Bueno, como te decia, no tiene que ver tanto con iptables, sino con route.
Por tu explicacion asumo que tienes tu configuracion como sigue: una tarjeta
a tu router que da salida a internet con eth0, la tarjeta que va a tu red
interna es eth1 y su rango de Ip que sea, por ejemplo 192.168.0.x/24.
Firewall
Internet ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
W.X.Y.Z ------------ eth0 ³ aaa.bbb.ccc.ddd
³
subred Local ³
192.168.0.x/24---------- eth1 ³ 192.168.0.1
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
Como el router de tu sucursal usa una direccion de tu red interna, digamos
192.168.0.2, y, suponiendo que el rango de ip que uses en la sucursal sea
192.168.2.x/24, cuando de tu sucursal hacen un ping a la direccion que usa
tu router local, va a responder, porque tu router sabe como llegar a la red
remota.
En tu firewall, por el contrario, la cosa es diferente:
Red Sucursal ip GW sucursal ip Router Matriz
Firewall
192.168.2.x -------- 192.168.2.1 -- (Linea dedicada) -- 192.168.0.2
------ 192.168.0.1
Cuando desde la red remota haces un ping hacia tu firewall, este hace toda
la ruta y llega a su destino segun el ejemplo, pero como tu firewall no sabe
como regresarlo se pierde la respuesta.
Para solucionar eso debes adicionar en la tabla de ruteos de tu firewall una
linea como sigue:
#route add -net <subred> netmask <mascara> gw <gateway> dev <nombre del
dispositivo>
Donde:
<subred> la direccion de la subred que usa la sucursal, que segun el
ejemplo seria 192.168.2.0
<mascara> la mascara de subred que usa tu sucursal
<gateway> la ip local que tiene el router que conecta a tu sucursal.
Con eso deberia bastar.
Luego, para ver la lista de la tabla, solo escribe el comando #route, sin
parametros
Las reglas de iptables, bueno eso ya es otra historia ;)
Saludos
Javier A.
-----Original Message-----
From: Fabian Donoso C. [mailto:[EMAIL PROTECTED]
Sent: Miércoles, 02 de Agosto de 2006 04:28 p.m.
To: [email protected]
Subject: RE: [l-plug] Reglas en el FW con IPTABLES
>-----Mensaje original-----
>De: [EMAIL PROTECTED] [mailto:linux-plug-
>[EMAIL PROTECTED] En nombre de Javier Aguirre Enviado el:
>Miércoles, 02 de Agosto de 2006 15:48
>Para: '[email protected]'
>Asunto: RE: [l-plug] Reglas en el FW con IPTABLES
>
>Hola,
>Primero, asegurate de haber asignado correctamente las tablas de ruteo
>en tu router.
>Luego, en tu firewall, que supongo que es el linux, tambien tienes que
Si es un LINUX y firewall con IPTABLES (Gateway) que es el que nos saca a
Internet, ademas el DNS que esta en otro LINUX tambien con IPTABLES.
>indicarle por que ruta debe devolver los paquetes que iran hacia la
>sucursal Esto lo puedes hacer con el comando route.
Jejejeje, esto es lo complicado para mi, por eso pido la ayuda.
Tengo la IP del router de ellos y la IP del Router de la fibra que esta acá.
Necesito si me pueden ayudar con la regla que deje entrar desde ese Router
(Fibra) hasta las ip internas (privadas) de mi red LAN.
>
>Saludos
>
>
>-----Original Message-----
>From: Fabian Donoso C. [mailto:[EMAIL PROTECTED]
>Sent: Miércoles, 02 de Agosto de 2006 02:18 p.m.
>To: Lista Linux Peru
>Subject: [l-plug] Reglas en el FW con IPTABLES
>
>
>Haber, me explico nuevamente porque parece que no me exprese bien.
>
>Llego una fibra optica a mi empresa desde otra sucursal, esta está
>conectada a un Metrobility radiante R200, desde ahí sale un cable RJ45
>a un Router Cisco 2811 y de este otro RJ45 al patch de mi LAN. A este
>Router se le puso una IP fija de mi LAN (que hará de puerta de enlace
>desde la sucursal hacia acá). OK, ahora esa sucursal quiere hacerle
>ping al Router y ¡tienen respuesta!, pero le hacen ping a otra IP de mi
>LAN y no tienen respuesta porque hay algo que se lo impide que me
>imagino es el Firewall, pero yo sí puedo hacer ping una IP de allá. La
>idea es enlazar la comunicación entra ambas.
>
>Hay que aplicar alguna regla en el FW para que un equipo de allá pueda
>interactuar con las IP de acá?
>
>Saludos cordiales,
>
>Atte.
>::::::::::::::::::::::::::::::::::::::::::::
>Fabian Donoso C.
>http://fdonosoc.phpnet.us
>
>
>
>_______________________________________________
>Linux-plug mailing list
>[email protected]
>http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug
>
>--
>This message has been scanned for viruses and
>dangerous content by MailScanner, and is
>believed to be clean.
>
>--
>This message has been scanned for viruses and
>dangerous content by MailScanner, and is
>believed to be clean.
>
>_______________________________________________
>Linux-plug mailing list
>[email protected]
>http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug
>
>__________ Información de NOD32, revisión 1.1687 (20060801) __________
>
>Este mensaje ha sido analizado con NOD32 antivirus system
> part000.txt - Esta correcto
>
>http://www.nod32.com
_______________________________________________
Linux-plug mailing list
[email protected]
http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug
--
This message has been scanned for viruses and
dangerous content by MailScanner, and is
believed to be clean.
--
This message has been scanned for viruses and
dangerous content by MailScanner, and is
believed to be clean.
_______________________________________________
Linux-plug mailing list
[email protected]
http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug
