2006/5/6, Felix Manuel Arismendi Quispichuco <[EMAIL PROTECTED]>:
El sáb, 06-05-2006 a las 11:58 -0500, nachxs escribió:
> hola a todos, queria comentarle yo tengo un problema con el ip_forward
> ya edite el archivo /etc/sysctl.conf lo pongo en 1 pero a la hora que
> reinicio el servicio de red (service network restart) me sale que el
> packet forwarding sigue desactivado. Actualmente utilizo centos 4.2.
> ¿Cual creen que se el problema? y ¿Como podria solucionarlo?
Despues que modificas /etc/sysctl.conf, debes de hacer slo siguiente:
/sbin/sysctl -p /etc/sysctl.conf
para reiniciar sysctl con los nuevos parametros, a menos que reinicies
linux.
Saludos.
FMAQ.
>
> Saludos
>
>
> 2006/5/5, Angel Rengifo Cancino < [EMAIL PROTECTED]>:
> Hola:
>
> Seria bueno si siempre envias mensajes en texto plano.
>
> A ver, asumo que esa regla de iptables que mostraste es la
> unica que
> tienes asi que ire por partes.
>
> El procedimiento de una conexion a una pagina Web debe ser mas
> o menos asi:
>
> 1) El cliente solicita www.google.com desde su navegador
> 2) El ordenador del cliente no sabe cual es la direccion IP de
> www.google.com por lo que necesita consultarlo al servidor DNS
> que
> tiene configurado. Esto lo hace generalmente a traves de una
> consulta
> UDP al puerto 53 del servidor DNS (digamos que sea
> 200.48.225.130).
> 3) Un paquete destinado a 200.48.225.130 al no pertenecer a la
> LAN del
> cliente es enviado a la puerta de enlace por defecto (tu proxy
> transparente) el cual debe ser capaz de reenviar el paquete
> UDP del
> cliente al destino final (el servidor DNS)
> 4) Para que la puerta de enlace por defecto (tu proxy
> transparente)
> pueda reenviar dicho paquete necesita activar el IP Forwarding
> y
> ademas seguramente (como creo que es tu caso) realizar un
> enmascaramiento (necesitas de iptables) del paquete UDP con
> una
> direccion IP publica para poder llegar al servidor DNS.
> 5) Una vez que la consulta UDP es realizada con exito entonces
> ya se
> conoce la direccion IP de www.google.com y entonces el cliente
> realiza
> una peticion de conexion al puerto 80 a la direccion IP de
> Google.
> Este paquete de conexion HTTP es nuevamente enviado a la
> puerta de
> enlace por defecto (tu proxy transparente) el cual se
> encargara de
> redireccionar la peticion a su puerto 3128 (puerto de escucha
> de
> Squid) y recien entonces se realiza el proceso de conexion
> exitoso.
>
> Para no extenderme, pienso que has olvidado realizar un
> enmascaramiento a los paquetes salientes hacia Internet como
> es el
> caso de los UDP al puerto 53 que no van hacia el puerto 3128
> del
> proxy. Un enmascaramiento simple (o tambien con SNAT) te
> saldria asi:
>
> # iptables -t nat -A POSTROUTING -o eth1 -s <Dir. LAN> -d !
> <Dir. LAN>
> -j MASQUERADE
>
> Y dicho paquetes UDP al puerto 53 finalmente llegan a pasar
> por la
> cadena FORWARD la cual no deberia detenerlos. Para simplificar
> las
> cosas asegurate de ponerle la politica por defecto en ACCEPT:
>
> # iptables -P FORWARD ACCEPT
>
> Para hacer la prueba intenta hacer un ping a www.google.com y
> fijate
> si todo va bien.
> Espero haberte ayudado...
>
> El día 5/05/06, Jorge Rebaza <[EMAIL PROTECTED]> escribió:
> >
> > Hola angel,
> > Solo me guie de tutoriales que explicaban como hacer un
> proxi transparente , ahora acerca si estoy permitiendo el paso
> de los paquetes Udp hacia el puerto 53 , pues sinceramente
> nose como hacer para verificar eso , talvez me puedas ayudar a
> verificar eso con algun comando u otro.
> >
> > Referente cual es la respuesta que obtengo de los clientes
> pues no me sale ningun mensaje solo entro al explorador digito
> cualquier direccion y me sale el mensaje de error como cuando
> no tienes conexion a internet.
> >
> >
> > No se puede mostrar la página
> > La página Web solicitada no está disponible en este
> momento. Puede que el sitio Web tenga problemas tÃ(c)cnicos
> o que necesite ajustar la configuración de su explorador.
> > Pero como decia en el mail anterior si configuro el proxy en
> las opciones de conexiones pues si tengo acceso a internet.
> >
> > Gracias por su ayuda.
> >
> > Saludos
> >
> >
> >
> >
> > Angel Rengifo Cancino <[EMAIL PROTECTED]> wrote:
> >
> >
> > Hola:
> >
> > Ya descartando que el IP Forwarding es la causa del problema
> entonces
> >
> > sugiero consultarte �cual es la politica por defecto de la
> cadena
> > FORWARD? Si la politica es DROP... �estas permitiendo el
> paso de
> > conexiones hacia el puerto 80 por la cadena FORWARD?
> �estas
> >
> > permitiendo el paso de los paquetes UDP hacia el puerto 53?
> Recuerda
> > activar el paso de estos paquetes en doble sentido (ida y
> vuelta).
> >
> >
> > �Que error obtienes en el lado de los clientes (en sus
> navegadores) al
> >
> > querer salir a Internet sin configurar explicitamente el
> host y puerto
> > del proxy?
> >
> > Esa informacion extra ayudaria bastante. Nos vemos
> >
> >
> > El 4/05/06, Jorge Rebaza escribi�:
> >
> > > Buenas tardes a todos , acabo de instalar squid en mi
> equipo con debian este
> > > consta de 2 tarjetas de red, conecte a mis clientes por
> medio de conexiones
> > > de red y ahi puse el ip de mi servidor y el puerto 3128 y
> todo funciona
> > > perfecto.
> > > Ahora deseo no estar configurando cada cliente con el ip y
> puerto de mi
> > > server para que se conecten , estuve leyendo algunos
> forums y me encontre
> > > que se podia cambiar a cada cliente el numero del gateway
> por el ip de mi
> > > server, haciendole unos cambios en el squid.conf , bueno
> hice estos cambios
> > > :
> > >
> > > httpd_accel_host virtual
> > > httpd_accel_port 80
> > > httpd_accel_with_proxy on
> > > httpd_accel_uses_host_header on
> > >
> > > Despues guarde los cambios y en el root escribi esto:
> > >
> > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
> > > REDIRECT --to-port 3128
> > >
> > > Despues reinicio , pero ahora los clientes no tienen
> salida
> > > a internet , pero si les configuro el proxy en las
> > > opciones del
> > > navegador si pueden salir a internet.
> > >
> > > Alguien que me pueda corregir que es lo que estoy haciendo
> > > mal o que es lo que me falta para hacer mi proxy
> transparente.
> > >
> > > Muchas Gracias
> > >
> > >
> > >
> > >
> > >
> > > Jorge Rebaza
> > >
> > > [EMAIL PROTECTED]
> > >
> > > http://www.limarave.org
> > >
> > > ________________________________
> > > New Yahoo! Messenger with Voice. Call regular phones from
> your PC and save
> > > big.
> > >
> > >
> > >
> > > _______________________________________________
> > > Linux-plug mailing list
> > > [email protected]
> > > http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-
> plug
> > >
> > >
> > >
> > _______________________________________________
> > Linux-plug mailing list
> > [email protected]
> > http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug
> >
> >
> >
> >
> >
> > Jorge Rebaza
> >
> > [EMAIL PROTECTED]
> >
> > http://www.limarave.org
> >
> >
> > ________________________________
> Yahoo! Messenger with Voice. Make PC-to-Phone Calls to the US
> (and 30+
> countries) for 2¢/min or less.
> >
> >
> > _______________________________________________
> > Linux-plug mailing list
> > [email protected]
> > http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug
> >
> >
> >
> _______________________________________________
> Linux-plug mailing list
> [email protected]
> http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug
>
>
>
> --
> NachXs
> http://nachxs.blogsome.com
> _______________________________________________
> Linux-plug mailing list
> [email protected]
> http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug
_______________________________________________
Linux-plug mailing list
[email protected]
http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug
--
NachXs
http://nachxs.blogsome.com
_______________________________________________ Linux-plug mailing list [email protected] http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug
