Re: Subredes, proxy y otras yerbas
No hagas top posting porque se vuelve difícil seguir el tema... No abras otro hilo para el mismo tema... pego acá >El día 30 de diciembre de 2014, 21:24, Santiago Liz >escribió: >> El día 30 de diciembre de 2014, 17:23, Fernando Miculan >> escribió: >>> Hola, como están?. >>> Me presento, me llamo Fernando, vivo en La Plata, Argentina y hace unos >>> cuantos años que utilizo Linux, en especial Debian y Ubuntu. >>> >>> Se me presento un caso en mi trabajo. Tenemos un squid linkeado a un active >>> directory de Win(fucker) 2008 en la red 192.168.0.0, ademas de haber >>> implementado un firewall con iptables. Todo realizado en un Debian 7. >>> Hasta ahí no hay inconvenientes, los usuarios navegan perfectamente según >>> los grupos asignados en el active directory. >>> El problema se presento justamente hoy, al querer ampliar la red a otra >>> subred (192.168.30.0, que dicho sea de paso se implemento en forma de vlan >>> en un router mikrotik.) >>> La cuestión es, que después de haber agregado la ruta en una de las >>> interfaces del debian para que vea la subred 30, estos navegan perfectamente >>> en internet, pero no la subred 0, todo lo que sea web no funciona, salvo el >>> correo electrónico y el skype. >>> Que es lo que puede estar pasando? >>> Con netstat -nr se ven las rutas asignadas perfectamente, por ese lado no >>> veo el problema... me estará faltando algún tipo de regla adicional en el >>> firewall ?? >>> Si les sirve les puedo postear el script del firewall. La política por >>> defecto es DROP y luego permito algunos puertos y mac address para que >>> bypaseen el proxy. >>> >> >> Falta algo de info, pero adivinando diría que algún cambio afectó la >> configuración de squid donde se daba permiso a la red >> 192.168.0.0/(24?) para utilizar el mismo al habilitar la >> 192.168.30.0(/24?) o lo mismo en iptables donde se permite acceder a >> la IP:Puerto donde escucha squid. >> Al decir que anda el correo y skype descarto problemas de ruteo/nat. >> Cuando desis que no navegan, cual es el error? un error de squid >> diciendo que no tienen permiso o que no los clientes nos se pueden >> conectar al proxy? >> >> > > Los que no navegan son los equipos de la subred 0 que esquivan el proxy > squid a través de una regla iptables por mac address. Si esos equipos los > apunto al squid desde el navegador, funcionan bien. > Lo extraño es que esa regla funciono de maravillas antes de hacer la subred > 30. > > Aqui posteo lo que me tira un netstat -nr > > Destination Gateway Genmask Flags MSS Window irtt Iface > 0.0.0.0 192.168.0.216 0.0.0.0 UG0 0 0 eth1 > 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 > 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 > 192.168.30.0192.168.0.1 255.255.255.0 UG0 0 0 eth0 > > Donde 192.168.0.216 es el gateway de la subred 0 y 192.168.0.1 es lo mismo > para la subred 30 El equipo tiene dos interfaces (eth0 y eth1) con IPs dentro de la misma red 192.168.0.0/24 ? 192.168.0.00.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.0.00.0.0.0 255.255.255.0 U 0 0 0 eth0 La IP 192.168.0.216 es el default que te conecta a Internet y hace el NAT? Eth0 y eth1 están conectadas al mismo segmento de red? Donde están conectados los equipos que no tienen acceso físicamente, a la eth0 o eth1? Con esos datos parecería ser que hay un problema independiente de la red 192.168.30.0/24 y es que (salvo que estés omitiendo datos) estás intentando que el equipo forwardee paquetes entre dos interfaces de la misma red, lo cual no tiene mucho sentido. Si un equipo cualquiera de las red 192.168.0.0/24 tiene como default la IP 192.168.0.216 debería andar sin intervención del proxy/firewall. Deberías aclarar como está implementada la red. > > > -- > Fernando Miculan.- > FCM Sistemas > Tel. 15-5435862 / ID: 160*6915 > ICQ: 6410724 / Skype: fcmsistemas > http://ferchobbs.ddns.net > BBS Telnet: ferchobbs.ddns.net:23 Saludos, Santiago.- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CAJ5eSfaC9sQcAXwhyA_�iRs_4GN5yq7R3TtxQcj_Ur+RU=d...@mail.gmail.com
[OT] Debian Lines theme para SLiM
Hice un thema para SLiM, un Desktop Manager muy liviano, me he basado en el thema Lines para Debian 8. Tenía días de querer subirlo a algún lado, así que no quería irme sin cerrar el año sin hacerlo. Lo subí a GitHub... de momento no he podido tomarle un screenshot =$. Pero lo pueden bajar de acá: https://github.com/EstebanMonge/slim-themes Saludos -- Esteban Monge Marín http://www.emonge.com e...@emonge.com mongejimene...@gmail.com estebanmo...@riseup.net Linux User: 478378 - Isaca COBIT - Cabinet Office ITIL Foundation - CompTIA A+ - Nagios Enterprises Certified Professional -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/d9c4c173e9d756072c45f0f7ae4a0...@riseup.net
Re: Subredes, proxy y otras yerbas
El Tue, 30 Dec 2014 17:23:22 -0300, Fernando Miculan escribió: > Hola, como están?. > Me presento, me llamo Fernando, vivo en La Plata, Argentina y hace unos > cuantos años que utilizo Linux, en especial Debian y Ubuntu. Buenas, acuérdate de desactivar el formato html al enviar los correos a la lista ;-) > Se me presento un caso en mi trabajo. Tenemos un squid linkeado a un > active directory de Win(fucker) 2008 en la red 192.168.0.0, ademas de > haber implementado un firewall con iptables. Todo realizado en un Debian > 7. Hasta ahí no hay inconvenientes, los usuarios navegan perfectamente > según los grupos asignados en el active directory. > El problema se presento justamente hoy, al querer ampliar la red a otra > subred (192.168.30.0, que dicho sea de paso se implemento en forma de > vlan en un router mikrotik.) > La cuestión es, que después de haber agregado la ruta en una de las > interfaces del debian para que vea la subred 30, estos navegan > perfectamente en internet, pero no la subred 0, todo lo que sea web no > funciona, salvo el correo electrónico y el skype. Es decir, en la subred 0 funciona todo lo que no pasa por el proxy. > Que es lo que puede estar pasando? Ni idea.. pero lo mejor es que desandes (mentalmente) los pasos que has dado al añadir la nueva subred que es cuando ha empezado a fallar la subred antigua. > Con netstat -nr se ven las rutas asignadas perfectamente, MAnda la salida del comando. > por ese lado no veo el problema... me estará faltando algún tipo de > regla adicional en el firewall ?? En principio el proxy y la vlan no deberían chocar porque son conceptos completamente diferentes. Yo me centraría en el enrutado y las reglas del cortafuegos. > Si les sirve les puedo postear el script del firewall. La política por > defecto es DROP y luego permito algunos puertos y mac address para que > bypaseen el proxy. Sí, mejor si subes a www.pastebin.com las reglas que tienes en iptables. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.12.31.14.28...@gmail.com
Re: Subredes, proxy y otras yerbas
Hola William, No, no lo he usado. Es mas no me suena haberlo usado nunca el NAT conjugado con FORWARD... Aqui posteo lo que me tira un netstat -nr Destination Gateway Genmask Flags MSS Window irtt Iface 0.0.0.0 192.168.0.216 0.0.0.0 UG0 0 0 eth1 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.30.0192.168.0.1 255.255.255.0 UG0 0 0 eth0 Donde 192.168.0.216 es el gateway de la subred 0 y 192.168.0.1 es lo mismo para la subred 30 Aqui les muestro un IPTABLES -L target prot opt source destination ACCEPT all -- localhostanywhere ACCEPT tcp -- 192.168.0.0/24 anywhere tcp dpt:3128 ACCEPT tcp -- 192.168.30.0/24 anywhere tcp dpt:3128 ACCEPT tcp -- anywhere anywhere tcp dpt:https ACCEPT tcp -- anywhere anywhere tcp dpt:webmin ACCEPT tcp -- fmiculan.friggorina.local anywhere tcp dpt:netbios-ssn ACCEPT tcp -- fmiculan.friggorina.local anywhere tcp dpt:microsoft-ds ACCEPT tcp -- anywhere anywhere tcp dpt:10200 ACCEPT tcp -- anywhere anywhere tcp dpt:5901 ACCEPT udp -- fglp05.friggorina.local anywhere udp dpt:snmp ACCEPT udp -- fglp05.friggorina.local anywhere udp dpt:snmp-trap ACCEPT udp -- fglp10.friggorina.local anywhere udp dpt:snmp ACCEPT udp -- fglp10.friggorina.local anywhere udp dpt:snmp-trap ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT icmp -- fglp05.friggorina.local anywhere ACCEPT tcp -- anywhere anywhere tcp dpt:domain ACCEPT udp -- anywhere anywhere udp dpt:domain Chain FORWARD (policy DROP) target prot opt source destination ACCEPT icmp -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp dpt: ACCEPT tcp -- anywhere anywhere tcp spt: ACCEPT tcp -- anywhere anywhere tcp dpt:2221 ACCEPT tcp -- anywhere anywhere tcp spt:2221 ACCEPT tcp -- anywhere anywhere tcp dpt:25000 ACCEPT tcp -- anywhere anywhere tcp spt:25000 ACCEPT tcp -- anywhere anywhere tcp dpt:5938 ACCEPT tcp -- anywhere anywhere tcp spt:5938 ACCEPT tcp -- anywhere anywhere tcp dpt:31193 ACCEPT tcp -- anywhere anywhere tcp spt:31193 ACCEPT tcp -- anywhere anywhere tcp dpt:1935 ACCEPT tcp -- anywhere anywhere tcp spt:1935 ACCEPT tcp -- anywhere anywhere tcp dpt:smtp ACCEPT tcp -- anywhere anywhere tcp spt:smtp ACCEPT tcp -- anywhere anywhere tcp dpt:pop3 ACCEPT tcp -- anywhere anywhere tcp spt:pop3 ACCEPT tcp -- anywhere anywhere tcp dpt:https ACCEPT tcp -- anywhere anywhere tcp spt:https ACCEPT tcp -- anywhere anywhere tcp dpt:netbios-ssn ACCEPT tcp -- anywhere anywhere tcp spt:netbios-ssn ACCEPT tcp -- anywhere anywhere tcp dpt:netbios-dgm ACCEPT tcp -- anywhere anywhere tcp spt:netbios-dgm ACCEPT tcp -- anywhere anywhere tcp dpt:netbios-ns ACCEPT tcp -- anywhere anywhere tcp spt:netbios-ns ACCEPT tcp -- anywhere anywhere tcp dpt:microsoft-ds ACCEPT tcp -- anywhere anywhere tcp spt:microsoft-ds ACCEPT tcp -- anywhere anywhere tcp dpt:http MAC 00:21:97:D4:9A:92 ACCEPT tcp -- anywhere anywhere tcp spt:http MAC 00:21:97:D4:9A:92 ACCEPT tcp -- anywhere anywhere tcp dpt:https MAC 00:21:97:D4:9A:92 ACCEPT tcp -- anywhere anywhere tcp spt:https MAC 00:21:97:D4:9A:92 ACCEPT tcp -- anywhere anywhere tcp dpt:1723 ACCEPT tcp -- anywhere anywhere tcp spt:1723 ACCEPT tcp -- anywhere anywhere tcp dpt:47 ACCEPT tcp -- anywhere anywhere tcp spt:47 ACCEPT tcp -- anywhere anywhere tcp dpt:3001 ACCEPT tcp -- anywhere anywhere tcp spt: