Partamos por el principio, tu linux hace ping a google? si tu linux no hace ping tu lan nunca saldra al mundo.
El 23 de septiembre de 2013 05:00, Rodolfo Vargas<edgarr...@gmail.com>escribió: > El 22/09/13, angel jauregui <darkdiabl...@gmail.com> escribió: > > Buen día. > > > > Rodolfo si usted se considera tan conocedor creo que debería plantear una > > solución u opción, no solo una critica de "esta mal" o "esta bien", de > nada > > sirve que me digan que esta mal (si por algo no funciona). > > La lista es para dar ideas, no siempre está obligada a resolver alguna > situación, no puedes obligar a la lista a que solucionen tu caso. > > Tmabién te aclaro que no me considero conocer, ese adjetivo tú me lo > estas diciendo, simplemente yo LEO, ME DOCUMENTO antes de hacer alguna > cosa, tienes los documentos de redhat linux en pdf, tienes a uno de > los mejores portales que da soporte a CnetOS (alcanelibre.org), que yo > sepa simplemente te recomendé que leas más porque tus preguntas son > reiterativas y la repuesta está en los mensajes que te han dado, NO > ESTAS SALIENDO A OTRAS REDES NO ESTA HACIENDO NAT > > > > > Sobre el ping interno escribí claramente que tengo *todos los servicios > en > > la LAN (locales)*, vaya FTP, HTTP, SSH... todos !.. Vaya, *SI PUEDO HACER > > PING* a la red LAN (osease a las IPs de los equipos de la red), solo no > > logro llegar al segmento distinto al que estoy (10.0.1.0/24), no puedo > > hacer ping al Router (192.168.1.254), por logica NO salgo a internet... > La > > > Claro pues mi amigo, LA PUERTA DE ENLACE del router no te esta > respondiendo, no estas en red con ese segmento y se debe a que no esta > haciendo traducción de direcciones, puede ser a varios factores: > 1.- no estas usando los parámentros de red correctos, esa máscara de > la clase A esta equivocada. > > 2.- puede ser que no haya conexión hacia el router, no estaría de más > verificar. > > 3.- las reglas iptables no estan correctamente puestas. > > Para hacer NAT necesitas iptables -t nat -A POSTROUTING -o eth0 -j > MASQUERADE y también echo 1 > /proc/sys/net/ipv4/ip_forward > > Arriba pongo -o y no he añadido -s, pongo así para que traduzca entre > todas las interfaces que tenga, si tienes solo dos es obvio que solo > traducirá de esa. > > solo eso es necesario, por eso te había recomendado borrar todas las > reglas que tienes por el momento y solo escribir lo de arriba si todo > esta correcto debería funcionar. > > > unica forma que funciono fue porque *no desconectaron* un cable de red > que > > va del router al switch, que se supone no debe estar ya que la idea es > que > > > Lo más lógico es pensar que si salía es que estaba en red con ese > router y usaba puerta de enlace de dicho router y asi podían estar con > internet. > > > el router *solamente este conectado* a la eth0 del server, y la eth1 al > > switch. Si quiero navegar, tengo que poner un cable del router al switch. > > > > Reitero: > Lo más lógico es pensar que si salía es que estaba en red con ese > router y usaba puerta de enlace de dicho router y así podían estar con > internet. > > > > Respecto a mis reglas, siempre que hago cambios *es obvio que limpio y > > vuelvo a cargar*. > > Algo anda mal > > > > > En mi segmento de IPs en la eth1 uso 10.0.1.0/24 con mascara > 255.255.255.0, > > ya que solo me importa asignar de: 10.0.1.2 a 10.0.1.254.... Ya que > > 10.0.1.1 es el server y 10.0.1.255 el broadcast.... > > Amigo LA MASCARA DE LA CLASE A es la que te dijeron antes y te lo > pusieron en binario, ni idea tenías y tampoco te has preocupado en > averiguar creo, yo te dije por qué estas usando esa mascara, te dije > lee sobre ips privadas clase A, B, C, creo que eso te molesta, quieres > que todo te lo den mascado, quieres que te solucionen a tus preguntas, > y estas esperanzado solo en la lista, deberías intentar por otros > medios con las recomendaciones que te han dado, tienes mucha > documentación en internet. > > > > > Ayudar significa "plantear una solución", no solo criticar !.... Por > favor > > NO seas exigente con la lista, la lista no es soporte técnico a > medida, no pagas por ello a nadie de la lsita, la lista te puede > ayudar con ideas, pero no esta obligada a solucionar tu caso > particular, no sé si habrás leído sobre soporte comunitario, en fin > creo que ya te han dado suficientes argumentos para que tu puedas > solucionar tu caso. > > > limitese a ayudar, de nada me sirve una critica sin soluciones, me deja > en > > las mismas :S ! > > La lista es para dar ideas MAS NO ESTA OBLIGADA A SOLUCIONAR TU CASO > > > > > Cuando mencione sobre mis tarjetas de red, lo comente porque la > > configuración que tienen considero está bien: > > > > *shell# /etc/sysconfig/network-scripts/ifcfg-eth0 * > > DEVICE=eth0 > > BOOTPROTO=static > > ONBOOT=yes > > IPADDR=192.168.1.1 > > NETMASK=255.255.255.0 > > NETWORK=192.168.1.0 > > GATEWAY=192.168.1.254 > > TYPE=Ethernet > > HWADDR=00:11:22:33:44:55 > > DNS1=8.8.8.8 > > DNS2=10.0.1.1 > > > > *shell# /etc/sysconfig/network-scripts/ifcfg-eth1* > > DEVICE=eth1 > > BOOTPROTO=static > > ONBOOT=yes > > IPADDR=10.0.1.1 > > NETMASK=255.255.255.0 > > NETWORK=10.0.1.0 > > TYPE=Ethernet > > HWADDR=aa:bb:cc:dd:ee:ff > > DNS1=8.8.8.8 > > DNS2=10.0.1.1 > > > > Saludos ! > > http://es.wikipedia.org/wiki/Direcci%C3%B3n_IP > También podría servirte esto: > > > https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html > > Es mejor seguir la recomendación del mismo redhat linux, en cómo hace > dicha tarea, el tuyo esta bien, pero mejor sería que separaras en otro > archivo iptablesrules.sh e inicies en bott time dichas reglas > personalizadas desde rc.local, no tocarías nada del archivo iptables, > al final tus reglas se ejecutan y escribiran, bueno eso te puedo decir > y ya no seas muy exigente con la lista, si no te dan las ideas que tú > quieres, tú debes tratar de solucionar tu caso. > > > > > > > El 22 de septiembre de 2013 03:23, Rodolfo Vargas > > <edgarr...@gmail.com>escribió: > > > >> El 21/09/13, angel jauregui <darkdiabl...@gmail.com> escribió: > >> > Buenas... > >> > > >> > Hace dias habia expuesto un problema de configruacion de mis tarjetas > >> > de > >> > red el cual quedo solucionado, pero sin darme cuenta existia un cable > >> > de > >> > >> Quedó solucionado?¿ > >> > >> > red conectado del router al switch, y cuando me percate lo desconecte > >> > ya > >> > que se supone que la configuracion del server es: > >> > >> NO debería haber problema > >> > >> > > >> > eth0 --> ip:192.168.1.1 conectada al router (192.168.1.254). > >> > eth1 --> ip:10.0.1.1 conectada al switch (red lan). > >> > > >> > Servicios del server: > >> > > >> > - HTTP abierto para todos (LAN e Internet). > >> > - FTP abierto para todos (LAN e Internet). > >> > - SSH abierto para todos (LAN e Internet). > >> > - Los demas son para la LAN. > >> > > >> > Y la idea es: > >> > > >> > - El segmento de red asignado es: 10.0.1.0/24, y se esta cumpliendo > !. > >> > >> Le hemos dicho POR QUÉ usted usa 10.0.1.0/24? que clase de ip estas > >> usando? ES CLASE A y su máscara es 255.0.0.0, máscara 255.255.255.0 es > >> para clase C, o esta subneteado? no respondió tampoco. > >> > >> > - Los clientes tiene como Gateway la ip del server (10.0.1.1), se > >> > cumple > >> !. > >> > - La navegacion web se redirige al puerto del Squid, se cumple !. > >> > - Los demas puertos a consultar se hacen FW, creo que se cumple !. > >> > - Se supone que lo que entra por eth1 (lan) de sacarse por eth0 por la > >> > puerta gateway (ip del router). > >> > > >> > Problemas y Virtudes: > >> > - No logro hacer ping a ninguna pagina, ni a la IP del router. > >> > >> Jajajaj, señor usted en pruimer lugar debe usar ips, luego recién > >> verificar si resuelve nombres, bueno eso yo hago :), dijo que resolvió > >> el problema de red antes, al parecer no solucionó dicho detalle, > >> primero debe asignar BIEN los parámetros de red, luego verificar, la > >> forma más común es usando ping, LIMPIANDO PRIMERO REGLAS si las hay, > >> hacer ping entre todas las interfaces por decir, tanto en la red lan y > >> fuera, si todo va bien recien aplicar reglas en firewall (es un > >> consejo que le doy) > >> > >> > - Si puedo hacer ping a los equipos locales. > >> > >> Pero verifique por qué usa la máscara que no le corresponde a esa clase > A > >> de ip > >> > >> > - Si obtengo todos los servicios de red local (dhcp, asterisk, ftp, > >> > http, > >> > mysql). > >> > >> > - Si funciona la redireccion del 80 al puerto squid, ya que si escribo > >> una > >> > palabra restringida, sale la pagina de aviso de Squid. > >> > > >> > Mis reglas iptables son: > >> > > >> > iptables -F > >> > iptables -X > >> > iptables -Z > >> > iptables -t nat -F > >> > > >> > # politicas por defecto > >> > iptables -P INPUT ACCEPT # aceptamos entradas > >> > iptables -P OUTPUT ACCEPT # aceptamos salidas > >> > iptables -P FORWARD ACCEPT # aceptamos reenvios > >> > iptables -t nat -P PREROUTING ACCEPT # aceptamos nat hacia > >> fuera > >> > iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat hacia > >> > dentro > >> > echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de > >> > reenvios > >> > > >> > iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo > >> > iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT > >> > # ftp y ssh > >> > iptables -A INPUT -p tcp --dport 80 -j ACCEPT > >> > # http > >> > iptables -A INPUT -p tcp --dport 443 -j ACCEPT > >> > # https > >> > iptables -A INPUT -p tcp --dport 53 -j ACCEPT > >> > # dns - dhcp > >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT > >> > # portmapper/rpcbind > >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j > >> ACCEPT > >> > # samba > >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT > >> > # samba > >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j > ACCEPT > >> > # squid > >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j > ACCEPT > >> > # squid cache > >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j > ACCEPT > >> > # nfs > >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j > ACCEPT > >> > # asterisk > >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j > ACCEPT > >> > # webmind para LAN > >> > > >> > # forwardnig > >> > iptables -A FORWARD -p tcp --dport 20:22 -j ACCEPT > >> > # ftp y ssh > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j > ACCEPT > >> > # dns - dhcp > >> > iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j > ACCEPT > >> > # dns -dhcp (udp) > >> > iptables -A FORWARD -p tcp --dport 80 -j ACCEPT > >> > # http > >> > iptables -A FORWARD -p tcp --dport 443 -j ACCEPT > >> > # https > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j > ACCEPT > >> > # portmapper/rpcbind > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j > >> ACCEPT > >> > # samba > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j > ACCEPT > >> > # samba > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j > >> > ACCEPT > >> > # squid > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j > >> > ACCEPT > >> > # squid cache > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j > >> > ACCEPT > >> > # nfs > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j > >> > ACCEPT > >> > # asterisk > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1000 -j > >> > ACCEPT > >> > # webmind para LAN > >> > > >> > iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j > ACCEPT > >> > iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j > ACCEPT > >> > > >> > # enmascaramiento > >> > iptables -A OUTPUT -j ACCEPT > >> > iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j > DNAT > >> > --to 192.168.1.1:3128 > >> > iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT > >> --to > >> > 192.168.1.1 > >> > iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j > >> MASQUERADE > >> > # todo lo que salga de la red, se enmascara > >> > # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -s > >> > 10.0.1.0/24 -j REDIRECT --to-port 3128 > >> > > >> > > >> > # denegaciones > >> > iptables -A INPUT -p tcp --dport 1000 -j DROP > >> > # denegar webmind > >> > iptables -A INPUT -p tcp --dport 1:1024 -j DROP > >> > # cerrar puertos privados > >> > iptables -A FORWARD -p tcp --dport 1000 -j DROP > >> > # denegar webmind > >> > iptables -A FORWARD -j DROP > >> > # degenamos lo demas > >> > > >> > Saludos ! > >> > > >> > >> Ya le han dado consejos, creo que ni los toma en cuenta, lo que le > >> aconsejo es iptables -F, luego aplique manualmente NAT y vea si logra > >> salir hacia afuera y hacer ping entre todas las interfaces, osea a los > >> segmentos de red, es demasiado básico el escenario que plantea, > >> debería funcionar, vaya por partes, en fin solo usted entiende lo que > >> quiere hacer :), saludos y suerte, ya le dije lea sobre ipv4, NAT > >> (entender no solo escribir) > >> > >> > -- > >> > M.S.I. Angel Haniel Cantu Jauregui. > >> > > >> > Celular: (011-52-1)-899-871-17-22 > >> > E-Mail: angel.ca...@sie-group.net > >> > Web: http://www.sie-group.net/ > >> > Cd. Reynosa Tamaulipas. > >> > _______________________________________________ > >> > CentOS-es mailing list > >> > CentOS-es@centos.org > >> > http://lists.centos.org/mailman/listinfo/centos-es > >> > > >> > >> > >> -- > >> Live free or die! > >> _______________________________________________ > >> CentOS-es mailing list > >> CentOS-es@centos.org > >> http://lists.centos.org/mailman/listinfo/centos-es > >> > > > > > > > > -- > > M.S.I. Angel Haniel Cantu Jauregui. > > > > Celular: (011-52-1)-899-871-17-22 > > E-Mail: angel.ca...@sie-group.net > > Web: http://www.sie-group.net/ > > Cd. Reynosa Tamaulipas. > > > > > -- > Live free or die! > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
