Bueno a todos gracias por el apoyo , al final lo unico que faltaba era que modifiquien configuraciones en los roters del ISP y al final nunca tuve que usar eth1:1 :-) , otra empresa mas que deja de usar m$ en sus servers
Saludos Juan On 4/11/07, Diego Maradona <[EMAIL PROTECTED]> wrote:
Agrega esto antes del DROP, y quita eso del eth1:1 iptables -A FORWARD -d 192.168.1.0/255.255.255.0 -j ACCEPT iptables -A FORWARD -d 10.10.1.0/255.255.255.0 -j ACCEPT Antes de esto: > iptables -A FORWARD -s 10.10.1.0/24 -i eth1 -j DROP > iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -j > DROP Y estas reglas > iptables -t nat -A POSTROUTING -s 10.10.1.0/24 -o > eth0 -j MASQUERADE > iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o > eth0 -j MASQUERADE subelas al principio de tu script --- Juan Oliva <[EMAIL PROTECTED]> escribió: > bueno mas vale tarde que nunca , agradesco las > respuestas anteriores , > lamentablemente sigo con el mismo caso , les > comento: > > agregando esta regla en el firewall > route add -net 192.168.1.0 netmask 255.255.255.0 gw > 10.10.1.10 > y con un scrip basico de firewall consigo qeu la > red de la centreal trabaje > correctamente pero siguo sin salida a internet en la > red de la sucrusal , > esto es lo que tengo a nivel de conectividad: > > ping de 10.10.1.x a 192.168.1.x correcto de > los dos lados central y > sucursal y viceversa > ping de 10.10.1.1 a 192.168.1.x correcto de > los dos lados firewall a > sucursal y viceversa > > lo curioso es que si en la red de la sucursal > configuro los navegadores de > internet con el proxy del firewall de esta forma : > 10.10.1.1 puerto 3128 > , si consigo que la red de la sucursar saga a > internet pero no tiene salida > a a puertos de correo externos por ejemplo, cuando > hago un telnet desde la > alguna maquina a algun server de afuera. > > le agrege una eth1:1 con la ip 192.168.1.250 segun > yo para que reconosca de > manera trasparente la red pero cuando le hago ping > desde > > red de sucursal firewall en la central > 192.168.1.x al 192.168.1.250 no responde > > sera que ya sera algun tema de la configuracion de > los routers ? o me falta > algo en el firewall ? > > Este es mi scrip de firewall son reglas basicas de > iptables lo dejo para que > lo vean y por hay que tambien a alguien le sirve : > > > gracias de ante mano gracias por sus respuestas > Saludos > Juan > > > > #!/bin/sh > iptables -F > iptables -X > iptables -Z > iptables -t nat -F > > modprobe ip_conntrack > modprobe ip_conntrack_ftp > modprobe ipt_REJECT > modprobe ipt_TOS > modprobe ipt_MASQUERADE > modprobe ipt_LOG > modprobe iptable_mangle > modprobe iptable_nat > modprobe ip_nat_ftp > modprobe ip_nat_irc > > iptables -P INPUT ACCEPT > iptables -P OUTPUT ACCEPT > iptables -P FORWARD ACCEPT > iptables -t nat -P PREROUTING ACCEPT > iptables -t nat -P POSTROUTING ACCEPT > > iptables -t nat -A PREROUTING -i eth1 -p tcp --dport > 80 -j REDIRECT > --to-port 3128 > iptables -A INPUT -i lo -j ACCEPT > #central > iptables -A FORWARD -s 10.10.1.0/24 -i eth1 -p tcp > --dport 80 -j ACCEPT > iptables -A FORWARD -s 10.10.1.0/24 -i eth1 -p tcp > --dport 443 -j ACCEPT > iptables -A FORWARD -s 10.10.1.0/24 -i eth1 -p tcp > --dport 53 -j ACCEPT > iptables -A FORWARD -s 10.10.1.0/24 -i eth1 -p udp > --dport 53 -j ACCEPT > iptables -A FORWARD -s 10.10.1.0/24 -i eth1 -p tcp > --dport 25 -j ACCEPT > iptables -A FORWARD -s 10.10.1.0/24 -i eth1 -p tcp > --dport 110 -j ACCEPT > iptables -A FORWARD -s 10.10.1.0/24 -i eth1 -p tcp > --dport 143 -j ACCEPT > iptables -A FORWARD -s 10.10.1.0/24 -i eth1 -p tcp > --dport 20 -j ACCEPT > iptables -A FORWARD -s 10.10.1.0/24 -i eth1 -p tcp > --dport 21 -j ACCEPT > #sucursal > iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp > --dport 80 -j ACCEPT > iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp > --dport 443 -j ACCEPT > iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp > --dport 53 -j ACCEPT > iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p udp > --dport 53 -j ACCEPT > iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp > --dport 25 -j ACCEPT > iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp > --dport 110 -j ACCEPT > iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp > --dport 143 -j ACCEPT > iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp > --dport 20 -j ACCEPT > iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp > --dport 21 -j ACCEPT > > iptables -A FORWARD -s 10.10.1.0/24 -i eth1 -j DROP > iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -j > DROP > > iptables -t nat -A POSTROUTING -s 10.10.1.0/24 -o > eth0 -j MASQUERADE > iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o > eth0 -j MASQUERADE > > echo 1 > /proc/sys/net/ipv4/ip_forward > > iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 > -j DROP > iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 > -j DROP > #fin > > > > > > On 4/8/07, Diego Maradona > <[EMAIL PROTECTED]> wrote: > > > > Hola > > > > Asegura que el default gw de la sucursal remota ( > > 10.10.1.10) sea 10.10.1.1, tambien si esta > haciendo > > nat el router de la sucursal remota o no y esta en > > solo modo ruteado. > > > > En tu Firewall, permite que la salida a los > puertos > > DNS, HTTP de la red remota. > > > > > > --- Juan Oliva <[EMAIL PROTECTED]> escribió: > > > > > Hola walter garcias por responder, > > > > > > bueno ..justamente para no tener problemas con > la > > > parte del proxy aun no la > > > he puesto en funcionamiento solo esta el > firewall > > > puro , > > > > > > basicamente estoy habriendo solo los puertos > basicos > > > ( > > > 80,25,110,143,20,21,53) > > > y aplicando masquerade de esta forma : > > > > > > iptables -t nat -A POSTROUTING -s 10.10.1.0/24 > -o > > > eth0 -j MASQUERADE > > > > > > bueno si el comando de ruteo esta bien, solo > debe > > > fatarme añadir : > > > > > > iptables -t nat -A POSTROUTING -s 192.168.1/24 > -o > > > eth0 -j MASQUERADE > > > > > > y deberia funcionar la salida de la otra red ? , > > > > > > si existe algun otro comentario adicional > bienvenido > > > sea. > > > > > > Saludos > > > Juan > > > On 4/2/07, Walter Pabon Guerra <[EMAIL PROTECTED]> > > > wrote: > > > > > > > > Juan Oliva wrote: > > > > > > > > > > Estimados amigos ,tengo el siguiente caso , > > > espero que me puedan dar > === message truncated ===> _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: > [email protected] > Para darte de alta, de baja o hacer ajustes a tu > suscripción visita: > http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php __________________________________________________ Preguntá. Respondé. Descubrí. Todo lo que querías saber, y lo que ni imaginabas, está en Yahoo! Respuestas (Beta). ¡Probalo ya! http://www.yahoo.com.ar/respuestas
-- Saludos Juan *tildes omitidas intencionalmente
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
