Re: sobre rutas estaticas y gw por defecto
El Wed, 23 Feb 2011 15:43:49 +0100, Mariano Cediel escribió: Sean 2 routers A y B en multipuesto (con NAT) con IPs 192.168.1.A y 192.168.1.B respectivamente Sea un equipo X con IP 192.168.1.X que tiene como gw por defecto el routerA Y además tiene varias rutas estáticas del estilo route add -net RED1 gw routerB Suponiendo que quiero entrar desde fuera por ssh el equipoX (puertos abiertos y todo eso es OK) desde una IP que NO pertenece a la RED1 La pregunta es: SOLO puedo entrar por la IP externa del routerA, verdad ¿? Porque si entrara por la IP externa del routerB, la contestación la devolvería por el router por defecto, que es el A, no ¿? Si no tienes configurado el NAT en el router B para permitir el acceso al equipo X, se supone que no (el puerto está cerrado). Pero siempre que tengas a los equipos/routers en la misma capa de red, existe la posibilidad de acceder a los equipos (por ejemplo, si el router B tuviera algún agujero en su firmware). Es que tengo un caso en el que esto no se cumple, y no entiendo muy bien por qué. Pues explica un poco cómo tienes configurado el router B. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2011.02.23.15.18...@gmail.com
Re: sobre rutas estaticas y gw por defecto
Sean 2 routers A y B en multipuesto (con NAT) con IPs 192.168.1.A y
192.168.1.B respectivamente
Sea un equipo X con IP 192.168.1.X que tiene como gw por defecto el routerA
Y adem=E1s tiene varias rutas est=E1ticas del estilo
route add -net RED1 gw routerB
Suponiendo que quiero entrar desde fuera por ssh el equipoX (puertos
abiertos y todo eso es OK) desde una IP que NO pertenece a la RED1
La pregunta es:
SOLO puedo entrar por la IP externa del routerA, verdad =BF?
Porque si entrara por la IP externa del routerB, la contestaci=F3n la
devolver=EDa por el router por defecto, que es el A, no =BF?
Es que tengo un caso en el que esto no se cumple, y no entiendo muy
bien por qu=E9.
Quedo abierto a sugerencias/opiniones/m=EDrate-esto-y-aquello.
Saludos y muchas gracias.
--=20
=A0 =A0 =A0 =A0 [o - -=A0 -=A0=A0 -=A0 =A0 -=A0 =A0 =A0 -
=A0=A0 (\=A0=A0 |=A0 =A0 =A0 =A0 =A0 =A0 =A0 =A0 =A0 u d t
=A0=A0 (=A0 \_('=A0 =A0 =A0 =A0 =A0 =A0 =A0 c c s
=A0=A0 (__(=3D_)=A0 =A0 =A0 =A0 =A0 =A0=A0 s o ?
=A0 =A0 =A0 -=3D
--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive:
http://lists.debian.org/AANLkTikp=o+rvlgildaufanwqb0bat+tcytf732rk...@mail.gmail.com
Una duda...
Y CUAL ES TU DUDA CON DEBIAN???
Deberias estiquetar al menos con un OT.
Solo podras desde afuera al equipoX por el gw A, ojo que todo esto queda
invalido si estan en la misma red (por ejemplo si la mascara de tu lan permite
la visualizacion de la red), no se explicarme muy bien, pero lo que quiero
decir es que si es de la misma lan o si sus segmentos son transparentes se
veran igual...
Si es muy enrredado omite lo de arriba y entreganos las reglas que tienen ambos
routers, asi como sus rutas estaticas.
Saludos.
Re: sobre rutas estaticas y gw por defecto
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Sean 2 routers A y B en multipuesto (con NAT) con IPs 192.168.1.A y 192.168.1.B respectivamente Sea un equipo X con IP 192.168.1.X que tiene como gw por defecto el routerA Y además tiene varias rutas estáticas del estilo route add -net RED1 gw routerB Suponiendo que quiero entrar desde fuera por ssh el equipoX (puertos abiertos y todo eso es OK) desde una IP que NO pertenece a la RED1 La pregunta es: SOLO puedo entrar por la IP externa del routerA, verdad ¿? Porque si entrara por la IP externa del routerB, la contestación la devolvería por el router por defecto, que es el A, no ¿? Es que tengo un caso en el que esto no se cumple, y no entiendo muy bien por qué. Quedo abierto a sugerencias/opiniones/mírate-esto-y-aquello. No me hago responsable de lo que digo, he oído campanas y no se donde. Por eso respondo a ver si me aclaro. No se muy bien si te he entendido. Pero una vez me dieron un consejo. Pintalo, escribelo en un papel. Si puedes pintarlo puedes hacerlo (creo que es de albert einsteing). Estan los router en la misma red ( fisicamente)? Si es asi yo entiendo que podrias entrar indiferentemente por el A o por el B, ( creo que la comunicacion tcp/ip hace que al abrirle la comunicacion desde B este la devuelva por B, sino se podra hacer con iptables) A ver si alguien lo puede aclarar ( sin darme mucha caña, por favor...) Saludos y muchas gracias. Un saludo - -- Si los tontos volaran, el cielo se oscurecería No me envié correos en formatos propietarios http://www.gnu.org/philosophy/no-word-attachments.es.html -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iQEcBAEBAgAGBQJNZUAhAAoJEOWNzQnqy+fzq5cIAMtg+NInnI89HhsS15V1iVMt J+u+/mxBGD1OK+kQ//EHjKV5nqfrCe+EZDCxFIERcZUoQMna0ipPsqwCCmD3xx4I 3kbMBffCDiyXOnUXfILfx/Zasp4dEcL4+skclOmPpoT1LZ7LCxOdOewRZwKNsJ3j f7PVHG1bhjrlqBtNnA/azTakAMcluKTRdssUjWP1JSr0vfd32n8Pzk+c16uP0+Dc 8OSC7JrWaBzAW2XLC9gPvpBkEcwzJNNvvrRXnoIO6ZVUXUh/3iM4HJL6fFUjrQ// 21svViX47vGfMQCCUs1YbsfLJffBx/D9aNJKzNdT5I2Xa3yXRvK7thVtgdz6ay0= =Cb4X -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/blu0-smtp169fb2253488cb175f9c06fb1...@phx.gbl
Re: sobre rutas estaticas y gw por defecto
El mié, 23-02-2011 a las 15:43 +0100, Mariano Cediel escribió: Sean 2 routers A y B en multipuesto (con NAT) con IPs 192.168.1.A y 192.168.1.B respectivamente Sea un equipo X con IP 192.168.1.X que tiene como gw por defecto el routerA Y además tiene varias rutas estáticas del estilo route add -net RED1 gw routerB Vale, o sea tres equipos sobre la misma red, dos routers y uno que no es un router pero que tiene rutas. Suponiendo que quiero entrar desde fuera por ssh el equipoX (puertos abiertos y todo eso es OK) desde una IP que NO pertenece a la RED1 Supongo que además de que el equipo X tiene el puerto correspondiente abierto, el router A redirecciona el tráfico que recibe al equipo X, ya que quedamos que hacía NAT ¿no?. La pregunta es: SOLO puedo entrar por la IP externa del routerA, verdad ¿? No, ¿por? Porque si entrara por la IP externa del routerB, la contestación la devolvería por el router por defecto, que es el A, no ¿? No ya que los routers hacen NAT, por lo que la IP que ve el equipo X es la del router B, que está en su misma red, y por ello le devuelve el tráfico B, no necesita ir al gw. Es que tengo un caso en el que esto no se cumple, y no entiendo muy bien por qué. Quedo abierto a sugerencias/opiniones/mírate-esto-y-aquello. Dibuja lo que tienes y quieres y piénsalo un rato. Un saludo JulHer signature.asc Description: This is a digitally signed message part
Re: sobre rutas estaticas y gw por defecto
La pregunta es:
SOLO puedo entrar por la IP externa del routerA, verdad ¿?
No, ¿por?
Porque si entrara por la IP externa del routerB, la contestación la
devolvería por el router por defecto, que es el A, no ¿?
No ya que los routers hacen NAT, por lo que la IP que ve el equipo X es
la del router B, que está en su misma red, y por ello le devuelve el
tráfico B, no necesita ir al gw.
No lo veo.
Cuando la petición de conexión ssh le llegue al equipoX, este verá una
petición de conexión ssh de una IP externa.
Para contestarle, el paquete TCP lo enviará por su router por defecto
(que es al A).
Por tanto la petición entrará por B, llegará a X y contestará por A
No ¿?
PS. perdón por no poner el OT en el asunto, teneis TODA la razón.
--
[o - - - - - -
(\ | u d t
( \_(' c c s
(__(=_) s o ?
-=
--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive:
http://lists.debian.org/aanlktimyrqvv_4vvm+uxkt5+kg2-gnu96wxzddois...@mail.gmail.com
Re: sobre rutas estaticas y gw por defecto
El mié, 23-02-2011 a las 19:16 +0100, Mariano Cediel escribió: Cuando la petición de conexión ssh le llegue al equipoX, este verá una petición de conexión ssh de una IP externa. Según tu, los routers hacen NAT, ¿no? eso implica que esconden las IP de los equipos internos, por lo que supongo que tu haces ssh a la dirección IP del router, no a la del equipo X. En caso contrario estamos hablando que el tráfico se enruta, sin pasar por tablas de NAT. Mejor haz un dibujo y hablamos sobre el. Un saludo JulHer signature.asc Description: This is a digitally signed message part
RE: sobre rutas estaticas y gw por defecto
-Mensaje original- De: JulHer [mailto:jul...@escomposlinux.org] Enviado el: miércoles, 23 de febrero de 2011 19:24 Para: debian-user-spanish@lists.debian.org Asunto: Re: sobre rutas estaticas y gw por defecto El mié, 23-02-2011 a las 19:16 +0100, Mariano Cediel escribió: Cuando la petición de conexión ssh le llegue al equipoX, este verá una petición de conexión ssh de una IP externa. Según tu, los routers hacen NAT, ¿no? eso implica que esconden las IP de los equipos internos, por lo que supongo que tu haces ssh a la dirección IP del router, no a la del equipo X. Correcto, pero la Dirección IP que aparece de cara al Equipo X es la IP Pública del equipo que generó la petición. Comprobado con Wireshark ahora mismito..., por lo que la petición del Equipo X será devuelta hacia su Default Gateway... Otra cosa es que se intercale un FW entre los 2 routers y la LAN del Equipo X y se controle por qué router le vino la petición para devolverla por el mismo. Saludos, Ramses -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/291060A946F84F748A3CD9247D85B830@servidor
Re: sobre rutas estaticas y gw por defecto
El día 23 de febrero de 2011 19:38, Ramses II
ramses.sevi...@gmail.com escribió:
-Mensaje original-
De: JulHer [mailto:jul...@escomposlinux.org]
Enviado el: miércoles, 23 de febrero de 2011 19:24
Para: debian-user-spanish@lists.debian.org
Asunto: Re: sobre rutas estaticas y gw por defecto
El mié, 23-02-2011 a las 19:16 +0100, Mariano Cediel escribió:
Cuando la petición de conexión ssh le llegue al equipoX,
este verá una
petición de conexión ssh de una IP externa.
Según tu, los routers hacen NAT, ¿no? eso implica que esconden
las IP de los equipos internos, por lo que supongo que tu
haces ssh a la dirección IP del router, no a la del equipo X.
Correcto, pero la Dirección IP que aparece de cara al Equipo X es la IP
Pública del equipo que generó la petición.
Comprobado con Wireshark ahora mismito..., por lo que la petición del Equipo
X será devuelta hacia su Default Gateway...
Otra cosa es que se intercale un FW entre los 2 routers y la LAN del Equipo
X y se controle por qué router le vino la petición para devolverla por el
mismo.
En resumidas cuentas, lo que decía al principio
Que si no hay alguna paranoia via ip route marcando paquetes por
iptables o similar. como que NO funcionaría.
Solo se puede entrar por el router que sea a su vez es el de defecto del equipoX
No ¿?
Gracias a todos.
--
[o - - - - - -
(\ | u d t
( \_(' c c s
(__(=_) s o ?
-=
--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive:
http://lists.debian.org/AANLkTi=5WJMpbf1G-mAtLENN#of-_wuqbarar-w...@mail.gmail.com
Re: sobre rutas estaticas y gw por defecto
El 23/02/11 18:48, JulHer escribió: El mié, 23-02-2011 a las 15:43 +0100, Mariano Cediel escribió: Sean 2 routers A y B en multipuesto (con NAT) con IPs 192.168.1.A y 192.168.1.B respectivamente Sea un equipo X con IP 192.168.1.X que tiene como gw por defecto el routerA Y además tiene varias rutas estáticas del estilo route add -net RED1 gw routerB Vale, o sea tres equipos sobre la misma red, dos routers y uno que no es un router pero que tiene rutas. Suponiendo que quiero entrar desde fuera por ssh el equipoX (puertos abiertos y todo eso es OK) desde una IP que NO pertenece a la RED1 Supongo que además de que el equipo X tiene el puerto correspondiente abierto, el router A redirecciona el tráfico que recibe al equipo X, ya que quedamos que hacía NAT ¿no?. La pregunta es: SOLO puedo entrar por la IP externa del routerA, verdad ¿? No, ¿por? Porque si entrara por la IP externa del routerB, la contestación la devolvería por el router por defecto, que es el A, no ¿? No ya que los routers hacen NAT, por lo que la IP que ve el equipo X es la del router B, que está en su misma red, y por ello le devuelve el tráfico B, no necesita ir al gw. Es que tengo un caso en el que esto no se cumple, y no entiendo muy bien por qué. Quedo abierto a sugerencias/opiniones/mírate-esto-y-aquello. Dibuja lo que tienes y quieres y piénsalo un rato. Un saludo JulHer Según lo ha explicado hace nat, pero en prerouting, si no tiene nada en postrouting la ip que ve el equipo x es la original, y devolverá el tráfico según su tabla de rutas. Un saludo. -- Tanto en los deportes como en todo lo demás, soy un experto. Pero para mantener viva mi inteligencia natural y fuera de serie, tengo que comer mucho -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d655c05.7050...@limbo.ari.es
Re: sobre rutas estaticas y gw por defecto
El 23/02/11 20:06, Mariano Cediel escribió: El día 23 de febrero de 2011 19:38, Ramses II ramses.sevi...@gmail.com escribió: -Mensaje original- De: JulHer [mailto:jul...@escomposlinux.org] Enviado el: miércoles, 23 de febrero de 2011 19:24 Para: debian-user-spanish@lists.debian.org Asunto: Re: sobre rutas estaticas y gw por defecto El mié, 23-02-2011 a las 19:16 +0100, Mariano Cediel escribió: Cuando la petición de conexión ssh le llegue al equipoX, este verá una petición de conexión ssh de una IP externa. Según tu, los routers hacen NAT, ¿no? eso implica que esconden las IP de los equipos internos, por lo que supongo que tu haces ssh a la dirección IP del router, no a la del equipo X. Correcto, pero la Dirección IP que aparece de cara al Equipo X es la IP Pública del equipo que generó la petición. Comprobado con Wireshark ahora mismito..., por lo que la petición del Equipo X será devuelta hacia su Default Gateway... Otra cosa es que se intercale un FW entre los 2 routers y la LAN del Equipo X y se controle por qué router le vino la petición para devolverla por el mismo. En resumidas cuentas, lo que decía al principio Que si no hay alguna paranoia via ip route marcando paquetes por iptables o similar. como que NO funcionaría. Solo se puede entrar por el router que sea a su vez es el de defecto del equipoX No ¿? Gracias a todos. Lo de marcar paquetes no te vale, la marca solo va en el buffer que mantiene el kernel para el paquete, no en la trama en si, es decir, la marca solo se ve en el tránsito que hace el paquete en el código de routing y netfilter y no en la red. Para que se de el caso que tu expones, si haces DNAT en la conexión ntrante, tienes que hacer SNAT para que el tráfico vuelva por la misma pasarela. Un saludo. -- Tanto en los deportes como en todo lo demás, soy un experto. Pero para mantener viva mi inteligencia natural y fuera de serie, tengo que comer mucho -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d655d1c.1020...@limbo.ari.es
Re: sobre rutas estaticas y gw por defecto
2011/2/23 Mariano Cediel mariano.ced...@gmail.com Sean 2 routers A y B en multipuesto (con NAT) con IPs 192.168.1.A y 192.168.1.B respectivamente Sea un equipo X con IP 192.168.1.X que tiene como gw por defecto el routerA Y además tiene varias rutas estáticas del estilo route add -net RED1 gw routerB Suponiendo que quiero entrar desde fuera por ssh el equipoX (puertos abiertos y todo eso es OK) desde una IP que NO pertenece a la RED1 La pregunta es: SOLO puedo entrar por la IP externa del routerA, verdad ¿? Porque si entrara por la IP externa del routerB, la contestación la devolvería por el router por defecto, que es el A, no ¿? No. Puedes entrar por los dos routers. Si entras por el RouterB al equipo le llegaran peticiones de 192.168.1.A (recuerda que haces nat) y el equipo se las contestara directamente a 192.168.1.A (porque sabe llegar sin usar el dafault) -- Marc
Re: sobre rutas estaticas y gw por defecto
2011/2/23 Marc Aymerich glicer...@gmail.com 2011/2/23 Mariano Cediel mariano.ced...@gmail.com Sean 2 routers A y B en multipuesto (con NAT) con IPs 192.168.1.A y 192.168.1.B respectivamente Sea un equipo X con IP 192.168.1.X que tiene como gw por defecto el routerA Y además tiene varias rutas estáticas del estilo route add -net RED1 gw routerB Suponiendo que quiero entrar desde fuera por ssh el equipoX (puertos abiertos y todo eso es OK) desde una IP que NO pertenece a la RED1 La pregunta es: SOLO puedo entrar por la IP externa del routerA, verdad ¿? Porque si entrara por la IP externa del routerB, la contestación la devolvería por el router por defecto, que es el A, no ¿? No. Puedes entrar por los dos routers. Si entras por el RouterB al equipo le llegaran peticiones de 192.168.1.A (recuerda que haces nat) y el equipo se las contestara directamente a 192.168.1.A (porque sabe llegar sin usar el dafault) Quise escribir... No. Puedes entrar por los dos routers. Si entras por el RouterB al equipo le llegaran peticiones de 192.168.1.B (recuerda que haces nat) y el equipo se las contestara directamente a 192.168.1.B (porque sabe llegar sin usar el dafault) -- Marc
Re: sobre rutas estaticas y gw por defecto
El 23/02/11 20:19, Marc Aymerich escribió: 2011/2/23 Marc Aymerich glicer...@gmail.com 2011/2/23 Mariano Cediel mariano.ced...@gmail.com Sean 2 routers A y B en multipuesto (con NAT) con IPs 192.168.1.A y 192.168.1.B respectivamente Sea un equipo X con IP 192.168.1.X que tiene como gw por defecto el routerA Y además tiene varias rutas estáticas del estilo route add -net RED1 gw routerB Suponiendo que quiero entrar desde fuera por ssh el equipoX (puertos abiertos y todo eso es OK) desde una IP que NO pertenece a la RED1 La pregunta es: SOLO puedo entrar por la IP externa del routerA, verdad ¿? Porque si entrara por la IP externa del routerB, la contestación la devolvería por el router por defecto, que es el A, no ¿? No. Puedes entrar por los dos routers. Si entras por el RouterB al equipo le llegaran peticiones de 192.168.1.A (recuerda que haces nat) y el equipo se las contestara directamente a 192.168.1.A (porque sabe llegar sin usar el dafault) Quise escribir... No. Puedes entrar por los dos routers. Si entras por el RouterB al equipo le llegaran peticiones de 192.168.1.B (recuerda que haces nat) y el equipo se las contestara directamente a 192.168.1.B (porque sabe llegar sin usar el dafault) De nuevo, eso es asi solo si hace SNAT en el interfaz configurado en la red interna, que no creo que sea el caso tal y como el lo expone, si lo único que hace es un DNAT de una ip pública configurada en el router a una ip de la red interna, el tráfico llegará con la dirección IP original. Un saludo. -- Tanto en los deportes como en todo lo demás, soy un experto. Pero para mantener viva mi inteligencia natural y fuera de serie, tengo que comer mucho -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d655e89.70...@limbo.ari.es
RE: sobre rutas estaticas y gw por defecto
El mié, 23-02-2011 a las 19:38 +0100, Ramses II escribió: Correcto, pero la Dirección IP que aparece de cara al Equipo X es la IP Pública del equipo que generó la petición. Ok, Ramses II, pero eso será en tu caso. Yo no se como lo tiene Mariano, por eso comentaba lo del dibujo y lo de mirarlo con calma. Comprobado con Wireshark ahora mismito..., por lo que la petición del Equipo X será devuelta hacia su Default Gateway... En ese caso efectivamente es así. Un saludo JulHer signature.asc Description: This is a digitally signed message part
RE: sobre rutas estaticas y gw por defecto
Monta el Wireshark en el Equipo X. Monta 2 routers en la LAN del Equipo X, de los que te da un operador, haciendo PAT, que realmente es lo que hacen normalmente, del puerto, por ejemplo, 22 hacia el Equipo X, en ambos. Pon a capturar el Wireshark. Intenta una conexión desde un equipo en la Red Pública N. En el Wireshark que está en el Equipo X, entres por el router que entres, te aparecerá la IP Pública del equipo que está intentando acceder, no la IP de la LAN del router por el que entra... Para eso, ambos routers te tendrían que enmascarar el tráfico de entrada con su IP de LAN, que no es lo que hacen estos routers... No es por meter baza, lo digo porque precisamente estoy con una maqueta y acabo de hacer la prueba, eso sí, con routers de baja gama de los que te pone un operador, que realmente no tienes opción de configurar esas opciones que comentas... Ahora, si la historia está con routers de media/alta gama o linux, que te permite hacer casi lo que quieras, pues sí... Saludos, Ramses -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/E6F5BDB099E54656AF24C851D2CE3126@servidor
Re: sobre rutas estaticas y gw por defecto
El mié, 23-02-2011 a las 20:06 +0100, Mariano Cediel escribió: En resumidas cuentas, lo que decía al principio Que si no hay alguna paranoia via ip route marcando paquetes por iptables o similar. como que NO funcionaría. Solo se puede entrar por el router que sea a su vez es el de defecto del equipoX Si no hay nada mas pues no, a menos que tengas definida alguna ruta de tal manera que el tráfico que le llegue de una ip pública determinada salga por el B. Un saludo JulHer signature.asc Description: This is a digitally signed message part
