Re: Problemas de enmascaramiento de una Lan usando SNAT con iptables, sin poder navegar
El día 10 de octubre de 2014, 5:07, Lic. Domingo Varela Yahuitl do...@hotmail.com escribió: Que tal a todos.. buen dia... nuevamente recurro a la comunidad para saber si alguien de uds me da un norte ya que le he buscado las patas al gato y no los encuentro, esta vez se trata de que tengo una caja con debian y un segmento de ips publicas /23 y de la lan se trata de un segmento 10/8 El problema se trata de que mi lan (10.0.0.0/8 -- eth1 ) tenga internet (eth0) usando PREROUTING - SNAT y no MASQUERADE, ya que cuento con dos segmentos de ips homologadas /24 o una /23 y quiero que mi LAN al tratar de salir a internet tenga obviamente una ip homologada, obviamente eso ya lo tengo realizado, aqui el detalle es que no puedo realizar consultas de DNS, unicamente veo las ips de google o yahoo usando ping, y las consultas via dns (nslookup o dig) no me esta funcionando... Anexo mi script para ver si alguien me dice en que estoy fallando NET=eth5 LAN_IN=eth3 iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X # modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_conntrack_irc modprobe ip_nat_ftp echo 1 /proc/sys/net/ipv4/ip_forward iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -i $NET -m state --state ESTABLISHED,RELATED -j ACCEPT #iptables --table nat --append POSTROUTING --out-interface $NET -j MASQUERADE iptables --t nat -A POSTROUTING -s 10.0.0.0/8 -o $NET -j SNAT --to-source 201.111.222.254-201.111.223.254 iptables --append FORWARD -j ACCEPT iptables -A INPUT -i $LAN_IN -j ACCEPT iptables -A OUTPUT -o $LAN_IN -j ACCEPT iptables -A INPUT -s 111.222.333.4/32 -j ACCEPT iptables -A INPUT -j DROP Con este script yo puedo conectarme a servers usando la ip, pero si uso el nombre del server, o hago una consulta via dns, este simplemente no lo realiza porque no esta saliendo sus peticiones.. la verdad no tengo idea de donde rayos colocar la regla Espero su amable ayuda y gracias por todo... Saludos cordiales. -- Lic. Domingo Varela Yahuitl. No se mucho de iptables, pero mira a ver si estás bloqueando el tráfico udp. http://stackoverflow.com/questions/11064248/block-all-udp-traffic-except-dns-using-iptables S2. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CAGw=rHinkYcB=aR5k_LO=p0b3zagzhfcff9xzf2f8jo7ies...@mail.gmail.com
Re: Problemas de enmascaramiento de una Lan usando SNAT con iptables, sin poder navegar
Gracias por el tip...intentare abrir el tcp/udp con la bandera -m state del dns y les comento. Saludos Enviado desde mi dispositivo android. -Original Message- From: fernando sainz fernandojose.sa...@gmail.com To: debian-user-spanish@lists.debian.org debian-user-spanish@lists.debian.org Sent: vie, 10 oct 2014 2:30 Subject: Re: Problemas de enmascaramiento de una Lan usando SNAT con iptables, sin poder navegar El día 10 de octubre de 2014, 5:07, Lic. Domingo Varela Yahuitl do...@hotmail.com escribió: Que tal a todos.. buen dia... nuevamente recurro a la comunidad para saber si alguien de uds me da un norte ya que le he buscado las patas al gato y no los encuentro, esta vez se trata de que tengo una caja con debian y un segmento de ips publicas /23 y de la lan se trata de un segmento 10/8 El problema se trata de que mi lan (10.0.0.0/8 -- eth1 ) tenga internet (eth0) usando PREROUTING - SNAT y no MASQUERADE, ya que cuento con dos segmentos de ips homologadas /24 o una /23 y quiero que mi LAN al tratar de salir a internet tenga obviamente una ip homologada, obviamente eso ya lo tengo realizado, aqui el detalle es que no puedo realizar consultas de DNS, unicamente veo las ips de google o yahoo usando ping, y las consultas via dns (nslookup o dig) no me esta funcionando... Anexo mi script para ver si alguien me dice en que estoy fallando NET=eth5 LAN_IN=eth3 iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X # modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_conntrack_irc modprobe ip_nat_ftp echo 1 /proc/sys/net/ipv4/ip_forward iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -i $NET -m state --state ESTABLISHED,RELATED -j ACCEPT #iptables --table nat --append POSTROUTING --out-interface $NET -j MASQUERADE iptables --t nat -A POSTROUTING -s 10.0.0.0/8 -o $NET -j SNAT --to-source 201.111.222.254-201.111.223.254 iptables --append FORWARD -j ACCEPT iptables -A INPUT -i $LAN_IN -j ACCEPT iptables -A OUTPUT -o $LAN_IN -j ACCEPT iptables -A INPUT -s 111.222.333.4/32 -j ACCEPT iptables -A INPUT -j DROP Con este script yo puedo conectarme a servers usando la ip, pero si uso el nombre del server, o hago una consulta via dns, este simplemente no lo realiza porque no esta saliendo sus peticiones.. la verdad no tengo idea de donde rayos colocar la regla Espero su amable ayuda y gracias por todo... Saludos cordiales. -- Lic. Domingo Varela Yahuitl. No se mucho de iptables, pero mira a ver si estás bloqueando el tráfico udp. http://stackoverflow.com/questions/11064248/block-all-udp-traffic-except-dns-using-iptables S2. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CAGw=rHinkYcB=aR5k_LO=p0b3zagzhfcff9xzf2f8jo7ies...@mail.gmail.com
RE: Problemas de enmascaramiento de una Lan usando SNAT con iptables, sin poder navegar
Simplemente no me da acceso a internet y ni mucho menos la consulta de DNS :( .. ya aplique las reglas y ni nada. . Alguien puede darme un norte pls ... gracias Date: Fri, 10 Oct 2014 09:30:10 +0200 Subject: Re: Problemas de enmascaramiento de una Lan usando SNAT con iptables, sin poder navegar From: fernandojose.sa...@gmail.com To: debian-user-spanish@lists.debian.org El día 10 de octubre de 2014, 5:07, Lic. Domingo Varela Yahuitl do...@hotmail.com escribió: Que tal a todos.. buen dia... nuevamente recurro a la comunidad para saber si alguien de uds me da un norte ya que le he buscado las patas al gato y no los encuentro, esta vez se trata de que tengo una caja con debian y un segmento de ips publicas /23 y de la lan se trata de un segmento 10/8 El problema se trata de que mi lan (10.0.0.0/8 -- eth1 ) tenga internet (eth0) usando PREROUTING - SNAT y no MASQUERADE, ya que cuento con dos segmentos de ips homologadas /24 o una /23 y quiero que mi LAN al tratar de salir a internet tenga obviamente una ip homologada, obviamente eso ya lo tengo realizado, aqui el detalle es que no puedo realizar consultas de DNS, unicamente veo las ips de google o yahoo usando ping, y las consultas via dns (nslookup o dig) no me esta funcionando... Anexo mi script para ver si alguien me dice en que estoy fallando NET=eth5 LAN_IN=eth3 iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X # modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_conntrack_irc modprobe ip_nat_ftp echo 1 /proc/sys/net/ipv4/ip_forward iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -i $NET -m state --state ESTABLISHED,RELATED -j ACCEPT #iptables --table nat --append POSTROUTING --out-interface $NET -j MASQUERADE iptables --t nat -A POSTROUTING -s 10.0.0.0/8 -o $NET -j SNAT --to-source 201.111.222.254-201.111.223.254 iptables --append FORWARD -j ACCEPT iptables -A INPUT -i $LAN_IN -j ACCEPT iptables -A OUTPUT -o $LAN_IN -j ACCEPT iptables -A INPUT -s 111.222.333.4/32 -j ACCEPT iptables -A INPUT -j DROP Con este script yo puedo conectarme a servers usando la ip, pero si uso el nombre del server, o hago una consulta via dns, este simplemente no lo realiza porque no esta saliendo sus peticiones.. la verdad no tengo idea de donde rayos colocar la regla Espero su amable ayuda y gracias por todo... Saludos cordiales. -- Lic. Domingo Varela Yahuitl. No se mucho de iptables, pero mira a ver si estás bloqueando el tráfico udp. http://stackoverflow.com/questions/11064248/block-all-udp-traffic-except-dns-using-iptables S2. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CAGw=inkYcB=5k_LO=b3zagzhfcff9xzf2f8jo7ies...@mail.gmail.com
Re: Problemas de enmascaramiento de una Lan usando SNAT con iptables, sin poder navegar
El 10 de octubre de 2014, 19:56, Lic. Domingo Varela Yahuitl do...@hotmail.com escribió: Que tal a todos.. buen dia... nuevamente recurro a la comunidad para saber si alguien de uds me da un norte ya que le he buscado las patas al gato y no los encuentro, esta vez se trata de que tengo una caja con debian y un segmento de ips publicas /23 y de la lan se trata de un segmento 10/8 El problema se trata de que mi lan (10.0.0.0/8 -- eth1 ) tenga internet (eth0) usando PREROUTING - SNAT y no MASQUERADE, ya que cuento con dos segmentos de ips homologadas /24 o una /23 y quiero que mi LAN al tratar de salir a internet tenga obviamente una ip homologada, obviamente eso ya lo tengo realizado, aqui el detalle es que no puedo realizar consultas de DNS, unicamente veo las ips de google o yahoo usando ping, y las consultas via dns (nslookup o dig) no me esta funcionando... Anexo mi script para ver si alguien me dice en que estoy fallando NET=eth5 LAN_IN=eth3 iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X # modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_conntrack_irc modprobe ip_nat_ftp echo 1 /proc/sys/net/ipv4/ip_forward iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -i $NET -m state --state ESTABLISHED,RELATED -j ACCEPT #iptables --table nat --append POSTROUTING --out-interface $NET -j MASQUERADE iptables --t nat -A POSTROUTING -s 10.0.0.0/8 -o $NET -j SNAT --to-source 201.111.222.254-201.111.223.254 iptables --append FORWARD -j ACCEPT iptables -A INPUT -i $LAN_IN -j ACCEPT iptables -A OUTPUT -o $LAN_IN -j ACCEPT iptables -A INPUT -s 111.222.333.4/32 -j ACCEPT iptables -A INPUT -j DROP Con este script yo puedo conectarme a servers usando la ip, pero si uso el nombre del server, o hago una consulta via dns, este simplemente no lo realiza porque no esta saliendo sus peticiones.. la verdad no tengo idea de donde rayos colocar la regla Hola me he mirado un poco tus reglas y no veo una regla que permita el trafico entrante en eth5 desde eth3, no se tal vez mirando por ahi encuetres algo.
Problemas de enmascaramiento de una Lan usando SNAT con iptables, sin poder navegar
Que tal a todos.. buen dia... nuevamente recurro a la comunidad para saber si alguien de uds me da un norte ya que le he buscado las patas al gato y no los encuentro, esta vez se trata de que tengo una caja con debian y un segmento de ips publicas /23 y de la lan se trata de un segmento 10/8 El problema se trata de que mi lan (10.0.0.0/8 -- eth1 ) tenga internet (eth0) usando PREROUTING - SNAT y no MASQUERADE, ya que cuento con dos segmentos de ips homologadas /24 o una /23 y quiero que mi LAN al tratar de salir a internet tenga obviamente una ip homologada, obviamente eso ya lo tengo realizado, aqui el detalle es que no puedo realizar consultas de DNS, unicamente veo las ips de google o yahoo usando ping, y las consultas via dns (nslookup o dig) no me esta funcionando... Anexo mi script para ver si alguien me dice en que estoy fallando NET=eth5 LAN_IN=eth3 iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X # modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_conntrack_irc modprobe ip_nat_ftp echo 1 /proc/sys/net/ipv4/ip_forward iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -i $NET -m state --state ESTABLISHED,RELATED -j ACCEPT #iptables --table nat --append POSTROUTING --out-interface $NET -j MASQUERADE iptables --t nat -A POSTROUTING -s 10.0.0.0/8 -o $NET -j SNAT --to-source 201.111.222.254-201.111.223.254 iptables --append FORWARD -j ACCEPT iptables -A INPUT -i $LAN_IN -j ACCEPT iptables -A OUTPUT -o $LAN_IN -j ACCEPT iptables -A INPUT -s 111.222.333.4/32 -j ACCEPT iptables -A INPUT -j DROP Con este script yo puedo conectarme a servers usando la ip, pero si uso el nombre del server, o hago una consulta via dns, este simplemente no lo realiza porque no esta saliendo sus peticiones.. la verdad no tengo idea de donde rayos colocar la regla Espero su amable ayuda y gracias por todo... Saludos cordiales. -- Lic. Domingo Varela Yahuitl.