El 20/01/11 13:53, Federico Alberto Sayd escribió: > El 19/01/11 17:46, Juan Antonio escribió: >> El 19/01/11 21:23, Ernesto Crespo escribió: >> >>> Saludos a todos. >>> Estoy creando un firewall para un equipo que tiene 3 interfaces de >>> red, la >>> primera es la dirección pública, la segunda es la interfaz de la dmz >>> y la >>> 3era el de la LAN; está LAN consta de varias redes que llegan por esa >>> interfaz. >>> >>> Tengo un Servidor proxy en el mismo equipo como proxy transparente, el >>> funciona pero cuando reviso en whatismyip.com para ver que IP estoy >>> usando >>> me muestra la IP de la interfaz que va a la LAN. En el archivo >>> access.log de >>> squid aparecen las peticiones de páginas web pero sale la IP de la >>> interfaz >>> de la red LAN. >>> >>> Hago ping desde un equipo de la red local a la IP pública del >>> firewall y le >>> llego pero le doy ping al gateway del firewall y no le llego, pero >>> si le >>> llego desde el firewall al gateway. >>> >>> Y desde la DMZ le hago ping al equipo que hace de de servidor de DNS >>> y no le >>> llego. >>> >>> El servidor de Nombres se encuentra en la red LAN el cual el >>> firewall y los >>> equipos de la DMZ consultan a dicho servidor de nombres. >>> Todo indica que el problema es que no está haciendo NAT el firewall. >>> A continuación la regla de proxy transparente y la de NAT. >>> >>> red lan:10.60.0.0/24 >>> eth lan:eth3 >>> >>> eth publica:eth1 >>> >>> red dmz: 10.60.50.0/24 >>> eth dmz: eth2 >>> >>> La regla de proxy transparente es la siguiente: >>> iptables -t nat -A PREROUTING -i eth3 -s 10.60.0.0/24 -d >>> 0.0.0.0/0.0.0.0 -p >>> tcp -m tcp --dport 80 -j REDIRECT --to-port 8080 >>> >>> Regla de NAT: >>> iptables -t nat -A POSTROUTING -s 10.60.0.0/24 -o eth1 -j SNAT --to >>> ipinicial-ipfinal >>> >>> Gracias por cualquier ayuda que puedan dar... >>> >>> El problema que tengo es que no logro >>> Ernesto Crespo >>> Linux User No. 100996 >>> Usando Debian squeeze- Kernel 2.6.26-2 >>> http://ernesto-ecrespo.blogspot.com/ >>> Finger Print = 66CB 6BF4 7C7C EC0E DA60 06C8 87E8 9061 C97E 7015 >>> Por la no monopolización del conocimiento y del Software Libre. >>> >>> >> Hola, >> >> no creo que la web de whatismyip.com pueda mostrarte una dirección de un >> rango reservado, cualquier encaminador descartará ese tráfico por no >> hablar de que sería imposible devolverlo si por un casual llegara al >> destino. >> > Sí puede, en las cabeceras de las peticiones http de Squid se reporta > la ip de origen incluso si pertenece a un rango privado (a menos que > lo deshabilites en la configuración de Squid). Pero en cualquier caso > se reportarán las dos direcciones, la del servidor proxy y la del > equipo que origina la petición. Otra cosa es que un host con ip > privada (rango reservado) pueda salir hacia internet sin problemas, > ahí sí que de seguro no podrá. >> Para asegurarte que estas enmascarando el tráfico correctamente usa >> iptables -t nat -vnL POSTROUTING y asi verás si la regla que usas esta >> sumando tráfico, o bien usa tcpdump y confirma que ves el tráfico >> original y el enmascarado. >> >> La regla parece correcta excepto por lo de ipinicial-ipfinal que no se >> que significa, sería --to-source ip-pública o mas facil en tu caso tan >> solo enmascaralo todo con -j MASQUERDAE. >> >> Un saludo. >> >> >> > > A eso me referia, pensè que con whatismyip.com se refería precisamente a una página web publicada en internet.
Un saludo. -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
