Re: Subredes, proxy y otras yerbas
Es una maquina virtual bajo vmware y si, están conectadas al mismo switch, no se si llamarla vlan, porque fue siempre la subred 0 lisa y llanamente. Siempre funciono de maravillas hasta que implementamos esta subred 30 que si es una vlan. El día 2 de enero de 2015, 14:13, Ramses ramses.sevi...@gmail.com escribió: El 02/01/2015, a las 17:57, Fernando Miculan fernandocmicu...@gmail.com escribió: Buenas buenas, paso a comentar la estructura de red y un resumen: El equipo en donde corre el firewall-squid tiene dos eth (eth0: 192.168.0.194 y eth1: 192.168.0.193), el gw brindado a todos los usuarios mediante dhcp es el 192.168.0.194 (eth0) A partir de la implementacion de la subred 30, se instalaron 2 routers mikrotik, uno es el gw 192.168.0.1 y el otro es 192.168.30.1 Los gw físicos de internet son el 192.168.0.216 y 192.168.0.205. El squid tiene grupos, de los cuales uno es acceso total y el otro limitado, a su vez el firewall filtra accesos y forwardea todo el 80 al 3128 del squid, como habran visto. También el firewall deja acceder a mac address listeadas estén o no dentro del dominio de mi empresa (caso visitas, terceros, etc). Lo de las 2 interfases eth, lo armaron asi, y creo que la excusa fue monitorear trafico y discriminarlo por interfase. El día 31 de diciembre de 2014, 18:06, Santiago Liz lizsa...@gmail.com escribió: No hagas top posting porque se vuelve difícil seguir el tema... No abras otro hilo para el mismo tema... pego acá El día 30 de diciembre de 2014, 21:24, Santiago Liz lizsa...@gmail.com escribió: El día 30 de diciembre de 2014, 17:23, Fernando Miculan fernandocmicu...@gmail.com escribió: Hola, como están?. Me presento, me llamo Fernando, vivo en La Plata, Argentina y hace unos cuantos años que utilizo Linux, en especial Debian y Ubuntu. Se me presento un caso en mi trabajo. Tenemos un squid linkeado a un active directory de Win(fucker) 2008 en la red 192.168.0.0, ademas de haber implementado un firewall con iptables. Todo realizado en un Debian 7. Hasta ahí no hay inconvenientes, los usuarios navegan perfectamente según los grupos asignados en el active directory. El problema se presento justamente hoy, al querer ampliar la red a otra subred (192.168.30.0, que dicho sea de paso se implemento en forma de vlan en un router mikrotik.) La cuestión es, que después de haber agregado la ruta en una de las interfaces del debian para que vea la subred 30, estos navegan perfectamente en internet, pero no la subred 0, todo lo que sea web no funciona, salvo el correo electrónico y el skype. Que es lo que puede estar pasando? Con netstat -nr se ven las rutas asignadas perfectamente, por ese lado no veo el problema... me estará faltando algún tipo de regla adicional en el firewall ?? Si les sirve les puedo postear el script del firewall. La política por defecto es DROP y luego permito algunos puertos y mac address para que bypaseen el proxy. Falta algo de info, pero adivinando diría que algún cambio afectó la configuración de squid donde se daba permiso a la red 192.168.0.0/(24?) para utilizar el mismo al habilitar la 192.168.30.0(/24?) o lo mismo en iptables donde se permite acceder a la IP:Puerto donde escucha squid. Al decir que anda el correo y skype descarto problemas de ruteo/nat. Cuando desis que no navegan, cual es el error? un error de squid diciendo que no tienen permiso o que no los clientes nos se pueden conectar al proxy? Los que no navegan son los equipos de la subred 0 que esquivan el proxy squid a través de una regla iptables por mac address. Si esos equipos los apunto al squid desde el navegador, funcionan bien. Lo extraño es que esa regla funciono de maravillas antes de hacer la subred 30. Aqui posteo lo que me tira un netstat -nr Destination Gateway Genmask Flags MSS Window irtt Iface 0.0.0.0 192.168.0.216 0.0.0.0 UG0 0 0 eth1 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.30.0192.168.0.1 255.255.255.0 UG0 0 0 eth0 Donde 192.168.0.216 es el gateway de la subred 0 y 192.168.0.1 es lo mismo para la subred 30 El equipo tiene dos interfaces (eth0 y eth1) con IPs dentro de la misma red 192.168.0.0/24 ? 192.168.0.00.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.0.00.0.0.0 255.255.255.0 U 0 0 0 eth0 La IP 192.168.0.216 es el default que te conecta a Internet y hace el NAT? Eth0 y eth1 están conectadas al mismo segmento de red? Donde están conectados los equipos que no tienen acceso físicamente, a la eth0 o eth1? Con esos datos parecería ser que hay un problema independiente de la red 192.168.30.0/24 y es que (salvo que estés omitiendo datos) estás intentando que el equipo forwardee paquetes entre dos interfaces
Re: Subredes, proxy y otras yerbas
El 02/01/2015, a las 17:57, Fernando Miculan fernandocmicu...@gmail.com escribió: Buenas buenas, paso a comentar la estructura de red y un resumen: El equipo en donde corre el firewall-squid tiene dos eth (eth0: 192.168.0.194 y eth1: 192.168.0.193), el gw brindado a todos los usuarios mediante dhcp es el 192.168.0.194 (eth0) A partir de la implementacion de la subred 30, se instalaron 2 routers mikrotik, uno es el gw 192.168.0.1 y el otro es 192.168.30.1 Los gw físicos de internet son el 192.168.0.216 y 192.168.0.205. El squid tiene grupos, de los cuales uno es acceso total y el otro limitado, a su vez el firewall filtra accesos y forwardea todo el 80 al 3128 del squid, como habran visto. También el firewall deja acceder a mac address listeadas estén o no dentro del dominio de mi empresa (caso visitas, terceros, etc). Lo de las 2 interfases eth, lo armaron asi, y creo que la excusa fue monitorear trafico y discriminarlo por interfase. El día 31 de diciembre de 2014, 18:06, Santiago Liz lizsa...@gmail.com escribió: No hagas top posting porque se vuelve difícil seguir el tema... No abras otro hilo para el mismo tema... pego acá El día 30 de diciembre de 2014, 21:24, Santiago Liz lizsa...@gmail.com escribió: El día 30 de diciembre de 2014, 17:23, Fernando Miculan fernandocmicu...@gmail.com escribió: Hola, como están?. Me presento, me llamo Fernando, vivo en La Plata, Argentina y hace unos cuantos años que utilizo Linux, en especial Debian y Ubuntu. Se me presento un caso en mi trabajo. Tenemos un squid linkeado a un active directory de Win(fucker) 2008 en la red 192.168.0.0, ademas de haber implementado un firewall con iptables. Todo realizado en un Debian 7. Hasta ahí no hay inconvenientes, los usuarios navegan perfectamente según los grupos asignados en el active directory. El problema se presento justamente hoy, al querer ampliar la red a otra subred (192.168.30.0, que dicho sea de paso se implemento en forma de vlan en un router mikrotik.) La cuestión es, que después de haber agregado la ruta en una de las interfaces del debian para que vea la subred 30, estos navegan perfectamente en internet, pero no la subred 0, todo lo que sea web no funciona, salvo el correo electrónico y el skype. Que es lo que puede estar pasando? Con netstat -nr se ven las rutas asignadas perfectamente, por ese lado no veo el problema... me estará faltando algún tipo de regla adicional en el firewall ?? Si les sirve les puedo postear el script del firewall. La política por defecto es DROP y luego permito algunos puertos y mac address para que bypaseen el proxy. Falta algo de info, pero adivinando diría que algún cambio afectó la configuración de squid donde se daba permiso a la red 192.168.0.0/(24?) para utilizar el mismo al habilitar la 192.168.30.0(/24?) o lo mismo en iptables donde se permite acceder a la IP:Puerto donde escucha squid. Al decir que anda el correo y skype descarto problemas de ruteo/nat. Cuando desis que no navegan, cual es el error? un error de squid diciendo que no tienen permiso o que no los clientes nos se pueden conectar al proxy? Los que no navegan son los equipos de la subred 0 que esquivan el proxy squid a través de una regla iptables por mac address. Si esos equipos los apunto al squid desde el navegador, funcionan bien. Lo extraño es que esa regla funciono de maravillas antes de hacer la subred 30. Aqui posteo lo que me tira un netstat -nr Destination Gateway Genmask Flags MSS Window irtt Iface 0.0.0.0 192.168.0.216 0.0.0.0 UG0 0 0 eth1 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.30.0192.168.0.1 255.255.255.0 UG0 0 0 eth0 Donde 192.168.0.216 es el gateway de la subred 0 y 192.168.0.1 es lo mismo para la subred 30 El equipo tiene dos interfaces (eth0 y eth1) con IPs dentro de la misma red 192.168.0.0/24 ? 192.168.0.00.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.0.00.0.0.0 255.255.255.0 U 0 0 0 eth0 La IP 192.168.0.216 es el default que te conecta a Internet y hace el NAT? Eth0 y eth1 están conectadas al mismo segmento de red? Donde están conectados los equipos que no tienen acceso físicamente, a la eth0 o eth1? Con esos datos parecería ser que hay un problema independiente de la red 192.168.30.0/24 y es que (salvo que estés omitiendo datos) estás intentando que el equipo forwardee paquetes entre dos interfaces de la misma red, lo cual no tiene mucho sentido. Si un equipo cualquiera de las red 192.168.0.0/24 tiene como default la IP 192.168.0.216 debería andar sin intervención del proxy/firewall. Deberías aclarar como está implementada la red. -- Fernando Miculan.- FCM Sistemas Tel. 15-5435862 /
Re: Subredes, proxy y otras yerbas
Buenas buenas, paso a comentar la estructura de red y un resumen: El equipo en donde corre el firewall-squid tiene dos eth (eth0: 192.168.0.194 y eth1: 192.168.0.193), el gw brindado a todos los usuarios mediante dhcp es el 192.168.0.194 (eth0) A partir de la implementacion de la subred 30, se instalaron 2 routers mikrotik, uno es el gw 192.168.0.1 y el otro es 192.168.30.1 Los gw físicos de internet son el 192.168.0.216 y 192.168.0.205. El squid tiene grupos, de los cuales uno es acceso total y el otro limitado, a su vez el firewall filtra accesos y forwardea todo el 80 al 3128 del squid, como habran visto. También el firewall deja acceder a mac address listeadas estén o no dentro del dominio de mi empresa (caso visitas, terceros, etc). Lo de las 2 interfases eth, lo armaron asi, y creo que la excusa fue monitorear trafico y discriminarlo por interfase. El día 31 de diciembre de 2014, 18:06, Santiago Liz lizsa...@gmail.com escribió: No hagas top posting porque se vuelve difícil seguir el tema... No abras otro hilo para el mismo tema... pego acá El día 30 de diciembre de 2014, 21:24, Santiago Liz lizsa...@gmail.com escribió: El día 30 de diciembre de 2014, 17:23, Fernando Miculan fernandocmicu...@gmail.com escribió: Hola, como están?. Me presento, me llamo Fernando, vivo en La Plata, Argentina y hace unos cuantos años que utilizo Linux, en especial Debian y Ubuntu. Se me presento un caso en mi trabajo. Tenemos un squid linkeado a un active directory de Win(fucker) 2008 en la red 192.168.0.0, ademas de haber implementado un firewall con iptables. Todo realizado en un Debian 7. Hasta ahí no hay inconvenientes, los usuarios navegan perfectamente según los grupos asignados en el active directory. El problema se presento justamente hoy, al querer ampliar la red a otra subred (192.168.30.0, que dicho sea de paso se implemento en forma de vlan en un router mikrotik.) La cuestión es, que después de haber agregado la ruta en una de las interfaces del debian para que vea la subred 30, estos navegan perfectamente en internet, pero no la subred 0, todo lo que sea web no funciona, salvo el correo electrónico y el skype. Que es lo que puede estar pasando? Con netstat -nr se ven las rutas asignadas perfectamente, por ese lado no veo el problema... me estará faltando algún tipo de regla adicional en el firewall ?? Si les sirve les puedo postear el script del firewall. La política por defecto es DROP y luego permito algunos puertos y mac address para que bypaseen el proxy. Falta algo de info, pero adivinando diría que algún cambio afectó la configuración de squid donde se daba permiso a la red 192.168.0.0/(24?) para utilizar el mismo al habilitar la 192.168.30.0(/24?) o lo mismo en iptables donde se permite acceder a la IP:Puerto donde escucha squid. Al decir que anda el correo y skype descarto problemas de ruteo/nat. Cuando desis que no navegan, cual es el error? un error de squid diciendo que no tienen permiso o que no los clientes nos se pueden conectar al proxy? Los que no navegan son los equipos de la subred 0 que esquivan el proxy squid a través de una regla iptables por mac address. Si esos equipos los apunto al squid desde el navegador, funcionan bien. Lo extraño es que esa regla funciono de maravillas antes de hacer la subred 30. Aqui posteo lo que me tira un netstat -nr Destination Gateway Genmask Flags MSS Window irtt Iface 0.0.0.0 192.168.0.216 0.0.0.0 UG0 0 0 eth1 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.30.0192.168.0.1 255.255.255.0 UG0 0 0 eth0 Donde 192.168.0.216 es el gateway de la subred 0 y 192.168.0.1 es lo mismo para la subred 30 El equipo tiene dos interfaces (eth0 y eth1) con IPs dentro de la misma red 192.168.0.0/24 ? 192.168.0.00.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.0.00.0.0.0 255.255.255.0 U 0 0 0 eth0 La IP 192.168.0.216 es el default que te conecta a Internet y hace el NAT? Eth0 y eth1 están conectadas al mismo segmento de red? Donde están conectados los equipos que no tienen acceso físicamente, a la eth0 o eth1? Con esos datos parecería ser que hay un problema independiente de la red 192.168.30.0/24 y es que (salvo que estés omitiendo datos) estás intentando que el equipo forwardee paquetes entre dos interfaces de la misma red, lo cual no tiene mucho sentido. Si un equipo cualquiera de las red 192.168.0.0/24 tiene como default la IP 192.168.0.216 debería andar sin intervención del proxy/firewall. Deberías aclarar como está implementada la red. -- Fernando Miculan.- FCM Sistemas Tel. 15-5435862 / ID: 160*6915 ICQ: 6410724 / Skype: fcmsistemas http://ferchobbs.ddns.net BBS Telnet: ferchobbs.ddns.net:23 Saludos, Santiago.-
Re: Subredes, proxy y otras yerbas
Hola William, No, no lo he usado. Es mas no me suena haberlo usado nunca el NAT conjugado con FORWARD... Aqui posteo lo que me tira un netstat -nr Destination Gateway Genmask Flags MSS Window irtt Iface 0.0.0.0 192.168.0.216 0.0.0.0 UG0 0 0 eth1 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.30.0192.168.0.1 255.255.255.0 UG0 0 0 eth0 Donde 192.168.0.216 es el gateway de la subred 0 y 192.168.0.1 es lo mismo para la subred 30 Aqui les muestro un IPTABLES -L target prot opt source destination ACCEPT all -- localhostanywhere ACCEPT tcp -- 192.168.0.0/24 anywhere tcp dpt:3128 ACCEPT tcp -- 192.168.30.0/24 anywhere tcp dpt:3128 ACCEPT tcp -- anywhere anywhere tcp dpt:https ACCEPT tcp -- anywhere anywhere tcp dpt:webmin ACCEPT tcp -- fmiculan.friggorina.local anywhere tcp dpt:netbios-ssn ACCEPT tcp -- fmiculan.friggorina.local anywhere tcp dpt:microsoft-ds ACCEPT tcp -- anywhere anywhere tcp dpt:10200 ACCEPT tcp -- anywhere anywhere tcp dpt:5901 ACCEPT udp -- fglp05.friggorina.local anywhere udp dpt:snmp ACCEPT udp -- fglp05.friggorina.local anywhere udp dpt:snmp-trap ACCEPT udp -- fglp10.friggorina.local anywhere udp dpt:snmp ACCEPT udp -- fglp10.friggorina.local anywhere udp dpt:snmp-trap ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT icmp -- fglp05.friggorina.local anywhere ACCEPT tcp -- anywhere anywhere tcp dpt:domain ACCEPT udp -- anywhere anywhere udp dpt:domain Chain FORWARD (policy DROP) target prot opt source destination ACCEPT icmp -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp dpt: ACCEPT tcp -- anywhere anywhere tcp spt: ACCEPT tcp -- anywhere anywhere tcp dpt:2221 ACCEPT tcp -- anywhere anywhere tcp spt:2221 ACCEPT tcp -- anywhere anywhere tcp dpt:25000 ACCEPT tcp -- anywhere anywhere tcp spt:25000 ACCEPT tcp -- anywhere anywhere tcp dpt:5938 ACCEPT tcp -- anywhere anywhere tcp spt:5938 ACCEPT tcp -- anywhere anywhere tcp dpt:31193 ACCEPT tcp -- anywhere anywhere tcp spt:31193 ACCEPT tcp -- anywhere anywhere tcp dpt:1935 ACCEPT tcp -- anywhere anywhere tcp spt:1935 ACCEPT tcp -- anywhere anywhere tcp dpt:smtp ACCEPT tcp -- anywhere anywhere tcp spt:smtp ACCEPT tcp -- anywhere anywhere tcp dpt:pop3 ACCEPT tcp -- anywhere anywhere tcp spt:pop3 ACCEPT tcp -- anywhere anywhere tcp dpt:https ACCEPT tcp -- anywhere anywhere tcp spt:https ACCEPT tcp -- anywhere anywhere tcp dpt:netbios-ssn ACCEPT tcp -- anywhere anywhere tcp spt:netbios-ssn ACCEPT tcp -- anywhere anywhere tcp dpt:netbios-dgm ACCEPT tcp -- anywhere anywhere tcp spt:netbios-dgm ACCEPT tcp -- anywhere anywhere tcp dpt:netbios-ns ACCEPT tcp -- anywhere anywhere tcp spt:netbios-ns ACCEPT tcp -- anywhere anywhere tcp dpt:microsoft-ds ACCEPT tcp -- anywhere anywhere tcp spt:microsoft-ds ACCEPT tcp -- anywhere anywhere tcp dpt:http MAC 00:21:97:D4:9A:92 ACCEPT tcp -- anywhere anywhere tcp spt:http MAC 00:21:97:D4:9A:92 ACCEPT tcp -- anywhere anywhere tcp dpt:https MAC 00:21:97:D4:9A:92 ACCEPT tcp -- anywhere anywhere tcp spt:https MAC 00:21:97:D4:9A:92 ACCEPT tcp -- anywhere anywhere tcp dpt:1723 ACCEPT tcp -- anywhere anywhere tcp spt:1723 ACCEPT tcp -- anywhere anywhere tcp dpt:47 ACCEPT tcp -- anywhere anywhere tcp spt:47 ACCEPT tcp -- anywhere anywhere tcp dpt:3001 ACCEPT tcp -- anywhere anywhere tcp
Re: Subredes, proxy y otras yerbas
El Tue, 30 Dec 2014 17:23:22 -0300, Fernando Miculan escribió: Hola, como están?. Me presento, me llamo Fernando, vivo en La Plata, Argentina y hace unos cuantos años que utilizo Linux, en especial Debian y Ubuntu. Buenas, acuérdate de desactivar el formato html al enviar los correos a la lista ;-) Se me presento un caso en mi trabajo. Tenemos un squid linkeado a un active directory de Win(fucker) 2008 en la red 192.168.0.0, ademas de haber implementado un firewall con iptables. Todo realizado en un Debian 7. Hasta ahí no hay inconvenientes, los usuarios navegan perfectamente según los grupos asignados en el active directory. El problema se presento justamente hoy, al querer ampliar la red a otra subred (192.168.30.0, que dicho sea de paso se implemento en forma de vlan en un router mikrotik.) La cuestión es, que después de haber agregado la ruta en una de las interfaces del debian para que vea la subred 30, estos navegan perfectamente en internet, pero no la subred 0, todo lo que sea web no funciona, salvo el correo electrónico y el skype. Es decir, en la subred 0 funciona todo lo que no pasa por el proxy. Que es lo que puede estar pasando? Ni idea.. pero lo mejor es que desandes (mentalmente) los pasos que has dado al añadir la nueva subred que es cuando ha empezado a fallar la subred antigua. Con netstat -nr se ven las rutas asignadas perfectamente, MAnda la salida del comando. por ese lado no veo el problema... me estará faltando algún tipo de regla adicional en el firewall ?? En principio el proxy y la vlan no deberían chocar porque son conceptos completamente diferentes. Yo me centraría en el enrutado y las reglas del cortafuegos. Si les sirve les puedo postear el script del firewall. La política por defecto es DROP y luego permito algunos puertos y mac address para que bypaseen el proxy. Sí, mejor si subes a www.pastebin.com las reglas que tienes en iptables. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.12.31.14.28...@gmail.com
Re: Subredes, proxy y otras yerbas
No hagas top posting porque se vuelve difícil seguir el tema... No abras otro hilo para el mismo tema... pego acá El día 30 de diciembre de 2014, 21:24, Santiago Liz lizsa...@gmail.com escribió: El día 30 de diciembre de 2014, 17:23, Fernando Miculan fernandocmicu...@gmail.com escribió: Hola, como están?. Me presento, me llamo Fernando, vivo en La Plata, Argentina y hace unos cuantos años que utilizo Linux, en especial Debian y Ubuntu. Se me presento un caso en mi trabajo. Tenemos un squid linkeado a un active directory de Win(fucker) 2008 en la red 192.168.0.0, ademas de haber implementado un firewall con iptables. Todo realizado en un Debian 7. Hasta ahí no hay inconvenientes, los usuarios navegan perfectamente según los grupos asignados en el active directory. El problema se presento justamente hoy, al querer ampliar la red a otra subred (192.168.30.0, que dicho sea de paso se implemento en forma de vlan en un router mikrotik.) La cuestión es, que después de haber agregado la ruta en una de las interfaces del debian para que vea la subred 30, estos navegan perfectamente en internet, pero no la subred 0, todo lo que sea web no funciona, salvo el correo electrónico y el skype. Que es lo que puede estar pasando? Con netstat -nr se ven las rutas asignadas perfectamente, por ese lado no veo el problema... me estará faltando algún tipo de regla adicional en el firewall ?? Si les sirve les puedo postear el script del firewall. La política por defecto es DROP y luego permito algunos puertos y mac address para que bypaseen el proxy. Falta algo de info, pero adivinando diría que algún cambio afectó la configuración de squid donde se daba permiso a la red 192.168.0.0/(24?) para utilizar el mismo al habilitar la 192.168.30.0(/24?) o lo mismo en iptables donde se permite acceder a la IP:Puerto donde escucha squid. Al decir que anda el correo y skype descarto problemas de ruteo/nat. Cuando desis que no navegan, cual es el error? un error de squid diciendo que no tienen permiso o que no los clientes nos se pueden conectar al proxy? Los que no navegan son los equipos de la subred 0 que esquivan el proxy squid a través de una regla iptables por mac address. Si esos equipos los apunto al squid desde el navegador, funcionan bien. Lo extraño es que esa regla funciono de maravillas antes de hacer la subred 30. Aqui posteo lo que me tira un netstat -nr Destination Gateway Genmask Flags MSS Window irtt Iface 0.0.0.0 192.168.0.216 0.0.0.0 UG0 0 0 eth1 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.30.0192.168.0.1 255.255.255.0 UG0 0 0 eth0 Donde 192.168.0.216 es el gateway de la subred 0 y 192.168.0.1 es lo mismo para la subred 30 El equipo tiene dos interfaces (eth0 y eth1) con IPs dentro de la misma red 192.168.0.0/24 ? 192.168.0.00.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.0.00.0.0.0 255.255.255.0 U 0 0 0 eth0 La IP 192.168.0.216 es el default que te conecta a Internet y hace el NAT? Eth0 y eth1 están conectadas al mismo segmento de red? Donde están conectados los equipos que no tienen acceso físicamente, a la eth0 o eth1? Con esos datos parecería ser que hay un problema independiente de la red 192.168.30.0/24 y es que (salvo que estés omitiendo datos) estás intentando que el equipo forwardee paquetes entre dos interfaces de la misma red, lo cual no tiene mucho sentido. Si un equipo cualquiera de las red 192.168.0.0/24 tiene como default la IP 192.168.0.216 debería andar sin intervención del proxy/firewall. Deberías aclarar como está implementada la red. -- Fernando Miculan.- FCM Sistemas Tel. 15-5435862 / ID: 160*6915 ICQ: 6410724 / Skype: fcmsistemas http://ferchobbs.ddns.net BBS Telnet: ferchobbs.ddns.net:23 Saludos, Santiago.- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CAJ5eSfaC9sQcAXwhyA_�iRs_4GN5yq7R3TtxQcj_Ur+RU=d...@mail.gmail.com
Re: Subredes, proxy y otras yerbas
El día 30 de diciembre de 2014, 17:23, Fernando Miculan fernandocmicu...@gmail.com escribió: Hola, como están?. Me presento, me llamo Fernando, vivo en La Plata, Argentina y hace unos cuantos años que utilizo Linux, en especial Debian y Ubuntu. Se me presento un caso en mi trabajo. Tenemos un squid linkeado a un active directory de Win(fucker) 2008 en la red 192.168.0.0, ademas de haber implementado un firewall con iptables. Todo realizado en un Debian 7. Hasta ahí no hay inconvenientes, los usuarios navegan perfectamente según los grupos asignados en el active directory. El problema se presento justamente hoy, al querer ampliar la red a otra subred (192.168.30.0, que dicho sea de paso se implemento en forma de vlan en un router mikrotik.) La cuestión es, que después de haber agregado la ruta en una de las interfaces del debian para que vea la subred 30, estos navegan perfectamente en internet, pero no la subred 0, todo lo que sea web no funciona, salvo el correo electrónico y el skype. Que es lo que puede estar pasando? Con netstat -nr se ven las rutas asignadas perfectamente, por ese lado no veo el problema... me estará faltando algún tipo de regla adicional en el firewall ?? Si les sirve les puedo postear el script del firewall. La política por defecto es DROP y luego permito algunos puertos y mac address para que bypaseen el proxy. Falta algo de info, pero adivinando diría que algún cambio afectó la configuración de squid donde se daba permiso a la red 192.168.0.0/(24?) para utilizar el mismo al habilitar la 192.168.30.0(/24?) o lo mismo en iptables donde se permite acceder a la IP:Puerto donde escucha squid. Al decir que anda el correo y skype descarto problemas de ruteo/nat. Cuando desis que no navegan, cual es el error? un error de squid diciendo que no tienen permiso o que no los clientes nos se pueden conectar al proxy? Desde ya agradezco toda a ayuda que me puedan brindar. Saludos!!! -- Fernando Miculan.- FCM Sistemas Tel. 15-5435862 / ID: 160*6915 ICQ: 6410724 / Skype: fcmsistemas http://ferchobbs.ddns.net BBS Telnet: ferchobbs.ddns.net:23 Saludos, Santiago.- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CAJ5eSfaQfB-3QwPZuu1=npoyb4x6v7mhd4+af7+6_plpnui...@mail.gmail.com
RE: Subredes, proxy y otras yerbas
Se me presento un caso en mi trabajo. Tenemos un squid linkeado a un active directory de Win(fucker) 2008 en la red 192.168.0.0, ademas de haber implementado un firewall con iptables. Todo realizado en un Debian 7. Hasta ahí no hay inconvenientes, los usuarios navegan perfectamente según los grupos asignados en el active directory. El problema se presento justamente hoy, al querer ampliar la red a otra subred (192.168.30.0, que dicho sea de paso se implemento en forma de vlan en un router mikrotik.) La cuestión es, que después de haber agregado la ruta en una de las interfaces del debian para que vea la subred 30, estos navegan perfectamente en internet, pero no la subred 0, todo lo que sea web no funciona, salvo el correo electrónico y el skype. Que es lo que puede estar pasando? Con netstat -nr se ven las rutas asignadas perfectamente, por ese lado no veo el problema... me estará faltando algún tipo de regla adicional en el firewall ?? Si les sirve les puedo postear el script del firewall. La política por defecto es DROP y luego permito algunos puertos y mac address para que bypaseen el proxy. Falta algo de info, pero adivinando diría que algún cambio afectó laconfiguración de squid donde se daba permiso a la red192.168.0.0/(24?) para utilizar el mismo al habilitar la192.168.30.0(/24?) o lo mismo en iptables donde se permite acceder ala IP:Puerto donde escucha squid.Al decir que anda el correo y skype descarto problemas de ruteo/nat.Cuando desis que no navegan, cual es el error? un error de squiddiciendo que no tienen permiso o que no los clientes nos se puedenconectar al proxy? Los que no navegan son los equipos de la subred 0 que esquivan el proxy squid a través de una regla iptables por mac address. Si esos equipos los apunto al squid desde el navegador, funcionan bien.Lo extraño es que esa regla funciono de maravillas antes de hacer la subred 30. Has usado el FORWARD NAT de iptables para llevar 0.0 hacia 30.0 ? https://lists.debian.org/debian-user-spanish/2008/11/msg00094.html https://albertomolina.wordpress.com/2009/01/09/nat-con-iptables/ saludos WRC -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/bay177-w94a860f656a2ebf7db72bb6...@phx.gbl