El sáb, 06-05-2006 a las 11:58 -0500, nachxs escribió: > hola a todos, queria comentarle yo tengo un problema con el ip_forward > ya edite el archivo /etc/sysctl.conf lo pongo en 1 pero a la hora que > reinicio el servicio de red (service network restart) me sale que el > packet forwarding sigue desactivado. Actualmente utilizo centos 4.2. > ¿Cual creen que se el problema? y ¿Como podria solucionarlo?
Despues que modificas /etc/sysctl.conf, debes de hacer slo siguiente: /sbin/sysctl -p /etc/sysctl.conf para reiniciar sysctl con los nuevos parametros, a menos que reinicies linux. Saludos. FMAQ. > > Saludos > > > 2006/5/5, Angel Rengifo Cancino <[EMAIL PROTECTED]>: > Hola: > > Seria bueno si siempre envias mensajes en texto plano. > > A ver, asumo que esa regla de iptables que mostraste es la > unica que > tienes asi que ire por partes. > > El procedimiento de una conexion a una pagina Web debe ser mas > o menos asi: > > 1) El cliente solicita www.google.com desde su navegador > 2) El ordenador del cliente no sabe cual es la direccion IP de > www.google.com por lo que necesita consultarlo al servidor DNS > que > tiene configurado. Esto lo hace generalmente a traves de una > consulta > UDP al puerto 53 del servidor DNS (digamos que sea > 200.48.225.130). > 3) Un paquete destinado a 200.48.225.130 al no pertenecer a la > LAN del > cliente es enviado a la puerta de enlace por defecto (tu proxy > transparente) el cual debe ser capaz de reenviar el paquete > UDP del > cliente al destino final (el servidor DNS) > 4) Para que la puerta de enlace por defecto (tu proxy > transparente) > pueda reenviar dicho paquete necesita activar el IP Forwarding > y > ademas seguramente (como creo que es tu caso) realizar un > enmascaramiento (necesitas de iptables) del paquete UDP con > una > direccion IP publica para poder llegar al servidor DNS. > 5) Una vez que la consulta UDP es realizada con exito entonces > ya se > conoce la direccion IP de www.google.com y entonces el cliente > realiza > una peticion de conexion al puerto 80 a la direccion IP de > Google. > Este paquete de conexion HTTP es nuevamente enviado a la > puerta de > enlace por defecto (tu proxy transparente) el cual se > encargara de > redireccionar la peticion a su puerto 3128 (puerto de escucha > de > Squid) y recien entonces se realiza el proceso de conexion > exitoso. > > Para no extenderme, pienso que has olvidado realizar un > enmascaramiento a los paquetes salientes hacia Internet como > es el > caso de los UDP al puerto 53 que no van hacia el puerto 3128 > del > proxy. Un enmascaramiento simple (o tambien con SNAT) te > saldria asi: > > # iptables -t nat -A POSTROUTING -o eth1 -s <Dir. LAN> -d ! > <Dir. LAN> > -j MASQUERADE > > Y dicho paquetes UDP al puerto 53 finalmente llegan a pasar > por la > cadena FORWARD la cual no deberia detenerlos. Para simplificar > las > cosas asegurate de ponerle la politica por defecto en ACCEPT: > > # iptables -P FORWARD ACCEPT > > Para hacer la prueba intenta hacer un ping a www.google.com y > fijate > si todo va bien. > Espero haberte ayudado... > > El día 5/05/06, Jorge Rebaza <[EMAIL PROTECTED]> escribió: > > > > Hola angel, > > Solo me guie de tutoriales que explicaban como hacer un > proxi transparente , ahora acerca si estoy permitiendo el paso > de los paquetes Udp hacia el puerto 53 , pues sinceramente > nose como hacer para verificar eso , talvez me puedas ayudar a > verificar eso con algun comando u otro. > > > > Referente cual es la respuesta que obtengo de los clientes > pues no me sale ningun mensaje solo entro al explorador digito > cualquier direccion y me sale el mensaje de error como cuando > no tienes conexion a internet. > > > > > > No se puede mostrar la página > > La página Web solicitada no está disponible en este > momento. Puede que el sitio Web tenga problemas tÃ(c)cnicos > o que necesite ajustar la configuración de su explorador. > > Pero como decia en el mail anterior si configuro el proxy en > las opciones de conexiones pues si tengo acceso a internet. > > > > Gracias por su ayuda. > > > > Saludos > > > > > > > > > > Angel Rengifo Cancino <[EMAIL PROTECTED]> wrote: > > > > > > Hola: > > > > Ya descartando que el IP Forwarding es la causa del problema > entonces > > > > sugiero consultarte �cual es la politica por defecto de la > cadena > > FORWARD? Si la politica es DROP... �estas permitiendo el > paso de > > conexiones hacia el puerto 80 por la cadena FORWARD? > �estas > > > > permitiendo el paso de los paquetes UDP hacia el puerto 53? > Recuerda > > activar el paso de estos paquetes en doble sentido (ida y > vuelta). > > > > > > �Que error obtienes en el lado de los clientes (en sus > navegadores) al > > > > querer salir a Internet sin configurar explicitamente el > host y puerto > > del proxy? > > > > Esa informacion extra ayudaria bastante. Nos vemos > > > > > > El 4/05/06, Jorge Rebaza escribi�: > > > > > Buenas tardes a todos , acabo de instalar squid en mi > equipo con debian este > > > consta de 2 tarjetas de red, conecte a mis clientes por > medio de conexiones > > > de red y ahi puse el ip de mi servidor y el puerto 3128 y > todo funciona > > > perfecto. > > > Ahora deseo no estar configurando cada cliente con el ip y > puerto de mi > > > server para que se conecten , estuve leyendo algunos > forums y me encontre > > > que se podia cambiar a cada cliente el numero del gateway > por el ip de mi > > > server, haciendole unos cambios en el squid.conf , bueno > hice estos cambios > > > : > > > > > > httpd_accel_host virtual > > > httpd_accel_port 80 > > > httpd_accel_with_proxy on > > > httpd_accel_uses_host_header on > > > > > > Despues guarde los cambios y en el root escribi esto: > > > > > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j > > > REDIRECT --to-port 3128 > > > > > > Despues reinicio , pero ahora los clientes no tienen > salida > > > a internet , pero si les configuro el proxy en las > > > opciones del > > > navegador si pueden salir a internet. > > > > > > Alguien que me pueda corregir que es lo que estoy haciendo > > > mal o que es lo que me falta para hacer mi proxy > transparente. > > > > > > Muchas Gracias > > > > > > > > > > > > > > > > > > Jorge Rebaza > > > > > > [EMAIL PROTECTED] > > > > > > http://www.limarave.org > > > > > > ________________________________ > > > New Yahoo! Messenger with Voice. Call regular phones from > your PC and save > > > big. > > > > > > > > > > > > _______________________________________________ > > > Linux-plug mailing list > > > [email protected] > > > http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux- > plug > > > > > > > > > > > _______________________________________________ > > Linux-plug mailing list > > [email protected] > > http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug > > > > > > > > > > > > Jorge Rebaza > > > > [EMAIL PROTECTED] > > > > http://www.limarave.org > > > > > > ________________________________ > Yahoo! Messenger with Voice. Make PC-to-Phone Calls to the US > (and 30+ > countries) for 2¢/min or less. > > > > > > _______________________________________________ > > Linux-plug mailing list > > [email protected] > > http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug > > > > > > > _______________________________________________ > Linux-plug mailing list > [email protected] > http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug > > > > -- > NachXs > http://nachxs.blogsome.com > _______________________________________________ > Linux-plug mailing list > [email protected] > http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug
_______________________________________________ Linux-plug mailing list [email protected] http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug
