Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

2013-11-05 Por tema David González Romero
Tu has probado esta opción en Squid?

acl denys url_regex "/etc/squid/denys"
Donde
/etc/squid/denys contiene:
facebook
twitter
.
Y luego
http_access deny restric

Al menos así me funciona a mi.


Otra opcion sería comentar la línea "acl SSL_ports port 443" para evitar
conexiones por el 443...




Saludos,
David



El 4 de noviembre de 2013 18:47, angel jauregui
escribió:

> Buenas.
>
> Estoy implementando limitaciones en la red, el objetivo es quitar acceso a
> Redes Sociales, en primera instancia tengo SQUID que logra tapar el acceso
> a los sitios mediante http.
>
> El problema es que si los sitios tienes HTTPS, este es accesible
>
> En este caso http://facebook.com esta denegad por Squid.
> Pero al poner https://facebook.com entra exitosamente.
>
> La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta regla que
> me esta haceindo cumplir el objetivo "En parte":
>
> iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> 173.252.64.0-173.252.127.255 -j REJECT
>
> Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de facebook.
>
> El problema *ahora radica* en que no logro hacer que ciertas IPs Locales
> (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
>
> Intente ANTEponiendo esta regla:
>
> iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange --dst-range
> 173.252.64.0-173.252.127.255 -j ACCEPT
>
> Pero aun asi, se sigue bloqueando el sitio :S
>
> *shell# iptables -L -n*
> REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
> destination IP range 173.252.64.0-173.252.127.255 reject-with
> icmp-port-unreachable
> ACCEPT tcp  --  10.1.0.150   0.0.0.0/0   tcp
> destination IP range 173.252.64.0-173.252.127.255
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.ca...@sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es


[CentOS-es] Instalar hardware puerto serial com

2013-11-05 Por tema KIKE CARDENAS
Les agradeceria me ayuden a configurar un nuevo puerto serial en un servidor 
ibm x3400
lo necesito para instalar una impresora para un sistema de facturacion

Muchas gracias de antemano por la ayuda que me puedan brindar

mi tarjeta es PCI de la marca pctronix

Enrique Cárdenas
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es


Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

2013-11-05 Por tema angel jauregui
@David asi tengo la denegacion tambien, pero si el usuario cambia a "https"
la pagina ya no es bloqueada, se brinca el filtro.

Esto mas que nada porque en IPTables la regla indica que cualquier cosa que
va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya no se
aplica la regla.

Ahora no puedo quitar el puerto https y forzar solo http, ya que existen
paginas de gobierno que requieren https, y se me vendria el mundo encima :S.

Estoy intentando con estas reglas, ustedes que opinan:

*# dar acceso a facebook para una ip fija*
shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK -j
ACCEPT

*# quitar acceso facebook para cualquiera del segmento*
shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK -j
REJECT

Saludos !


El 5 de noviembre de 2013 05:08, David González Romero
escribió:

> Tu has probado esta opción en Squid?
>
> acl denys url_regex "/etc/squid/denys"
> Donde
> /etc/squid/denys contiene:
> facebook
> twitter
> .
> Y luego
> http_access deny restric
>
> Al menos así me funciona a mi.
>
>
> Otra opcion sería comentar la línea "acl SSL_ports port 443" para evitar
> conexiones por el 443...
>
>
>
>
> Saludos,
> David
>
>
>
> El 4 de noviembre de 2013 18:47, angel jauregui
> escribió:
>
> > Buenas.
> >
> > Estoy implementando limitaciones en la red, el objetivo es quitar acceso
> a
> > Redes Sociales, en primera instancia tengo SQUID que logra tapar el
> acceso
> > a los sitios mediante http.
> >
> > El problema es que si los sitios tienes HTTPS, este es accesible
> >
> > En este caso http://facebook.com esta denegad por Squid.
> > Pero al poner https://facebook.com entra exitosamente.
> >
> > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta regla
> que
> > me esta haceindo cumplir el objetivo "En parte":
> >
> > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> > 173.252.64.0-173.252.127.255 -j REJECT
> >
> > Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de facebook.
> >
> > El problema *ahora radica* en que no logro hacer que ciertas IPs Locales
> > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> >
> > Intente ANTEponiendo esta regla:
> >
> > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange --dst-range
> > 173.252.64.0-173.252.127.255 -j ACCEPT
> >
> > Pero aun asi, se sigue bloqueando el sitio :S
> >
> > *shell# iptables -L -n*
> > REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
> > destination IP range 173.252.64.0-173.252.127.255 reject-with
> > icmp-port-unreachable
> > ACCEPT tcp  --  10.1.0.150   0.0.0.0/0   tcp
> > destination IP range 173.252.64.0-173.252.127.255
> >
> > --
> > M.S.I. Angel Haniel Cantu Jauregui.
> >
> > Celular: (011-52-1)-899-871-17-22
> > E-Mail: angel.ca...@sie-group.net
> > Web: http://www.sie-group.net/
> > Cd. Reynosa Tamaulipas.
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.ca...@sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es


Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

2013-11-05 Por tema angel jauregui
El CID lo tomo de aqui:

shell# host facebook.com
Ip_de_Face_book

shell# whois Ip_de_Face_book
CID Ip_del_seg_mento/mask

Saludos !


El 5 de noviembre de 2013 08:34, angel jauregui
escribió:

> @David asi tengo la denegacion tambien, pero si el usuario cambia a
> "https" la pagina ya no es bloqueada, se brinca el filtro.
>
> Esto mas que nada porque en IPTables la regla indica que cualquier cosa
> que va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya
> no se aplica la regla.
>
> Ahora no puedo quitar el puerto https y forzar solo http, ya que existen
> paginas de gobierno que requieren https, y se me vendria el mundo encima :S.
>
> Estoy intentando con estas reglas, ustedes que opinan:
>
> *# dar acceso a facebook para una ip fija*
> shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK -j
> ACCEPT
>
> *# quitar acceso facebook para cualquiera del segmento*
> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK -j
> REJECT
>
> Saludos !
>
>
> El 5 de noviembre de 2013 05:08, David González Romero <
> dgrved...@gmail.com> escribió:
>
> Tu has probado esta opción en Squid?
>>
>> acl denys url_regex "/etc/squid/denys"
>> Donde
>> /etc/squid/denys contiene:
>> facebook
>> twitter
>> .
>> Y luego
>> http_access deny restric
>>
>> Al menos así me funciona a mi.
>>
>>
>> Otra opcion sería comentar la línea "acl SSL_ports port 443" para evitar
>> conexiones por el 443...
>>
>>
>>
>>
>> Saludos,
>> David
>>
>>
>>
>> El 4 de noviembre de 2013 18:47, angel jauregui
>> escribió:
>>
>> > Buenas.
>> >
>> > Estoy implementando limitaciones en la red, el objetivo es quitar
>> acceso a
>> > Redes Sociales, en primera instancia tengo SQUID que logra tapar el
>> acceso
>> > a los sitios mediante http.
>> >
>> > El problema es que si los sitios tienes HTTPS, este es accesible
>> >
>> > En este caso http://facebook.com esta denegad por Squid.
>> > Pero al poner https://facebook.com entra exitosamente.
>> >
>> > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta regla
>> que
>> > me esta haceindo cumplir el objetivo "En parte":
>> >
>> > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
>> > 173.252.64.0-173.252.127.255 -j REJECT
>> >
>> > Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de facebook.
>> >
>> > El problema *ahora radica* en que no logro hacer que ciertas IPs Locales
>> > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
>> >
>> > Intente ANTEponiendo esta regla:
>> >
>> > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
>> --dst-range
>> > 173.252.64.0-173.252.127.255 -j ACCEPT
>> >
>> > Pero aun asi, se sigue bloqueando el sitio :S
>> >
>> > *shell# iptables -L -n*
>> > REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
>> > destination IP range 173.252.64.0-173.252.127.255 reject-with
>> > icmp-port-unreachable
>> > ACCEPT tcp  --  10.1.0.150   0.0.0.0/0   tcp
>> > destination IP range 173.252.64.0-173.252.127.255
>> >
>> > --
>> > M.S.I. Angel Haniel Cantu Jauregui.
>> >
>> > Celular: (011-52-1)-899-871-17-22
>> > E-Mail: angel.ca...@sie-group.net
>> > Web: http://www.sie-group.net/
>> > Cd. Reynosa Tamaulipas.
>> > ___
>> > CentOS-es mailing list
>> > CentOS-es@centos.org
>> > http://lists.centos.org/mailman/listinfo/centos-es
>> >
>> ___
>> CentOS-es mailing list
>> CentOS-es@centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.ca...@sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.ca...@sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es


Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

2013-11-05 Por tema Ramón Macías Zamora
Yo creo que la solución ahí es forzar a que los usuarios configuren el
proxy en vez de usar proxy transparente que sólo funciona para http y no
para https.

Saludos

--



Ramón Macías Zamora
Tecnología, Investigación y Desarrollo
www.rks.ec - www.raykasolutions.com
Guayaquil - Ecuador
msn:ramon_mac...@hotmail.com
skype:  ramon_macias
UserLinux# 180926 (http://counter.li.org)
Cel:593-8-0192238
Tel:593 4 6044566




WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES
LINUX, SOPORTE.


2013/11/5 angel jauregui 

> @David asi tengo la denegacion tambien, pero si el usuario cambia a "https"
> la pagina ya no es bloqueada, se brinca el filtro.
>
> Esto mas que nada porque en IPTables la regla indica que cualquier cosa que
> va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya no se
> aplica la regla.
>
> Ahora no puedo quitar el puerto https y forzar solo http, ya que existen
> paginas de gobierno que requieren https, y se me vendria el mundo encima
> :S.
>
> Estoy intentando con estas reglas, ustedes que opinan:
>
> *# dar acceso a facebook para una ip fija*
> shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK -j
> ACCEPT
>
> *# quitar acceso facebook para cualquiera del segmento*
> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK -j
> REJECT
>
> Saludos !
>
>
> El 5 de noviembre de 2013 05:08, David González Romero
> escribió:
>
> > Tu has probado esta opción en Squid?
> >
> > acl denys url_regex "/etc/squid/denys"
> > Donde
> > /etc/squid/denys contiene:
> > facebook
> > twitter
> > .
> > Y luego
> > http_access deny restric
> >
> > Al menos así me funciona a mi.
> >
> >
> > Otra opcion sería comentar la línea "acl SSL_ports port 443" para evitar
> > conexiones por el 443...
> >
> >
> >
> >
> > Saludos,
> > David
> >
> >
> >
> > El 4 de noviembre de 2013 18:47, angel jauregui
> > escribió:
> >
> > > Buenas.
> > >
> > > Estoy implementando limitaciones en la red, el objetivo es quitar
> acceso
> > a
> > > Redes Sociales, en primera instancia tengo SQUID que logra tapar el
> > acceso
> > > a los sitios mediante http.
> > >
> > > El problema es que si los sitios tienes HTTPS, este es accesible
> > >
> > > En este caso http://facebook.com esta denegad por Squid.
> > > Pero al poner https://facebook.com entra exitosamente.
> > >
> > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta regla
> > que
> > > me esta haceindo cumplir el objetivo "En parte":
> > >
> > > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> > > 173.252.64.0-173.252.127.255 -j REJECT
> > >
> > > Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de facebook.
> > >
> > > El problema *ahora radica* en que no logro hacer que ciertas IPs
> Locales
> > > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> > >
> > > Intente ANTEponiendo esta regla:
> > >
> > > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
> --dst-range
> > > 173.252.64.0-173.252.127.255 -j ACCEPT
> > >
> > > Pero aun asi, se sigue bloqueando el sitio :S
> > >
> > > *shell# iptables -L -n*
> > > REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
> > > destination IP range 173.252.64.0-173.252.127.255 reject-with
> > > icmp-port-unreachable
> > > ACCEPT tcp  --  10.1.0.150   0.0.0.0/0   tcp
> > > destination IP range 173.252.64.0-173.252.127.255
> > >
> > > --
> > > M.S.I. Angel Haniel Cantu Jauregui.
> > >
> > > Celular: (011-52-1)-899-871-17-22
> > > E-Mail: angel.ca...@sie-group.net
> > > Web: http://www.sie-group.net/
> > > Cd. Reynosa Tamaulipas.
> > > ___
> > > CentOS-es mailing list
> > > CentOS-es@centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.ca...@sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es


Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

2013-11-05 Por tema César Martinez
Acá Epe publicó algo muy sencillo, comentanos si te funcionó

http://www.ecualug.org/?q=2012/05/23/comos/centos6_%C2%BFc%C3%B3mo_bloquear_facebook_con_iptables

Cordialmente
  
César Martínez Mora
Ingeniero de Sistemas
SERVICOM
User Linux 494131
  
Números Convencionales 02-2554-271 02-2221-386
Extensión 4501
Móvil 09-99374-317
Usa (315) 519-7220
Email & Msn cmarti...@servicomecuador.com
Skype servicomecuador
Web www.servicomecuador.com
Síguenos en
Twitter: http://twitter.com/servicomecuador
Facebook: http://www.facebook.com/servicomec
Zona Clientes: www.servicomecuador.com/billing
Blog: http://servicomecuador.com/blog
  
Dir. Av. 10 de Agosto N29-140 Entre
Acuña y  Cuero y Caicedo Edificio Vivanco Castillo
2do. Piso Oficina 201
Quito - Ecuador - Sudamérica
  
=
  
Cláusula de Confidencialidad
La información contenida en este e-mail es confidencial y solo puede ser 
utilizada por la persona a la
cual esta dirigida.Si Usted no es el receptor autorizado, cualquier retención, 
difusión, distribución o copia
de este mensaje es prohibida y sancionada por la ley. Si por error recibe este 
mensaje,  por favor reenviarlo
al remitente y borre el mensaje recibido inmediatamente.
=

On 05/11/13 09:36, angel jauregui wrote:
> El CID lo tomo de aqui:
>
> shell# host facebook.com
> Ip_de_Face_book
>
> shell# whois Ip_de_Face_book
> CID Ip_del_seg_mento/mask
>
> Saludos !
>
>
> El 5 de noviembre de 2013 08:34, angel jauregui
> escribió:
>
>> @David asi tengo la denegacion tambien, pero si el usuario cambia a
>> "https" la pagina ya no es bloqueada, se brinca el filtro.
>>
>> Esto mas que nada porque en IPTables la regla indica que cualquier cosa
>> que va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya
>> no se aplica la regla.
>>
>> Ahora no puedo quitar el puerto https y forzar solo http, ya que existen
>> paginas de gobierno que requieren https, y se me vendria el mundo encima :S.
>>
>> Estoy intentando con estas reglas, ustedes que opinan:
>>
>> *# dar acceso a facebook para una ip fija*
>> shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK -j
>> ACCEPT
>>
>> *# quitar acceso facebook para cualquiera del segmento*
>> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK -j
>> REJECT
>>
>> Saludos !
>>
>>
>> El 5 de noviembre de 2013 05:08, David González Romero <
>> dgrved...@gmail.com> escribió:
>>
>> Tu has probado esta opción en Squid?
>>> acl denys url_regex "/etc/squid/denys"
>>> Donde
>>> /etc/squid/denys contiene:
>>> facebook
>>> twitter
>>> .
>>> Y luego
>>> http_access deny restric
>>>
>>> Al menos así me funciona a mi.
>>>
>>>
>>> Otra opcion sería comentar la línea "acl SSL_ports port 443" para evitar
>>> conexiones por el 443...
>>>
>>>
>>>
>>>
>>> Saludos,
>>> David
>>>
>>>
>>>
>>> El 4 de noviembre de 2013 18:47, angel jauregui
>>> escribió:
>>>
 Buenas.

 Estoy implementando limitaciones en la red, el objetivo es quitar
>>> acceso a
 Redes Sociales, en primera instancia tengo SQUID que logra tapar el
>>> acceso
 a los sitios mediante http.

 El problema es que si los sitios tienes HTTPS, este es accesible

 En este caso http://facebook.com esta denegad por Squid.
 Pero al poner https://facebook.com entra exitosamente.

 La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta regla
>>> que
 me esta haceindo cumplir el objetivo "En parte":

 iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
 173.252.64.0-173.252.127.255 -j REJECT

 Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de facebook.

 El problema *ahora radica* en que no logro hacer que ciertas IPs Locales
 (privilegiada - jefes) SI puedan acceder a redes sociales :S !.

 Intente ANTEponiendo esta regla:

 iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
>>> --dst-range
 173.252.64.0-173.252.127.255 -j ACCEPT

 Pero aun asi, se sigue bloqueando el sitio :S

 *shell# iptables -L -n*
 REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
 destination IP range 173.252.64.0-173.252.127.255 reject-with
 icmp-port-unreachable
 ACCEPT tcp  --  10.1.0.150   0.0.0.0/0   tcp
 destination IP range 173.252.64.0-173.252.127.255

 --
 M.S.I. Angel Haniel Cantu Jauregui.

 Celular: (011-52-1)-899-871-17-22
 E-Mail: angel.ca...@sie-group.net
 Web: http://www.sie-group.net/
 Cd. Reynosa Tamaulipas.
 ___
 CentOS-es mailing list
 CentOS-es@centos.org
 http://lists.centos.org/mailman/listinfo/centos-es

>>> ___
>>> CentOS-es mailing list
>>> CentOS-es@centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>
>>
>>
>> --
>> M.S.I. Angel Haniel Cantu

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

2013-11-05 Por tema David González Romero
O lo otro es denegar por dominio

acl fb_cia dts_domain "/etc/squid/domains"
Y en domains
facebook.com
twitter.com
.


El 5 de noviembre de 2013 11:38, Ramón Macías Zamora escribió:

> Yo creo que la solución ahí es forzar a que los usuarios configuren el
> proxy en vez de usar proxy transparente que sólo funciona para http y no
> para https.
>
> Saludos
>
> --
>
>
>
> Ramón Macías Zamora
> Tecnología, Investigación y Desarrollo
> www.rks.ec - www.raykasolutions.com
> Guayaquil - Ecuador
> msn:ramon_mac...@hotmail.com
> skype:  ramon_macias
> UserLinux# 180926 (http://counter.li.org)
> Cel:593-8-0192238
> Tel:593 4 6044566
>
> 
>
>
> WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES
> LINUX, SOPORTE.
>
>
> 2013/11/5 angel jauregui 
>
> > @David asi tengo la denegacion tambien, pero si el usuario cambia a
> "https"
> > la pagina ya no es bloqueada, se brinca el filtro.
> >
> > Esto mas que nada porque en IPTables la regla indica que cualquier cosa
> que
> > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya no
> se
> > aplica la regla.
> >
> > Ahora no puedo quitar el puerto https y forzar solo http, ya que existen
> > paginas de gobierno que requieren https, y se me vendria el mundo encima
> > :S.
> >
> > Estoy intentando con estas reglas, ustedes que opinan:
> >
> > *# dar acceso a facebook para una ip fija*
> > shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK -j
> > ACCEPT
> >
> > *# quitar acceso facebook para cualquiera del segmento*
> > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK
> -j
> > REJECT
> >
> > Saludos !
> >
> >
> > El 5 de noviembre de 2013 05:08, David González Romero
> > escribió:
> >
> > > Tu has probado esta opción en Squid?
> > >
> > > acl denys url_regex "/etc/squid/denys"
> > > Donde
> > > /etc/squid/denys contiene:
> > > facebook
> > > twitter
> > > .
> > > Y luego
> > > http_access deny restric
> > >
> > > Al menos así me funciona a mi.
> > >
> > >
> > > Otra opcion sería comentar la línea "acl SSL_ports port 443" para
> evitar
> > > conexiones por el 443...
> > >
> > >
> > >
> > >
> > > Saludos,
> > > David
> > >
> > >
> > >
> > > El 4 de noviembre de 2013 18:47, angel jauregui
> > > escribió:
> > >
> > > > Buenas.
> > > >
> > > > Estoy implementando limitaciones en la red, el objetivo es quitar
> > acceso
> > > a
> > > > Redes Sociales, en primera instancia tengo SQUID que logra tapar el
> > > acceso
> > > > a los sitios mediante http.
> > > >
> > > > El problema es que si los sitios tienes HTTPS, este es accesible
> > > >
> > > > En este caso http://facebook.com esta denegad por Squid.
> > > > Pero al poner https://facebook.com entra exitosamente.
> > > >
> > > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta
> regla
> > > que
> > > > me esta haceindo cumplir el objetivo "En parte":
> > > >
> > > > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> > > > 173.252.64.0-173.252.127.255 -j REJECT
> > > >
> > > > Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
> facebook.
> > > >
> > > > El problema *ahora radica* en que no logro hacer que ciertas IPs
> > Locales
> > > > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> > > >
> > > > Intente ANTEponiendo esta regla:
> > > >
> > > > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
> > --dst-range
> > > > 173.252.64.0-173.252.127.255 -j ACCEPT
> > > >
> > > > Pero aun asi, se sigue bloqueando el sitio :S
> > > >
> > > > *shell# iptables -L -n*
> > > > REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
> > > > destination IP range 173.252.64.0-173.252.127.255 reject-with
> > > > icmp-port-unreachable
> > > > ACCEPT tcp  --  10.1.0.150   0.0.0.0/0   tcp
> > > > destination IP range 173.252.64.0-173.252.127.255
> > > >
> > > > --
> > > > M.S.I. Angel Haniel Cantu Jauregui.
> > > >
> > > > Celular: (011-52-1)-899-871-17-22
> > > > E-Mail: angel.ca...@sie-group.net
> > > > Web: http://www.sie-group.net/
> > > > Cd. Reynosa Tamaulipas.
> > > > ___
> > > > CentOS-es mailing list
> > > > CentOS-es@centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > >
> > > ___
> > > CentOS-es mailing list
> > > CentOS-es@centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> >
> >
> >
> > --
> > M.S.I. Angel Haniel Cantu Jauregui.
> >
> > Celular: (011-52-1)-899-871-17-22
> > E-Mail: angel.ca...@sie-group.net
> > Web: http://www.sie-group.net/
> > Cd. Reynosa Tamaulipas.
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

2013-11-05 Por tema angel jauregui
@Ramon no entiendo cuando mencionas "forzar a que los usuarios configuren
el proxy" ???

Los usuarios no tienen que configurar nada, ya que por consecuencia el GW
que se les asigna es el del proxy, el proxy en si actua como
Proxy+Router+firewall.

No entendi :S

Saludos !


El 5 de noviembre de 2013 08:38, Ramón Macías Zamora escribió:

> Yo creo que la solución ahí es forzar a que los usuarios configuren el
> proxy en vez de usar proxy transparente que sólo funciona para http y no
> para https.
>
> Saludos
>
> --
>
>
>
> Ramón Macías Zamora
> Tecnología, Investigación y Desarrollo
> www.rks.ec - www.raykasolutions.com
> Guayaquil - Ecuador
> msn:ramon_mac...@hotmail.com
> skype:  ramon_macias
> UserLinux# 180926 (http://counter.li.org)
> Cel:593-8-0192238
> Tel:593 4 6044566
>
> 
>
>
> WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES
> LINUX, SOPORTE.
>
>
> 2013/11/5 angel jauregui 
>
> > @David asi tengo la denegacion tambien, pero si el usuario cambia a
> "https"
> > la pagina ya no es bloqueada, se brinca el filtro.
> >
> > Esto mas que nada porque en IPTables la regla indica que cualquier cosa
> que
> > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya no
> se
> > aplica la regla.
> >
> > Ahora no puedo quitar el puerto https y forzar solo http, ya que existen
> > paginas de gobierno que requieren https, y se me vendria el mundo encima
> > :S.
> >
> > Estoy intentando con estas reglas, ustedes que opinan:
> >
> > *# dar acceso a facebook para una ip fija*
> > shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK -j
> > ACCEPT
> >
> > *# quitar acceso facebook para cualquiera del segmento*
> > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK
> -j
> > REJECT
> >
> > Saludos !
> >
> >
> > El 5 de noviembre de 2013 05:08, David González Romero
> > escribió:
> >
> > > Tu has probado esta opción en Squid?
> > >
> > > acl denys url_regex "/etc/squid/denys"
> > > Donde
> > > /etc/squid/denys contiene:
> > > facebook
> > > twitter
> > > .
> > > Y luego
> > > http_access deny restric
> > >
> > > Al menos así me funciona a mi.
> > >
> > >
> > > Otra opcion sería comentar la línea "acl SSL_ports port 443" para
> evitar
> > > conexiones por el 443...
> > >
> > >
> > >
> > >
> > > Saludos,
> > > David
> > >
> > >
> > >
> > > El 4 de noviembre de 2013 18:47, angel jauregui
> > > escribió:
> > >
> > > > Buenas.
> > > >
> > > > Estoy implementando limitaciones en la red, el objetivo es quitar
> > acceso
> > > a
> > > > Redes Sociales, en primera instancia tengo SQUID que logra tapar el
> > > acceso
> > > > a los sitios mediante http.
> > > >
> > > > El problema es que si los sitios tienes HTTPS, este es accesible
> > > >
> > > > En este caso http://facebook.com esta denegad por Squid.
> > > > Pero al poner https://facebook.com entra exitosamente.
> > > >
> > > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta
> regla
> > > que
> > > > me esta haceindo cumplir el objetivo "En parte":
> > > >
> > > > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> > > > 173.252.64.0-173.252.127.255 -j REJECT
> > > >
> > > > Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
> facebook.
> > > >
> > > > El problema *ahora radica* en que no logro hacer que ciertas IPs
> > Locales
> > > > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> > > >
> > > > Intente ANTEponiendo esta regla:
> > > >
> > > > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
> > --dst-range
> > > > 173.252.64.0-173.252.127.255 -j ACCEPT
> > > >
> > > > Pero aun asi, se sigue bloqueando el sitio :S
> > > >
> > > > *shell# iptables -L -n*
> > > > REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
> > > > destination IP range 173.252.64.0-173.252.127.255 reject-with
> > > > icmp-port-unreachable
> > > > ACCEPT tcp  --  10.1.0.150   0.0.0.0/0   tcp
> > > > destination IP range 173.252.64.0-173.252.127.255
> > > >
> > > > --
> > > > M.S.I. Angel Haniel Cantu Jauregui.
> > > >
> > > > Celular: (011-52-1)-899-871-17-22
> > > > E-Mail: angel.ca...@sie-group.net
> > > > Web: http://www.sie-group.net/
> > > > Cd. Reynosa Tamaulipas.
> > > > ___
> > > > CentOS-es mailing list
> > > > CentOS-es@centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > >
> > > ___
> > > CentOS-es mailing list
> > > CentOS-es@centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> >
> >
> >
> > --
> > M.S.I. Angel Haniel Cantu Jauregui.
> >
> > Celular: (011-52-1)-899-871-17-22
> > E-Mail: angel.ca...@sie-group.net
> > Web: http://www.sie-group.net/
> > Cd. Reynosa Tamaulipas.
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

2013-11-05 Por tema angel jauregui
@David pero como atiendo el HTTPS ?... si mando las peticiones del 443 al
3128 no se consibe el certificado :S... Digo, porque hay IPs Fijas que si
pueden navegar libremente.

No he configurado nunca Squid para https, solo http.

Saludos !


El 5 de noviembre de 2013 08:45, David González Romero
escribió:

> O lo otro es denegar por dominio
>
> acl fb_cia dts_domain "/etc/squid/domains"
> Y en domains
> facebook.com
> twitter.com
> .
>
>
> El 5 de noviembre de 2013 11:38, Ramón Macías Zamora  >escribió:
>
> > Yo creo que la solución ahí es forzar a que los usuarios configuren el
> > proxy en vez de usar proxy transparente que sólo funciona para http y no
> > para https.
> >
> > Saludos
> >
> > --
> >
> >
> >
> > Ramón Macías Zamora
> > Tecnología, Investigación y Desarrollo
> > www.rks.ec - www.raykasolutions.com
> > Guayaquil - Ecuador
> > msn:ramon_mac...@hotmail.com
> > skype:  ramon_macias
> > UserLinux# 180926 (http://counter.li.org)
> > Cel:593-8-0192238
> > Tel:593 4 6044566
> >
> > 
> >
> >
> > WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES,
> SERVIDORES
> > LINUX, SOPORTE.
> >
> >
> > 2013/11/5 angel jauregui 
> >
> > > @David asi tengo la denegacion tambien, pero si el usuario cambia a
> > "https"
> > > la pagina ya no es bloqueada, se brinca el filtro.
> > >
> > > Esto mas que nada porque en IPTables la regla indica que cualquier cosa
> > que
> > > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya
> no
> > se
> > > aplica la regla.
> > >
> > > Ahora no puedo quitar el puerto https y forzar solo http, ya que
> existen
> > > paginas de gobierno que requieren https, y se me vendria el mundo
> encima
> > > :S.
> > >
> > > Estoy intentando con estas reglas, ustedes que opinan:
> > >
> > > *# dar acceso a facebook para una ip fija*
> > > shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK
> -j
> > > ACCEPT
> > >
> > > *# quitar acceso facebook para cualquiera del segmento*
> > > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK
> > -j
> > > REJECT
> > >
> > > Saludos !
> > >
> > >
> > > El 5 de noviembre de 2013 05:08, David González Romero
> > > escribió:
> > >
> > > > Tu has probado esta opción en Squid?
> > > >
> > > > acl denys url_regex "/etc/squid/denys"
> > > > Donde
> > > > /etc/squid/denys contiene:
> > > > facebook
> > > > twitter
> > > > .
> > > > Y luego
> > > > http_access deny restric
> > > >
> > > > Al menos así me funciona a mi.
> > > >
> > > >
> > > > Otra opcion sería comentar la línea "acl SSL_ports port 443" para
> > evitar
> > > > conexiones por el 443...
> > > >
> > > >
> > > >
> > > >
> > > > Saludos,
> > > > David
> > > >
> > > >
> > > >
> > > > El 4 de noviembre de 2013 18:47, angel jauregui
> > > > escribió:
> > > >
> > > > > Buenas.
> > > > >
> > > > > Estoy implementando limitaciones en la red, el objetivo es quitar
> > > acceso
> > > > a
> > > > > Redes Sociales, en primera instancia tengo SQUID que logra tapar el
> > > > acceso
> > > > > a los sitios mediante http.
> > > > >
> > > > > El problema es que si los sitios tienes HTTPS, este es
> accesible
> > > > >
> > > > > En este caso http://facebook.com esta denegad por Squid.
> > > > > Pero al poner https://facebook.com entra exitosamente.
> > > > >
> > > > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta
> > regla
> > > > que
> > > > > me esta haceindo cumplir el objetivo "En parte":
> > > > >
> > > > > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> > > > > 173.252.64.0-173.252.127.255 -j REJECT
> > > > >
> > > > > Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
> > facebook.
> > > > >
> > > > > El problema *ahora radica* en que no logro hacer que ciertas IPs
> > > Locales
> > > > > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> > > > >
> > > > > Intente ANTEponiendo esta regla:
> > > > >
> > > > > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
> > > --dst-range
> > > > > 173.252.64.0-173.252.127.255 -j ACCEPT
> > > > >
> > > > > Pero aun asi, se sigue bloqueando el sitio :S
> > > > >
> > > > > *shell# iptables -L -n*
> > > > > REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
> > > > > destination IP range 173.252.64.0-173.252.127.255 reject-with
> > > > > icmp-port-unreachable
> > > > > ACCEPT tcp  --  10.1.0.150   0.0.0.0/0   tcp
> > > > > destination IP range 173.252.64.0-173.252.127.255
> > > > >
> > > > > --
> > > > > M.S.I. Angel Haniel Cantu Jauregui.
> > > > >
> > > > > Celular: (011-52-1)-899-871-17-22
> > > > > E-Mail: angel.ca...@sie-group.net
> > > > > Web: http://www.sie-group.net/
> > > > > Cd. Reynosa Tamaulipas.
> > > > > ___
> > > > > CentOS-es mailing list
> > > > > CentOS-es@centos.org
> > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > >
> > > > ___
> > 

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

2013-11-05 Por tema angel jauregui
@Cesar va por iptables :D, solo que el comando es algo distinto... lo
probare !


El 5 de noviembre de 2013 08:44, César Martinez <
cmarti...@servicomecuador.com> escribió:

> Acá Epe publicó algo muy sencillo, comentanos si te funcionó
>
>
> http://www.ecualug.org/?q=2012/05/23/comos/centos6_%C2%BFc%C3%B3mo_bloquear_facebook_con_iptables
>
> Cordialmente
>
> César Martínez Mora
> Ingeniero de Sistemas
> SERVICOM
> User Linux 494131
>
> Números Convencionales 02-2554-271 02-2221-386
> Extensión 4501
> Móvil 09-99374-317
> Usa (315) 519-7220
> Email & Msn cmarti...@servicomecuador.com
> Skype servicomecuador
> Web www.servicomecuador.com
> Síguenos en
> Twitter: http://twitter.com/servicomecuador
> Facebook: http://www.facebook.com/servicomec
> Zona Clientes: www.servicomecuador.com/billing
> Blog: http://servicomecuador.com/blog
>
> Dir. Av. 10 de Agosto N29-140 Entre
> Acuña y  Cuero y Caicedo Edificio Vivanco Castillo
> 2do. Piso Oficina 201
> Quito - Ecuador - Sudamérica
>
> =
>
> Cláusula de Confidencialidad
> La información contenida en este e-mail es confidencial y solo puede ser
> utilizada por la persona a la
> cual esta dirigida.Si Usted no es el receptor autorizado, cualquier
> retención, difusión, distribución o copia
> de este mensaje es prohibida y sancionada por la ley. Si por error recibe
> este mensaje,  por favor reenviarlo
> al remitente y borre el mensaje recibido inmediatamente.
> =
>
> On 05/11/13 09:36, angel jauregui wrote:
> > El CID lo tomo de aqui:
> >
> > shell# host facebook.com
> > Ip_de_Face_book
> >
> > shell# whois Ip_de_Face_book
> > CID Ip_del_seg_mento/mask
> >
> > Saludos !
> >
> >
> > El 5 de noviembre de 2013 08:34, angel jauregui
> > escribió:
> >
> >> @David asi tengo la denegacion tambien, pero si el usuario cambia a
> >> "https" la pagina ya no es bloqueada, se brinca el filtro.
> >>
> >> Esto mas que nada porque en IPTables la regla indica que cualquier cosa
> >> que va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS,
> ya
> >> no se aplica la regla.
> >>
> >> Ahora no puedo quitar el puerto https y forzar solo http, ya que existen
> >> paginas de gobierno que requieren https, y se me vendria el mundo
> encima :S.
> >>
> >> Estoy intentando con estas reglas, ustedes que opinan:
> >>
> >> *# dar acceso a facebook para una ip fija*
> >> shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK -j
> >> ACCEPT
> >>
> >> *# quitar acceso facebook para cualquiera del segmento*
> >> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK
> -j
> >> REJECT
> >>
> >> Saludos !
> >>
> >>
> >> El 5 de noviembre de 2013 05:08, David González Romero <
> >> dgrved...@gmail.com> escribió:
> >>
> >> Tu has probado esta opción en Squid?
> >>> acl denys url_regex "/etc/squid/denys"
> >>> Donde
> >>> /etc/squid/denys contiene:
> >>> facebook
> >>> twitter
> >>> .
> >>> Y luego
> >>> http_access deny restric
> >>>
> >>> Al menos así me funciona a mi.
> >>>
> >>>
> >>> Otra opcion sería comentar la línea "acl SSL_ports port 443" para
> evitar
> >>> conexiones por el 443...
> >>>
> >>>
> >>>
> >>>
> >>> Saludos,
> >>> David
> >>>
> >>>
> >>>
> >>> El 4 de noviembre de 2013 18:47, angel jauregui
> >>> escribió:
> >>>
>  Buenas.
> 
>  Estoy implementando limitaciones en la red, el objetivo es quitar
> >>> acceso a
>  Redes Sociales, en primera instancia tengo SQUID que logra tapar el
> >>> acceso
>  a los sitios mediante http.
> 
>  El problema es que si los sitios tienes HTTPS, este es accesible
> 
>  En este caso http://facebook.com esta denegad por Squid.
>  Pero al poner https://facebook.com entra exitosamente.
> 
>  La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta regla
> >>> que
>  me esta haceindo cumplir el objetivo "En parte":
> 
>  iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
>  173.252.64.0-173.252.127.255 -j REJECT
> 
>  Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
> facebook.
> 
>  El problema *ahora radica* en que no logro hacer que ciertas IPs
> Locales
>  (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> 
>  Intente ANTEponiendo esta regla:
> 
>  iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
> >>> --dst-range
>  173.252.64.0-173.252.127.255 -j ACCEPT
> 
>  Pero aun asi, se sigue bloqueando el sitio :S
> 
>  *shell# iptables -L -n*
>  REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
>  destination IP range 173.252.64.0-173.252.127.255 reject-with
>  icmp-port-unreachable
>  ACCEPT tcp  --  10.1.0.150   0.0.0.0/0   tcp
>  destination IP range 173.252.64.0-173.252.127.255
> 
>  --
>  M.S.I. Angel Haniel Cantu Jauregui.
> 
>  Celular: (011-52-1)-899-871-17-22
> 

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

2013-11-05 Por tema César Martínez
El link que te envie bloquea por iptables 
--
Saludos

César Martinez Mora
Ingeniero de Sistemas
Servicom

Enviado desde mi mobile Samsung galaxy

angel jauregui  escribió:
>@Cesar va por iptables :D, solo que el comando es algo distinto... lo
>probare !
>
>
>El 5 de noviembre de 2013 08:44, César Martinez <
>cmarti...@servicomecuador.com> escribió:
>
>> Acá Epe publicó algo muy sencillo, comentanos si te funcionó
>>
>>
>>
>http://www.ecualug.org/?q=2012/05/23/comos/centos6_%C2%BFc%C3%B3mo_bloquear_facebook_con_iptables
>>
>> Cordialmente
>>
>> César Martínez Mora
>> Ingeniero de Sistemas
>> SERVICOM
>> User Linux 494131
>>
>> Números Convencionales 02-2554-271 02-2221-386
>> Extensión 4501
>> Móvil 09-99374-317
>> Usa (315) 519-7220
>> Email & Msn cmarti...@servicomecuador.com
>> Skype servicomecuador
>> Web www.servicomecuador.com
>> Síguenos en
>> Twitter: http://twitter.com/servicomecuador
>> Facebook: http://www.facebook.com/servicomec
>> Zona Clientes: www.servicomecuador.com/billing
>> Blog: http://servicomecuador.com/blog
>>
>> Dir. Av. 10 de Agosto N29-140 Entre
>> Acuña y  Cuero y Caicedo Edificio Vivanco Castillo
>> 2do. Piso Oficina 201
>> Quito - Ecuador - Sudamérica
>>
>> =
>>
>> Cláusula de Confidencialidad
>> La información contenida en este e-mail es confidencial y solo puede
>ser
>> utilizada por la persona a la
>> cual esta dirigida.Si Usted no es el receptor autorizado, cualquier
>> retención, difusión, distribución o copia
>> de este mensaje es prohibida y sancionada por la ley. Si por error
>recibe
>> este mensaje,  por favor reenviarlo
>> al remitente y borre el mensaje recibido inmediatamente.
>> =
>>
>> On 05/11/13 09:36, angel jauregui wrote:
>> > El CID lo tomo de aqui:
>> >
>> > shell# host facebook.com
>> > Ip_de_Face_book
>> >
>> > shell# whois Ip_de_Face_book
>> > CID Ip_del_seg_mento/mask
>> >
>> > Saludos !
>> >
>> >
>> > El 5 de noviembre de 2013 08:34, angel jauregui
>> > escribió:
>> >
>> >> @David asi tengo la denegacion tambien, pero si el usuario cambia
>a
>> >> "https" la pagina ya no es bloqueada, se brinca el filtro.
>> >>
>> >> Esto mas que nada porque en IPTables la regla indica que cualquier
>cosa
>> >> que va al 80 se rediriga al 3128 (puerto squid), y al cambiar a
>HTTPS,
>> ya
>> >> no se aplica la regla.
>> >>
>> >> Ahora no puedo quitar el puerto https y forzar solo http, ya que
>existen
>> >> paginas de gobierno que requieren https, y se me vendria el mundo
>> encima :S.
>> >>
>> >> Estoy intentando con estas reglas, ustedes que opinan:
>> >>
>> >> *# dar acceso a facebook para una ip fija*
>> >> shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d
>IP_CIDR_DEFACEBOOK -j
>> >> ACCEPT
>> >>
>> >> *# quitar acceso facebook para cualquiera del segmento*
>> >> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d
>IP_CIDR_DEFACEBOOK
>> -j
>> >> REJECT
>> >>
>> >> Saludos !
>> >>
>> >>
>> >> El 5 de noviembre de 2013 05:08, David González Romero <
>> >> dgrved...@gmail.com> escribió:
>> >>
>> >> Tu has probado esta opción en Squid?
>> >>> acl denys url_regex "/etc/squid/denys"
>> >>> Donde
>> >>> /etc/squid/denys contiene:
>> >>> facebook
>> >>> twitter
>> >>> .
>> >>> Y luego
>> >>> http_access deny restric
>> >>>
>> >>> Al menos así me funciona a mi.
>> >>>
>> >>>
>> >>> Otra opcion sería comentar la línea "acl SSL_ports port 443" para
>> evitar
>> >>> conexiones por el 443...
>> >>>
>> >>>
>> >>>
>> >>>
>> >>> Saludos,
>> >>> David
>> >>>
>> >>>
>> >>>
>> >>> El 4 de noviembre de 2013 18:47, angel jauregui
>> >>> escribió:
>> >>>
>>  Buenas.
>> 
>>  Estoy implementando limitaciones en la red, el objetivo es
>quitar
>> >>> acceso a
>>  Redes Sociales, en primera instancia tengo SQUID que logra tapar
>el
>> >>> acceso
>>  a los sitios mediante http.
>> 
>>  El problema es que si los sitios tienes HTTPS, este es
>accesible
>> 
>>  En este caso http://facebook.com esta denegad por Squid.
>>  Pero al poner https://facebook.com entra exitosamente.
>> 
>>  La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta
>regla
>> >>> que
>>  me esta haceindo cumplir el objetivo "En parte":
>> 
>>  iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
>>  173.252.64.0-173.252.127.255 -j REJECT
>> 
>>  Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
>> facebook.
>> 
>>  El problema *ahora radica* en que no logro hacer que ciertas IPs
>> Locales
>>  (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
>> 
>>  Intente ANTEponiendo esta regla:
>> 
>>  iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
>> >>> --dst-range
>>  173.252.64.0-173.252.127.255 -j ACCEPT
>> 
>>  Pero aun asi, se sigue bloqueando el sitio :S
>> 
>>  *shell# iptables -L -n*
>>  REJECT tcp  --  0.0.0.0/00.0.0.0/0

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

2013-11-05 Por tema Ramón Macías Zamora
Efectivamente el problema que tienes es porque está usando proxy
transparente.

Si no usas proxy transparente si puedes controlarlo con las acl normales,
sin embargo para que funcione el proxy debes configurar manualmente el
proxy en los navegadores (En Firefox  -> Preferencias -> Avanzado -> red ->
Conexión dar click en Configurar -> Configuración Manual del Proxy

Saludos

--



Ramón Macías Zamora
Tecnología, Investigación y Desarrollo
www.rks.ec - www.raykasolutions.com
Guayaquil - Ecuador
msn:ramon_mac...@hotmail.com
skype:  ramon_macias
UserLinux# 180926 (http://counter.li.org)
Cel:593-8-0192238
Tel:593 4 6044566




WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES
LINUX, SOPORTE.


2013/11/5 angel jauregui 

> @Ramon no entiendo cuando mencionas "forzar a que los usuarios configuren
> el proxy" ???
>
> Los usuarios no tienen que configurar nada, ya que por consecuencia el GW
> que se les asigna es el del proxy, el proxy en si actua como
> Proxy+Router+firewall.
>
> No entendi :S
>
> Saludos !
>
>
> El 5 de noviembre de 2013 08:38, Ramón Macías Zamora  >escribió:
>
> > Yo creo que la solución ahí es forzar a que los usuarios configuren el
> > proxy en vez de usar proxy transparente que sólo funciona para http y no
> > para https.
> >
> > Saludos
> >
> > --
> >
> >
> >
> > Ramón Macías Zamora
> > Tecnología, Investigación y Desarrollo
> > www.rks.ec - www.raykasolutions.com
> > Guayaquil - Ecuador
> > msn:ramon_mac...@hotmail.com
> > skype:  ramon_macias
> > UserLinux# 180926 (http://counter.li.org)
> > Cel:593-8-0192238
> > Tel:593 4 6044566
> >
> > 
> >
> >
> > WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES,
> SERVIDORES
> > LINUX, SOPORTE.
> >
> >
> > 2013/11/5 angel jauregui 
> >
> > > @David asi tengo la denegacion tambien, pero si el usuario cambia a
> > "https"
> > > la pagina ya no es bloqueada, se brinca el filtro.
> > >
> > > Esto mas que nada porque en IPTables la regla indica que cualquier cosa
> > que
> > > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya
> no
> > se
> > > aplica la regla.
> > >
> > > Ahora no puedo quitar el puerto https y forzar solo http, ya que
> existen
> > > paginas de gobierno que requieren https, y se me vendria el mundo
> encima
> > > :S.
> > >
> > > Estoy intentando con estas reglas, ustedes que opinan:
> > >
> > > *# dar acceso a facebook para una ip fija*
> > > shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK
> -j
> > > ACCEPT
> > >
> > > *# quitar acceso facebook para cualquiera del segmento*
> > > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK
> > -j
> > > REJECT
> > >
> > > Saludos !
> > >
> > >
> > > El 5 de noviembre de 2013 05:08, David González Romero
> > > escribió:
> > >
> > > > Tu has probado esta opción en Squid?
> > > >
> > > > acl denys url_regex "/etc/squid/denys"
> > > > Donde
> > > > /etc/squid/denys contiene:
> > > > facebook
> > > > twitter
> > > > .
> > > > Y luego
> > > > http_access deny restric
> > > >
> > > > Al menos así me funciona a mi.
> > > >
> > > >
> > > > Otra opcion sería comentar la línea "acl SSL_ports port 443" para
> > evitar
> > > > conexiones por el 443...
> > > >
> > > >
> > > >
> > > >
> > > > Saludos,
> > > > David
> > > >
> > > >
> > > >
> > > > El 4 de noviembre de 2013 18:47, angel jauregui
> > > > escribió:
> > > >
> > > > > Buenas.
> > > > >
> > > > > Estoy implementando limitaciones en la red, el objetivo es quitar
> > > acceso
> > > > a
> > > > > Redes Sociales, en primera instancia tengo SQUID que logra tapar el
> > > > acceso
> > > > > a los sitios mediante http.
> > > > >
> > > > > El problema es que si los sitios tienes HTTPS, este es
> accesible
> > > > >
> > > > > En este caso http://facebook.com esta denegad por Squid.
> > > > > Pero al poner https://facebook.com entra exitosamente.
> > > > >
> > > > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta
> > regla
> > > > que
> > > > > me esta haceindo cumplir el objetivo "En parte":
> > > > >
> > > > > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> > > > > 173.252.64.0-173.252.127.255 -j REJECT
> > > > >
> > > > > Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
> > facebook.
> > > > >
> > > > > El problema *ahora radica* en que no logro hacer que ciertas IPs
> > > Locales
> > > > > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> > > > >
> > > > > Intente ANTEponiendo esta regla:
> > > > >
> > > > > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
> > > --dst-range
> > > > > 173.252.64.0-173.252.127.255 -j ACCEPT
> > > > >
> > > > > Pero aun asi, se sigue bloqueando el sitio :S
> > > > >
> > > > > *shell# iptables -L -n*
> > > > > REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
> > > > > destination IP range 173.252.64.0-173.252.127.255 reject-with
> > > > > icmp-port

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

2013-11-05 Por tema angel jauregui
mmm es qye hay varios listillos que se lo podrian brincar :S... existe la
problematica que en esa red todos tienen acceso admin a sus propios
equipos. Generalmente siempre estan conectados con una cuenta de usuario
dentro del dominio local, pero a veces se logean con la cuenta admin.

Y como soy un prestador de servicios y no quieren invertir, la unica
solucion es poner el proxy como GW.

Para prevenir retardos coloque en el proxy 2 tarjetas de red 1Gb en
virtual, y configure el switch cisco como VLAN en los 2 puertos donde
conecto el proxy.

Saludos !


El 5 de noviembre de 2013 08:52, Ramón Macías Zamora escribió:

> Efectivamente el problema que tienes es porque está usando proxy
> transparente.
>
> Si no usas proxy transparente si puedes controlarlo con las acl normales,
> sin embargo para que funcione el proxy debes configurar manualmente el
> proxy en los navegadores (En Firefox  -> Preferencias -> Avanzado -> red ->
> Conexión dar click en Configurar -> Configuración Manual del Proxy
>
> Saludos
>
> --
>
>
>
> Ramón Macías Zamora
> Tecnología, Investigación y Desarrollo
> www.rks.ec - www.raykasolutions.com
> Guayaquil - Ecuador
> msn:ramon_mac...@hotmail.com
> skype:  ramon_macias
> UserLinux# 180926 (http://counter.li.org)
> Cel:593-8-0192238
> Tel:593 4 6044566
>
> 
>
>
> WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES
> LINUX, SOPORTE.
>
>
> 2013/11/5 angel jauregui 
>
> > @Ramon no entiendo cuando mencionas "forzar a que los usuarios configuren
> > el proxy" ???
> >
> > Los usuarios no tienen que configurar nada, ya que por consecuencia el GW
> > que se les asigna es el del proxy, el proxy en si actua como
> > Proxy+Router+firewall.
> >
> > No entendi :S
> >
> > Saludos !
> >
> >
> > El 5 de noviembre de 2013 08:38, Ramón Macías Zamora  > >escribió:
> >
> > > Yo creo que la solución ahí es forzar a que los usuarios configuren el
> > > proxy en vez de usar proxy transparente que sólo funciona para http y
> no
> > > para https.
> > >
> > > Saludos
> > >
> > > --
> > >
> > >
> > >
> > > Ramón Macías Zamora
> > > Tecnología, Investigación y Desarrollo
> > > www.rks.ec - www.raykasolutions.com
> > > Guayaquil - Ecuador
> > > msn:ramon_mac...@hotmail.com
> > > skype:  ramon_macias
> > > UserLinux# 180926 (http://counter.li.org)
> > > Cel:593-8-0192238
> > > Tel:593 4 6044566
> > >
> > > 
> > >
> > >
> > > WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES,
> > SERVIDORES
> > > LINUX, SOPORTE.
> > >
> > >
> > > 2013/11/5 angel jauregui 
> > >
> > > > @David asi tengo la denegacion tambien, pero si el usuario cambia a
> > > "https"
> > > > la pagina ya no es bloqueada, se brinca el filtro.
> > > >
> > > > Esto mas que nada porque en IPTables la regla indica que cualquier
> cosa
> > > que
> > > > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya
> > no
> > > se
> > > > aplica la regla.
> > > >
> > > > Ahora no puedo quitar el puerto https y forzar solo http, ya que
> > existen
> > > > paginas de gobierno que requieren https, y se me vendria el mundo
> > encima
> > > > :S.
> > > >
> > > > Estoy intentando con estas reglas, ustedes que opinan:
> > > >
> > > > *# dar acceso a facebook para una ip fija*
> > > > shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK
> > -j
> > > > ACCEPT
> > > >
> > > > *# quitar acceso facebook para cualquiera del segmento*
> > > > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d
> IP_CIDR_DEFACEBOOK
> > > -j
> > > > REJECT
> > > >
> > > > Saludos !
> > > >
> > > >
> > > > El 5 de noviembre de 2013 05:08, David González Romero
> > > > escribió:
> > > >
> > > > > Tu has probado esta opción en Squid?
> > > > >
> > > > > acl denys url_regex "/etc/squid/denys"
> > > > > Donde
> > > > > /etc/squid/denys contiene:
> > > > > facebook
> > > > > twitter
> > > > > .
> > > > > Y luego
> > > > > http_access deny restric
> > > > >
> > > > > Al menos así me funciona a mi.
> > > > >
> > > > >
> > > > > Otra opcion sería comentar la línea "acl SSL_ports port 443" para
> > > evitar
> > > > > conexiones por el 443...
> > > > >
> > > > >
> > > > >
> > > > >
> > > > > Saludos,
> > > > > David
> > > > >
> > > > >
> > > > >
> > > > > El 4 de noviembre de 2013 18:47, angel jauregui
> > > > > escribió:
> > > > >
> > > > > > Buenas.
> > > > > >
> > > > > > Estoy implementando limitaciones en la red, el objetivo es quitar
> > > > acceso
> > > > > a
> > > > > > Redes Sociales, en primera instancia tengo SQUID que logra tapar
> el
> > > > > acceso
> > > > > > a los sitios mediante http.
> > > > > >
> > > > > > El problema es que si los sitios tienes HTTPS, este es
> > accesible
> > > > > >
> > > > > > En este caso http://facebook.com esta denegad por Squid.
> > > > > > Pero al poner https://facebook.com entra exitosamente.
> > > > > >
> > > > > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta
> > > regla
> > > > >

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

2013-11-05 Por tema David González Romero
Hace un forward en el IPtables de que todo lo que vaya al 0/0 port 80, 443,
21, 20, etc... vaya al 3128...

Squid no necesita configuacion adicional para https lo soporta
perfectamente bien. Tu puedes controlar los accesos por dominios, o por
IP... escoge el que te guste.

Saludos,
David


El 5 de noviembre de 2013 12:07, angel jauregui
escribió:

> mmm es qye hay varios listillos que se lo podrian brincar :S... existe la
> problematica que en esa red todos tienen acceso admin a sus propios
> equipos. Generalmente siempre estan conectados con una cuenta de usuario
> dentro del dominio local, pero a veces se logean con la cuenta admin.
>
> Y como soy un prestador de servicios y no quieren invertir, la unica
> solucion es poner el proxy como GW.
>
> Para prevenir retardos coloque en el proxy 2 tarjetas de red 1Gb en
> virtual, y configure el switch cisco como VLAN en los 2 puertos donde
> conecto el proxy.
>
> Saludos !
>
>
> El 5 de noviembre de 2013 08:52, Ramón Macías Zamora  >escribió:
>
> > Efectivamente el problema que tienes es porque está usando proxy
> > transparente.
> >
> > Si no usas proxy transparente si puedes controlarlo con las acl normales,
> > sin embargo para que funcione el proxy debes configurar manualmente el
> > proxy en los navegadores (En Firefox  -> Preferencias -> Avanzado -> red
> ->
> > Conexión dar click en Configurar -> Configuración Manual del Proxy
> >
> > Saludos
> >
> > --
> >
> >
> >
> > Ramón Macías Zamora
> > Tecnología, Investigación y Desarrollo
> > www.rks.ec - www.raykasolutions.com
> > Guayaquil - Ecuador
> > msn:ramon_mac...@hotmail.com
> > skype:  ramon_macias
> > UserLinux# 180926 (http://counter.li.org)
> > Cel:593-8-0192238
> > Tel:593 4 6044566
> >
> > 
> >
> >
> > WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES,
> SERVIDORES
> > LINUX, SOPORTE.
> >
> >
> > 2013/11/5 angel jauregui 
> >
> > > @Ramon no entiendo cuando mencionas "forzar a que los usuarios
> configuren
> > > el proxy" ???
> > >
> > > Los usuarios no tienen que configurar nada, ya que por consecuencia el
> GW
> > > que se les asigna es el del proxy, el proxy en si actua como
> > > Proxy+Router+firewall.
> > >
> > > No entendi :S
> > >
> > > Saludos !
> > >
> > >
> > > El 5 de noviembre de 2013 08:38, Ramón Macías Zamora  > > >escribió:
> > >
> > > > Yo creo que la solución ahí es forzar a que los usuarios configuren
> el
> > > > proxy en vez de usar proxy transparente que sólo funciona para http y
> > no
> > > > para https.
> > > >
> > > > Saludos
> > > >
> > > > --
> > > >
> > > >
> > > >
> > > > Ramón Macías Zamora
> > > > Tecnología, Investigación y Desarrollo
> > > > www.rks.ec - www.raykasolutions.com
> > > > Guayaquil - Ecuador
> > > > msn:ramon_mac...@hotmail.com
> > > > skype:  ramon_macias
> > > > UserLinux# 180926 (http://counter.li.org)
> > > > Cel:593-8-0192238
> > > > Tel:593 4 6044566
> > > >
> > > > 
> > > >
> > > >
> > > > WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES,
> > > SERVIDORES
> > > > LINUX, SOPORTE.
> > > >
> > > >
> > > > 2013/11/5 angel jauregui 
> > > >
> > > > > @David asi tengo la denegacion tambien, pero si el usuario cambia a
> > > > "https"
> > > > > la pagina ya no es bloqueada, se brinca el filtro.
> > > > >
> > > > > Esto mas que nada porque en IPTables la regla indica que cualquier
> > cosa
> > > > que
> > > > > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS,
> ya
> > > no
> > > > se
> > > > > aplica la regla.
> > > > >
> > > > > Ahora no puedo quitar el puerto https y forzar solo http, ya que
> > > existen
> > > > > paginas de gobierno que requieren https, y se me vendria el mundo
> > > encima
> > > > > :S.
> > > > >
> > > > > Estoy intentando con estas reglas, ustedes que opinan:
> > > > >
> > > > > *# dar acceso a facebook para una ip fija*
> > > > > shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d
> IP_CIDR_DEFACEBOOK
> > > -j
> > > > > ACCEPT
> > > > >
> > > > > *# quitar acceso facebook para cualquiera del segmento*
> > > > > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d
> > IP_CIDR_DEFACEBOOK
> > > > -j
> > > > > REJECT
> > > > >
> > > > > Saludos !
> > > > >
> > > > >
> > > > > El 5 de noviembre de 2013 05:08, David González Romero
> > > > > escribió:
> > > > >
> > > > > > Tu has probado esta opción en Squid?
> > > > > >
> > > > > > acl denys url_regex "/etc/squid/denys"
> > > > > > Donde
> > > > > > /etc/squid/denys contiene:
> > > > > > facebook
> > > > > > twitter
> > > > > > .
> > > > > > Y luego
> > > > > > http_access deny restric
> > > > > >
> > > > > > Al menos así me funciona a mi.
> > > > > >
> > > > > >
> > > > > > Otra opcion sería comentar la línea "acl SSL_ports port 443" para
> > > > evitar
> > > > > > conexiones por el 443...
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > > Saludos,
> > > > > > David
> > > > > >
> > > > > >
> > > > > >
> > > > > > El 4 de noviembre de 2013 18:

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

2013-11-05 Por tema Ignacio Ordeñana
a mi parecer esa regla de iptables no te funcionara ya que primero la estas
permitiendo el acceso a una ip en particular luego le quitas acceso a todo
el segmento de red incluyendo la ip que le permites acceso.

saludos


El 5 de noviembre de 2013 08:34, angel jauregui
escribió:

> @David asi tengo la denegacion tambien, pero si el usuario cambia a "https"
> la pagina ya no es bloqueada, se brinca el filtro.
>
> Esto mas que nada porque en IPTables la regla indica que cualquier cosa que
> va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya no se
> aplica la regla.
>
> Ahora no puedo quitar el puerto https y forzar solo http, ya que existen
> paginas de gobierno que requieren https, y se me vendria el mundo encima
> :S.
>
> Estoy intentando con estas reglas, ustedes que opinan:
>
> *# dar acceso a facebook para una ip fija*
> shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK -j
> ACCEPT
>
> *# quitar acceso facebook para cualquiera del segmento*
> shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK -j
> REJECT
>
> Saludos !
>
>
> El 5 de noviembre de 2013 05:08, David González Romero
> escribió:
>
> > Tu has probado esta opción en Squid?
> >
> > acl denys url_regex "/etc/squid/denys"
> > Donde
> > /etc/squid/denys contiene:
> > facebook
> > twitter
> > .
> > Y luego
> > http_access deny restric
> >
> > Al menos así me funciona a mi.
> >
> >
> > Otra opcion sería comentar la línea "acl SSL_ports port 443" para evitar
> > conexiones por el 443...
> >
> >
> >
> >
> > Saludos,
> > David
> >
> >
> >
> > El 4 de noviembre de 2013 18:47, angel jauregui
> > escribió:
> >
> > > Buenas.
> > >
> > > Estoy implementando limitaciones en la red, el objetivo es quitar
> acceso
> > a
> > > Redes Sociales, en primera instancia tengo SQUID que logra tapar el
> > acceso
> > > a los sitios mediante http.
> > >
> > > El problema es que si los sitios tienes HTTPS, este es accesible
> > >
> > > En este caso http://facebook.com esta denegad por Squid.
> > > Pero al poner https://facebook.com entra exitosamente.
> > >
> > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta regla
> > que
> > > me esta haceindo cumplir el objetivo "En parte":
> > >
> > > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> > > 173.252.64.0-173.252.127.255 -j REJECT
> > >
> > > Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de facebook.
> > >
> > > El problema *ahora radica* en que no logro hacer que ciertas IPs
> Locales
> > > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> > >
> > > Intente ANTEponiendo esta regla:
> > >
> > > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
> --dst-range
> > > 173.252.64.0-173.252.127.255 -j ACCEPT
> > >
> > > Pero aun asi, se sigue bloqueando el sitio :S
> > >
> > > *shell# iptables -L -n*
> > > REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
> > > destination IP range 173.252.64.0-173.252.127.255 reject-with
> > > icmp-port-unreachable
> > > ACCEPT tcp  --  10.1.0.150   0.0.0.0/0   tcp
> > > destination IP range 173.252.64.0-173.252.127.255
> > >
> > > --
> > > M.S.I. Angel Haniel Cantu Jauregui.
> > >
> > > Celular: (011-52-1)-899-871-17-22
> > > E-Mail: angel.ca...@sie-group.net
> > > Web: http://www.sie-group.net/
> > > Cd. Reynosa Tamaulipas.
> > > ___
> > > CentOS-es mailing list
> > > CentOS-es@centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.ca...@sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es


Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

2013-11-05 Por tema angel jauregui
Se cumple la excepcion, y funcionaria no ?


El 5 de noviembre de 2013 09:25, Ignacio Ordeñana escribió:

> a mi parecer esa regla de iptables no te funcionara ya que primero la estas
> permitiendo el acceso a una ip en particular luego le quitas acceso a todo
> el segmento de red incluyendo la ip que le permites acceso.
>
> saludos
>
>
> El 5 de noviembre de 2013 08:34, angel jauregui
> escribió:
>
> > @David asi tengo la denegacion tambien, pero si el usuario cambia a
> "https"
> > la pagina ya no es bloqueada, se brinca el filtro.
> >
> > Esto mas que nada porque en IPTables la regla indica que cualquier cosa
> que
> > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya no
> se
> > aplica la regla.
> >
> > Ahora no puedo quitar el puerto https y forzar solo http, ya que existen
> > paginas de gobierno que requieren https, y se me vendria el mundo encima
> > :S.
> >
> > Estoy intentando con estas reglas, ustedes que opinan:
> >
> > *# dar acceso a facebook para una ip fija*
> > shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK -j
> > ACCEPT
> >
> > *# quitar acceso facebook para cualquiera del segmento*
> > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK
> -j
> > REJECT
> >
> > Saludos !
> >
> >
> > El 5 de noviembre de 2013 05:08, David González Romero
> > escribió:
> >
> > > Tu has probado esta opción en Squid?
> > >
> > > acl denys url_regex "/etc/squid/denys"
> > > Donde
> > > /etc/squid/denys contiene:
> > > facebook
> > > twitter
> > > .
> > > Y luego
> > > http_access deny restric
> > >
> > > Al menos así me funciona a mi.
> > >
> > >
> > > Otra opcion sería comentar la línea "acl SSL_ports port 443" para
> evitar
> > > conexiones por el 443...
> > >
> > >
> > >
> > >
> > > Saludos,
> > > David
> > >
> > >
> > >
> > > El 4 de noviembre de 2013 18:47, angel jauregui
> > > escribió:
> > >
> > > > Buenas.
> > > >
> > > > Estoy implementando limitaciones en la red, el objetivo es quitar
> > acceso
> > > a
> > > > Redes Sociales, en primera instancia tengo SQUID que logra tapar el
> > > acceso
> > > > a los sitios mediante http.
> > > >
> > > > El problema es que si los sitios tienes HTTPS, este es accesible
> > > >
> > > > En este caso http://facebook.com esta denegad por Squid.
> > > > Pero al poner https://facebook.com entra exitosamente.
> > > >
> > > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta
> regla
> > > que
> > > > me esta haceindo cumplir el objetivo "En parte":
> > > >
> > > > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> > > > 173.252.64.0-173.252.127.255 -j REJECT
> > > >
> > > > Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
> facebook.
> > > >
> > > > El problema *ahora radica* en que no logro hacer que ciertas IPs
> > Locales
> > > > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> > > >
> > > > Intente ANTEponiendo esta regla:
> > > >
> > > > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
> > --dst-range
> > > > 173.252.64.0-173.252.127.255 -j ACCEPT
> > > >
> > > > Pero aun asi, se sigue bloqueando el sitio :S
> > > >
> > > > *shell# iptables -L -n*
> > > > REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
> > > > destination IP range 173.252.64.0-173.252.127.255 reject-with
> > > > icmp-port-unreachable
> > > > ACCEPT tcp  --  10.1.0.150   0.0.0.0/0   tcp
> > > > destination IP range 173.252.64.0-173.252.127.255
> > > >
> > > > --
> > > > M.S.I. Angel Haniel Cantu Jauregui.
> > > >
> > > > Celular: (011-52-1)-899-871-17-22
> > > > E-Mail: angel.ca...@sie-group.net
> > > > Web: http://www.sie-group.net/
> > > > Cd. Reynosa Tamaulipas.
> > > > ___
> > > > CentOS-es mailing list
> > > > CentOS-es@centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > >
> > > ___
> > > CentOS-es mailing list
> > > CentOS-es@centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> >
> >
> >
> > --
> > M.S.I. Angel Haniel Cantu Jauregui.
> >
> > Celular: (011-52-1)-899-871-17-22
> > E-Mail: angel.ca...@sie-group.net
> > Web: http://www.sie-group.net/
> > Cd. Reynosa Tamaulipas.
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.ca...@sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es


Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

2013-11-05 Por tema angel jauregui
@David voy hacer pruebas como me indicas.


El 5 de noviembre de 2013 09:19, David González Romero
escribió:

> Hace un forward en el IPtables de que todo lo que vaya al 0/0 port 80, 443,
> 21, 20, etc... vaya al 3128...
>
> Squid no necesita configuacion adicional para https lo soporta
> perfectamente bien. Tu puedes controlar los accesos por dominios, o por
> IP... escoge el que te guste.
>
> Saludos,
> David
>
>
> El 5 de noviembre de 2013 12:07, angel jauregui
> escribió:
>
> > mmm es qye hay varios listillos que se lo podrian brincar :S... existe la
> > problematica que en esa red todos tienen acceso admin a sus propios
> > equipos. Generalmente siempre estan conectados con una cuenta de usuario
> > dentro del dominio local, pero a veces se logean con la cuenta admin.
> >
> > Y como soy un prestador de servicios y no quieren invertir, la unica
> > solucion es poner el proxy como GW.
> >
> > Para prevenir retardos coloque en el proxy 2 tarjetas de red 1Gb en
> > virtual, y configure el switch cisco como VLAN en los 2 puertos donde
> > conecto el proxy.
> >
> > Saludos !
> >
> >
> > El 5 de noviembre de 2013 08:52, Ramón Macías Zamora  > >escribió:
> >
> > > Efectivamente el problema que tienes es porque está usando proxy
> > > transparente.
> > >
> > > Si no usas proxy transparente si puedes controlarlo con las acl
> normales,
> > > sin embargo para que funcione el proxy debes configurar manualmente el
> > > proxy en los navegadores (En Firefox  -> Preferencias -> Avanzado ->
> red
> > ->
> > > Conexión dar click en Configurar -> Configuración Manual del Proxy
> > >
> > > Saludos
> > >
> > > --
> > >
> > >
> > >
> > > Ramón Macías Zamora
> > > Tecnología, Investigación y Desarrollo
> > > www.rks.ec - www.raykasolutions.com
> > > Guayaquil - Ecuador
> > > msn:ramon_mac...@hotmail.com
> > > skype:  ramon_macias
> > > UserLinux# 180926 (http://counter.li.org)
> > > Cel:593-8-0192238
> > > Tel:593 4 6044566
> > >
> > > 
> > >
> > >
> > > WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES,
> > SERVIDORES
> > > LINUX, SOPORTE.
> > >
> > >
> > > 2013/11/5 angel jauregui 
> > >
> > > > @Ramon no entiendo cuando mencionas "forzar a que los usuarios
> > configuren
> > > > el proxy" ???
> > > >
> > > > Los usuarios no tienen que configurar nada, ya que por consecuencia
> el
> > GW
> > > > que se les asigna es el del proxy, el proxy en si actua como
> > > > Proxy+Router+firewall.
> > > >
> > > > No entendi :S
> > > >
> > > > Saludos !
> > > >
> > > >
> > > > El 5 de noviembre de 2013 08:38, Ramón Macías Zamora  > > > >escribió:
> > > >
> > > > > Yo creo que la solución ahí es forzar a que los usuarios configuren
> > el
> > > > > proxy en vez de usar proxy transparente que sólo funciona para
> http y
> > > no
> > > > > para https.
> > > > >
> > > > > Saludos
> > > > >
> > > > > --
> > > > >
> > > > >
> > > > >
> > > > > Ramón Macías Zamora
> > > > > Tecnología, Investigación y Desarrollo
> > > > > www.rks.ec - www.raykasolutions.com
> > > > > Guayaquil - Ecuador
> > > > > msn:ramon_mac...@hotmail.com
> > > > > skype:  ramon_macias
> > > > > UserLinux# 180926 (http://counter.li.org)
> > > > > Cel:593-8-0192238
> > > > > Tel:593 4 6044566
> > > > >
> > > > > 
> > > > >
> > > > >
> > > > > WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES,
> > > > SERVIDORES
> > > > > LINUX, SOPORTE.
> > > > >
> > > > >
> > > > > 2013/11/5 angel jauregui 
> > > > >
> > > > > > @David asi tengo la denegacion tambien, pero si el usuario
> cambia a
> > > > > "https"
> > > > > > la pagina ya no es bloqueada, se brinca el filtro.
> > > > > >
> > > > > > Esto mas que nada porque en IPTables la regla indica que
> cualquier
> > > cosa
> > > > > que
> > > > > > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a
> HTTPS,
> > ya
> > > > no
> > > > > se
> > > > > > aplica la regla.
> > > > > >
> > > > > > Ahora no puedo quitar el puerto https y forzar solo http, ya que
> > > > existen
> > > > > > paginas de gobierno que requieren https, y se me vendria el mundo
> > > > encima
> > > > > > :S.
> > > > > >
> > > > > > Estoy intentando con estas reglas, ustedes que opinan:
> > > > > >
> > > > > > *# dar acceso a facebook para una ip fija*
> > > > > > shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d
> > IP_CIDR_DEFACEBOOK
> > > > -j
> > > > > > ACCEPT
> > > > > >
> > > > > > *# quitar acceso facebook para cualquiera del segmento*
> > > > > > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d
> > > IP_CIDR_DEFACEBOOK
> > > > > -j
> > > > > > REJECT
> > > > > >
> > > > > > Saludos !
> > > > > >
> > > > > >
> > > > > > El 5 de noviembre de 2013 05:08, David González Romero
> > > > > > escribió:
> > > > > >
> > > > > > > Tu has probado esta opción en Squid?
> > > > > > >
> > > > > > > acl denys url_regex "/etc/squid/denys"
> > > > > > > Donde
> > > > > > > /etc/squid/denys contiene:
> > > > > > > facebook
> > > > > > > twitt

Re: [CentOS-es] [iptables] denegar rando dependiendo la IP de la fuenta ?

2013-11-05 Por tema Ignacio Ordeñana
te envio un link de una perosna que tuvo ese mismo problema

http://www.ecualug.org/?q=2011/02/10/forums/bloquear_https_de_facebook_en_ip_tables&page=3

saludos


El 5 de noviembre de 2013 09:32, angel jauregui
escribió:

> Se cumple la excepcion, y funcionaria no ?
>
>
> El 5 de noviembre de 2013 09:25, Ignacio Ordeñana  >escribió:
>
> > a mi parecer esa regla de iptables no te funcionara ya que primero la
> estas
> > permitiendo el acceso a una ip en particular luego le quitas acceso a
> todo
> > el segmento de red incluyendo la ip que le permites acceso.
> >
> > saludos
> >
> >
> > El 5 de noviembre de 2013 08:34, angel jauregui
> > escribió:
> >
> > > @David asi tengo la denegacion tambien, pero si el usuario cambia a
> > "https"
> > > la pagina ya no es bloqueada, se brinca el filtro.
> > >
> > > Esto mas que nada porque en IPTables la regla indica que cualquier cosa
> > que
> > > va al 80 se rediriga al 3128 (puerto squid), y al cambiar a HTTPS, ya
> no
> > se
> > > aplica la regla.
> > >
> > > Ahora no puedo quitar el puerto https y forzar solo http, ya que
> existen
> > > paginas de gobierno que requieren https, y se me vendria el mundo
> encima
> > > :S.
> > >
> > > Estoy intentando con estas reglas, ustedes que opinan:
> > >
> > > *# dar acceso a facebook para una ip fija*
> > > shell# iptables -A FORWARD -p tcp  -s 10.1.0.10 -d IP_CIDR_DEFACEBOOK
> -j
> > > ACCEPT
> > >
> > > *# quitar acceso facebook para cualquiera del segmento*
> > > shell# iptables -A FORWARD -p tcp -s 10.1.0.0/24 -d IP_CIDR_DEFACEBOOK
> > -j
> > > REJECT
> > >
> > > Saludos !
> > >
> > >
> > > El 5 de noviembre de 2013 05:08, David González Romero
> > > escribió:
> > >
> > > > Tu has probado esta opción en Squid?
> > > >
> > > > acl denys url_regex "/etc/squid/denys"
> > > > Donde
> > > > /etc/squid/denys contiene:
> > > > facebook
> > > > twitter
> > > > .
> > > > Y luego
> > > > http_access deny restric
> > > >
> > > > Al menos así me funciona a mi.
> > > >
> > > >
> > > > Otra opcion sería comentar la línea "acl SSL_ports port 443" para
> > evitar
> > > > conexiones por el 443...
> > > >
> > > >
> > > >
> > > >
> > > > Saludos,
> > > > David
> > > >
> > > >
> > > >
> > > > El 4 de noviembre de 2013 18:47, angel jauregui
> > > > escribió:
> > > >
> > > > > Buenas.
> > > > >
> > > > > Estoy implementando limitaciones en la red, el objetivo es quitar
> > > acceso
> > > > a
> > > > > Redes Sociales, en primera instancia tengo SQUID que logra tapar el
> > > > acceso
> > > > > a los sitios mediante http.
> > > > >
> > > > > El problema es que si los sitios tienes HTTPS, este es
> accesible
> > > > >
> > > > > En este caso http://facebook.com esta denegad por Squid.
> > > > > Pero al poner https://facebook.com entra exitosamente.
> > > > >
> > > > > La unica ocurrencia que tuve es usar IPTABLES, asi que puse esta
> > regla
> > > > que
> > > > > me esta haceindo cumplir el objetivo "En parte":
> > > > >
> > > > > iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range
> > > > > 173.252.64.0-173.252.127.255 -j REJECT
> > > > >
> > > > > Donde: 173.252.64.0-173.252.127.255  ---> es el rando CIDr de
> > facebook.
> > > > >
> > > > > El problema *ahora radica* en que no logro hacer que ciertas IPs
> > > Locales
> > > > > (privilegiada - jefes) SI puedan acceder a redes sociales :S !.
> > > > >
> > > > > Intente ANTEponiendo esta regla:
> > > > >
> > > > > iptables -I FORWARD *-s ip_del_jefe *-m tcp -p tcp -m iprange
> > > --dst-range
> > > > > 173.252.64.0-173.252.127.255 -j ACCEPT
> > > > >
> > > > > Pero aun asi, se sigue bloqueando el sitio :S
> > > > >
> > > > > *shell# iptables -L -n*
> > > > > REJECT tcp  --  0.0.0.0/00.0.0.0/0   tcp
> > > > > destination IP range 173.252.64.0-173.252.127.255 reject-with
> > > > > icmp-port-unreachable
> > > > > ACCEPT tcp  --  10.1.0.150   0.0.0.0/0   tcp
> > > > > destination IP range 173.252.64.0-173.252.127.255
> > > > >
> > > > > --
> > > > > M.S.I. Angel Haniel Cantu Jauregui.
> > > > >
> > > > > Celular: (011-52-1)-899-871-17-22
> > > > > E-Mail: angel.ca...@sie-group.net
> > > > > Web: http://www.sie-group.net/
> > > > > Cd. Reynosa Tamaulipas.
> > > > > ___
> > > > > CentOS-es mailing list
> > > > > CentOS-es@centos.org
> > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > >
> > > > ___
> > > > CentOS-es mailing list
> > > > CentOS-es@centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > >
> > >
> > >
> > >
> > > --
> > > M.S.I. Angel Haniel Cantu Jauregui.
> > >
> > > Celular: (011-52-1)-899-871-17-22
> > > E-Mail: angel.ca...@sie-group.net
> > > Web: http://www.sie-group.net/
> > > Cd. Reynosa Tamaulipas.
> > > ___
> > > CentOS-es mailing list
> > > CentOS-es@centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> > _

[CentOS-es] Alta disponibilidad con 2 ISP en CentOS

2013-11-05 Por tema SisNet Corp.
Un saludo estimados amigos.

Existe alguna manera de configurar alta disponibilidad con tolerancia a
fallos con 2 ISP?

Al momento tengo tres tarjetas de red

Eth0 - ISP1
Eth1 - Red lan
Eth2 - ISP 2

Saludos,

max

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es


Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

2013-11-05 Por tema David González Romero
Me gustaría también saber sobre esto a ver que se puede hacer. Hasta ahora
esa batalla solo la he vencido con Ipfw en FreeBSD..

Saludos,
David


El 5 de noviembre de 2013 13:36, SisNet Corp. escribió:

> Un saludo estimados amigos.
>
> Existe alguna manera de configurar alta disponibilidad con tolerancia a
> fallos con 2 ISP?
>
> Al momento tengo tres tarjetas de red
>
> Eth0 - ISP1
> Eth1 - Red lan
> Eth2 - ISP 2
>
> Saludos,
>
> max
>
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es


Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

2013-11-05 Por tema angel jauregui
Lo que @erick intenta decir (creo) es que hagas VLAN (bonding) de las
tarjeta eth0 y eth2, esto convertira en esclavas a las eth mencionadas y
creara un unico interfaz de comunicacion (bond0) que a fin de cuenta en tus
reglas del firewall sacaras todo por bond0, y bonding terminara decidiendo
por done sacar el paquete o bien sacarlo por ambos.

En cada Router del ISP debes configurarte tu IP como DMZ o bien no
limitarte nada.

Saludos !


El 5 de noviembre de 2013 10:39, David González Romero
escribió:

> Me gustaría también saber sobre esto a ver que se puede hacer. Hasta ahora
> esa batalla solo la he vencido con Ipfw en FreeBSD..
>
> Saludos,
> David
>
>
> El 5 de noviembre de 2013 13:36, SisNet Corp.  >escribió:
>
> > Un saludo estimados amigos.
> >
> > Existe alguna manera de configurar alta disponibilidad con tolerancia a
> > fallos con 2 ISP?
> >
> > Al momento tengo tres tarjetas de red
> >
> > Eth0 - ISP1
> > Eth1 - Red lan
> > Eth2 - ISP 2
> >
> > Saludos,
> >
> > max
> >
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.ca...@sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es


Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

2013-11-05 Por tema max
Con bonding no es posible ya que el enrutamiento estático de los isp no
funcionaría.

Max,

-Mensaje original-
De: angel jauregui [mailto:darkdiabl...@gmail.com] 
Enviado el: martes, 05 de noviembre de 2013 11:43
Para: centos-es@centos.org
Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

Lo que @erick intenta decir (creo) es que hagas VLAN (bonding) de las
tarjeta eth0 y eth2, esto convertira en esclavas a las eth mencionadas y
creara un unico interfaz de comunicacion (bond0) que a fin de cuenta en tus
reglas del firewall sacaras todo por bond0, y bonding terminara decidiendo
por done sacar el paquete o bien sacarlo por ambos.

En cada Router del ISP debes configurarte tu IP como DMZ o bien no limitarte
nada.

Saludos !


El 5 de noviembre de 2013 10:39, David González Romero
escribió:

> Me gustaría también saber sobre esto a ver que se puede hacer. Hasta 
> ahora esa batalla solo la he vencido con Ipfw en FreeBSD..
>
> Saludos,
> David
>
>
> El 5 de noviembre de 2013 13:36, SisNet Corp.  >escribió:
>
> > Un saludo estimados amigos.
> >
> > Existe alguna manera de configurar alta disponibilidad con 
> > tolerancia a fallos con 2 ISP?
> >
> > Al momento tengo tres tarjetas de red
> >
> > Eth0 - ISP1
> > Eth1 - Red lan
> > Eth2 - ISP 2
> >
> > Saludos,
> >
> > max
> >
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



--
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.ca...@sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es


Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

2013-11-05 Por tema Erick Ocrospoma
Hola,

Lo que estás buscando se le conoce como bonding :-)






~ Happy install !



Erick.


---

Cellphone   :  +51 950307809
Blog:  http://zerick.me/
LUG:  http://www.utpinux.org
IRC :   zerick
About :  http://about.me/zerick
Linux User ID :  549567


2013/11/5 SisNet Corp. 

> Un saludo estimados amigos.
>
> Existe alguna manera de configurar alta disponibilidad con tolerancia a
> fallos con 2 ISP?
>
> Al momento tengo tres tarjetas de red
>
> Eth0 - ISP1
> Eth1 - Red lan
> Eth2 - ISP 2
>
> Saludos,
>
> max
>
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es


Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

2013-11-05 Por tema angel jauregui
Yo opino que si funcionaria, ya que ambos Routers del ISP no estan
conectados (entre ellos), en ambos ruters manejar el mismo segmentos de
red. A fin de cuenta bond0 recibe el paquete o lo pasa, creo que les
llegaria a ambos ISPs el paquete.

No veo donde este el conflicto :S

Claro, una veradadera VLAN seria con Routers que sean administrables.

Saludos !


El 5 de noviembre de 2013 10:44, max  escribió:

> Con bonding no es posible ya que el enrutamiento estático de los isp no
> funcionaría.
>
> Max,
>
> -Mensaje original-
> De: angel jauregui [mailto:darkdiabl...@gmail.com]
> Enviado el: martes, 05 de noviembre de 2013 11:43
> Para: centos-es@centos.org
> Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS
>
> Lo que @erick intenta decir (creo) es que hagas VLAN (bonding) de las
> tarjeta eth0 y eth2, esto convertira en esclavas a las eth mencionadas y
> creara un unico interfaz de comunicacion (bond0) que a fin de cuenta en tus
> reglas del firewall sacaras todo por bond0, y bonding terminara decidiendo
> por done sacar el paquete o bien sacarlo por ambos.
>
> En cada Router del ISP debes configurarte tu IP como DMZ o bien no
> limitarte
> nada.
>
> Saludos !
>
>
> El 5 de noviembre de 2013 10:39, David González Romero
> escribió:
>
> > Me gustaría también saber sobre esto a ver que se puede hacer. Hasta
> > ahora esa batalla solo la he vencido con Ipfw en FreeBSD..
> >
> > Saludos,
> > David
> >
> >
> > El 5 de noviembre de 2013 13:36, SisNet Corp.  > >escribió:
> >
> > > Un saludo estimados amigos.
> > >
> > > Existe alguna manera de configurar alta disponibilidad con
> > > tolerancia a fallos con 2 ISP?
> > >
> > > Al momento tengo tres tarjetas de red
> > >
> > > Eth0 - ISP1
> > > Eth1 - Red lan
> > > Eth2 - ISP 2
> > >
> > > Saludos,
> > >
> > > max
> > >
> > > ___
> > > CentOS-es mailing list
> > > CentOS-es@centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.ca...@sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.ca...@sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es


Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

2013-11-05 Por tema max
Es el escenario incorrecto ya que se debe manejar dos ip públicas en el
server.

Max,

-Mensaje original-
De: angel jauregui [mailto:darkdiabl...@gmail.com] 
Enviado el: martes, 05 de noviembre de 2013 12:09
Para: centos-es@centos.org
Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

Yo opino que si funcionaria, ya que ambos Routers del ISP no estan
conectados (entre ellos), en ambos ruters manejar el mismo segmentos de red.
A fin de cuenta bond0 recibe el paquete o lo pasa, creo que les llegaria a
ambos ISPs el paquete.

No veo donde este el conflicto :S

Claro, una veradadera VLAN seria con Routers que sean administrables.

Saludos !


El 5 de noviembre de 2013 10:44, max  escribió:

> Con bonding no es posible ya que el enrutamiento estático de los isp 
> no funcionaría.
>
> Max,
>
> -Mensaje original-
> De: angel jauregui [mailto:darkdiabl...@gmail.com] Enviado el: martes, 
> 05 de noviembre de 2013 11:43
> Para: centos-es@centos.org
> Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS
>
> Lo que @erick intenta decir (creo) es que hagas VLAN (bonding) de las 
> tarjeta eth0 y eth2, esto convertira en esclavas a las eth mencionadas 
> y creara un unico interfaz de comunicacion (bond0) que a fin de cuenta 
> en tus reglas del firewall sacaras todo por bond0, y bonding terminara 
> decidiendo por done sacar el paquete o bien sacarlo por ambos.
>
> En cada Router del ISP debes configurarte tu IP como DMZ o bien no 
> limitarte nada.
>
> Saludos !
>
>
> El 5 de noviembre de 2013 10:39, David González Romero
> escribió:
>
> > Me gustaría también saber sobre esto a ver que se puede hacer. Hasta 
> > ahora esa batalla solo la he vencido con Ipfw en FreeBSD..
> >
> > Saludos,
> > David
> >
> >
> > El 5 de noviembre de 2013 13:36, SisNet Corp.  > >escribió:
> >
> > > Un saludo estimados amigos.
> > >
> > > Existe alguna manera de configurar alta disponibilidad con 
> > > tolerancia a fallos con 2 ISP?
> > >
> > > Al momento tengo tres tarjetas de red
> > >
> > > Eth0 - ISP1
> > > Eth1 - Red lan
> > > Eth2 - ISP 2
> > >
> > > Saludos,
> > >
> > > max
> > >
> > > ___
> > > CentOS-es mailing list
> > > CentOS-es@centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.ca...@sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



--
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.ca...@sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es


Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

2013-11-05 Por tema David González Romero
Amigos esta claro que lo que se quiere lograr no es VLAN, sino Alta
disponibilidad. Eso es que siempre haya disponibles una ruta para sacar o
meter paquetes y que no se sature (balance de carga) una sola línea.
Bonding tiene la capacidad de hacer esto?

Saludos,
David


El 5 de noviembre de 2013 14:13, max  escribió:

> Es el escenario incorrecto ya que se debe manejar dos ip públicas en el
> server.
>
> Max,
>
> -Mensaje original-
> De: angel jauregui [mailto:darkdiabl...@gmail.com]
> Enviado el: martes, 05 de noviembre de 2013 12:09
> Para: centos-es@centos.org
> Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS
>
> Yo opino que si funcionaria, ya que ambos Routers del ISP no estan
> conectados (entre ellos), en ambos ruters manejar el mismo segmentos de
> red.
> A fin de cuenta bond0 recibe el paquete o lo pasa, creo que les llegaria a
> ambos ISPs el paquete.
>
> No veo donde este el conflicto :S
>
> Claro, una veradadera VLAN seria con Routers que sean administrables.
>
> Saludos !
>
>
> El 5 de noviembre de 2013 10:44, max  escribió:
>
> > Con bonding no es posible ya que el enrutamiento estático de los isp
> > no funcionaría.
> >
> > Max,
> >
> > -Mensaje original-
> > De: angel jauregui [mailto:darkdiabl...@gmail.com] Enviado el: martes,
> > 05 de noviembre de 2013 11:43
> > Para: centos-es@centos.org
> > Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS
> >
> > Lo que @erick intenta decir (creo) es que hagas VLAN (bonding) de las
> > tarjeta eth0 y eth2, esto convertira en esclavas a las eth mencionadas
> > y creara un unico interfaz de comunicacion (bond0) que a fin de cuenta
> > en tus reglas del firewall sacaras todo por bond0, y bonding terminara
> > decidiendo por done sacar el paquete o bien sacarlo por ambos.
> >
> > En cada Router del ISP debes configurarte tu IP como DMZ o bien no
> > limitarte nada.
> >
> > Saludos !
> >
> >
> > El 5 de noviembre de 2013 10:39, David González Romero
> > escribió:
> >
> > > Me gustaría también saber sobre esto a ver que se puede hacer. Hasta
> > > ahora esa batalla solo la he vencido con Ipfw en FreeBSD..
> > >
> > > Saludos,
> > > David
> > >
> > >
> > > El 5 de noviembre de 2013 13:36, SisNet Corp.  > > >escribió:
> > >
> > > > Un saludo estimados amigos.
> > > >
> > > > Existe alguna manera de configurar alta disponibilidad con
> > > > tolerancia a fallos con 2 ISP?
> > > >
> > > > Al momento tengo tres tarjetas de red
> > > >
> > > > Eth0 - ISP1
> > > > Eth1 - Red lan
> > > > Eth2 - ISP 2
> > > >
> > > > Saludos,
> > > >
> > > > max
> > > >
> > > > ___
> > > > CentOS-es mailing list
> > > > CentOS-es@centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > >
> > > ___
> > > CentOS-es mailing list
> > > CentOS-es@centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> >
> >
> >
> > --
> > M.S.I. Angel Haniel Cantu Jauregui.
> >
> > Celular: (011-52-1)-899-871-17-22
> > E-Mail: angel.ca...@sie-group.net
> > Web: http://www.sie-group.net/
> > Cd. Reynosa Tamaulipas.
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.ca...@sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es


Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

2013-11-05 Por tema angel jauregui
Yo opino que bonding asi como su configuracion lo indica, se ponen las 2
(dos) tarjetas de red como esclavas al interfaz virtual "bond0", al final
cuando se pone el paquete en bond0, es indicativo que se pone en ambas
tarjetas esclavas.

Saludos !


El 5 de noviembre de 2013 11:22, David González Romero
escribió:

> Amigos esta claro que lo que se quiere lograr no es VLAN, sino Alta
> disponibilidad. Eso es que siempre haya disponibles una ruta para sacar o
> meter paquetes y que no se sature (balance de carga) una sola línea.
> Bonding tiene la capacidad de hacer esto?
>
> Saludos,
> David
>
>
> El 5 de noviembre de 2013 14:13, max  escribió:
>
> > Es el escenario incorrecto ya que se debe manejar dos ip públicas en el
> > server.
> >
> > Max,
> >
> > -Mensaje original-
> > De: angel jauregui [mailto:darkdiabl...@gmail.com]
> > Enviado el: martes, 05 de noviembre de 2013 12:09
> > Para: centos-es@centos.org
> > Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS
> >
> > Yo opino que si funcionaria, ya que ambos Routers del ISP no estan
> > conectados (entre ellos), en ambos ruters manejar el mismo segmentos de
> > red.
> > A fin de cuenta bond0 recibe el paquete o lo pasa, creo que les llegaria
> a
> > ambos ISPs el paquete.
> >
> > No veo donde este el conflicto :S
> >
> > Claro, una veradadera VLAN seria con Routers que sean administrables.
> >
> > Saludos !
> >
> >
> > El 5 de noviembre de 2013 10:44, max  escribió:
> >
> > > Con bonding no es posible ya que el enrutamiento estático de los isp
> > > no funcionaría.
> > >
> > > Max,
> > >
> > > -Mensaje original-
> > > De: angel jauregui [mailto:darkdiabl...@gmail.com] Enviado el: martes,
> > > 05 de noviembre de 2013 11:43
> > > Para: centos-es@centos.org
> > > Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS
> > >
> > > Lo que @erick intenta decir (creo) es que hagas VLAN (bonding) de las
> > > tarjeta eth0 y eth2, esto convertira en esclavas a las eth mencionadas
> > > y creara un unico interfaz de comunicacion (bond0) que a fin de cuenta
> > > en tus reglas del firewall sacaras todo por bond0, y bonding terminara
> > > decidiendo por done sacar el paquete o bien sacarlo por ambos.
> > >
> > > En cada Router del ISP debes configurarte tu IP como DMZ o bien no
> > > limitarte nada.
> > >
> > > Saludos !
> > >
> > >
> > > El 5 de noviembre de 2013 10:39, David González Romero
> > > escribió:
> > >
> > > > Me gustaría también saber sobre esto a ver que se puede hacer. Hasta
> > > > ahora esa batalla solo la he vencido con Ipfw en FreeBSD..
> > > >
> > > > Saludos,
> > > > David
> > > >
> > > >
> > > > El 5 de noviembre de 2013 13:36, SisNet Corp.  > > > >escribió:
> > > >
> > > > > Un saludo estimados amigos.
> > > > >
> > > > > Existe alguna manera de configurar alta disponibilidad con
> > > > > tolerancia a fallos con 2 ISP?
> > > > >
> > > > > Al momento tengo tres tarjetas de red
> > > > >
> > > > > Eth0 - ISP1
> > > > > Eth1 - Red lan
> > > > > Eth2 - ISP 2
> > > > >
> > > > > Saludos,
> > > > >
> > > > > max
> > > > >
> > > > > ___
> > > > > CentOS-es mailing list
> > > > > CentOS-es@centos.org
> > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > >
> > > > ___
> > > > CentOS-es mailing list
> > > > CentOS-es@centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > >
> > >
> > >
> > >
> > > --
> > > M.S.I. Angel Haniel Cantu Jauregui.
> > >
> > > Celular: (011-52-1)-899-871-17-22
> > > E-Mail: angel.ca...@sie-group.net
> > > Web: http://www.sie-group.net/
> > > Cd. Reynosa Tamaulipas.
> > > ___
> > > CentOS-es mailing list
> > > CentOS-es@centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> > > ___
> > > CentOS-es mailing list
> > > CentOS-es@centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> >
> >
> >
> > --
> > M.S.I. Angel Haniel Cantu Jauregui.
> >
> > Celular: (011-52-1)-899-871-17-22
> > E-Mail: angel.ca...@sie-group.net
> > Web: http://www.sie-group.net/
> > Cd. Reynosa Tamaulipas.
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.ca...@sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo

Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

2013-11-05 Por tema David González Romero
Entonces eso que me dices no es alta disponibilidad... Yo entiendo por alta
disponibilidad que si tu tienes dos enlaces, tu sistema será lo
suficientemente inteligente para poder decidir por donde enviar un paquete
y que no sature el trafico de uno de los enlaces. O sea que siempre este
disponible alguno de esos enlaces para atender solicitudes. Eso yo entiendo
por alta disponibilidad. Quizas necesite que me expliquen mejor el concepto.

Saludos,
David


El 5 de noviembre de 2013 14:37, angel jauregui
escribió:

> Yo opino que bonding asi como su configuracion lo indica, se ponen las 2
> (dos) tarjetas de red como esclavas al interfaz virtual "bond0", al final
> cuando se pone el paquete en bond0, es indicativo que se pone en ambas
> tarjetas esclavas.
>
> Saludos !
>
>
> El 5 de noviembre de 2013 11:22, David González Romero
> escribió:
>
> > Amigos esta claro que lo que se quiere lograr no es VLAN, sino Alta
> > disponibilidad. Eso es que siempre haya disponibles una ruta para sacar o
> > meter paquetes y que no se sature (balance de carga) una sola línea.
> > Bonding tiene la capacidad de hacer esto?
> >
> > Saludos,
> > David
> >
> >
> > El 5 de noviembre de 2013 14:13, max  escribió:
> >
> > > Es el escenario incorrecto ya que se debe manejar dos ip públicas en el
> > > server.
> > >
> > > Max,
> > >
> > > -Mensaje original-
> > > De: angel jauregui [mailto:darkdiabl...@gmail.com]
> > > Enviado el: martes, 05 de noviembre de 2013 12:09
> > > Para: centos-es@centos.org
> > > Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS
> > >
> > > Yo opino que si funcionaria, ya que ambos Routers del ISP no estan
> > > conectados (entre ellos), en ambos ruters manejar el mismo segmentos de
> > > red.
> > > A fin de cuenta bond0 recibe el paquete o lo pasa, creo que les
> llegaria
> > a
> > > ambos ISPs el paquete.
> > >
> > > No veo donde este el conflicto :S
> > >
> > > Claro, una veradadera VLAN seria con Routers que sean administrables.
> > >
> > > Saludos !
> > >
> > >
> > > El 5 de noviembre de 2013 10:44, max  escribió:
> > >
> > > > Con bonding no es posible ya que el enrutamiento estático de los isp
> > > > no funcionaría.
> > > >
> > > > Max,
> > > >
> > > > -Mensaje original-
> > > > De: angel jauregui [mailto:darkdiabl...@gmail.com] Enviado el:
> martes,
> > > > 05 de noviembre de 2013 11:43
> > > > Para: centos-es@centos.org
> > > > Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS
> > > >
> > > > Lo que @erick intenta decir (creo) es que hagas VLAN (bonding) de las
> > > > tarjeta eth0 y eth2, esto convertira en esclavas a las eth
> mencionadas
> > > > y creara un unico interfaz de comunicacion (bond0) que a fin de
> cuenta
> > > > en tus reglas del firewall sacaras todo por bond0, y bonding
> terminara
> > > > decidiendo por done sacar el paquete o bien sacarlo por ambos.
> > > >
> > > > En cada Router del ISP debes configurarte tu IP como DMZ o bien no
> > > > limitarte nada.
> > > >
> > > > Saludos !
> > > >
> > > >
> > > > El 5 de noviembre de 2013 10:39, David González Romero
> > > > escribió:
> > > >
> > > > > Me gustaría también saber sobre esto a ver que se puede hacer.
> Hasta
> > > > > ahora esa batalla solo la he vencido con Ipfw en FreeBSD..
> > > > >
> > > > > Saludos,
> > > > > David
> > > > >
> > > > >
> > > > > El 5 de noviembre de 2013 13:36, SisNet Corp. <
> sis...@sisnet.com.ec
> > > > > >escribió:
> > > > >
> > > > > > Un saludo estimados amigos.
> > > > > >
> > > > > > Existe alguna manera de configurar alta disponibilidad con
> > > > > > tolerancia a fallos con 2 ISP?
> > > > > >
> > > > > > Al momento tengo tres tarjetas de red
> > > > > >
> > > > > > Eth0 - ISP1
> > > > > > Eth1 - Red lan
> > > > > > Eth2 - ISP 2
> > > > > >
> > > > > > Saludos,
> > > > > >
> > > > > > max
> > > > > >
> > > > > > ___
> > > > > > CentOS-es mailing list
> > > > > > CentOS-es@centos.org
> > > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > > >
> > > > > ___
> > > > > CentOS-es mailing list
> > > > > CentOS-es@centos.org
> > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > > M.S.I. Angel Haniel Cantu Jauregui.
> > > >
> > > > Celular: (011-52-1)-899-871-17-22
> > > > E-Mail: angel.ca...@sie-group.net
> > > > Web: http://www.sie-group.net/
> > > > Cd. Reynosa Tamaulipas.
> > > > ___
> > > > CentOS-es mailing list
> > > > CentOS-es@centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > >
> > > > ___
> > > > CentOS-es mailing list
> > > > CentOS-es@centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > >
> > >
> > >
> > >
> > > --
> > > M.S.I. Angel Haniel Cantu Jauregui.
> > >
> > > Celular: (011-52-1)-899-871-17-22
> > > E-Mail: angel.ca...@sie-group.net
> > > Web: ht

Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

2013-11-05 Por tema angel jauregui
Bueno alta disponibilidad inteligente creo que hiria mas por la parte de
verificar primero por cual ISP sacaria el paquete.

Con bond0 obtendria simplemente fluidez en que siempre saldrias por alguno
de los dos, si ISP 1 se cae, pues ISP 2 estaria atendiendo, tu paquete
siempre saldria.

Lo otro que menciona @David ya seria un procedimiento de toma de desicion
sobre que interfaz sacar el paquete para no saturar a un solo ISP.

Saludos !


El 5 de noviembre de 2013 11:42, David González Romero
escribió:

> Entonces eso que me dices no es alta disponibilidad... Yo entiendo por alta
> disponibilidad que si tu tienes dos enlaces, tu sistema será lo
> suficientemente inteligente para poder decidir por donde enviar un paquete
> y que no sature el trafico de uno de los enlaces. O sea que siempre este
> disponible alguno de esos enlaces para atender solicitudes. Eso yo entiendo
> por alta disponibilidad. Quizas necesite que me expliquen mejor el
> concepto.
>
> Saludos,
> David
>
>
> El 5 de noviembre de 2013 14:37, angel jauregui
> escribió:
>
> > Yo opino que bonding asi como su configuracion lo indica, se ponen las 2
> > (dos) tarjetas de red como esclavas al interfaz virtual "bond0", al final
> > cuando se pone el paquete en bond0, es indicativo que se pone en ambas
> > tarjetas esclavas.
> >
> > Saludos !
> >
> >
> > El 5 de noviembre de 2013 11:22, David González Romero
> > escribió:
> >
> > > Amigos esta claro que lo que se quiere lograr no es VLAN, sino Alta
> > > disponibilidad. Eso es que siempre haya disponibles una ruta para
> sacar o
> > > meter paquetes y que no se sature (balance de carga) una sola línea.
> > > Bonding tiene la capacidad de hacer esto?
> > >
> > > Saludos,
> > > David
> > >
> > >
> > > El 5 de noviembre de 2013 14:13, max  escribió:
> > >
> > > > Es el escenario incorrecto ya que se debe manejar dos ip públicas en
> el
> > > > server.
> > > >
> > > > Max,
> > > >
> > > > -Mensaje original-
> > > > De: angel jauregui [mailto:darkdiabl...@gmail.com]
> > > > Enviado el: martes, 05 de noviembre de 2013 12:09
> > > > Para: centos-es@centos.org
> > > > Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS
> > > >
> > > > Yo opino que si funcionaria, ya que ambos Routers del ISP no estan
> > > > conectados (entre ellos), en ambos ruters manejar el mismo segmentos
> de
> > > > red.
> > > > A fin de cuenta bond0 recibe el paquete o lo pasa, creo que les
> > llegaria
> > > a
> > > > ambos ISPs el paquete.
> > > >
> > > > No veo donde este el conflicto :S
> > > >
> > > > Claro, una veradadera VLAN seria con Routers que sean administrables.
> > > >
> > > > Saludos !
> > > >
> > > >
> > > > El 5 de noviembre de 2013 10:44, max 
> escribió:
> > > >
> > > > > Con bonding no es posible ya que el enrutamiento estático de los
> isp
> > > > > no funcionaría.
> > > > >
> > > > > Max,
> > > > >
> > > > > -Mensaje original-
> > > > > De: angel jauregui [mailto:darkdiabl...@gmail.com] Enviado el:
> > martes,
> > > > > 05 de noviembre de 2013 11:43
> > > > > Para: centos-es@centos.org
> > > > > Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS
> > > > >
> > > > > Lo que @erick intenta decir (creo) es que hagas VLAN (bonding) de
> las
> > > > > tarjeta eth0 y eth2, esto convertira en esclavas a las eth
> > mencionadas
> > > > > y creara un unico interfaz de comunicacion (bond0) que a fin de
> > cuenta
> > > > > en tus reglas del firewall sacaras todo por bond0, y bonding
> > terminara
> > > > > decidiendo por done sacar el paquete o bien sacarlo por ambos.
> > > > >
> > > > > En cada Router del ISP debes configurarte tu IP como DMZ o bien no
> > > > > limitarte nada.
> > > > >
> > > > > Saludos !
> > > > >
> > > > >
> > > > > El 5 de noviembre de 2013 10:39, David González Romero
> > > > > escribió:
> > > > >
> > > > > > Me gustaría también saber sobre esto a ver que se puede hacer.
> > Hasta
> > > > > > ahora esa batalla solo la he vencido con Ipfw en FreeBSD..
> > > > > >
> > > > > > Saludos,
> > > > > > David
> > > > > >
> > > > > >
> > > > > > El 5 de noviembre de 2013 13:36, SisNet Corp. <
> > sis...@sisnet.com.ec
> > > > > > >escribió:
> > > > > >
> > > > > > > Un saludo estimados amigos.
> > > > > > >
> > > > > > > Existe alguna manera de configurar alta disponibilidad con
> > > > > > > tolerancia a fallos con 2 ISP?
> > > > > > >
> > > > > > > Al momento tengo tres tarjetas de red
> > > > > > >
> > > > > > > Eth0 - ISP1
> > > > > > > Eth1 - Red lan
> > > > > > > Eth2 - ISP 2
> > > > > > >
> > > > > > > Saludos,
> > > > > > >
> > > > > > > max
> > > > > > >
> > > > > > > ___
> > > > > > > CentOS-es mailing list
> > > > > > > CentOS-es@centos.org
> > > > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > > > >
> > > > > > ___
> > > > > > CentOS-es mailing list
> > > > > > CentOS-es@centos.org
> > > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > >

Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

2013-11-05 Por tema David González Romero
Bueno esa alta disponibilidad se logra con ipfw en FreeBSD, y es un metodo
tan sencillo como lograr verificar el estado del canal de internet. En
muchos ISP que tienen más de 2 enlaces y deseas compartir ambos lo
tienen... Yo aca hice algo parecido en un CentOS pero no es de alta
disponilidad. Sino solo simple enrutamiento por uno u otro ISP si y solo si
un operador intervienen para cambiar el enlace.

Saludos,
David


El 5 de noviembre de 2013 14:53, angel jauregui
escribió:

> Bueno alta disponibilidad inteligente creo que hiria mas por la parte de
> verificar primero por cual ISP sacaria el paquete.
>
> Con bond0 obtendria simplemente fluidez en que siempre saldrias por alguno
> de los dos, si ISP 1 se cae, pues ISP 2 estaria atendiendo, tu paquete
> siempre saldria.
>
> Lo otro que menciona @David ya seria un procedimiento de toma de desicion
> sobre que interfaz sacar el paquete para no saturar a un solo ISP.
>
> Saludos !
>
>
> El 5 de noviembre de 2013 11:42, David González Romero
> escribió:
>
> > Entonces eso que me dices no es alta disponibilidad... Yo entiendo por
> alta
> > disponibilidad que si tu tienes dos enlaces, tu sistema será lo
> > suficientemente inteligente para poder decidir por donde enviar un
> paquete
> > y que no sature el trafico de uno de los enlaces. O sea que siempre este
> > disponible alguno de esos enlaces para atender solicitudes. Eso yo
> entiendo
> > por alta disponibilidad. Quizas necesite que me expliquen mejor el
> > concepto.
> >
> > Saludos,
> > David
> >
> >
> > El 5 de noviembre de 2013 14:37, angel jauregui
> > escribió:
> >
> > > Yo opino que bonding asi como su configuracion lo indica, se ponen las
> 2
> > > (dos) tarjetas de red como esclavas al interfaz virtual "bond0", al
> final
> > > cuando se pone el paquete en bond0, es indicativo que se pone en ambas
> > > tarjetas esclavas.
> > >
> > > Saludos !
> > >
> > >
> > > El 5 de noviembre de 2013 11:22, David González Romero
> > > escribió:
> > >
> > > > Amigos esta claro que lo que se quiere lograr no es VLAN, sino Alta
> > > > disponibilidad. Eso es que siempre haya disponibles una ruta para
> > sacar o
> > > > meter paquetes y que no se sature (balance de carga) una sola línea.
> > > > Bonding tiene la capacidad de hacer esto?
> > > >
> > > > Saludos,
> > > > David
> > > >
> > > >
> > > > El 5 de noviembre de 2013 14:13, max 
> escribió:
> > > >
> > > > > Es el escenario incorrecto ya que se debe manejar dos ip públicas
> en
> > el
> > > > > server.
> > > > >
> > > > > Max,
> > > > >
> > > > > -Mensaje original-
> > > > > De: angel jauregui [mailto:darkdiabl...@gmail.com]
> > > > > Enviado el: martes, 05 de noviembre de 2013 12:09
> > > > > Para: centos-es@centos.org
> > > > > Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS
> > > > >
> > > > > Yo opino que si funcionaria, ya que ambos Routers del ISP no estan
> > > > > conectados (entre ellos), en ambos ruters manejar el mismo
> segmentos
> > de
> > > > > red.
> > > > > A fin de cuenta bond0 recibe el paquete o lo pasa, creo que les
> > > llegaria
> > > > a
> > > > > ambos ISPs el paquete.
> > > > >
> > > > > No veo donde este el conflicto :S
> > > > >
> > > > > Claro, una veradadera VLAN seria con Routers que sean
> administrables.
> > > > >
> > > > > Saludos !
> > > > >
> > > > >
> > > > > El 5 de noviembre de 2013 10:44, max 
> > escribió:
> > > > >
> > > > > > Con bonding no es posible ya que el enrutamiento estático de los
> > isp
> > > > > > no funcionaría.
> > > > > >
> > > > > > Max,
> > > > > >
> > > > > > -Mensaje original-
> > > > > > De: angel jauregui [mailto:darkdiabl...@gmail.com] Enviado el:
> > > martes,
> > > > > > 05 de noviembre de 2013 11:43
> > > > > > Para: centos-es@centos.org
> > > > > > Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS
> > > > > >
> > > > > > Lo que @erick intenta decir (creo) es que hagas VLAN (bonding) de
> > las
> > > > > > tarjeta eth0 y eth2, esto convertira en esclavas a las eth
> > > mencionadas
> > > > > > y creara un unico interfaz de comunicacion (bond0) que a fin de
> > > cuenta
> > > > > > en tus reglas del firewall sacaras todo por bond0, y bonding
> > > terminara
> > > > > > decidiendo por done sacar el paquete o bien sacarlo por ambos.
> > > > > >
> > > > > > En cada Router del ISP debes configurarte tu IP como DMZ o bien
> no
> > > > > > limitarte nada.
> > > > > >
> > > > > > Saludos !
> > > > > >
> > > > > >
> > > > > > El 5 de noviembre de 2013 10:39, David González Romero
> > > > > > escribió:
> > > > > >
> > > > > > > Me gustaría también saber sobre esto a ver que se puede hacer.
> > > Hasta
> > > > > > > ahora esa batalla solo la he vencido con Ipfw en FreeBSD..
> > > > > > >
> > > > > > > Saludos,
> > > > > > > David
> > > > > > >
> > > > > > >
> > > > > > > El 5 de noviembre de 2013 13:36, SisNet Corp. <
> > > sis...@sisnet.com.ec
> > > > > > > >escribió:
> > > > > > >
> > > > > > > > Un saludo estimados amigos.
> > > > > > > >
> > > > > > > > 

Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

2013-11-05 Por tema angel jauregui
Vaya entonces ipfw comprueba el estado del canal, para tomar la desicion de
poner o no hay el paquete...

Y en CentOS como lo hiciste ?


El 5 de noviembre de 2013 12:00, David González Romero
escribió:

> Bueno esa alta disponibilidad se logra con ipfw en FreeBSD, y es un metodo
> tan sencillo como lograr verificar el estado del canal de internet. En
> muchos ISP que tienen más de 2 enlaces y deseas compartir ambos lo
> tienen... Yo aca hice algo parecido en un CentOS pero no es de alta
> disponilidad. Sino solo simple enrutamiento por uno u otro ISP si y solo si
> un operador intervienen para cambiar el enlace.
>
> Saludos,
> David
>
>
> El 5 de noviembre de 2013 14:53, angel jauregui
> escribió:
>
> > Bueno alta disponibilidad inteligente creo que hiria mas por la parte de
> > verificar primero por cual ISP sacaria el paquete.
> >
> > Con bond0 obtendria simplemente fluidez en que siempre saldrias por
> alguno
> > de los dos, si ISP 1 se cae, pues ISP 2 estaria atendiendo, tu paquete
> > siempre saldria.
> >
> > Lo otro que menciona @David ya seria un procedimiento de toma de desicion
> > sobre que interfaz sacar el paquete para no saturar a un solo ISP.
> >
> > Saludos !
> >
> >
> > El 5 de noviembre de 2013 11:42, David González Romero
> > escribió:
> >
> > > Entonces eso que me dices no es alta disponibilidad... Yo entiendo por
> > alta
> > > disponibilidad que si tu tienes dos enlaces, tu sistema será lo
> > > suficientemente inteligente para poder decidir por donde enviar un
> > paquete
> > > y que no sature el trafico de uno de los enlaces. O sea que siempre
> este
> > > disponible alguno de esos enlaces para atender solicitudes. Eso yo
> > entiendo
> > > por alta disponibilidad. Quizas necesite que me expliquen mejor el
> > > concepto.
> > >
> > > Saludos,
> > > David
> > >
> > >
> > > El 5 de noviembre de 2013 14:37, angel jauregui
> > > escribió:
> > >
> > > > Yo opino que bonding asi como su configuracion lo indica, se ponen
> las
> > 2
> > > > (dos) tarjetas de red como esclavas al interfaz virtual "bond0", al
> > final
> > > > cuando se pone el paquete en bond0, es indicativo que se pone en
> ambas
> > > > tarjetas esclavas.
> > > >
> > > > Saludos !
> > > >
> > > >
> > > > El 5 de noviembre de 2013 11:22, David González Romero
> > > > escribió:
> > > >
> > > > > Amigos esta claro que lo que se quiere lograr no es VLAN, sino Alta
> > > > > disponibilidad. Eso es que siempre haya disponibles una ruta para
> > > sacar o
> > > > > meter paquetes y que no se sature (balance de carga) una sola
> línea.
> > > > > Bonding tiene la capacidad de hacer esto?
> > > > >
> > > > > Saludos,
> > > > > David
> > > > >
> > > > >
> > > > > El 5 de noviembre de 2013 14:13, max 
> > escribió:
> > > > >
> > > > > > Es el escenario incorrecto ya que se debe manejar dos ip públicas
> > en
> > > el
> > > > > > server.
> > > > > >
> > > > > > Max,
> > > > > >
> > > > > > -Mensaje original-
> > > > > > De: angel jauregui [mailto:darkdiabl...@gmail.com]
> > > > > > Enviado el: martes, 05 de noviembre de 2013 12:09
> > > > > > Para: centos-es@centos.org
> > > > > > Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS
> > > > > >
> > > > > > Yo opino que si funcionaria, ya que ambos Routers del ISP no
> estan
> > > > > > conectados (entre ellos), en ambos ruters manejar el mismo
> > segmentos
> > > de
> > > > > > red.
> > > > > > A fin de cuenta bond0 recibe el paquete o lo pasa, creo que les
> > > > llegaria
> > > > > a
> > > > > > ambos ISPs el paquete.
> > > > > >
> > > > > > No veo donde este el conflicto :S
> > > > > >
> > > > > > Claro, una veradadera VLAN seria con Routers que sean
> > administrables.
> > > > > >
> > > > > > Saludos !
> > > > > >
> > > > > >
> > > > > > El 5 de noviembre de 2013 10:44, max 
> > > escribió:
> > > > > >
> > > > > > > Con bonding no es posible ya que el enrutamiento estático de
> los
> > > isp
> > > > > > > no funcionaría.
> > > > > > >
> > > > > > > Max,
> > > > > > >
> > > > > > > -Mensaje original-
> > > > > > > De: angel jauregui [mailto:darkdiabl...@gmail.com] Enviado el:
> > > > martes,
> > > > > > > 05 de noviembre de 2013 11:43
> > > > > > > Para: centos-es@centos.org
> > > > > > > Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS
> > > > > > >
> > > > > > > Lo que @erick intenta decir (creo) es que hagas VLAN (bonding)
> de
> > > las
> > > > > > > tarjeta eth0 y eth2, esto convertira en esclavas a las eth
> > > > mencionadas
> > > > > > > y creara un unico interfaz de comunicacion (bond0) que a fin de
> > > > cuenta
> > > > > > > en tus reglas del firewall sacaras todo por bond0, y bonding
> > > > terminara
> > > > > > > decidiendo por done sacar el paquete o bien sacarlo por ambos.
> > > > > > >
> > > > > > > En cada Router del ISP debes configurarte tu IP como DMZ o bien
> > no
> > > > > > > limitarte nada.
> > > > > > >
> > > > > > > Saludos !
> > > > > > >
> > > > > > >
> > > > > > > El 5 de noviembre de 2013 10:39, David Gonzále

Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

2013-11-05 Por tema David González Romero
En CentOS no hice. Ipfw es de FreeBSD, esta muy documentada esta solución y
fue gracias a un amigo que trabajó conmigo en Cuba que lo hizo primero.




El 5 de noviembre de 2013 15:04, angel jauregui
escribió:

> Vaya entonces ipfw comprueba el estado del canal, para tomar la desicion de
> poner o no hay el paquete...
>
> Y en CentOS como lo hiciste ?
>
>
> El 5 de noviembre de 2013 12:00, David González Romero
> escribió:
>
> > Bueno esa alta disponibilidad se logra con ipfw en FreeBSD, y es un
> metodo
> > tan sencillo como lograr verificar el estado del canal de internet. En
> > muchos ISP que tienen más de 2 enlaces y deseas compartir ambos lo
> > tienen... Yo aca hice algo parecido en un CentOS pero no es de alta
> > disponilidad. Sino solo simple enrutamiento por uno u otro ISP si y solo
> si
> > un operador intervienen para cambiar el enlace.
> >
> > Saludos,
> > David
> >
> >
> > El 5 de noviembre de 2013 14:53, angel jauregui
> > escribió:
> >
> > > Bueno alta disponibilidad inteligente creo que hiria mas por la parte
> de
> > > verificar primero por cual ISP sacaria el paquete.
> > >
> > > Con bond0 obtendria simplemente fluidez en que siempre saldrias por
> > alguno
> > > de los dos, si ISP 1 se cae, pues ISP 2 estaria atendiendo, tu paquete
> > > siempre saldria.
> > >
> > > Lo otro que menciona @David ya seria un procedimiento de toma de
> desicion
> > > sobre que interfaz sacar el paquete para no saturar a un solo ISP.
> > >
> > > Saludos !
> > >
> > >
> > > El 5 de noviembre de 2013 11:42, David González Romero
> > > escribió:
> > >
> > > > Entonces eso que me dices no es alta disponibilidad... Yo entiendo
> por
> > > alta
> > > > disponibilidad que si tu tienes dos enlaces, tu sistema será lo
> > > > suficientemente inteligente para poder decidir por donde enviar un
> > > paquete
> > > > y que no sature el trafico de uno de los enlaces. O sea que siempre
> > este
> > > > disponible alguno de esos enlaces para atender solicitudes. Eso yo
> > > entiendo
> > > > por alta disponibilidad. Quizas necesite que me expliquen mejor el
> > > > concepto.
> > > >
> > > > Saludos,
> > > > David
> > > >
> > > >
> > > > El 5 de noviembre de 2013 14:37, angel jauregui
> > > > escribió:
> > > >
> > > > > Yo opino que bonding asi como su configuracion lo indica, se ponen
> > las
> > > 2
> > > > > (dos) tarjetas de red como esclavas al interfaz virtual "bond0", al
> > > final
> > > > > cuando se pone el paquete en bond0, es indicativo que se pone en
> > ambas
> > > > > tarjetas esclavas.
> > > > >
> > > > > Saludos !
> > > > >
> > > > >
> > > > > El 5 de noviembre de 2013 11:22, David González Romero
> > > > > escribió:
> > > > >
> > > > > > Amigos esta claro que lo que se quiere lograr no es VLAN, sino
> Alta
> > > > > > disponibilidad. Eso es que siempre haya disponibles una ruta para
> > > > sacar o
> > > > > > meter paquetes y que no se sature (balance de carga) una sola
> > línea.
> > > > > > Bonding tiene la capacidad de hacer esto?
> > > > > >
> > > > > > Saludos,
> > > > > > David
> > > > > >
> > > > > >
> > > > > > El 5 de noviembre de 2013 14:13, max 
> > > escribió:
> > > > > >
> > > > > > > Es el escenario incorrecto ya que se debe manejar dos ip
> públicas
> > > en
> > > > el
> > > > > > > server.
> > > > > > >
> > > > > > > Max,
> > > > > > >
> > > > > > > -Mensaje original-
> > > > > > > De: angel jauregui [mailto:darkdiabl...@gmail.com]
> > > > > > > Enviado el: martes, 05 de noviembre de 2013 12:09
> > > > > > > Para: centos-es@centos.org
> > > > > > > Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS
> > > > > > >
> > > > > > > Yo opino que si funcionaria, ya que ambos Routers del ISP no
> > estan
> > > > > > > conectados (entre ellos), en ambos ruters manejar el mismo
> > > segmentos
> > > > de
> > > > > > > red.
> > > > > > > A fin de cuenta bond0 recibe el paquete o lo pasa, creo que les
> > > > > llegaria
> > > > > > a
> > > > > > > ambos ISPs el paquete.
> > > > > > >
> > > > > > > No veo donde este el conflicto :S
> > > > > > >
> > > > > > > Claro, una veradadera VLAN seria con Routers que sean
> > > administrables.
> > > > > > >
> > > > > > > Saludos !
> > > > > > >
> > > > > > >
> > > > > > > El 5 de noviembre de 2013 10:44, max 
> > > > escribió:
> > > > > > >
> > > > > > > > Con bonding no es posible ya que el enrutamiento estático de
> > los
> > > > isp
> > > > > > > > no funcionaría.
> > > > > > > >
> > > > > > > > Max,
> > > > > > > >
> > > > > > > > -Mensaje original-
> > > > > > > > De: angel jauregui [mailto:darkdiabl...@gmail.com] Enviado
> el:
> > > > > martes,
> > > > > > > > 05 de noviembre de 2013 11:43
> > > > > > > > Para: centos-es@centos.org
> > > > > > > > Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en
> CentOS
> > > > > > > >
> > > > > > > > Lo que @erick intenta decir (creo) es que hagas VLAN
> (bonding)
> > de
> > > > las
> > > > > > > > tarjeta eth0 y eth2, esto convertira en esclavas a las eth
> > > > > mencionadas
> > > >

Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

2013-11-05 Por tema Ernesto Pérez Estévez, Ing.
On 11/05/2013 11:37 AM, Erick Ocrospoma wrote:
> Hola,
> 
> Lo que estás buscando se le conoce como bonding :-)
> 
no, no le llamaría bonding, bonding es cuando unes dos tarjetas hacia un
mismo switch (trunking) a nivel de capa 2 típicamente.. lo que pide es
alta disponibilidad, o balanceo de carga entre dos isp, con dos ips
diferentes, etc.


-- 

Ernesto Pérez
+593 9 9924 6504
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es


Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

2013-11-05 Por tema max
Exacto David!

-Mensaje original-
De: David González Romero [mailto:dgrved...@gmail.com] 
Enviado el: martes, 05 de noviembre de 2013 12:42
Para: centos-es@centos.org
Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

Entonces eso que me dices no es alta disponibilidad... Yo entiendo por alta
disponibilidad que si tu tienes dos enlaces, tu sistema será lo
suficientemente inteligente para poder decidir por donde enviar un paquete y
que no sature el trafico de uno de los enlaces. O sea que siempre este
disponible alguno de esos enlaces para atender solicitudes. Eso yo entiendo
por alta disponibilidad. Quizas necesite que me expliquen mejor el concepto.

Saludos,
David


El 5 de noviembre de 2013 14:37, angel jauregui
escribió:

> Yo opino que bonding asi como su configuracion lo indica, se ponen las 
> 2
> (dos) tarjetas de red como esclavas al interfaz virtual "bond0", al 
> final cuando se pone el paquete en bond0, es indicativo que se pone en 
> ambas tarjetas esclavas.
>
> Saludos !
>
>
> El 5 de noviembre de 2013 11:22, David González Romero
> escribió:
>
> > Amigos esta claro que lo que se quiere lograr no es VLAN, sino Alta 
> > disponibilidad. Eso es que siempre haya disponibles una ruta para 
> > sacar o meter paquetes y que no se sature (balance de carga) una sola
línea.
> > Bonding tiene la capacidad de hacer esto?
> >
> > Saludos,
> > David
> >
> >
> > El 5 de noviembre de 2013 14:13, max  escribió:
> >
> > > Es el escenario incorrecto ya que se debe manejar dos ip públicas 
> > > en el server.
> > >
> > > Max,
> > >
> > > -Mensaje original-
> > > De: angel jauregui [mailto:darkdiabl...@gmail.com] Enviado el: 
> > > martes, 05 de noviembre de 2013 12:09
> > > Para: centos-es@centos.org
> > > Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS
> > >
> > > Yo opino que si funcionaria, ya que ambos Routers del ISP no estan 
> > > conectados (entre ellos), en ambos ruters manejar el mismo 
> > > segmentos de red.
> > > A fin de cuenta bond0 recibe el paquete o lo pasa, creo que les
> llegaria
> > a
> > > ambos ISPs el paquete.
> > >
> > > No veo donde este el conflicto :S
> > >
> > > Claro, una veradadera VLAN seria con Routers que sean administrables.
> > >
> > > Saludos !
> > >
> > >
> > > El 5 de noviembre de 2013 10:44, max  escribió:
> > >
> > > > Con bonding no es posible ya que el enrutamiento estático de los 
> > > > isp no funcionaría.
> > > >
> > > > Max,
> > > >
> > > > -Mensaje original-
> > > > De: angel jauregui [mailto:darkdiabl...@gmail.com] Enviado el:
> martes,
> > > > 05 de noviembre de 2013 11:43
> > > > Para: centos-es@centos.org
> > > > Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS
> > > >
> > > > Lo que @erick intenta decir (creo) es que hagas VLAN (bonding) 
> > > > de las tarjeta eth0 y eth2, esto convertira en esclavas a las 
> > > > eth
> mencionadas
> > > > y creara un unico interfaz de comunicacion (bond0) que a fin de
> cuenta
> > > > en tus reglas del firewall sacaras todo por bond0, y bonding
> terminara
> > > > decidiendo por done sacar el paquete o bien sacarlo por ambos.
> > > >
> > > > En cada Router del ISP debes configurarte tu IP como DMZ o bien 
> > > > no limitarte nada.
> > > >
> > > > Saludos !
> > > >
> > > >
> > > > El 5 de noviembre de 2013 10:39, David González Romero
> > > > escribió:
> > > >
> > > > > Me gustaría también saber sobre esto a ver que se puede hacer.
> Hasta
> > > > > ahora esa batalla solo la he vencido con Ipfw en FreeBSD..
> > > > >
> > > > > Saludos,
> > > > > David
> > > > >
> > > > >
> > > > > El 5 de noviembre de 2013 13:36, SisNet Corp. <
> sis...@sisnet.com.ec
> > > > > >escribió:
> > > > >
> > > > > > Un saludo estimados amigos.
> > > > > >
> > > > > > Existe alguna manera de configurar alta disponibilidad con 
> > > > > > tolerancia a fallos con 2 ISP?
> > > > > >
> > > > > > Al momento tengo tres tarjetas de red
> > > > > >
> > > > > > Eth0 - ISP1
> > > > > > Eth1 - Red lan
> > > > > > Eth2 - ISP 2
> > > > > >
> > > > > > Saludos,
> > > > > >
> > > > > > max
> > > > > >
> > > > > > ___
> > > > > > CentOS-es mailing list
> > > > > > CentOS-es@centos.org
> > > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > > >
> > > > > ___
> > > > > CentOS-es mailing list
> > > > > CentOS-es@centos.org
> > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > > M.S.I. Angel Haniel Cantu Jauregui.
> > > >
> > > > Celular: (011-52-1)-899-871-17-22
> > > > E-Mail: angel.ca...@sie-group.net
> > > > Web: http://www.sie-group.net/
> > > > Cd. Reynosa Tamaulipas.
> > > > ___
> > > > CentOS-es mailing list
> > > > CentOS-es@centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > >
> > > > ___
> > > > CentOS-es mailing list

Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

2013-11-05 Por tema max
Exacto EPE,

Alguna sugerencia con CentOs ?

-Mensaje original-
De: "Ernesto Pérez Estévez, Ing." [mailto:ernesto.pe...@cedia.org.ec] 
Enviado el: martes, 05 de noviembre de 2013 13:12
Para: centos-es@centos.org
Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

On 11/05/2013 11:37 AM, Erick Ocrospoma wrote:
> Hola,
> 
> Lo que estás buscando se le conoce como bonding :-)
> 
no, no le llamaría bonding, bonding es cuando unes dos tarjetas hacia un
mismo switch (trunking) a nivel de capa 2 típicamente.. lo que pide es alta
disponibilidad, o balanceo de carga entre dos isp, con dos ips diferentes,
etc.


-- 

Ernesto Pérez
+593 9 9924 6504
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es


Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

2013-11-05 Por tema Luis Braulio Camacho Espinoza
Shorewall, es lo que necesitas.
Yo lo hice de esa manera y funciona muy bien.

Luis Camacho


-Mensaje original-
De: centos-es-boun...@centos.org [mailto:centos-es-boun...@centos.org] En
nombre de max
Enviado el: martes, 05 de noviembre de 2013 14:35
Para: centos-es@centos.org
Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

Exacto EPE,

Alguna sugerencia con CentOs ?

-Mensaje original-
De: "Ernesto Pérez Estévez, Ing." [mailto:ernesto.pe...@cedia.org.ec]
Enviado el: martes, 05 de noviembre de 2013 13:12
Para: centos-es@centos.org
Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

On 11/05/2013 11:37 AM, Erick Ocrospoma wrote:
> Hola,
> 
> Lo que estás buscando se le conoce como bonding :-)
> 
no, no le llamaría bonding, bonding es cuando unes dos tarjetas hacia un
mismo switch (trunking) a nivel de capa 2 típicamente.. lo que pide es alta
disponibilidad, o balanceo de carga entre dos isp, con dos ips diferentes,
etc.


-- 

Ernesto Pérez
+593 9 9924 6504
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es


Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

2013-11-05 Por tema max
Gracias Luis por responder,

Tienes alguna guía?

Max,

-Mensaje original-
De: Luis Braulio Camacho Espinoza [mailto:luib...@yahoo.com.ar] 
Enviado el: martes, 05 de noviembre de 2013 14:03
Para: centos-es@centos.org
Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

Shorewall, es lo que necesitas.
Yo lo hice de esa manera y funciona muy bien.

Luis Camacho


-Mensaje original-
De: centos-es-boun...@centos.org [mailto:centos-es-boun...@centos.org] En
nombre de max Enviado el: martes, 05 de noviembre de 2013 14:35
Para: centos-es@centos.org
Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

Exacto EPE,

Alguna sugerencia con CentOs ?

-Mensaje original-
De: "Ernesto Pérez Estévez, Ing." [mailto:ernesto.pe...@cedia.org.ec]
Enviado el: martes, 05 de noviembre de 2013 13:12
Para: centos-es@centos.org
Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

On 11/05/2013 11:37 AM, Erick Ocrospoma wrote:
> Hola,
> 
> Lo que estás buscando se le conoce como bonding :-)
> 
no, no le llamaría bonding, bonding es cuando unes dos tarjetas hacia un
mismo switch (trunking) a nivel de capa 2 típicamente.. lo que pide es alta
disponibilidad, o balanceo de carga entre dos isp, con dos ips diferentes,
etc.


-- 

Ernesto Pérez
+593 9 9924 6504
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es


Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

2013-11-05 Por tema David González Romero
Ahh cierto con Shorewall se puede hacer...

Después sería interesante que nos des los tips de como proceder... Ahora me
pongo a aprender yo también un poco de Shorewall.

Saludos,
David


El 5 de noviembre de 2013 16:02, Luis Braulio Camacho Espinoza <
luib...@yahoo.com.ar> escribió:

> Shorewall, es lo que necesitas.
> Yo lo hice de esa manera y funciona muy bien.
>
> Luis Camacho
>
>
> -Mensaje original-
> De: centos-es-boun...@centos.org [mailto:centos-es-boun...@centos.org] En
> nombre de max
> Enviado el: martes, 05 de noviembre de 2013 14:35
> Para: centos-es@centos.org
> Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS
>
> Exacto EPE,
>
> Alguna sugerencia con CentOs ?
>
> -Mensaje original-
> De: "Ernesto Pérez Estévez, Ing." [mailto:ernesto.pe...@cedia.org.ec]
> Enviado el: martes, 05 de noviembre de 2013 13:12
> Para: centos-es@centos.org
> Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS
>
> On 11/05/2013 11:37 AM, Erick Ocrospoma wrote:
> > Hola,
> >
> > Lo que estás buscando se le conoce como bonding :-)
> >
> no, no le llamaría bonding, bonding es cuando unes dos tarjetas hacia un
> mismo switch (trunking) a nivel de capa 2 típicamente.. lo que pide es alta
> disponibilidad, o balanceo de carga entre dos isp, con dos ips diferentes,
> etc.
>
>
> --
>
> Ernesto Pérez
> +593 9 9924 6504
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es


[CentOS-es] Alta disponibilidad con 2 ISP en CentOS

2013-11-05 Por tema Luis Braulio Camacho Espinoza
Lo hice en base a este documento que lo encuentras en internet:

Shorewall and Multiple Internet Connections
Tom Eastep

Luis Camacho



-Mensaje original-
De: centos-es-boun...@centos.org [mailto:centos-es-boun...@centos.org] En
nombre de max
Enviado el: martes, 05 de noviembre de 2013 15:05
Para: centos-es@centos.org
Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

Gracias Luis por responder,

Tienes alguna guía?

Max,

-Mensaje original-
De: Luis Braulio Camacho Espinoza [mailto:luib...@yahoo.com.ar] Enviado el:
martes, 05 de noviembre de 2013 14:03
Para: centos-es@centos.org
Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

Shorewall, es lo que necesitas.
Yo lo hice de esa manera y funciona muy bien.

Luis Camacho


-Mensaje original-
De: centos-es-boun...@centos.org [mailto:centos-es-boun...@centos.org] En
nombre de max Enviado el: martes, 05 de noviembre de 2013 14:35
Para: centos-es@centos.org
Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

Exacto EPE,

Alguna sugerencia con CentOs ?

-Mensaje original-
De: "Ernesto Pérez Estévez, Ing." [mailto:ernesto.pe...@cedia.org.ec]
Enviado el: martes, 05 de noviembre de 2013 13:12
Para: centos-es@centos.org
Asunto: Re: [CentOS-es] Alta disponibilidad con 2 ISP en CentOS

On 11/05/2013 11:37 AM, Erick Ocrospoma wrote:
> Hola,
> 
> Lo que estás buscando se le conoce como bonding :-)
> 
no, no le llamaría bonding, bonding es cuando unes dos tarjetas hacia un
mismo switch (trunking) a nivel de capa 2 típicamente.. lo que pide es alta
disponibilidad, o balanceo de carga entre dos isp, con dos ips diferentes,
etc.


-- 

Ernesto Pérez
+593 9 9924 6504
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es