[l-plug] Re: Lios con iptables
Eddy Rojas
eddy en lamolina.edu.pe
Lun Mar 28 15:24:51 PET 2005
Hola Victor,
Antes que todo seria bueno que adjuntes el diagrama de la red que estas disenhando (preferible en ASCII), de esa manera se puede saber bien como estan conectados tus routeadores, firewall y tu salida a internet. Ya sabes una imagen vale mas que mil palabras (especialmente en redes).
Al parecer el problema no es de enmascaramiento, que a proposito, si es que tienes IP publico fijo seria bueno que reemplaces el "MASQUERADE" por "SNAT --to TU_IP_PUBLICO" con lo cual aliviaras la carga en tu firewall (performance). Lo que puede ser es que tengas problemas de ruteo, osea tu red 192.168.1.0/24 no puede ver a otras redes que no esten directamente conectadas. Como usas linux como router-firewall y como tu red no es complicada, estaria demas usar rutas dinamicas (ie. RIP, IGRP, etc.), asi que la solucion esta en incluir rutas estaticas y verificar la conectividad entre tus redes antes de aplicar cualquier regla de filtro (especialmente la politica DROP).
Para poder ayudarte mejor incluye el diagrama que te mencione anteriormente, asi como las salidas de los siguientes commandos.
En tu Linux (como root):
#route -n
En tus routeadores Cisco:
>enable
#show ip route
Saludos,
Eddy
>From: Victor Andres Sina <victor_sina en softhome.net>
>Organization: Colegio Alexander Von Humboldt
>To: linux-plug en linux.org.pe
>Date: Mon, 28 Mar 2005 12:19:50 -0500
>Subject: [l-plug] Lios con iptables
>
>hola a todos
>
>En mi oficina tengo un firewall iptables con slackware 10.1 kernel 2.6.10.=
>=20
>Este firewall lo unico del q se encarga es proteger y dar internet a la=20
>maquina de la DMZ (ip 172.28.115.3) Las maquinas de la LAN (192.168.2.0/24)=
>=20
>salen a internet a traves de un ISA server. Existe un segundo local=20
>(192.168.1.0/24) que ve transparantemente a la Lan donde esta ubicado mi=20
>firewall y tienen acceso a todos los servicios de esta red, estos dos local=
>es=20
>estan conectados a traves de routers cisco y unidades DTU.
>
>El lio esta en que desde mi lan (192.168.2.0/24) puedo conectarme localment=
>e a=20
>mi webserver (en la DMZ), administrarlo y actualizar la web sin problemas,=
>=20
>pero desde la otra lan (192.168.1.0/24) no se puede. Aqui los dise=F1adores=
>=20
>usan frontpage y =E9ste desde la LAN donde esta el firewall se conecta sin=
>=20
>problemas, pero desde la otra LAN esta de mas comentar la imposibilidad de=
>=20
>hacerlo.
>
>Los ips de mi firewall son:
>LAN 192.168.2.200 en eth1
>DMZ 172.28.115.1 en eth2
>EXT 216.244.X.X en eth0
>
>Para mi que el lio esta en el enmascaramiento, algo lei por ahi en el manua=
>l=20
>de iptables mas conocido http://www.pello.info/filez/firewall/iptables.html=
>=20
>que cuando hay dos locales q se ven via routers, un firewall con normas dro=
>p=20
>por defecto va a terner problemas con el enmascaramiento y que es algo=20
>complicado, he revisado todo y aun no logro encontrar el problema.
>
>Adjunto mi script, ojala alguien pueda darme una mano y muchas gracias=20
>adelantadas.
>
>Saludos=20
>Victor
Más información sobre la lista de distribución Linux-plug