Juan.. no domino mucho el iptables , pero puedes probar con esto...
remueve : iptables -t nat -A POSTROUTING -s 192.168.1.0/4 -o eth0 -j MASQUERADE y pon : iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d ! 10.10.1.0/24 -j MASQUERADE Espero que esto funcione. Slds/Juan Carlos G. El día 10/04/07, Juan Oliva <[EMAIL PROTECTED]> escribió:
bueno mas vale tarde que nunca , agradesco las respuestas anteriores , lamentablemente sigo con el mismo caso , les comento: agregando esta regla en el firewall route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.10.1.10 y con un scrip basico de firewall consigo qeu la red de la centreal trabaje correctamente pero siguo sin salida a internet en la red de la sucrusal , esto es lo que tengo a nivel de conectividad: ping de 10.10.1.x a 192.168.1.x correcto de los dos lados central y sucursal y viceversa ping de 10.10.1.1 a 192.168.1.x correcto de los dos lados firewall a sucursal y viceversa lo curioso es que si en la red de la sucursal configuro los navegadores de internet con el proxy del firewall de esta forma : 10.10.1.1 puerto 3128 , si consigo que la red de la sucursar saga a internet pero no tiene salida a a puertos de correo externos por ejemplo, cuando hago un telnet desde la alguna maquina a algun server de afuera. le agrege una eth1:1 con la ip 192.168.1.250 segun yo para que reconosca de manera trasparente la red pero cuando le hago ping desde red de sucursal firewall en la central 192.168.1.x al 192.168.1.250 no responde sera que ya sera algun tema de la configuracion de los routers ? o me falta algo en el firewall ? Este es mi scrip de firewall son reglas basicas de iptables lo dejo para que lo vean y por hay que tambien a alguien le sirve : gracias de ante mano gracias por sus respuestas Saludos Juan #!/bin/sh iptables -F iptables -X iptables -Z iptables -t nat -F modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ipt_REJECT modprobe ipt_TOS modprobe ipt_MASQUERADE modprobe ipt_LOG modprobe iptable_mangle modprobe iptable_nat modprobe ip_nat_ftp modprobe ip_nat_irc iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -A INPUT -i lo -j ACCEPT #central iptables -A FORWARD -s 10.10.1.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -s 10.10.1.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT iptables -A FORWARD -s 10.10.1.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -s 10.10.1.0/24 -i eth1 -p udp --dport 53 -j ACCEPT iptables -A FORWARD -s 10.10.1.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT iptables -A FORWARD -s 10.10.1.0/24 -i eth1 -p tcp --dport 110 -j ACCEPT iptables -A FORWARD -s 10.10.1.0/24 -i eth1 -p tcp --dport 143 -j ACCEPT iptables -A FORWARD -s 10.10.1.0/24 -i eth1 -p tcp --dport 20 -j ACCEPT iptables -A FORWARD -s 10.10.1.0/24 -i eth1 -p tcp --dport 21 -j ACCEPT #sucursal iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p udp --dport 53 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 110 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 143 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 20 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 21 -j ACCEPT iptables -A FORWARD -s 10.10.1.0/24 -i eth1 -j DROP iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -j DROP iptables -t nat -A POSTROUTING -s 10.10.1.0/24 -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP #fin On 4/8/07, Diego Maradona <[EMAIL PROTECTED]> wrote: > > Hola > > Asegura que el default gw de la sucursal remota ( > 10.10.1.10) sea 10.10.1.1, tambien si esta haciendo > nat el router de la sucursal remota o no y esta en > solo modo ruteado. > > En tu Firewall, permite que la salida a los puertos > DNS, HTTP de la red remota. > > > --- Juan Oliva <[EMAIL PROTECTED]> escribió: > > > Hola walter garcias por responder, > > > > bueno ..justamente para no tener problemas con la > > parte del proxy aun no la > > he puesto en funcionamiento solo esta el firewall > > puro , > > > > basicamente estoy habriendo solo los puertos basicos > > ( > > 80,25,110,143,20,21,53) > > y aplicando masquerade de esta forma : > > > > iptables -t nat -A POSTROUTING -s 10.10.1.0/24 -o > > eth0 -j MASQUERADE > > > > bueno si el comando de ruteo esta bien, solo debe > > fatarme añadir : > > > > iptables -t nat -A POSTROUTING -s 192.168.1/24 -o > > eth0 -j MASQUERADE > > > > y deberia funcionar la salida de la otra red ? , > > > > si existe algun otro comentario adicional bienvenido > > sea. > > > > Saludos > > Juan > > On 4/2/07, Walter Pabon Guerra < [EMAIL PROTECTED]> > > wrote: > > > > > > Juan Oliva wrote: > > > > > > > > Estimados amigos ,tengo el siguiente caso , > > espero que me puedan dar > > > > algunos tips y ayuda sobre el tema > > > > estoy migrando un firewall microsoft a un > > firewall/proxy en linux con > > > > la siguiente configuración. > > > > > > > > firewall/proxy > > > > eth0 : 200.62.182.246 <http://200.62.182.246> > > > > netmask : 255.255.255.248 > > <http://255.255.255.248> > > > > gateway : 200.62.182.130 <http://200.62.182.130> > > > > eth1 : 10.10.1.X > > > > netmask : 255.255.255.0 <http://255.255.255.0> > > > > > > > > > > > > hasta hay no hay problema , la situación se > > genera cuando con lo > > > > siguiente esta empresa tiene un enlace IPDATA > > con otra sucursal , esta > > > > sale a internet por el firewall de la > > central(asi esta configurado en > > > > su fw actual). > > > > > > > > (Router IPDATA ubicada en la central con ip : > > 10.10.1.10 > > > > <http://10.10.1.10 > ) > > > > > > > > > > > > SUCURSAL > > > > IP lan : 192.168.1.X > > > > netmask : 255.255.255.0 < http://255.255.255.0> > > > > gateway: 192.168.1.254 <http://192.168.1.254> > > (router IPDATA) > > > > dns: 10.10.1.9 <http://10.10.1.9> > > > > > > > > estaoy haciendo pruebas con el comando route sin > > resultado alguno , > > > > (es decir no consigo que la red de la sucursal > > salga a internet > > > > atravez del firewall de la central). > > > > > > > > route add -net 192.168.1.0 <http://192.168.1.0 > > > netmask 255.255.255.0 > > > > <http://255.255.255.0> dev eth0 > > > > route add -net 192.168.1.0/24 > > <http://192.168.1.0/24> gw 10.10.1.10 > > > > <http://10.10.1.10> metric 1 > > > > > > > > Bueno espero que me halla explicado bien , desde > > ya agradezco > > > > cualquier aporte o comentario > > > > > > > > Saludos > > > > Juan > > > > > > > > > > > > > > > > -- > > > > *tildes omitidas intencionalmente > > > > > > > ------------------------------------------------------------------------ > > > > > > > > > _______________________________________________ > > > > Lista de correo Linux-plug > > > > Temática: Discusión general sobre Linux > > > > Peruvian Linux User Group > > (http://www.linux.org.pe) > > > > > > > > Participa suscribiéndote y escribiendo a: > > [email protected] > > > > Para darte de alta, de baja o hacer ajustes a > > tu suscripción visita: > > > > > > > http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug > > > > > > > > IMPORTANTE: Reglas y recomendaciones > > > > http://www.linux.org.pe/listas/reglas.php > > > > > > http://www.linux.org.pe/listas/comportamiento.php > > > > > > http://www.linux.org.pe/listas/recomendaciones.php > > > Hola, el ruteo esta bien al parecer, más me > > parece ser tema de proxy, > > > en squid dependiendo de tus acl's y configuración > > también toca colocar > > > las redes a las que va a permitir salida a > > internet (esto asumiendo que > > > es una arquitectura sin autentificación).....y > > bueno esto también > > > depende de como hallas configurado tu fw, > > denegando todo desde un inicio > > > y luego abrir lo necesario ?...? > > > > > > Saludos. > > > _______________________________________________ > > > Lista de correo Linux-plug > > > Temática: Discusión general sobre Linux > > > Peruvian Linux User Group > > (http://www.linux.org.pe) > > > > > > Participa suscribiéndote y escribiendo a: > > [email protected] > > > Para darte de alta, de baja o hacer ajustes a tu > > suscripción visita: > > > > > > http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug > > > > > > IMPORTANTE: Reglas y recomendaciones > > > http://www.linux.org.pe/listas/reglas.php > > > http://www.linux.org.pe/listas/comportamiento.php > > > http://www.linux.org.pe/listas/recomendaciones.php > > > > > > > > > > > -- > > Saludos > > Juan > > > > *tildes omitidas intencionalmente > > > _______________________________________________ > > Lista de correo Linux-plug > > Temática: Discusión general sobre Linux > > Peruvian Linux User Group (http://www.linux.org.pe) > > > > Participa suscribiéndote y escribiendo a: > > [email protected] > > Para darte de alta, de baja o hacer ajustes a tu > > suscripción visita: > > > http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug > > > > IMPORTANTE: Reglas y recomendaciones > > http://www.linux.org.pe/listas/reglas.php > > http://www.linux.org.pe/listas/comportamiento.php > > http://www.linux.org.pe/listas/recomendaciones.php > > > > > > > > __________________________________________________ > Preguntá. Respondé. Descubrí. > Todo lo que querías saber, y lo que ni imaginabas, > está en Yahoo! Respuestas (Beta). > ¡Probalo ya! > http://www.yahoo.com.ar/respuestas > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe ) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php > -- Saludos Juan *tildes omitidas intencionalmente _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
