El lun, 10-10-2005 a las 17:03 -0300, Leo escribió: > Diego F. Asanza wrote: > > >El lun, 03-10-2005 a las 09:35 -0300, Leo escribió: > > > > > >>Hola. > >> > >>Les detallo mi situación (todos los equipos involucrados tienen Debian > >>Etch): > >> > >>Gateway (gw) con 3 tarjetas de red: > >>eth0 -> Red Privada 192.168.0 > >>eth1 -> Internet > >>eth2 -> Red Privada 192.168.1 (esta es la de mi oficina, que ahora solo > >>sería entre el gw y el fw). > >> > >>Por distintos motivos quiero poner un Firewall (fw) entre la eth2 del Gw > >>y mi red por lo que he montado un equipo con 2 tarjetas de red de la > >>siguiente manera: > >> > >>eth0 -> 192.168.1.x -> conectada por cable cruzado a la eth2 del Gw > >>eth1 -> 192.168.2.x -> conectado a un hub con todos los demás de equipos. > >> > >>Lo que pasa es lo siguiente: > >> > >>Desde el FW puedo hacer ping a todos los equipos de la red, ya se al > >>firewall (192.168.1.x), a los de mi red (192.168.2.x) o hacia internet, > >>pero el problema es que desde los equipos de mi red, a los cuales les > >>configuré como Default Gateway la ip 192.168.2.x de mi FW no puedo > >>pingear a Internet. > >> > >>Osea, desde cualquiera de los equipos de la red (192.168.2.x) puedo > >>hacer ping hasta la eth1 de mi FW sin problemas, pero de ahi no pasa > >>(como si el FW no estuviese ruteando). > >> > >>Mas abajo agrego las tablas de ruteo haber que opinan. > >> > >>Desde ya muchas gracias. > >> > >>PD. Aclaro que he puesto a 1 el flag dentro de /proc/net/.... > >> > >>gateway# route > >>Kernel IP routing table > >>Destination Gateway Genmask Flags Metric Ref Use > >>Iface > >>x.x.x.x * 255.255.255.255 UH 0 > >>0 0 eth1 > >>192.168.1.0 * 255.255.255.0 U 0 0 0 > >>eth2 > >>192.168.0.0 * 255.255.255.0 U 0 0 0 > >>eth0 > >>x.x.x.x * 255.255.255.0 U 0 > >>0 0 eth1 > >>default x.x.x.x 0.0.0.0 UG 0 0 0 eth1 > >> > >> > >>(aqui es donde creo que esta el error) > >>firewall# route > >>Kernel IP routing table > >>Destination Gateway Genmask Flags Metric Ref Use > >>Iface > >>192.168.3.10 * 255.255.255.255 UH 0 0 0 > >>tun0 > >>192.168.2.0 * 255.255.255.0 U 0 0 0 > >>eth1 > >>192.168.1.0 * 255.255.255.0 U 0 0 0 > >>eth0 > >>default 192.168.1.250 0.0.0.0 UG 0 0 0 > >>eth0 > >> > >> > >>--- Dat1.net --- > >>[Este mail fue controlado con Declude Virus/F-Prot] > >> > >> > >> > >> > > > >Cual es la salida de los siguientes comandos:???? > > > ># cat /proc/sys/net/ipv4/ip_forward > ># iptables -t FILTER -L > ># iptables -t NAT -L > > > >creo q no hay nada raro con las tablas de ruts q pones... > > > >tal parece q tienes en cero el bit de ruteo, o una mala politica de > >firewall. :'( > > > > > >Saludos > >Diego Asanza > >EPN-Ecuador > > > > > > > > > > > Diego, gracias por tu respuesta. > > Te comento que lo he solucionado, pero quisiera aprovechar la > oportunidad para consultarte lo siguiente: > > Según el esquema, que crees mas conveniente, usar solo rutas (tanto en > el gw como en el fw) o hacer masquerading en el firewall, con lo que me > quedaría NAT de NAT? > > Muchas Gracias. > > Salu2. > > > --- Dat1.net --- > [Este mail fue controlado con Declude Virus/F-Prot] > No te recomiendo hacer nat 2 veces, por q pierdes eficiencia en la red por uso en los encabezados adicionales necesarios en el proceso de nat. Pero el esquema funcionaria, para sacarte de un apuro. A mi me ha sacado de mas de uno.
Trata de mantenerlo simple. Para el esquema que estas usando bastarian mantener las rutas correspondientes en el firewall. Has probado retirar el firewall y colocar reglas de iptables q impidan verse a las 2 redes???. Lee el iptables-howto. Podrias incluso, si tu red se expande mas adelante usar un demonio de enrutamiento, como zebra, lo q te liberaria de mucho trabajo manteniendo tablas de rutas. Evita el nat siempre q te sea posible. Saludos Diego Asanza EPN-Ecuador PD. Por favor responde a la lista. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
