Buenas buenas, paso a comentar la estructura de red y un resumen: El equipo en donde corre el firewall-squid tiene dos eth (eth0: 192.168.0.194 y eth1: 192.168.0.193), el gw brindado a todos los usuarios mediante dhcp es el 192.168.0.194 (eth0) A partir de la implementacion de la subred 30, se instalaron 2 routers mikrotik, uno es el gw 192.168.0.1 y el otro es 192.168.30.1 Los gw físicos de internet son el 192.168.0.216 y 192.168.0.205. El squid tiene grupos, de los cuales uno es acceso total y el otro limitado, a su vez el firewall filtra accesos y forwardea todo el 80 al 3128 del squid, como habran visto. También el firewall deja acceder a mac address listeadas estén o no dentro del dominio de mi empresa (caso visitas, terceros, etc).
Lo de las 2 interfases eth, lo armaron asi, y creo que la excusa fue monitorear trafico y discriminarlo por interfase. El día 31 de diciembre de 2014, 18:06, Santiago Liz <[email protected]> escribió: > No hagas top posting porque se vuelve difícil seguir el tema... > No abras otro hilo para el mismo tema... pego acá > >>El día 30 de diciembre de 2014, 21:24, Santiago Liz <[email protected]> >>escribió: >>> El día 30 de diciembre de 2014, 17:23, Fernando Miculan >>> <[email protected]> escribió: >>>> Hola, como están?. >>>> Me presento, me llamo Fernando, vivo en La Plata, Argentina y hace unos >>>> cuantos años que utilizo Linux, en especial Debian y Ubuntu. >>>> >>>> Se me presento un caso en mi trabajo. Tenemos un squid linkeado a un active >>>> directory de Win(fucker) 2008 en la red 192.168.0.0, ademas de haber >>>> implementado un firewall con iptables. Todo realizado en un Debian 7. >>>> Hasta ahí no hay inconvenientes, los usuarios navegan perfectamente según >>>> los grupos asignados en el active directory. >>>> El problema se presento justamente hoy, al querer ampliar la red a otra >>>> subred (192.168.30.0, que dicho sea de paso se implemento en forma de vlan >>>> en un router mikrotik.) >>>> La cuestión es, que después de haber agregado la ruta en una de las >>>> interfaces del debian para que vea la subred 30, estos navegan >>>> perfectamente >>>> en internet, pero no la subred 0, todo lo que sea web no funciona, salvo el >>>> correo electrónico y el skype. >>>> Que es lo que puede estar pasando? >>>> Con netstat -nr se ven las rutas asignadas perfectamente, por ese lado no >>>> veo el problema... me estará faltando algún tipo de regla adicional en el >>>> firewall ?? >>>> Si les sirve les puedo postear el script del firewall. La política por >>>> defecto es DROP y luego permito algunos puertos y mac address para que >>>> bypaseen el proxy. >>>> >>> >>> Falta algo de info, pero adivinando diría que algún cambio afectó la >>> configuración de squid donde se daba permiso a la red >>> 192.168.0.0/(24?) para utilizar el mismo al habilitar la >>> 192.168.30.0(/24?) o lo mismo en iptables donde se permite acceder a >>> la IP:Puerto donde escucha squid. >>> Al decir que anda el correo y skype descarto problemas de ruteo/nat. >>> Cuando desis que no navegan, cual es el error? un error de squid >>> diciendo que no tienen permiso o que no los clientes nos se pueden >>> conectar al proxy? >>> >>> >> >> Los que no navegan son los equipos de la subred 0 que esquivan el proxy >> squid a través de una regla iptables por mac address. Si esos equipos los >> apunto al squid desde el navegador, funcionan bien. >> Lo extraño es que esa regla funciono de maravillas antes de hacer la subred >> 30. >> > >> Aqui posteo lo que me tira un netstat -nr >> >> Destination Gateway Genmask Flags MSS Window irtt >> Iface >> 0.0.0.0 192.168.0.216 0.0.0.0 UG 0 0 0 eth1 >> 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 >> 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 >> 192.168.30.0 192.168.0.1 255.255.255.0 UG 0 0 0 eth0 >> >> Donde 192.168.0.216 es el gateway de la subred 0 y 192.168.0.1 es lo mismo >> para la subred 30 > > El equipo tiene dos interfaces (eth0 y eth1) con IPs dentro de la > misma red 192.168.0.0/24 ? > > 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 > 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 > > La IP 192.168.0.216 es el default que te conecta a Internet y hace el NAT? > Eth0 y eth1 están conectadas al mismo segmento de red? > > Donde están conectados los equipos que no tienen acceso físicamente, a > la eth0 o eth1? > > Con esos datos parecería ser que hay un problema independiente de la > red 192.168.30.0/24 y es que (salvo que estés omitiendo datos) estás > intentando que el equipo forwardee paquetes entre dos interfaces de la > misma red, lo cual no tiene mucho sentido. > Si un equipo cualquiera de las red 192.168.0.0/24 tiene como default > la IP 192.168.0.216 debería andar sin intervención del proxy/firewall. > > Deberías aclarar como está implementada la red. > >> >> >> -- >> Fernando Miculan.- >> FCM Sistemas >> Tel. 15-5435862 / ID: 160*6915 >> ICQ: 6410724 / Skype: fcmsistemas >> http://ferchobbs.ddns.net >> BBS Telnet: ferchobbs.ddns.net:23 > > Saludos, > Santiago.- > > > -- > To UNSUBSCRIBE, email to [email protected] > with a subject of "unsubscribe". Trouble? Contact [email protected] > Archive: > https://lists.debian.org/CAJ5eSfaC9sQcAXwhyA_Û[email protected] > -- Fernando Miculan.- FCM Sistemas Tel. 15-5435862 / ID: 160*6915 ICQ: 6410724 / Skype: fcmsistemas http://ferchobbs.ddns.net BBS Telnet: ferchobbs.ddns.net:23 -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: https://lists.debian.org/ca+qfd8evpd3u92+xdguwxmfxxmbsvg9oqf64ele11rmor2b...@mail.gmail.com
