oooo que maravilla :D.... era el maldito cable... en serio que voy a
enmarcar ese cable de red y le ponde "el maldito cable que me hizo bullying
de red".
Ya hice pruebas en los equipos de red y ya logro hacer ping a la IP del
router 192.168.1.254 y a cualquier pagina.
Ahora solo me gustaria aclarar algunos comentarios que me hicieron en un
foro sobre mis reglas IPTABLES en la parte de "#enmascaramientos", ustedes
que opinan ??:
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
# politicas por defecto
iptables -P INPUT ACCEPT # denegamos entradas
iptables -P OUTPUT ACCEPT # aceptamos salidas
iptables -P FORWARD ACCEPT # denegamos reenvios
iptables -t nat -P PREROUTING ACCEPT # aceptamos nat hacia fuera
iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat hacia dentro
echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de
reenvios
iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo
iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT
# ftp y ssh
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# http
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# https
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
# dns - dhcp
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
# portmapper/rpcbind
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT
# samba
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
# samba
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
# squid
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
# squid cache
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
# nfs
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
# asterisk
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT
# webmind para LAN
# forwardnig
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 20:22 -j ACCEPT
# ftp y ssh
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
# dns - dhcp
iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT
# dns -dhcp (udp)
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 80 -j ACCEPT
# http
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 443 -j ACCEPT
# https
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
# portmapper/rpcbind
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT
# samba
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
# samba
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
# squid
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
# squid cache
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
# nfs
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
# asterisk
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 10000 -j ACCEPT
# webmind para LAN
iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT
# enmascaramiento
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT --to
192.168.1.1 # cambiamos la direccion source
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j MASQUERADE
# enmascaramos
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT
--to 192.168.1.1:3128 # con destino al 80 en eth1 lo cambiamos
Como verán el firewall es estricto, si en la empresa no me confirman que
abramos un servicio interno o para el exterior, no sale.... solo lo
confirmado:
- Para todos (de adentro y fuera [internet]): 80, 21 y 22.
- Para lo demas va controlado solo la red interna "-s".
- Para los Forward (conexion afuera) va controlada por "-s"
Saludos !
El 23 de septiembre de 2013 15:25, angel jauregui
<darkdiabl...@gmail.com>escribió:
> Acabo de cambiar el cable de red que va del router a la eth0 del server y
> ahora puedo hacer ping desde el server hacia la IP del router y cualquier
> web.
>
> Voy a probar en los demas equipos de la red.
>
> Saludos !
>
>
> El 23 de septiembre de 2013 15:18, angel jauregui
> <darkdiabl...@gmail.com>escribió:
>
> ## RENE
>>
>> Mis equipos están en el segmento 10.0.1.0/24, se asignan IPs de 10.0.1.2
>> a 10.0.1.254....
>>
>> La red 192.168.1.0/24 es el rango de IPs que maneja el server para hacer
>> su propia red, por lo cual no muevo dicha configuración alcabo solo
>> existiran 2 IPs...
>>
>> 1- La ip del router: 192.168.1.254
>> 2- La ip estatica del server: 192.168.1.1 (eth0).
>>
>> En el segmento 10.0.1.0/24 no tengo problemas para compartir
>> información, consultar los servicios del server (apache, mysql, nfs. samba,
>> etc...).
>>
>> El problema es al momento de intentar acceder a una web, los paquetes
>> como que no llegan al router, creo que mi problema se centra mal en las
>> reglas IPTABLES, algo estoy haciendo mal o algo me falta.
>>
>> ## DAVID
>>
>> "pingera" me imagino te refieres hacer ping a un dominio o ip... Y pues
>> lo uso con la idea se saber si se esta existiendo funcionamiento, vaya,
>> tambien uso: "host google.com" para ver si resuelve. Vaya, pruebas
>> basicas para saber si mis paquetes circulan como deb (de la PC al server,
>> del server al router, y viceversa).
>>
>> Fijate que * NO PUEDO llegar la router* desde el server, y vaya que esta
>> conectado a la eth0.
>>
>> Mi configuración:
>>
>> *server# ifconfig -a *
>> eth0 Link encap:Ethernet HWaddr 00:11:22:33:44:55
>> inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
>>
>> eth1 Link encap:Ethernet HWaddr 66:77:88:99:aa:bb
>> inet addr:10.0.1.1 Bcast:10.0.1.255 Mask:255.255.255.0
>>
>> *server# router*
>> 10.0.1.0 * 255.255.255.0 U 0 0 0
>> eth1
>> 192.168.1.0 * 255.255.255.0 U 0 0 0
>> eth0
>> link-local * 255.255.0.0 U 1002 0 0
>> eth1
>> link-local * 255.255.0.0 U 1003 0 0
>> eth0
>> default home 0.0.0.0 UG 0 0 0
>> eth0
>>
>> *server# ping 192.168.1.254*
>> PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data.
>> From 192.168.1.1 icmp_seq=3 Destination Host Unreachable
>>
>> Saludos !
>>
>>
>>
>>
>>
>>
>> El 23 de septiembre de 2013 14:03, David González Romero <
>> dgrved...@gmail.com> escribió:
>>
>> Yo no soy partidario de este esquema que propones de poner el Modem-Router
>>> directo al servidor. Porque entonces el conceto DMZ queda obsoleto ahi.
>>> Esta bien su esquema de red. Lo que yo me cuestiono es si realmente el
>>> necesito que los clientes de la red 10.0.1.0/24 puedan "pingear" a
>>> internet. Y no me queda claro si el servidor en SI ve internet mismo...
>>>
>>> Saludos,
>>> David
>>>
>>>
>>> El 23 de septiembre de 2013 15:56, RENE LARA ALVARADO <
>>> siste...@trimaso.com.mx> escribió:
>>>
>>> > Creo que bajo tu esquema, deseeas usar tu servidor (maq con dos
>>> > interfaces de red y en distinta red)
>>> > con la funcion de ruteador.
>>> >
>>> > A reserva de si es conveniente o no, en ese caso sería mejor que
>>> > pusieras tu modem-router en modo
>>> > puente, conectado a una de las interfases.
>>> >
>>> > De esa forma solo lidiaras solo don dos redes y no con tres.
>>> > La direccion ip que te asigna el proveedor quedará en una de las
>>> > tarjetas y en la otra tu la red
>>> > de tus equipos
>>> > r.lara
>>> >
>>> > _______________________________________________
>>> > CentOS-es mailing list
>>> > CentOS-es@centos.org
>>> > http://lists.centos.org/mailman/listinfo/centos-es
>>> >
>>> _______________________________________________
>>> CentOS-es mailing list
>>> CentOS-es@centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>
>>
>>
>>
>> --
>> M.S.I. Angel Haniel Cantu Jauregui.
>>
>> Celular: (011-52-1)-899-871-17-22
>> E-Mail: angel.ca...@sie-group.net
>> Web: http://www.sie-group.net/
>> Cd. Reynosa Tamaulipas.
>>
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.ca...@sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
>
--
M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22
E-Mail: angel.ca...@sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
_______________________________________________
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es
