Re: Subredes, proxy y otras yerbas

2014-12-31 Por tema Santiago Liz 
No hagas top posting porque se vuelve difícil seguir el tema...
No abras otro hilo para el mismo tema... pego acá

>El día 30 de diciembre de 2014, 21:24, Santiago Liz  
>escribió:
>> El día 30 de diciembre de 2014, 17:23, Fernando Miculan
>>  escribió:
>>> Hola, como están?.
>>> Me presento, me llamo Fernando, vivo en La Plata, Argentina y hace unos
>>> cuantos años que utilizo Linux, en especial Debian y Ubuntu.
>>>
>>> Se me presento un caso en mi trabajo. Tenemos un squid linkeado a un active
>>> directory de Win(fucker) 2008 en la red 192.168.0.0, ademas de haber
>>> implementado un firewall con iptables. Todo realizado en un Debian 7.
>>> Hasta ahí no hay inconvenientes, los usuarios navegan perfectamente según
>>> los grupos asignados en el active directory.
>>> El problema se presento justamente hoy, al querer ampliar la red a otra
>>> subred (192.168.30.0, que dicho sea de paso se implemento en forma de vlan
>>> en un router mikrotik.)
>>> La cuestión es, que después de haber agregado la ruta en una de las
>>> interfaces del debian para que vea la subred 30, estos navegan perfectamente
>>> en internet, pero no la subred 0, todo lo que sea web no funciona, salvo el
>>> correo electrónico y el skype.
>>> Que es lo que puede estar pasando?
>>> Con netstat -nr se ven las rutas asignadas perfectamente, por ese lado no
>>> veo el problema... me estará faltando algún tipo de regla adicional en el
>>> firewall ??
>>> Si les sirve les puedo postear el script del firewall. La política por
>>> defecto es DROP y luego permito algunos puertos y mac address para que
>>> bypaseen el proxy.
>>>
>>
>> Falta algo de info, pero adivinando diría que algún cambio afectó la
>> configuración de squid donde se daba permiso a la red
>> 192.168.0.0/(24?) para utilizar el mismo al habilitar la
>> 192.168.30.0(/24?) o lo mismo en iptables donde se permite acceder a
>> la IP:Puerto donde escucha squid.
>> Al decir que anda el correo y skype descarto problemas de ruteo/nat.
>> Cuando desis que no navegan, cual es el error? un error de squid
>> diciendo que no tienen permiso o que no los clientes nos se pueden
>> conectar al proxy?
>>
>>
>
> Los que no navegan son los equipos de la subred 0 que esquivan el proxy
> squid a través de una regla iptables por mac address. Si esos equipos los
> apunto al squid desde el navegador, funcionan bien.
> Lo extraño es que esa regla funciono de maravillas antes de hacer la subred
> 30.
>

> Aqui posteo lo que me tira un netstat -nr
>
> Destination Gateway Genmask Flags   MSS Window  irtt Iface
> 0.0.0.0 192.168.0.216   0.0.0.0 UG0 0  0 eth1
> 192.168.0.0 0.0.0.0 255.255.255.0   U 0 0  0 eth0
> 192.168.0.0 0.0.0.0 255.255.255.0   U 0 0  0 eth1
> 192.168.30.0192.168.0.1 255.255.255.0   UG0 0  0 eth0
>
> Donde 192.168.0.216 es el gateway de la subred 0 y 192.168.0.1 es lo mismo 
> para la subred 30

El equipo tiene dos interfaces (eth0 y eth1) con IPs dentro de la
misma red 192.168.0.0/24 ?

192.168.0.00.0.0.0   255.255.255.0   U 0 0  0 eth1
192.168.0.00.0.0.0   255.255.255.0   U 0 0  0 eth0

La IP 192.168.0.216 es el default que te conecta a Internet y hace el NAT?
Eth0 y eth1 están conectadas al mismo segmento de red?

Donde están conectados los equipos que no tienen acceso físicamente, a
la eth0 o eth1?

Con esos datos parecería ser que hay un problema independiente de la
red 192.168.30.0/24 y es que (salvo que estés omitiendo datos) estás
intentando que el equipo forwardee paquetes entre dos interfaces de la
misma red, lo cual no tiene mucho sentido.
Si un equipo cualquiera de las red 192.168.0.0/24 tiene como default
la IP 192.168.0.216 debería andar sin intervención del proxy/firewall.

Deberías aclarar como está implementada la red.

>
>
> --
> Fernando Miculan.-
> FCM Sistemas
> Tel. 15-5435862 / ID: 160*6915
> ICQ: 6410724 / Skype: fcmsistemas
> http://ferchobbs.ddns.net
> BBS Telnet: ferchobbs.ddns.net:23

Saludos,
Santiago.-


--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
https://lists.debian.org/CAJ5eSfaC9sQcAXwhyA_�iRs_4GN5yq7R3TtxQcj_Ur+RU=d...@mail.gmail.com

[OT] Debian Lines theme para SLiM

2014-12-31 Por tema Esteban Monge 
Hice un thema para SLiM, un Desktop Manager muy liviano, me he basado en 
el thema Lines para Debian 8. Tenía días de querer subirlo a algún lado, 
así que no quería irme sin cerrar el año sin hacerlo. Lo subí a 
GitHub... de momento no he podido tomarle un screenshot =$. Pero lo 
pueden bajar de acá:

https://github.com/EstebanMonge/slim-themes

Saludos

--
Esteban Monge Marín
http://www.emonge.com
e...@emonge.com
mongejimene...@gmail.com
estebanmo...@riseup.net
Linux User: 478378 - Isaca COBIT - Cabinet Office ITIL Foundation - 
CompTIA A+ - Nagios Enterprises Certified Professional



--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/d9c4c173e9d756072c45f0f7ae4a0...@riseup.net

Re: Subredes, proxy y otras yerbas

2014-12-31 Por tema Camaleón 
El Tue, 30 Dec 2014 17:23:22 -0300, Fernando Miculan escribió:

> Hola, como están?.
> Me presento, me llamo Fernando, vivo en La Plata, Argentina y hace unos
> cuantos años que utilizo Linux, en especial Debian y Ubuntu.

Buenas, acuérdate de desactivar el formato html al enviar los correos a 
la lista ;-)

> Se me presento un caso en mi trabajo. Tenemos un squid linkeado a un
> active directory de Win(fucker) 2008 en la red 192.168.0.0, ademas de
> haber implementado un firewall con iptables. Todo realizado en un Debian
> 7. Hasta ahí no hay inconvenientes, los usuarios navegan perfectamente
> según los grupos asignados en el active directory.
> El problema se presento justamente hoy, al querer ampliar la red a otra
> subred (192.168.30.0, que dicho sea de paso se implemento en forma de
> vlan en un router mikrotik.)
> La cuestión es, que después de haber agregado la ruta en una de las
> interfaces del debian para que vea la subred 30, estos navegan
> perfectamente en internet, pero no la subred 0, todo lo que sea web no
> funciona, salvo el correo electrónico y el skype.

Es decir, en la subred 0 funciona todo lo que no pasa por el proxy.

> Que es lo que puede estar pasando?

Ni idea.. pero lo mejor es que desandes (mentalmente) los pasos que has 
dado al añadir la nueva subred que es cuando ha empezado a fallar la 
subred antigua.

> Con netstat -nr se ven las rutas asignadas perfectamente, 

MAnda la salida del comando.

> por ese lado no veo el problema... me estará faltando algún tipo de
> regla adicional en el firewall ??

En principio el proxy y la vlan no deberían chocar porque son conceptos 
completamente diferentes. Yo me centraría en el enrutado y las reglas del 
cortafuegos.

> Si les sirve les puedo postear el script del firewall. La política por
> defecto es DROP y luego permito algunos puertos y mac address para que
> bypaseen el proxy.

Sí, mejor si subes a www.pastebin.com las reglas que tienes en iptables.

Saludos,

-- 
Camaleón


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/pan.2014.12.31.14.28...@gmail.com

Re: Subredes, proxy y otras yerbas

2014-12-31 Por tema Fernando Miculan 
Hola William,

No, no lo he usado. Es mas no me suena haberlo usado nunca el NAT conjugado
con FORWARD...
Aqui posteo lo que me tira un netstat -nr

Destination Gateway Genmask Flags   MSS Window  irtt
Iface
0.0.0.0 192.168.0.216   0.0.0.0 UG0 0  0
eth1
192.168.0.0 0.0.0.0 255.255.255.0   U 0 0  0
eth0
192.168.0.0 0.0.0.0 255.255.255.0   U 0 0  0
eth1
192.168.30.0192.168.0.1 255.255.255.0   UG0 0  0
eth0

Donde 192.168.0.216 es el gateway de la subred 0 y 192.168.0.1 es lo mismo
para la subred 30

Aqui les muestro un IPTABLES -L

target prot opt source   destination
ACCEPT all  --  localhostanywhere
ACCEPT tcp  --  192.168.0.0/24   anywhere tcp dpt:3128
ACCEPT tcp  --  192.168.30.0/24  anywhere tcp dpt:3128
ACCEPT tcp  --  anywhere anywhere tcp dpt:https
ACCEPT tcp  --  anywhere anywhere tcp dpt:webmin
ACCEPT tcp  --  fmiculan.friggorina.local  anywhere tcp
dpt:netbios-ssn
ACCEPT tcp  --  fmiculan.friggorina.local  anywhere tcp
dpt:microsoft-ds
ACCEPT tcp  --  anywhere anywhere tcp dpt:10200
ACCEPT tcp  --  anywhere anywhere tcp dpt:5901
ACCEPT udp  --  fglp05.friggorina.local  anywhere udp
dpt:snmp
ACCEPT udp  --  fglp05.friggorina.local  anywhere udp
dpt:snmp-trap
ACCEPT udp  --  fglp10.friggorina.local  anywhere udp
dpt:snmp
ACCEPT udp  --  fglp10.friggorina.local  anywhere udp
dpt:snmp-trap
ACCEPT all  --  anywhere anywhere state
RELATED,ESTABLISHED
ACCEPT icmp --  fglp05.friggorina.local  anywhere
ACCEPT tcp  --  anywhere anywhere tcp dpt:domain
ACCEPT udp  --  anywhere anywhere udp dpt:domain

Chain FORWARD (policy DROP)
target prot opt source   destination
ACCEPT icmp --  anywhere anywhere
ACCEPT tcp  --  anywhere anywhere tcp dpt:
ACCEPT tcp  --  anywhere anywhere tcp spt:
ACCEPT tcp  --  anywhere anywhere tcp dpt:2221
ACCEPT tcp  --  anywhere anywhere tcp spt:2221
ACCEPT tcp  --  anywhere anywhere tcp dpt:25000
ACCEPT tcp  --  anywhere anywhere tcp spt:25000
ACCEPT tcp  --  anywhere anywhere tcp dpt:5938
ACCEPT tcp  --  anywhere anywhere tcp spt:5938
ACCEPT tcp  --  anywhere anywhere tcp dpt:31193
ACCEPT tcp  --  anywhere anywhere tcp spt:31193
ACCEPT tcp  --  anywhere anywhere tcp dpt:1935
ACCEPT tcp  --  anywhere anywhere tcp spt:1935
ACCEPT tcp  --  anywhere anywhere tcp dpt:smtp
ACCEPT tcp  --  anywhere anywhere tcp spt:smtp
ACCEPT tcp  --  anywhere anywhere tcp dpt:pop3
ACCEPT tcp  --  anywhere anywhere tcp spt:pop3
ACCEPT tcp  --  anywhere anywhere tcp dpt:https
ACCEPT tcp  --  anywhere anywhere tcp spt:https
ACCEPT tcp  --  anywhere anywhere tcp
dpt:netbios-ssn
ACCEPT tcp  --  anywhere anywhere tcp
spt:netbios-ssn
ACCEPT tcp  --  anywhere anywhere tcp
dpt:netbios-dgm
ACCEPT tcp  --  anywhere anywhere tcp
spt:netbios-dgm
ACCEPT tcp  --  anywhere anywhere tcp
dpt:netbios-ns
ACCEPT tcp  --  anywhere anywhere tcp
spt:netbios-ns
ACCEPT tcp  --  anywhere anywhere tcp
dpt:microsoft-ds
ACCEPT tcp  --  anywhere anywhere tcp
spt:microsoft-ds
ACCEPT tcp  --  anywhere anywhere tcp dpt:http
MAC 00:21:97:D4:9A:92
ACCEPT tcp  --  anywhere anywhere tcp spt:http
MAC 00:21:97:D4:9A:92
ACCEPT tcp  --  anywhere anywhere tcp dpt:https
MAC 00:21:97:D4:9A:92
ACCEPT tcp  --  anywhere anywhere tcp spt:https
MAC 00:21:97:D4:9A:92
ACCEPT tcp  --  anywhere anywhere tcp dpt:1723
ACCEPT tcp  --  anywhere anywhere tcp spt:1723
ACCEPT tcp  --  anywhere anywhere tcp dpt:47
ACCEPT tcp  --  anywhere anywhere tcp spt:47
ACCEPT tcp  --  anywhere anywhere tcp dpt:3001
ACCEPT tcp  --  anywhere anywhere tcp spt: