El 02/01/2015, a las 17:57, Fernando Miculan <[email protected]> escribió:
> Buenas buenas, paso a comentar la estructura de red y un resumen: > El equipo en donde corre el firewall-squid tiene dos eth (eth0: > 192.168.0.194 y eth1: 192.168.0.193), el gw brindado a todos los > usuarios mediante dhcp es el 192.168.0.194 (eth0) > A partir de la implementacion de la subred 30, se instalaron 2 routers > mikrotik, uno es el gw 192.168.0.1 y el otro es 192.168.30.1 > Los gw físicos de internet son el 192.168.0.216 y 192.168.0.205. > El squid tiene grupos, de los cuales uno es acceso total y el otro > limitado, a su vez el firewall filtra accesos y forwardea todo el 80 > al 3128 del squid, como habran visto. > También el firewall deja acceder a mac address listeadas estén o no > dentro del dominio de mi empresa (caso visitas, terceros, etc). > > Lo de las 2 interfases eth, lo armaron asi, y creo que la excusa fue > monitorear trafico y discriminarlo por interfase. > > El día 31 de diciembre de 2014, 18:06, Santiago Liz > <[email protected]> escribió: >> No hagas top posting porque se vuelve difícil seguir el tema... >> No abras otro hilo para el mismo tema... pego acá >> >>> El día 30 de diciembre de 2014, 21:24, Santiago Liz <[email protected]> >>> escribió: >>>> El día 30 de diciembre de 2014, 17:23, Fernando Miculan >>>> <[email protected]> escribió: >>>>> Hola, como están?. >>>>> Me presento, me llamo Fernando, vivo en La Plata, Argentina y hace unos >>>>> cuantos años que utilizo Linux, en especial Debian y Ubuntu. >>>>> >>>>> Se me presento un caso en mi trabajo. Tenemos un squid linkeado a un >>>>> active >>>>> directory de Win(fucker) 2008 en la red 192.168.0.0, ademas de haber >>>>> implementado un firewall con iptables. Todo realizado en un Debian 7. >>>>> Hasta ahí no hay inconvenientes, los usuarios navegan perfectamente según >>>>> los grupos asignados en el active directory. >>>>> El problema se presento justamente hoy, al querer ampliar la red a otra >>>>> subred (192.168.30.0, que dicho sea de paso se implemento en forma de vlan >>>>> en un router mikrotik.) >>>>> La cuestión es, que después de haber agregado la ruta en una de las >>>>> interfaces del debian para que vea la subred 30, estos navegan >>>>> perfectamente >>>>> en internet, pero no la subred 0, todo lo que sea web no funciona, salvo >>>>> el >>>>> correo electrónico y el skype. >>>>> Que es lo que puede estar pasando? >>>>> Con netstat -nr se ven las rutas asignadas perfectamente, por ese lado no >>>>> veo el problema... me estará faltando algún tipo de regla adicional en el >>>>> firewall ?? >>>>> Si les sirve les puedo postear el script del firewall. La política por >>>>> defecto es DROP y luego permito algunos puertos y mac address para que >>>>> bypaseen el proxy. >>>> >>>> Falta algo de info, pero adivinando diría que algún cambio afectó la >>>> configuración de squid donde se daba permiso a la red >>>> 192.168.0.0/(24?) para utilizar el mismo al habilitar la >>>> 192.168.30.0(/24?) o lo mismo en iptables donde se permite acceder a >>>> la IP:Puerto donde escucha squid. >>>> Al decir que anda el correo y skype descarto problemas de ruteo/nat. >>>> Cuando desis que no navegan, cual es el error? un error de squid >>>> diciendo que no tienen permiso o que no los clientes nos se pueden >>>> conectar al proxy? >>> >>> Los que no navegan son los equipos de la subred 0 que esquivan el proxy >>> squid a través de una regla iptables por mac address. Si esos equipos los >>> apunto al squid desde el navegador, funcionan bien. >>> Lo extraño es que esa regla funciono de maravillas antes de hacer la subred >>> 30. >> >>> Aqui posteo lo que me tira un netstat -nr >>> >>> Destination Gateway Genmask Flags MSS Window irtt >>> Iface >>> 0.0.0.0 192.168.0.216 0.0.0.0 UG 0 0 0 >>> eth1 >>> 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 >>> eth0 >>> 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 >>> eth1 >>> 192.168.30.0 192.168.0.1 255.255.255.0 UG 0 0 0 >>> eth0 >>> >>> Donde 192.168.0.216 es el gateway de la subred 0 y 192.168.0.1 es lo mismo >>> para la subred 30 >> >> El equipo tiene dos interfaces (eth0 y eth1) con IPs dentro de la >> misma red 192.168.0.0/24 ? >> >> 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 >> eth1 >> 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 >> eth0 >> >> La IP 192.168.0.216 es el default que te conecta a Internet y hace el NAT? >> Eth0 y eth1 están conectadas al mismo segmento de red? >> >> Donde están conectados los equipos que no tienen acceso físicamente, a >> la eth0 o eth1? >> >> Con esos datos parecería ser que hay un problema independiente de la >> red 192.168.30.0/24 y es que (salvo que estés omitiendo datos) estás >> intentando que el equipo forwardee paquetes entre dos interfaces de la >> misma red, lo cual no tiene mucho sentido. >> Si un equipo cualquiera de las red 192.168.0.0/24 tiene como default >> la IP 192.168.0.216 debería andar sin intervención del proxy/firewall. >> >> Deberías aclarar como está implementada la red. >> >>> >>> >>> -- >>> Fernando Miculan.- >>> FCM Sistemas >>> Tel. 15-5435862 / ID: 160*6915 >>> ICQ: 6410724 / Skype: fcmsistemas >>> http://ferchobbs.ddns.net >>> BBS Telnet: ferchobbs.ddns.net:23 >> >> Saludos, >> Santiago.- >> >> >> -- >> To UNSUBSCRIBE, email to [email protected] >> with a subject of "unsubscribe". Trouble? Contact [email protected] >> Archive: >> https://lists.debian.org/CAJ5eSfaC9sQcAXwhyA_Û[email protected] ¿Las 2 interfaces están conectadas al mismo switch y misma VLAN? Saludos, Ramses -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: https://lists.debian.org/[email protected]
