RE: sobre rutas

To: "'debian-user-es'" <debian-user-spanish@lists.debian.org>
Subject: RE: sobre rutas
From: "Elvis Aaron Presley" <elvisa@terra.es>
Date: Tue, 3 Oct 2006 09:49:42 +0200
Message-id: <[🔎] 000001c6e6c0$7d114170$3d01a8c0@rxn32.biz>
In-reply-to: <[🔎] 1159824059.11742.31.camel@abajo>

Hola Antonio, a ver que me aclare... Supongo q damos por hecho que
tienes el forwarding activado en tu router debian (en
"/etc/network/options" poner el ip_forward=yes y luego reinicia la red
"/etc/init.d/networking restart"). Para que tu debian enrute por defecto
todo paquete que le llegue para el que no tenga ruta estática, tu router
B tiene que ser su default gw. Es decir, que has de tener en la debian
un "route add default gw 10.104.1.33".

Tu regla "iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE" es
correcta si quieres que en esa red todo provenga de la ip de tu debian
(10.104.1.34) sin que se vean las ips que hay detrás.

Aunque no lo pintas en tu dibujo, he de suponer que detrás del router A
está la red 172.21.0.0/16 por lo que, siendo correcto que tu dhcp ponga
a las máquinas cliente como default gw la ip del router debian, en el
router debian deberías tener otra ruta "route add -net 172.21.0.0
netmask 255.255.0.0 gw 192.168.4.1" para que las máquinas cliente
alcancen también esta red. Esto no sirve de nada si las máquinas que
están en esa red no tienen una ruta de vuelta. Es decir, que si en esa
subred todas las máquinas tienen como default gw la ip de esa subred del
router A, ya podrán comunicarse con tus máquinas cliente. Y si además en
el router A pones como default gw la ip 192.168.4.201 ya las de la
subred 172.21.0.0/16 podrían llegar hasta la 10.104.1.33

Lo del proxy no se para que lo utilizas, lo que estás haciendo no es un
bridge, es un router.

También estamos suponiendo que no tienes otras reglas de iptables que
estén en conflicto. Si no tienes más reglas de iptables, te sugiero que
te hagas un script del tipo:

#!/bin/bash

echo "Lanzando Firewall!!!!"

#Politicas por defecto en aceptar
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

#Limpiar las reglas cada vez que se ejecuta el script
iptables -F
iptables -t nat -F

#para enmascarar lo que salga por tu interfaz eth1
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

#para enrutar hacia el router A todo lo de esa red
route add -net 172.21.0.0 netmask 255.255.0.0 gw 192.168.4.1

Espero haberte ayudado. Un saludo.

Elvis


-----Mensaje original-----
De: Antonio Trujillo Carmona [mailto:trujo@dti2.net] 
Enviado el: lunes, 02 de octubre de 2006 23:21
Para: debian-user-es
Asunto: sobre rutas


Creía que lo sabia pero no me funciona, luego no lo se.
Tengo que cambiar la estructura de una red grande y en producción, La
estructura actual es:
	los PC tiene una IP fija de una red 192.168.4 con ruta por
defecto a 192.168.4.201 y una ruta a una red 172.21 puesta hacia
192.168.4.1 y el proxy puesto hacia 192.168.4.201:8080
	Algunos PC (no se cuales son mas) tienen ruta por defecto a
192.168.4.1
	El ruter (un debian por supuesto) 192.168.4.201 enmascara todas
las demás rutas y las manda a 10.104.1.33 (otra red conectada a otra
tarjeta de el)

La estructura buscada es que todo se cargue por dhcp:
	la asignación de ip y ruta por defecto funciona usando el
dnsmasq.
	la asignación automática proxy funciona usando el protocolo
wpad.
	la ruta a 172 funciona solo con tener bien las rutas en el
ruter.
	El enmascaramiento y redireccionamiento no funciona.

Lo tengo montado físicamente de esta forma:

router A   |      | router Linux  |
192.168.4.1|------|br0(eth2 eth0) |-----|swich|--red interna
           |      |192.168.4.201  |
                  |               |
                  |               |
router B   |      |               |
10.104.1.33|------|eth1           |
           |      |10.104.1.34    |
                  |255.255.255.224|

He optado por poner el router en un "birdge" para que iban funcionando
los PC que tienen al 4.1 como ruta por defecto, (ya digo que esta en
producción y son mas de 100 PC por lo que tardare varios días).

La ruta por defecto que les he puesto a los que voy pasando a dhcp es la
192.168.4.201 la ruta a la dirección 172 la he puesto con: route add
-net 172.21.0.0 netmask 255.255.0.0 gw 192.168.4.1 la ruta por defecto
del router linux es la 10.104.1.33

La única regla que he puesto en iptables (el tema de la seguridad lo
dejo para cuando funcione) es: iptables -t nat -A POSTROUTING -j
MASQUERADE -o eth1

Esperaba que cualquier intento de conexión a una dirección que no fuera
de la red 192 ni de la 172 saliera enmascarada por el router B pero no
sale.

Reply to:

Follow-Ups:
- RE: sobre rutas Solucionado
  - From: Antonio Trujillo Carmona <trujo@dti2.net>

References:
- sobre rutas
  - From: Antonio Trujillo Carmona <trujo@dti2.net>

Prev by Date: Problema con vmware player
Next by Date: Re: Disco SATA
Previous by thread: sobre rutas
Next by thread: RE: sobre rutas Solucionado
Index(es):
- Date
- Thread