Estuve pensando poner las reglas iniciales "iptables -P INPUT ACCEPT" por "DROP", pero el detalle es que al momento de que el navegador de conecta a internet usa un puertos distinto al destino (80) por lo cual se queda pensando.
Hice pruebas poninendo: iptables -P INPUT -j DROP iptables -P FORWARD -j DROP iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -p tcp --dport 80 -j ACCEPT Y se quedaba pensando el navegador, jamas mosotro la pagina.... Saludos ! El 23 de septiembre de 2013 16:11, angel jauregui <darkdiabl...@gmail.com>escribió: > oooo que maravilla :D.... era el maldito cable... en serio que voy a > enmarcar ese cable de red y le ponde "el maldito cable que me hizo bullying > de red". > > Ya hice pruebas en los equipos de red y ya logro hacer ping a la IP del > router 192.168.1.254 y a cualquier pagina. > > Ahora solo me gustaria aclarar algunos comentarios que me hicieron en un > foro sobre mis reglas IPTABLES en la parte de "#enmascaramientos", ustedes > que opinan ??: > > iptables -F > iptables -X > iptables -Z > iptables -t nat -F > > # politicas por defecto > iptables -P INPUT ACCEPT # denegamos entradas > iptables -P OUTPUT ACCEPT # aceptamos salidas > iptables -P FORWARD ACCEPT # denegamos reenvios > iptables -t nat -P PREROUTING ACCEPT # aceptamos nat hacia fuera > iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat hacia > dentro > echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de > reenvios > > iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo > iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT > # ftp y ssh > iptables -A INPUT -p tcp --dport 80 -j ACCEPT > # http > iptables -A INPUT -p tcp --dport 443 -j ACCEPT > # https > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT > # dns - dhcp > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT > # portmapper/rpcbind > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT > # samba > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT > # samba > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT > # squid > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT > # squid cache > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT > # nfs > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT > # asterisk > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT > # webmind para LAN > > # forwardnig > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 20:22 -j ACCEPT > # ftp y ssh > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT > # dns - dhcp > iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT > # dns -dhcp (udp) > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 80 -j ACCEPT > # http > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 443 -j ACCEPT > # https > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT > # portmapper/rpcbind > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j > ACCEPT # samba > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT > # samba > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT > # squid > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT > # squid cache > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT > # nfs > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT > # asterisk > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 10000 -j ACCEPT > # webmind para LAN > > iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT > iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT > > # enmascaramiento > iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT --to > 192.168.1.1 # cambiamos la direccion source > iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j > MASQUERADE # enmascaramos > iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT > --to 192.168.1.1:3128 # con destino al 80 en eth1 lo cambiamos > > Como verán el firewall es estricto, si en la empresa no me confirman que > abramos un servicio interno o para el exterior, no sale.... solo lo > confirmado: > > - Para todos (de adentro y fuera [internet]): 80, 21 y 22. > - Para lo demas va controlado solo la red interna "-s". > - Para los Forward (conexion afuera) va controlada por "-s" > > Saludos ! > > > > El 23 de septiembre de 2013 15:25, angel jauregui > <darkdiabl...@gmail.com>escribió: > > Acabo de cambiar el cable de red que va del router a la eth0 del server y >> ahora puedo hacer ping desde el server hacia la IP del router y cualquier >> web. >> >> Voy a probar en los demas equipos de la red. >> >> Saludos ! >> >> >> El 23 de septiembre de 2013 15:18, angel jauregui <darkdiabl...@gmail.com >> > escribió: >> >> ## RENE >>> >>> Mis equipos están en el segmento 10.0.1.0/24, se asignan IPs de >>> 10.0.1.2 a 10.0.1.254.... >>> >>> La red 192.168.1.0/24 es el rango de IPs que maneja el server para >>> hacer su propia red, por lo cual no muevo dicha configuración alcabo solo >>> existiran 2 IPs... >>> >>> 1- La ip del router: 192.168.1.254 >>> 2- La ip estatica del server: 192.168.1.1 (eth0). >>> >>> En el segmento 10.0.1.0/24 no tengo problemas para compartir >>> información, consultar los servicios del server (apache, mysql, nfs. samba, >>> etc...). >>> >>> El problema es al momento de intentar acceder a una web, los paquetes >>> como que no llegan al router, creo que mi problema se centra mal en las >>> reglas IPTABLES, algo estoy haciendo mal o algo me falta. >>> >>> ## DAVID >>> >>> "pingera" me imagino te refieres hacer ping a un dominio o ip... Y pues >>> lo uso con la idea se saber si se esta existiendo funcionamiento, vaya, >>> tambien uso: "host google.com" para ver si resuelve. Vaya, pruebas >>> basicas para saber si mis paquetes circulan como deb (de la PC al server, >>> del server al router, y viceversa). >>> >>> Fijate que * NO PUEDO llegar la router* desde el server, y vaya que >>> esta conectado a la eth0. >>> >>> Mi configuración: >>> >>> *server# ifconfig -a * >>> eth0 Link encap:Ethernet HWaddr 00:11:22:33:44:55 >>> inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0 >>> >>> eth1 Link encap:Ethernet HWaddr 66:77:88:99:aa:bb >>> inet addr:10.0.1.1 Bcast:10.0.1.255 Mask:255.255.255.0 >>> >>> *server# router* >>> 10.0.1.0 * 255.255.255.0 U 0 0 0 >>> eth1 >>> 192.168.1.0 * 255.255.255.0 U 0 0 0 >>> eth0 >>> link-local * 255.255.0.0 U 1002 0 0 >>> eth1 >>> link-local * 255.255.0.0 U 1003 0 0 >>> eth0 >>> default home 0.0.0.0 UG 0 0 0 >>> eth0 >>> >>> *server# ping 192.168.1.254* >>> PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data. >>> From 192.168.1.1 icmp_seq=3 Destination Host Unreachable >>> >>> Saludos ! >>> >>> >>> >>> >>> >>> >>> El 23 de septiembre de 2013 14:03, David González Romero < >>> dgrved...@gmail.com> escribió: >>> >>> Yo no soy partidario de este esquema que propones de poner el >>>> Modem-Router >>>> directo al servidor. Porque entonces el conceto DMZ queda obsoleto ahi. >>>> Esta bien su esquema de red. Lo que yo me cuestiono es si realmente el >>>> necesito que los clientes de la red 10.0.1.0/24 puedan "pingear" a >>>> internet. Y no me queda claro si el servidor en SI ve internet mismo... >>>> >>>> Saludos, >>>> David >>>> >>>> >>>> El 23 de septiembre de 2013 15:56, RENE LARA ALVARADO < >>>> siste...@trimaso.com.mx> escribió: >>>> >>>> > Creo que bajo tu esquema, deseeas usar tu servidor (maq con dos >>>> > interfaces de red y en distinta red) >>>> > con la funcion de ruteador. >>>> > >>>> > A reserva de si es conveniente o no, en ese caso sería mejor que >>>> > pusieras tu modem-router en modo >>>> > puente, conectado a una de las interfases. >>>> > >>>> > De esa forma solo lidiaras solo don dos redes y no con tres. >>>> > La direccion ip que te asigna el proveedor quedará en una de las >>>> > tarjetas y en la otra tu la red >>>> > de tus equipos >>>> > r.lara >>>> > >>>> > _______________________________________________ >>>> > CentOS-es mailing list >>>> > CentOS-es@centos.org >>>> > http://lists.centos.org/mailman/listinfo/centos-es >>>> > >>>> _______________________________________________ >>>> CentOS-es mailing list >>>> CentOS-es@centos.org >>>> http://lists.centos.org/mailman/listinfo/centos-es >>>> >>> >>> >>> >>> -- >>> M.S.I. Angel Haniel Cantu Jauregui. >>> >>> Celular: (011-52-1)-899-871-17-22 >>> E-Mail: angel.ca...@sie-group.net >>> Web: http://www.sie-group.net/ >>> Cd. Reynosa Tamaulipas. >>> >> >> >> >> -- >> M.S.I. Angel Haniel Cantu Jauregui. >> >> Celular: (011-52-1)-899-871-17-22 >> E-Mail: angel.ca...@sie-group.net >> Web: http://www.sie-group.net/ >> Cd. Reynosa Tamaulipas. >> > > > > -- > M.S.I. Angel Haniel Cantu Jauregui. > > Celular: (011-52-1)-899-871-17-22 > E-Mail: angel.ca...@sie-group.net > Web: http://www.sie-group.net/ > Cd. Reynosa Tamaulipas. > -- M.S.I. Angel Haniel Cantu Jauregui. Celular: (011-52-1)-899-871-17-22 E-Mail: angel.ca...@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
