Buen día. Rodolfo si usted se considera tan conocedor creo que debería plantear una solución u opción, no solo una critica de "esta mal" o "esta bien", de nada sirve que me digan que esta mal (si por algo no funciona).
Sobre el ping interno escribí claramente que tengo *todos los servicios en la LAN (locales)*, vaya FTP, HTTP, SSH... todos !.. Vaya, *SI PUEDO HACER PING* a la red LAN (osease a las IPs de los equipos de la red), solo no logro llegar al segmento distinto al que estoy (10.0.1.0/24), no puedo hacer ping al Router (192.168.1.254), por logica NO salgo a internet... La unica forma que funciono fue porque *no desconectaron* un cable de red que va del router al switch, que se supone no debe estar ya que la idea es que el router *solamente este conectado* a la eth0 del server, y la eth1 al switch. Si quiero navegar, tengo que poner un cable del router al switch. Respecto a mis reglas, siempre que hago cambios *es obvio que limpio y vuelvo a cargar*. En mi segmento de IPs en la eth1 uso 10.0.1.0/24 con mascara 255.255.255.0, ya que solo me importa asignar de: 10.0.1.2 a 10.0.1.254.... Ya que 10.0.1.1 es el server y 10.0.1.255 el broadcast.... Ayudar significa "plantear una solución", no solo criticar !.... Por favor limitese a ayudar, de nada me sirve una critica sin soluciones, me deja en las mismas :S ! Cuando mencione sobre mis tarjetas de red, lo comente porque la configuración que tienen considero está bien: *shell# /etc/sysconfig/network-scripts/ifcfg-eth0 * DEVICE=eth0 BOOTPROTO=static ONBOOT=yes IPADDR=192.168.1.1 NETMASK=255.255.255.0 NETWORK=192.168.1.0 GATEWAY=192.168.1.254 TYPE=Ethernet HWADDR=00:11:22:33:44:55 DNS1=8.8.8.8 DNS2=10.0.1.1 *shell# /etc/sysconfig/network-scripts/ifcfg-eth1* DEVICE=eth1 BOOTPROTO=static ONBOOT=yes IPADDR=10.0.1.1 NETMASK=255.255.255.0 NETWORK=10.0.1.0 TYPE=Ethernet HWADDR=aa:bb:cc:dd:ee:ff DNS1=8.8.8.8 DNS2=10.0.1.1 Saludos ! El 22 de septiembre de 2013 03:23, Rodolfo Vargas <edgarr...@gmail.com>escribió: > El 21/09/13, angel jauregui <darkdiabl...@gmail.com> escribió: > > Buenas... > > > > Hace dias habia expuesto un problema de configruacion de mis tarjetas de > > red el cual quedo solucionado, pero sin darme cuenta existia un cable de > > Quedó solucionado?¿ > > > red conectado del router al switch, y cuando me percate lo desconecte ya > > que se supone que la configuracion del server es: > > NO debería haber problema > > > > > eth0 --> ip:192.168.1.1 conectada al router (192.168.1.254). > > eth1 --> ip:10.0.1.1 conectada al switch (red lan). > > > > Servicios del server: > > > > - HTTP abierto para todos (LAN e Internet). > > - FTP abierto para todos (LAN e Internet). > > - SSH abierto para todos (LAN e Internet). > > - Los demas son para la LAN. > > > > Y la idea es: > > > > - El segmento de red asignado es: 10.0.1.0/24, y se esta cumpliendo !. > > Le hemos dicho POR QUÉ usted usa 10.0.1.0/24? que clase de ip estas > usando? ES CLASE A y su máscara es 255.0.0.0, máscara 255.255.255.0 es > para clase C, o esta subneteado? no respondió tampoco. > > > - Los clientes tiene como Gateway la ip del server (10.0.1.1), se cumple > !. > > - La navegacion web se redirige al puerto del Squid, se cumple !. > > - Los demas puertos a consultar se hacen FW, creo que se cumple !. > > - Se supone que lo que entra por eth1 (lan) de sacarse por eth0 por la > > puerta gateway (ip del router). > > > > Problemas y Virtudes: > > - No logro hacer ping a ninguna pagina, ni a la IP del router. > > Jajajaj, señor usted en pruimer lugar debe usar ips, luego recién > verificar si resuelve nombres, bueno eso yo hago :), dijo que resolvió > el problema de red antes, al parecer no solucionó dicho detalle, > primero debe asignar BIEN los parámetros de red, luego verificar, la > forma más común es usando ping, LIMPIANDO PRIMERO REGLAS si las hay, > hacer ping entre todas las interfaces por decir, tanto en la red lan y > fuera, si todo va bien recien aplicar reglas en firewall (es un > consejo que le doy) > > > - Si puedo hacer ping a los equipos locales. > > Pero verifique por qué usa la máscara que no le corresponde a esa clase A > de ip > > > - Si obtengo todos los servicios de red local (dhcp, asterisk, ftp, http, > > mysql). > > > - Si funciona la redireccion del 80 al puerto squid, ya que si escribo > una > > palabra restringida, sale la pagina de aviso de Squid. > > > > Mis reglas iptables son: > > > > iptables -F > > iptables -X > > iptables -Z > > iptables -t nat -F > > > > # politicas por defecto > > iptables -P INPUT ACCEPT # aceptamos entradas > > iptables -P OUTPUT ACCEPT # aceptamos salidas > > iptables -P FORWARD ACCEPT # aceptamos reenvios > > iptables -t nat -P PREROUTING ACCEPT # aceptamos nat hacia > fuera > > iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat hacia > > dentro > > echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de > > reenvios > > > > iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo > > iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT > > # ftp y ssh > > iptables -A INPUT -p tcp --dport 80 -j ACCEPT > > # http > > iptables -A INPUT -p tcp --dport 443 -j ACCEPT > > # https > > iptables -A INPUT -p tcp --dport 53 -j ACCEPT > > # dns - dhcp > > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT > > # portmapper/rpcbind > > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j > ACCEPT > > # samba > > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT > > # samba > > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT > > # squid > > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT > > # squid cache > > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT > > # nfs > > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT > > # asterisk > > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT > > # webmind para LAN > > > > # forwardnig > > iptables -A FORWARD -p tcp --dport 20:22 -j ACCEPT > > # ftp y ssh > > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT > > # dns - dhcp > > iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT > > # dns -dhcp (udp) > > iptables -A FORWARD -p tcp --dport 80 -j ACCEPT > > # http > > iptables -A FORWARD -p tcp --dport 443 -j ACCEPT > > # https > > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT > > # portmapper/rpcbind > > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j > ACCEPT > > # samba > > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT > > # samba > > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT > > # squid > > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT > > # squid cache > > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT > > # nfs > > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT > > # asterisk > > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT > > # webmind para LAN > > > > iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT > > iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT > > > > # enmascaramiento > > iptables -A OUTPUT -j ACCEPT > > iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT > > --to 192.168.1.1:3128 > > iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT > --to > > 192.168.1.1 > > iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j > MASQUERADE > > # todo lo que salga de la red, se enmascara > > # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -s > > 10.0.1.0/24 -j REDIRECT --to-port 3128 > > > > > > # denegaciones > > iptables -A INPUT -p tcp --dport 1000 -j DROP > > # denegar webmind > > iptables -A INPUT -p tcp --dport 1:1024 -j DROP > > # cerrar puertos privados > > iptables -A FORWARD -p tcp --dport 1000 -j DROP > > # denegar webmind > > iptables -A FORWARD -j DROP > > # degenamos lo demas > > > > Saludos ! > > > > Ya le han dado consejos, creo que ni los toma en cuenta, lo que le > aconsejo es iptables -F, luego aplique manualmente NAT y vea si logra > salir hacia afuera y hacer ping entre todas las interfaces, osea a los > segmentos de red, es demasiado básico el escenario que plantea, > debería funcionar, vaya por partes, en fin solo usted entiende lo que > quiere hacer :), saludos y suerte, ya le dije lea sobre ipv4, NAT > (entender no solo escribir) > > > -- > > M.S.I. Angel Haniel Cantu Jauregui. > > > > Celular: (011-52-1)-899-871-17-22 > > E-Mail: angel.ca...@sie-group.net > > Web: http://www.sie-group.net/ > > Cd. Reynosa Tamaulipas. > > _______________________________________________ > > CentOS-es mailing list > > CentOS-es@centos.org > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > -- > Live free or die! > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > -- M.S.I. Angel Haniel Cantu Jauregui. Celular: (011-52-1)-899-871-17-22 E-Mail: angel.ca...@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
