El 19/01/11 23:02, Ernesto Crespo escribió: > Saludos Juan. > Ernesto Crespo > Linux User No. 100996 > Usando Debian squeeze- Kernel 2.6.26-2 > http://ernesto-ecrespo.blogspot.com/ > Finger Print = 66CB 6BF4 7C7C EC0E DA60 06C8 87E8 9061 C97E 7015 > Por la no monopolización del conocimiento y del Software Libre. > > > El 19 de enero de 2011 16:16, Juan Antonio <push...@limbo.ari.es > <mailto:push...@limbo.ari.es>> escribió: > > El 19/01/11 21:23, Ernesto Crespo escribió: > > Saludos a todos. > > Estoy creando un firewall para un equipo que tiene 3 interfaces > de red, la > > primera es la dirección pública, la segunda es la interfaz de la > dmz y la > > 3era el de la LAN; está LAN consta de varias redes que llegan > por esa > > interfaz. > > > > Tengo un Servidor proxy en el mismo equipo como proxy > transparente, el > > funciona pero cuando reviso en whatismyip.com > <http://whatismyip.com> para ver que IP estoy usando > > me muestra la IP de la interfaz que va a la LAN. En el archivo > access.log de > > squid aparecen las peticiones de páginas web pero sale la IP de > la interfaz > > de la red LAN. > > > > Hago ping desde un equipo de la red local a la IP pública del > firewall y le > > llego pero le doy ping al gateway del firewall y no le llego, > pero si le > > llego desde el firewall al gateway. > > > > Y desde la DMZ le hago ping al equipo que hace de de servidor de > DNS y no le > > llego. > > > > El servidor de Nombres se encuentra en la red LAN el cual el > firewall y los > > equipos de la DMZ consultan a dicho servidor de nombres. > > Todo indica que el problema es que no está haciendo NAT el firewall. > > A continuación la regla de proxy transparente y la de NAT. > > > > red lan:10.60.0.0/24 <http://10.60.0.0/24> > > eth lan:eth3 > > > > eth publica:eth1 > > > > red dmz: 10.60.50.0/24 <http://10.60.50.0/24> > > eth dmz: eth2 > > > > La regla de proxy transparente es la siguiente: > > iptables -t nat -A PREROUTING -i eth3 -s 10.60.0.0/24 > <http://10.60.0.0/24> -d 0.0.0.0/0.0.0.0 <http://0.0.0.0/0.0.0.0> -p > > tcp -m tcp --dport 80 -j REDIRECT --to-port 8080 > > > > Regla de NAT: > > iptables -t nat -A POSTROUTING -s 10.60.0.0/24 > <http://10.60.0.0/24> -o eth1 -j SNAT --to > > ipinicial-ipfinal > > > > Gracias por cualquier ayuda que puedan dar... > > > > El problema que tengo es que no logro > > Ernesto Crespo > > Linux User No. 100996 > > Usando Debian squeeze- Kernel 2.6.26-2 > > http://ernesto-ecrespo.blogspot.com/ > > Finger Print = 66CB 6BF4 7C7C EC0E DA60 06C8 87E8 9061 C97E 7015 > > Por la no monopolización del conocimiento y del Software Libre. > > > > Hola, > > no creo que la web de whatismyip.com <http://whatismyip.com> pueda > mostrarte una dirección de un > rango reservado, cualquier encaminador descartará ese tráfico por no > hablar de que sería imposible devolverlo si por un casual llegara al > destino. > > Para asegurarte que estas enmascarando el tráfico correctamente usa > iptables -t nat -vnL POSTROUTING y asi verás si la regla que usas esta > sumando tráfico, o bien usa tcpdump y confirma que ves el tráfico > original y el enmascarado. > > La regla parece correcta excepto por lo de ipinicial-ipfinal que no se > que significa, sería --to-source ip-pública o mas facil en tu caso tan > solo enmascaralo todo con -j MASQUERDAE. > > El resultado es el siguiente del comando que me pasaste: > iptables -t nat -vnL POSTROUTING > Chain POSTROUTING (policy ACCEPT 159 packets, 10115 bytes) > pkts bytes target prot opt in out source > destination > 0 0 SNAT all -- * eth1 10.60.0.0/24 > <http://10.60.0.0/24> 0.0.0.0/0 <http://0.0.0.0/0> > to:200.100.8.1-200.100.8.254 > > > Hice un cambio en el proxy transparente para que redireccione a la IP > pública y cambie la configuración de dansguardian, ahora sólo aparece > en los access.log de squid la IP pública y me interesa que aparezcan > las IPs de la red Interna. > Todo indica que no está haciendo NAT del origen ni está aplicando el > NAT al momento de de enrutar el paquete. > > Saludos. >
Como ves no pasa trafico por esa regla, pkts = 0 y brytes = 0. Diria que es incorrecto ese to, al menos yo no lo comprendo, en el correo anterior te dije como tendrías que hacerlo. Un saludo.