Forums:
Hola amigos, como están?.. bueno les escribo para pedir de su ayuda.. u orientacion..
Tengo un servidor debian en el cual tengo un proxy - squid.
En este estan configuradas 3 tarjetas de red configuradas asi:
EXT=eth0 Esta conectada a mi router
LAN1=eth1 Esta conectada a mi Lan1
LAN2=eth2 Esta conectada a mi Lan2
Teniendo en cuenta que mi EXT esta en : 192.168.1.0/24 MSK: 255.255.255.0 GW:192.168.1.1
Teniendo en cuenta que mi LAN1 esta en : 192.168.10.0/24 MSK: 255.255.255.0 GW:192.168.10.1
Teniendo en cuenta que mi LAN2 esta en : 192.168.20.0/24 MSK: 255.255.255.0 GW:192.168.20.1
Las politicas estan por defecto en DROP e utilizo el script de guimi:
http://guimi.net/index.php?pag_id=tec-docs/firewall/fw-instalacion.html#ipt
He configurado una PC como servidor web en LAN2 y en LAN1 esta mi lan, modifique el script para que me redireccione todo el trafico entrante al puerto 80 de mi proxy hacia la LAN2 y por ende a la pc q esta como servidor WEB.
Ahora la pregunta o problema es, como hago para comunicar LAN1 y LAN2, es decir por mas q trato desde LAN1 no puedo comunicarme o por ejemplo hacerle un ping o entrar por ssh a la pc de la LAN2, ya he probado haciendo:
$IPTABLES -A FORWARD -s 192.168.10.0/24 -d 192.168.20.10 -p tcp --sport 22 --dport 22 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.20.10 -d 192.168.10.0/24 -p tcp --sport 22 --dport 22 -j ACCEPT
HUM como podria hacer q mi LAN1 se comunique o administre la pc de la LAN2 pero sin desproteger a la LAN1 o al firewal en si?...
Espero me haya dado a entender lo mas posible y gracias por su ayuda y tiempo prestado.. Saludos amigos sigan asi..
Veamos primero: Si esto es
Veamos primero:
Si esto es lo que te dio route estas cometiendo un error:
192.168.1.0/24 MSK: 255.255.255.0 GW:192.168.1.1
192.168.10.0/24 MSK: 255.255.255.0 GW:192.168.10.1
192.168.20.0/24 MSK: 255.255.255.0 GW:192.168.20.1
Cada interfaz no debe tener como puerta de enlace la misma interfaz, eso no es logico, si lo tienes así, deberías modificarlo y solo dejar la ip y mascara,
Segundo.- Para que tu pc del lado LAN2 se pueda comunicar con la del lado LAN1 solo necesitas hacer esto:
$IPTABLES -A FORWARD -s 192.168.10.1/32 -d 192.168.20.10/32 -p tcp --dport 22 -j ACCEPT
Además debes habilitar el IpForward en tu server. No se si entendi bien el problema.
Saludos.
HOla Damage gracias por
HOla Damage gracias por responder tan rapido. mira te cuento lo de la puerta de enlace.. se lo pongo a una pc dentro de LAN2 por ejemplo
LAN1_IP=192.168.10.1
PC1_IP=192.168.10.10
LAN2_IP=192.168.20.1
PC2_IP=192.168.20.10
Y lo que quiero es q se comuniquen ambas redes, voy a añadir esa regla al iptables y probar si hay comunicacion. por q es raro ni siquiera puedo mandar un ping a la puerta de enlace de LAN2 desde la PC2
Si la pc 2 pertenece al
Si la pc 2 pertenece al segmento LAN2, deberias poder hacer ping a la puerta de enlace respectiva, ya que esta ndentro de la misma subred, ahora, debes revisar si no tienes por default la politica drop o activado el SElinux que te bloquea eso, ojo supongo que la puerta de enlace de la PC2 es un equipo linux? :? o no, ya me perdi jeje. :?
jaja.. ya a ver ordenando
jaja.. ya a ver ordenando quedaria asi
FIREWALL
eth0=192.168.1.2 GW:192.168.1.1 MSK:255.255.255.0
eth1=192.168.10.1 MSK:255.255.255.0
eth2=192.168.20.1 MSK:255.255.255.0
POR DEFECTO:
# Por omision descartamos los paquetes
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
# PREROUTING - NAT sobre la IP destino: normalmente desde inet hacia LAN
# POSTROUTING - NAT sobre la IP origen: normalmente desde LAN hacia inet
$IPTABLES -t nat -P PREROUTING DROP
$IPTABLES -t nat -P POSTROUTING DROP
RED1 192.168.10.0
- PC1 192.168.10.2 GW:192.168.10.1 MSK:255.255.255.0
RED2 192.168.20.0
- PC2 192.168.20.2 GW:192.168.20.1 MSK:255.255.255.0
Ahora, mira añadi la regla q me diste y nada.. no c q puede estar pasando ahora eso de SeLinux hum pues no habia probado, pero hay un detalle si redirecciono trafico entrante del puerto 80 a la pc de la RED2 si accedo a ella desde fuera(de la nube).
Primero debido a que tienes
Primero debido a que tienes politica por defectro DROP, es que no puedes hacer las cosas más faciles, pero esra bien tenerlo asi es más seguro, pero aclara el panorama de que pc esta en que lado y que server en que lado, ya que no entiendo bien ;), pero si no puedes hacer ni ping al linux que es puerta de enlace de tu LAN, es porque debes admitir icmp tanto en INPUT como en OUTPUT y asi con los demas protocolos de red ojo que tembien debes permitir el FORWARD de algunos de ellos tanto fuente como destino, ahi debes ir probando de a poco, lee el manual de pello sobre iptables, se te hara facil de comprender.