El jue, 11-09-2003 a las 19:33, FERNANDO VILLARROEL escribió: > Hola amigos llevo algunos dias tratando de configurar > mis dos tarjetas la eth0 para el adsl y la eth1 para > la Lan el archivo /etc/network/interfaces esta asi: > > > # /etc/network/interfaces -- configuration file for > ifup(8), > ifdown(8) > # The loopback interface > # automatically added when upgrading > # Eth0 es la Red Local > # Eth1 es el Enlace a Internet > > auto lo eth0 eth1 > > iface lo inet loopback > iface eth1 inet static > address 192.168.0.2 > netmask 255.255.255.0 > network 192.168.0.0 > broadcast 192.168.0.255 > iface eth0 inet static > address 0.0.0.0 > netmask 0.0.0.0 > network 0.0.0.0 > broadcast 0.0.0.0 > > Eth0 sin direcciones ya que es un medio para salir a > Internet atraves de la interfaz ppp0 > > Eth1 es para la LAN. > > El script de iptables esta asi: > > > #!/bin/sh > > #cargamos los modulos necesarios > modprobe iptable_mangle > modprobe iptable_nat > modprobe ip_conntrack_ftp > modprobe ip_conntrack > modprobe ip_nat_ftp > modprobe ipt_LOG > modprobe ipt_MASQUERADE > modprobe ipt_REDIRECT > echo "Modulos Cargados de Iptables" > > #Politicas Chain > /sbin/iptables -P INPUT DROP > /sbin/iptables -P OUTPUT ACCEPT > /sbin/iptables -P FORWARD ACCEPT > echo "Politica del Firewall Entrada Desechada, Salida > y Renvio > Aceptadas" > > #Borrando las tablas actuales y configurando la forma > de tratar a los > paquetes > /sbin/iptables -F > /sbin/iptables -F INPUT > /sbin/iptables -F OUTPUT > /sbin/iptables -F FORWARD > /sbin/iptables -F -t mangle > /sbin/iptables -X > /sbin/iptables -F -t nat > echo "Borrando las tablas actuales y configurando la > forma de tratar > a los paquetes" > > > #Activacion de renvio de paquetes > echo 1 > /proc/sys/net/ipv4/ip_forward > echo "Activando el Renvio de paquetes entre las > Tarjetas de Red" > > > # Desactivando ECN para evitar problemas en la > coneccion PPPoE > echo "0" > /proc/sys/net/ipv4/tcp_ecn > echo "Desactivando ECN para evitar problemas en la > coneccion PPPoE" > > #Enmacaremiento de conexion telefonica > /sbin/iptables -t nat -A POSTROUTING -o ppp0 -j > MASQUERADE > /sbin/iptables -t nat -A POSTROUTING -o ppp0 -d 0/0 -j > ACCEPT > echo "Activando Enmacaremiento de conexion telefonica" > > > # Proxy Transparente > /sbin/iptables -t nat -A PREROUTING -i ppp0 -p tcp > --dport 80 -j > REDIRECT --to-port 8081 > echo "Activando Proxy Transparente" > > Mis problemas son: > > 1) Cuando activo el script anterior de iptables y le > doy ping a la eth1 no responde. > > 2) Al ejecutar el comando route, me muestra la tabla > de rutas vacia y se queda esperando, lo cancelo con > Crt-C; pero si le doy route antes de correr el script > de iptables obtengo lo siguiente: > > #route > Kernel IP routing table > > Destination Gateway Genmask Flags Metric > Ref Use Iface > 10.52.30.4 * 255.255.255.255 UH 0 0 > 0 ppp0 > localnet * 255.255.255.0 U 0 0 > 0 eth1 > default 10.52.30.4 0.0.0.0 UG 0 0 > 0 ppp0 > > Es decir con el script anterior desaparecen las rutas > antes sealadas. > > 3) Finalmente no he podido tener respuesta de las > estaciones o PC conectadas a la LAN en la interfaz > eth1; o sea si le doy ping a un pc conectado a la LAN > no responde. > > > Ojala alguien me pueda decir que hago mal o que me > falta hacer para que funcione. > me parece que tenes que leer un poco de filtrado de paquetes Tu script de iptables es demasiado engorroso NO estas permitiendo que"entre" nada ni siquiera por loopback por eso NO te responde el ping Yo en tu lugar probaria con un simple script que solo haga el enmascaramiento -Borra todo -Pone todas las politicas en ACCEPT proba EL PING -Enmascara la red interna iptables -t nat -A POSTROUTING -i eth1 -o ppp0 -j MASQUERADE ahora probas si la lan "ve" internet Una vez que "esto" te funciona, recien empezas a establecer las politicas y los permisos Tene en cuenta que si pones tu politica de INPUT en drop ( que es lo correcto) el kernel va a dropear todo lo que pase por esa cadena, inclusive la propia PC por lo tanto tenes que "permitir" o "aceptar" todo lo local (loopback) Si la maquina va a INET a solicitar un servicio ( dns por ej:) tenes que "permitir" o "aceptar" las comunicaciones que tu maquina establece ( para tcp y para udp) Tenes que "confiar" en tu LAN Tenes que "permitir" o "aceptar" que esde el mundo accedan a los servicios que tu maquina ofrezca ( por ej si tenes alguna pagina o servicio de pop hacia INET) espero que con esto puedas arrancar saludos Angel Claudio Alvarez > Fernando Villarroel N > > __________________________________ > Do you Yahoo!? > Yahoo! SiteBuilder - Free, easy-to-use web site design software > http://sitebuilder.yahoo.com >
Attachment:
signature.asc
Description: Esta parte del mensaje =?ISO-8859-1?Q?est=E1?= firmada digitalmente