Fwd: redireccionar ip y puertos mediante iptables
El 22 de septiembre de 2014, 23:30, Domingo Varela Yahuitl do...@hotmail.com escribió: Ah... se me olvidaba.. Usa el comando arp para ver si esta mapeado esa ip Enviado desde mi dispositivo android. -Original Message- From: Andres M. Giribaldi andres2...@gmail.com To: debian-user-spanish@lists.debian.org Sent: lun, 22 sep 2014 16:19 Subject: Re: redireccionar ip y puertos mediante iptables Hola Ariel El 22/09/2014 a las 13:19, Ariel Alvarez escibió: Hola lista tengo un problema y ya he probado varias soluciones sin ningun resultado, se trata sobre redireccionar el trafico que venga hacia una ip o interface de red espesifica por un puerto espesifico para otra direccion ip el mismo puerto, les esplico en concreto: todo esto esta sobre debian7.1 tengo dos servidores de correo uno funciona como correo relay el cual no contiene ningun buzon de usuarios y se encuentra en un servidor que tiene dos interfaces de red una de cara a la wan y otra de cara a la lan: ej: 10.0.0.10 ip de cara a la wan y soportada en eth0 192.168.0.3 ip de cara a la lan y esta soportada en eth1 el segundo servidor de correo el cual si tiene las cuentas o buzones de cada usuario solamente tiene una interface de red de cara a la lan: ej: 192.168.0.2 ip de cara a la lan y esta soportada en eth0 la idea es que mis usuarios puedan accedar a su correo desde afuera, es decir al poner en su navegador ej: (correo.midominio.com) abre la interface web y puedan loguearse a su cuenta. el asunto es que cuando acceden al correo mediante la interface web acceden al primer servidor el cual no contiene ninguna cuenta de usuario por tanto la validacion falla diciendo que el usuario o contraseña estan mal. se que se puede redireccionar el trafico, ya he probado las siguientes variantes: DECLARO IP FORWARD echo 1 /proc/sys/net/ipv4/ip_forward ESTAS SON LAS VARIANTES DE REDIRECCIONADO QUE HE PROBADO: DIRECCIONO TODO LO QUE VENGA DESDE eth0 por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 Esta linea no la veo mal, yo solo tengo intercambiado el -p tcp delante del -i eth0 pero eso no deberia afectar. Fijate si no te estaria faltando agregar en el FORWARD CHAIN algo asi. iptables -A FORWARD -p tcp -i eth0 --destination-port 80 --destination 192.168.0.2 -j ACCEPT Donde permitis el forward por ese port DIRECCIONO TODO LO QUE VENGA por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 DIRECCIONO TODO LO QUE VENGA desde la ip 10.0.0.10 por puerto 80 al segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde en este cas se encuentra escuchando la interface web que da acceso a los usuarios a sus cuentas de correo. iptables -t nat -A PREROUTING -s 10.0.0.10 -p tcp --dport 80 -j DNAT --to-destination 192.168.8.2:80 estas son las variantes que he probado, luego enmascaro la ip: iptables -t nat -A POSTROUTING -j MASQUERADE nada de esto me funciona agradeceria cualqueir ayuda. gracias de antemano. Saludos Yo para hacer nat suelo usar rinetd man rinetd. Es muy sencillo de usar y pienso que te puede servir. Un saludo.
Re: iptables y filtrado de muuuuchas MAC
El 14 de mayo de 2014, 16:14, Camaleón noela...@gmail.com escribió: El Wed, 14 May 2014 15:29:18 +0200, José Miguel (sio2) escribió: El Wed, 14 de May de 2014, a las 01:07:45PM +, Camaleón dijo: El Tue, 13 May 2014 19:46:21 +0200, José Miguel (sio2) escribió: Mientras, mira a ver si puedes hacer algo con Squid que ya lo tienes configurado y en marcha y que no requiera autentificación de usuarios para que no tenags que hacer cambios bruscos, aunque sin uso de credenciales siempre se te puede colar algo. No si en realidad, ya tengo controlado los accesos. Lo dije en el correo inicial: identifico las máquinas, las meto en un subrango y ese rango lo filtro. Lo que quiero, además, es vetarles el acceso por MAC para que no prueben a ponerse una ip fija distinta a ver si cuela. Pero ese sistema no es un control de acceso de usuarios sino un procedimiento para identificar equipos al que luego agrupas y les das un tratamiento distinto, el problema es que todo lo que sea hardware se puede falsear, direcciones IP/MAC incluídas :-) La ventaja de controlar usuarios y no dispositivos es que es un sistema más flexible que permite al usuario A (sin restricciones) poder usar lo que prefiera (ordenador, móvil, tableta...) y al usuario B (con restricciones) impedir la navegación desde cualquier dispositivo. Saludos, -- Camaleón -- Yo en mi puerta de enlace tengo entradas de este tipo en iptables: -A FORWARD -d 192.168.1.9/32 -i eth0 -o eth1 -m mac --mac-source cc:cc:cc:cc:cc:cc -j ACCEPT Así filtro por ip y por mac. No sé si es lo que buscas... Un saludo.
Re: Problema curioso en Proxmox bajo Debian interesante
En Thu, 12 Sep 2013 18:34:33 +0200, Camaleón noela...@gmail.com escribió: El Thu, 12 Sep 2013 17:15:48 +0200, Maykel Franco escribió: (ese html...) Hola muy buenas, me ha pasado un problema curioso a tener en cuenta en Proxmox. Resulta que teniamos un debian proxmox con 4 interfaces de red, las cuales estan configuradas asi: - vmbr0 -- eth0 - vmbr1 -- eth1 - vmbr2 -- eth2 - vmbr3 --eth3 - vmbr4 -- virtual, no asignada a ninguna ethX. Se usa para conexion interna. El tema es que no se si os habra pasado, si cambias por ejemplo la gestion: - vmbr0 -- eth3 - vmbr3 -- eth0 Hay que reiniciar proxmox la maquina anfitriona. Lo dice el web panel de proxmox y es asi porque sino reiniciando el networking sigue sin aplicarse. (...) Preguntonta: ¿has probado a hacer los cambios manualmente SIN usar el panel web? Digo, siempre que sea posible. Quizá la restricción sólo la tengas cuando usas la GUI del panel de gestión :-? Y mi pregunta es, no creeis que si copiando la mac de net1 -- vmbr4 y eliminando net1 -- vmbr4, para posteriormente volver a crearla net1 directamente con vmbr4 y poniendole la mac antigua(lo de la mac es por pfsense por si acaso) hubiera funcionado en vez de tener que reiniciar todo el proxmox anfitrion hubiera funcionado igual? (...) Sinceramente, no me queda claro el motivo real de tener que reiniciar el sistema anfitrión para hacer ese cambio, parece completamente ilógico y arbitrario. Saludos, Lo que tienes que hacer es apagar la máquina virtual y volver a encenderla. Aunque la reinicies no se entera de los cambios de hardware mientras no la apagues. El sistema anfitrión no necesitas reiniciarlo. -- Juan Serra Costa -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/op.w3b6lythz5k...@koda.ibv.upv.es
Re: OT: Sugerencias sobre proxmox
En Mon, 15 Jul 2013 23:41:05 +0200, ciracusa cirac...@gmail.com escribió: Juan, buenas tardes. Te consulto entre tus líneas: On 15/07/13 04:10, Juan Serra Costa wrote: En Sat, 13 Jul 2013 20:35:03 +0200, Ismael L. Donis Garcia ism...@citricos.co.cu escribió: Yo leí sobre Proxmox VE por primera vez en esta misma lista. En este momento en mi empresa tenemos en producción unos 25 servidores con unas 240 máquinas virtuales. Estas usando 10 VMs por Servidor? De que clase de equipos estamos hablando? Para instalar el sistema yo siempre instalo una Debian y luego le añado los repositorios y los paquetes de Proxmox. Tienen en la su web una wiki con todo lo que necesites saber. Te consulto, porque no usas directo la ISO de Proxmox? Encontraste alguna mejora en el procedimiento que mencionas? Las ventajas... al trabajar sobre una debian tengo la tranquilidad de saber lo que está pasando por debajo y libertad absoluta para instalar lo que necesite, nagios, lm-sensors, fail2ban... Ok, comparto! Salu2. La cantidad de máquinas depende de la memoria RAM. Con 16Mb de Ram puedes crear 16 windows xp para usuarios dándoles a cada máquina virtual 1gb de ram o hasta 32 debian con 512Mb. Todo depende de las necesidades de memoria que tengan tus máquinas virtuales. Por ponerte los dos casos más extremos que tengo, en el servidor que menos tengo, tengo dos SLES con 4Gb de Ram cada una (8GB el servidor) y en el que más 34 Wxp con 512 de Ram (16Gb el servidor). Prefiero instalar debian primero porque la instalación base de Proxmox coge unos porcentajes predefinidos para el sistema y el espacio de servidores y backups. Prefiero poder hacer yo mismo las particiones. En mi caso tengo las máquinas virtuales alojadas en una SAN DELL donde creo particiones que monto por iscsi. Pero acepta cualquier cosa que acepte debian. Un saludo. -- Juan Serra Costa -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/op.w0axasyyz5k...@koda.ibv.upv.es
Re: OT: Sugerencias sobre proxmox
En Sat, 13 Jul 2013 20:35:03 +0200, Ismael L. Donis Garcia ism...@citricos.co.cu escribió: Ante todo disculpen el Off Topic. Alguien de la lista por casualidad ha utilizado el sistema de Proxmox para virtualizar? Que ventajas me pude brindar? Necesito opiniones generales de este soft, cualquier ayuda será bien venida. Tengo entendido que se basa en debian, no se si será verdad. Saludos Cordiales | ISMAEL | PD: No tengo acceso a Internet, pero si amigos que me podrían buscar documentación de cualquier link brindado por ustedes, mi amigo de informática no conoce nada de nada, yo simplemente le paso los link y le digo descargame eso. Además de ser un directivo que no tiene tiempo de ponerse a buscar. Yo leí sobre Proxmox VE por primera vez en esta misma lista. En este momento en mi empresa tenemos en producción unos 25 servidores con unas 240 máquinas virtuales. Para instalar el sistema yo siempre instalo una Debian y luego le añado los repositorios y los paquetes de Proxmox. Tienen en la su web una wiki con todo lo que necesites saber. Las ventajas... al trabajar sobre una debian tengo la tranquilidad de saber lo que está pasando por debajo y libertad absoluta para instalar lo que necesite, nagios, lm-sensors, fail2ban... -- Juan Serra Costa -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/op.wz84we2gz5k...@koda.ibv.upv.es
Re: Duda sobre actualización del kernel amd64 en repositorios
En Mon, 28 Nov 2011 13:24:24 +0100, SM Baby Siabef siabef.deb...@gmail.com escribió: Hola a todos. Actualizando el ordenador mío portátil antiguo (que estaba originariamente en testing) con kernel i386, observé que entre las actualizaciones entraba el kernel 3.1.0-1 que instaló aptitude sin problemas. Luego gnome shell se lo cargó todo y no pudo arrancar siquiera y blabla, cosas que arreglaré en un futuro (mediante un live salvaré datos, le instalo un xfce porque visto lo visto...), pero al caso. Hoy hago mi habitual sesión en mi nuevo portátil de aptitude update aptitude upgrade, veo que no se actualiza el kernel, es decir, sigue estando linux-image-3.0.0-1-amd64. Tampoco con full-upgrade, apt-get y similares. Sin embargo, compruebo mediante el gestor de paquetes Synaptic que el kernel 3.1.0-1 sí está listado, no para actualizarse, pero que está presente en los repositorios. Y aquí llega el alcance de la pregunta. Visto que para usuarios de i386 (yo he sido uno de ellos durante años) sí se actualiza la versión del kernel... ¿en amd64 es diferente? ¿Somos nosotros los que tenemos que decidir si actualizar o no? ¿O es un escarceo temporal esto que está sucediendo y yo me estoy comiendo la cabeza? Un saludo. ¿Has probado un update-grub? -- Juan Serra Costa -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/op.v5no4yrtz5koyn@azha
Re: Duda sobre actualización del kernel amd64 en repositorios
En Mon, 28 Nov 2011 13:24:24 +0100, SM Baby Siabef siabef.deb...@gmail.com escribió: Hola a todos. Actualizando el ordenador mío portátil antiguo (que estaba originariamente en testing) con kernel i386, observé que entre las actualizaciones entraba el kernel 3.1.0-1 que instaló aptitude sin problemas. Luego gnome shell se lo cargó todo y no pudo arrancar siquiera y blabla, cosas que arreglaré en un futuro (mediante un live salvaré datos, le instalo un xfce porque visto lo visto...), pero al caso. Hoy hago mi habitual sesión en mi nuevo portátil de aptitude update aptitude upgrade, veo que no se actualiza el kernel, es decir, sigue estando linux-image-3.0.0-1-amd64. Tampoco con full-upgrade, apt-get y similares. Sin embargo, compruebo mediante el gestor de paquetes Synaptic que el kernel 3.1.0-1 sí está listado, no para actualizarse, pero que está presente en los repositorios. Y aquí llega el alcance de la pregunta. Visto que para usuarios de i386 (yo he sido uno de ellos durante años) sí se actualiza la versión del kernel... ¿en amd64 es diferente? ¿Somos nosotros los que tenemos que decidir si actualizar o no? ¿O es un escarceo temporal esto que está sucediendo y yo me estoy comiendo la cabeza? Un saludo. He contestado muy rápido. Si lo has instalado pero no te sale en el grub sería un update-grub. Si no se instala con apt-get dist-upgrade, prueba un apt-get install linux-image-amd64 y luego un upgrade. -- Juan Serra Costa -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/op.v5no9zc1z5koyn@azha
Re: Configuracion de koha-common en debian 6
En Thu, 03 Nov 2011 23:59:10 +0100, Ricardo Mendoza pgsql...@gmail.com escribió: Bueno, basicamente no se como configurar el archivo /etc/koha/koha-site.conf ni se como abrir koha. Antiguamente despues de la instalacion se habria un navegador web y se colocaba localhost mas el puerto de escucha 8080 con la direccion de enlace de koha que se obtenia al momento de terminar la instalacion.En esta ocasion la instalación se realiza por paquetes deb y es silenciosa. El archivo README dice que configure las opciones de /etc/koha/koha-site.conf DOMAIN=undominio INTRAPORT=80 INTRAPREFIX= INTRASUFFIX=-intra DEFAULTSQL=/usr/share/koha/defaults.sql.gz Ahora estoy volviendo a leer la pagina man koha-create, segun lo que dice, se utiliza una de las opciones Intraprefix o intrasuffix segun si es un sitio local o un sitio remoto, bueno aun no me queda claro como debe ser la configuracion de /etc/koha-site.conf tendre que traducir lo que dice la pagina man, ¿alguna idea como seria la correcta configuracion de este archivo?. Cuando lo instalé hace unos meses también tuve algún que otro problema. Pero me apunté los pasos que hice para que me funcionara. Está un poco a lo bestia pero espero que te sirva de algo. Para instalarlo: apt-get install mysql-server koha-common sudo Para que funcionara: echo NameVirtualHost *:8080 /etc/apache2/ports.conf echo Listen 8080 /etc/apache2/ports.conf /usr/sbin/koha-post-install-setup rm /etc/apache2/sites-enabled/000-default ln -s /usr/share/koha/lib/C4 /etc/perl/C4 ln -s /usr/share/koha/misc /usr/share/koha/intranet/cgi-bin/misc Para crear la instancia. koha-create --create-db nombre_instancia Para activar el correo. koha-email-enable nombre_instancia Modificar /etc/sudoers con visudo y añadir. ibv-koha ALL=NOPASSWD: /usr/share/koha/bin/migration_tools/rebuild_zebra.pl Ejecutar: cp /etc/koha/sites/ibv/koha-conf.xml /etc/koha/ Para traducirlo al español: cd /usr/share/koha/misc/translator/ perl ./translate install es-ES Conectarse al servidor en el puerto 8080 con el usuario y password de /etc/koha/sites/ibv/koha-conf.xml y seguir los pasos... -- Juan Serra Costa -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/op.v4ezgvnzz5koyn@azha
Re: Consulta Virtualizacion
En Mon, 12 Jul 2010 03:43:06 +0200, Galileo Galilei correo...@gmail.com escribió: El dom, 11-07-2010 a las 21:13 -0400, mrami...@iciuchile.cl escribió: Que tal masters! Una consulta. No soy experto en el tema, pero me estoy metiendo en esto de la virtualizacion. Me gustaria me recomendasen que alternativas opensource me recomiendan. Tengo un par de maquinas que me interesa virtualizar y me gustaria ver que me recomiendan los expertos. Busco en Google pero me marea tanta informacion. Busco en VMWARE pero veo que es pagado. Por otro lado, se que hay una alternativa llamada Xen Server, pero es de Citrix y tambien es pagada. Veo que hay una solucion llamada Virtualbox, pero no se si sea recomendada para hostear maquinas virtuales para dar servicios en red. Que me recomiendan? alguna URL donde poder ver y converger? Sin ser ningún experto ni nada parecido probaría VirtualBox de Debian Testing. El de Estable me dio varios problemas. El de Testing me anduvo muy bien. Ahora para hostear tendría que verlo en la práctica. El rendimiento es inferior al de la máquina física porque usa solamente una parte de la ram de esta. Tal vez si la máquina física tiene bastante memoria ram podría andar bien. Habría que verlo en la práctica. saludos y gracias, MARC Yo suelo trabajar con Proxmox Ve, prácticamente es una debian. -- Juan Serra Costa -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/op.vfpv092cz5k...@azha
Re: ping sendmsg operation not permitted
En Fri, 30 Apr 2010 11:28:58 +0200, Carlos Alberto Lopez Perez clo...@igalia.com escribió: Hola, Parece claramente un problema de permisos. /bin/ping debe estar con el bit suid activado y pertenecer a root. Comprueba que /bin/ping pertenece a root y tiene el bit suid activado. Si no es el caso: $ sudo chown root.root /bin/ping $ sudo chmod +s /bin/ping Si esto no lo resuelve comprueba que la propia carpeta /bin pertenezca a root. Saludos! Nahuel Neva wrote: Buenas nuevamente. Les comento: Tengo un servidor debian funcionando como firewall. El inconveniente que surge es que desde esa pc no puedo realizar pings hacia afuera ni por nombre ni por direccion ip a ningun lado, excepto hacia la red interna que si me responde sin problemas. Hacia afuera va el siguiente mensaje: ping: sendmsg operation not permitted otra curiosidad es que desde cualquier maquina de la red interna puedo pingear hacia afuera sin problemas. Y de afuera hacia adentro tampoco hay inconveniente. Es decir que el servidor es la unica pc que no puede realizar esas solicitudes. El el iptables están las reglas correspondientes para poder aceptar los icmp, tanto para ida y vuelta. Tambien miré la siguiente direccion por las dudas: /proc/sys/net/ipv4/icmp_echo_ignore_all , la cual se encuentra en 0 lo que significa que el ping está activado. Alguna idea? Muchas gracias! Nahuel. Aunque no es una solución. Siempre puedes utilizar nmap. nmap -sP host -- Usando el novísimo cliente de correo de Opera: http://www.opera.com/mail/ -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/op.vby0ayonz5k...@azha
Re: Alternativas a VMWare ESX
En Mon, 08 Mar 2010 13:48:46 +0100, Federico Alberto Sayd fs...@uncu.edu.ar escribió: ceduardo escribió: Otra idea es poder hacer alta disponiblidad entre máquinas virtuales ubicadas en servers diferentes. La pregunta es si habrá alguna solución donde el monitoreo de las máquinas virtuales y la HA las haga el software de virtualización Gracias y saludos Explicate mas esta parte, diría según lo que te entiendo vos podes montar las N maquinas virtuales y podes montar Nagios u otro server de monitoreo para revisar de que estén funcionando. Claro que con nagios lo puedes hacer, mi pregunta iba por algo más centralizado La idea es que si tienes toda una infraestructura de virtualización y manejo de cluster de máquinas virtuales sea este mismo software de manejo de cluster el que cuente con funcionalidad de monitoreo sobre sus propias máquinas virtuales. Por ejemplo que pueda monitorear carga, uso del disco, estado de la máquina y exportar estos valores, por ejemplo por snmp. -- ceduardo Saludos Federico Después de rompernos los cuernos con ESX y Xenserver en mi empresa descubrimos Proxmox VE. La base es una debian, de hecho usa sus mismos repositorios. No hay nada comparable. -- Usando el novísimo cliente de correo de Opera: http://www.opera.com/mail/ -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/op.u9lod7iaz5k...@azha.ibv.net
Re: problema con SSH en Lenny
En Fri, 15 Jan 2010 15:21:13 +0100, a...@n RuiZ ad...@tdad.ssp.rimed.cu escribió: saludos lista, instale un servidor con debian lenny reciente y todo ok, pero hay un detalle a la hora de entrar remoto desde otro server a ese a travez de ssh me da el siguiente error: aclaro que instale el paquete ssh desde el repo de debian. Lo que necesito saber es como acceder via SSH a ese server. @@@ @WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that the RSA host key has just been changed. The fingerprint for the RSA key sent by the remote host is 04:66:87:35:77:a1:86:9d:cd:3b:70:a6:ed:10:2a:1c. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending key in /root/.ssh/known_hosts:2 RSA host key for 192.168.93.2 has changed and you have requested strict checking. Host key verification failed. Alguna ayuda al respecto?? gracias Adian Ruiz. -- !! Nuestra Red Nacional les desea un FeliZ 2010 !! Gracias por utilizar nuestro servicio de correo. -- Usando el novísimo cliente de correo de Opera: http://www.opera.com/mail/ Edita el archivo /root/.ssh/known_hosts y elimina la línea 2. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org