping a ninguna pagina, ni a la IP del router. Jajajaj, señor usted en pruimer lugar debe usar ips, luego recién verificar si resuelve nombres, bueno eso yo hago :), dijo que resolvió el problema de red antes, al parecer no solucionó dicho detalle, primero debe asignar BIEN los parámetros de red, luego verificar, la forma más común es usando ping, LIMPIANDO PRIMERO REGLAS si las hay, hacer ping entre todas las interfaces por decir, tanto en la red lan y fuera, si todo va bien recien aplicar reglas en firewall (es un consejo que le doy) - Si puedo hacer ping a los equipos locales. Pero verifique por qué usa la máscara que no le corresponde a esa clase A de ip - Si obtengo todos los servicios de red local (dhcp, asterisk, ftp, http, mysql). - Si funciona la redireccion del 80 al puerto squid, ya que si escribo una palabra restringida, sale la pagina de aviso de Squid. Mis reglas iptables son: iptables -F iptables -X iptables -Z iptables -t nat -F # politicas por defecto iptables -P INPUT ACCEPT# aceptamos entradas iptables -P OUTPUT ACCEPT # aceptamos salidas iptables -P FORWARD ACCEPT # aceptamos reenvios iptables -t nat -P PREROUTING ACCEPT# aceptamos nat hacia fuera iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat hacia dentro echo 1 /proc/sys/net/ipv4/ip_forward # habilitamos BIT de reenvios iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT # ftp y ssh iptables -A INPUT -p tcp --dport 80 -j ACCEPT # http iptables -A INPUT -p tcp --dport 443 -j ACCEPT # https iptables -A INPUT -p tcp --dport 53 -j ACCEPT # dns - dhcp iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT # portmapper/rpcbind iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT # samba iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT # samba iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT # squid iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT # squid cache iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT # nfs iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT # asterisk iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT # webmind para LAN # forwardnig iptables -A FORWARD -p tcp --dport 20:22 -j ACCEPT # ftp y ssh iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT # dns - dhcp iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT # dns -dhcp (udp) iptables -A FORWARD -p tcp --dport 80 -j ACCEPT # http iptables -A FORWARD -p tcp --dport 443 -j ACCEPT # https iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT # portmapper/rpcbind iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT # samba iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT # samba iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT # squid iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
Re: [CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !
Buen día. Rodolfo si usted se considera tan conocedor creo que debería plantear una solución u opción, no solo una critica de esta mal o esta bien, de nada sirve que me digan que esta mal (si por algo no funciona). Sobre el ping interno escribí claramente que tengo *todos los servicios en la LAN (locales)*, vaya FTP, HTTP, SSH... todos !.. Vaya, *SI PUEDO HACER PING* a la red LAN (osease a las IPs de los equipos de la red), solo no logro llegar al segmento distinto al que estoy (10.0.1.0/24), no puedo hacer ping al Router (192.168.1.254), por logica NO salgo a internet... La unica forma que funciono fue porque *no desconectaron* un cable de red que va del router al switch, que se supone no debe estar ya que la idea es que el router *solamente este conectado* a la eth0 del server, y la eth1 al switch. Si quiero navegar, tengo que poner un cable del router al switch. Respecto a mis reglas, siempre que hago cambios *es obvio que limpio y vuelvo a cargar*. En mi segmento de IPs en la eth1 uso 10.0.1.0/24 con mascara 255.255.255.0, ya que solo me importa asignar de: 10.0.1.2 a 10.0.1.254 Ya que 10.0.1.1 es el server y 10.0.1.255 el broadcast Ayudar significa plantear una solución, no solo criticar ! Por favor limitese a ayudar, de nada me sirve una critica sin soluciones, me deja en las mismas :S ! Cuando mencione sobre mis tarjetas de red, lo comente porque la configuración que tienen considero está bien: *shell# /etc/sysconfig/network-scripts/ifcfg-eth0 * DEVICE=eth0 BOOTPROTO=static ONBOOT=yes IPADDR=192.168.1.1 NETMASK=255.255.255.0 NETWORK=192.168.1.0 GATEWAY=192.168.1.254 TYPE=Ethernet HWADDR=00:11:22:33:44:55 DNS1=8.8.8.8 DNS2=10.0.1.1 *shell# /etc/sysconfig/network-scripts/ifcfg-eth1* DEVICE=eth1 BOOTPROTO=static ONBOOT=yes IPADDR=10.0.1.1 NETMASK=255.255.255.0 NETWORK=10.0.1.0 TYPE=Ethernet HWADDR=aa:bb:cc:dd:ee:ff DNS1=8.8.8.8 DNS2=10.0.1.1 Saludos ! El 22 de septiembre de 2013 03:23, Rodolfo Vargas edgarr...@gmail.comescribió: El 21/09/13, angel jauregui darkdiabl...@gmail.com escribió: Buenas... Hace dias habia expuesto un problema de configruacion de mis tarjetas de red el cual quedo solucionado, pero sin darme cuenta existia un cable de Quedó solucionado?¿ red conectado del router al switch, y cuando me percate lo desconecte ya que se supone que la configuracion del server es: NO debería haber problema eth0 -- ip:192.168.1.1 conectada al router (192.168.1.254). eth1 -- ip:10.0.1.1 conectada al switch (red lan). Servicios del server: - HTTP abierto para todos (LAN e Internet). - FTP abierto para todos (LAN e Internet). - SSH abierto para todos (LAN e Internet). - Los demas son para la LAN. Y la idea es: - El segmento de red asignado es: 10.0.1.0/24, y se esta cumpliendo !. Le hemos dicho POR QUÉ usted usa 10.0.1.0/24? que clase de ip estas usando? ES CLASE A y su máscara es 255.0.0.0, máscara 255.255.255.0 es para clase C, o esta subneteado? no respondió tampoco. - Los clientes tiene como Gateway la ip del server (10.0.1.1), se cumple !. - La navegacion web se redirige al puerto del Squid, se cumple !. - Los demas puertos a consultar se hacen FW, creo que se cumple !. - Se supone que lo que entra por eth1 (lan) de sacarse por eth0 por la puerta gateway (ip del router). Problemas y Virtudes: - No logro hacer ping a ninguna pagina, ni a la IP del router. Jajajaj, señor usted en pruimer lugar debe usar ips, luego recién verificar si resuelve nombres, bueno eso yo hago :), dijo que resolvió el problema de red antes, al parecer no solucionó dicho detalle, primero debe asignar BIEN los parámetros de red, luego verificar, la forma más común es usando ping, LIMPIANDO PRIMERO REGLAS si las hay, hacer ping entre todas las interfaces por decir, tanto en la red lan y fuera, si todo va bien recien aplicar reglas en firewall (es un consejo que le doy) - Si puedo hacer ping a los equipos locales. Pero verifique por qué usa la máscara que no le corresponde a esa clase A de ip - Si obtengo todos los servicios de red local (dhcp, asterisk, ftp, http, mysql). - Si funciona la redireccion del 80 al puerto squid, ya que si escribo una palabra restringida, sale la pagina de aviso de Squid. Mis reglas iptables son: iptables -F iptables -X iptables -Z iptables -t nat -F # politicas por defecto iptables -P INPUT ACCEPT# aceptamos entradas iptables -P OUTPUT ACCEPT # aceptamos salidas iptables -P FORWARD ACCEPT # aceptamos reenvios iptables -t nat -P PREROUTING ACCEPT# aceptamos nat hacia fuera iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat hacia dentro echo 1 /proc/sys/net/ipv4/ip_forward # habilitamos BIT de reenvios iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo iptables -A INPUT -p tcp --dport 20:22
