Re: Problemas en conf. de Router Linux
Antonio, Gracias!!... La regla del iptables FUNCIONA!! ya puedo acceder
a los equipos del bridge.
pero la idea de crear el alias a la eth0 con una ip publica, no
funciona. :-(
Nmag only, efectivamente usted me ayudo MUCHO en la configuracion de
estos equipos. (tengo almacenado todos los mails que me envio)
Ya tengo solucionado el tema de llegar a la ip 10.0.0.5 y la idea de
esto es administrar el bridge.
Ahora mi problema es que no puedo salir a internet desde el router.
La idea de esto es poder realizar actualizaciones a este debian.
mi conf. actual es la siguiente:
# ip route show
200.60.245.248/30 dev eth3 proto kernel scope link src 200.60.245.249
200.60.245.252/30 dev eth1 proto kernel scope link src 200.60.245.253
200.60.245.240/30 dev eth0 proto kernel scope link src 200.60.245.241
(esta es por la interfase virtual creada en la eth0)
200.60.245.244/30 dev eth2 proto kernel scope link src 200.60.245.245
10.0.0.0/29 dev eth0 proto kernel scope link src 10.0.0.2
default via 10.0.0.1 dev eth0
# ip addr show
1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
2: teql0: <NOARP> mtu 1500 qdisc noop qlen 100
link/void
3: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100
link/ether 00:60:08:6d:76:44 brd ff:ff:ff:ff:ff:ff
inet 10.0.0.2/29 brd 10.0.0.7 scope global eth0
inet 200.60.245.241/30 brd 200.60.245.243 scope global eth0:1
4: eth1: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100
link/ether 00:a0:24:da:d5:de brd ff:ff:ff:ff:ff:ff
inet 200.60.245.253/30 brd 200.60.245.255 scope global eth1
5: eth2: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100
link/ether 00:04:75:c9:4b:87 brd ff:ff:ff:ff:ff:ff
inet 200.60.245.245/30 brd 200.60.245.247 scope global eth2
6: eth3: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100
link/ether 00:04:75:c9:4c:22 brd ff:ff:ff:ff:ff:ff
inet 200.60.245.249/30 brd 200.60.245.251 scope global eth3
sera posible que tenga que enmascarar tambien el router para que pueda
salir??
GRACIAS a TODOS!! por su tiempo
El jue, 27-05-2004 a las 19:46, Antonio Trujillo Carmona escribió:
> Lo siento pero realmente no se que mas decirte porque no lo comprendo
> muy bien, solo que yo probaria a añadir un aliases con dirección publica
> por probar a ver si de esta forma sales a internet y que tambien puedes
> probar lo de enmascaras los paquetes con destino a 10.0.0.5 (en lugar de
> a todos como te dije antes prueba
>
> iptables -t nat -A POSTROUTING -j MASQUERADE -d 10.0.0.5 -o eth0
>
>
>
|>>>>>> .(cisco)
|>>>>>> . # 10.0.0.1
|>>>>>> . |
|>>>>>> . |
|>>>>>> . # 10.0.0.5 -|
|>>>>>> . | |BridgeWireless
|>>>>>> . # 10.0.0.6 -|
|>>>>>> . |
|>>>>>> . |
|>>>>>> . # 10.0.0.2
Siguiendo este post, el router gnu/linux con ip 10.0.0.2 puede mirar
10.0.0.1? si es así eso es correcto, ahora respecto al puente, es raro
lo que desea hacer, llegar al puente, para qué? si no lo deja es cosa de
configurar el puente, probablemente se le pueda asignar un ip de
administración pero eso ya es cosa del puente... por lo demás recuerdo
alguna vez haber ayudado con ejemplos en la puesta de una lan con router
en base a RUTAS ESTATICAS donde no interviene NAT (porque no es
necesario y es por eso que las reglas netfilter y nat no se contemplan,
además debe usar iproute2 no use ifconfig que ya es obsoleto), no
perdería nada en revisar los históricos de la lista... si no me equivoco
fue para el mismo señor...
Saludos!
nmag only
____________
SeB@ wrote:
| Yo tampoco aun comprendo exactamente como esta funcionando. :-(
| aca te paso lo del iptables:
|
| # iptables -L
| Chain INPUT (policy ACCEPT)
| target prot opt source destination
|
| Chain FORWARD (policy ACCEPT)
| target prot opt source destination
|
| Chain OUTPUT (policy ACCEPT)
| target prot opt source destination
|
| # iptables -L -t nat
| Chain PREROUTING (policy ACCEPT)
| target prot opt source destination
|
| Chain POSTROUTING (policy ACCEPT)
| target prot opt source destination
|
| Chain OUTPUT (policy ACCEPT)
| target prot opt source destination
|
| como veras esta "limpio"
|
| y el ifconfig:
|
| eth0 Link encap:Ethernet HWaddr 00:60:08:6D:76:44
| inet addr:10.0.0.2 Bcast:10.0.0.7 Mask:255.255.255.248
| UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
| RX packets:1416247 errors:0 dropped:0 overruns:0 frame:0
| TX packets:1531714 errors:0 dropped:0 overruns:0 carrier:0
| collisions:1647 txqueuelen:100
| RX bytes:526435180 (502.0 MiB) TX bytes:854407039 (814.8
MiB)
| Interrupt:11 Base address:0xd800
|
| eth1 Link encap:Ethernet HWaddr 00:A0:24:DA:D5:DE
| inet addr:200.60.245.253 Bcast:200.60.245.255
| Mask:255.255.255.252
| UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
| RX packets:1371810 errors:0 dropped:0 overruns:0 frame:0
| TX packets:1223795 errors:0 dropped:0 overruns:0 carrier:0
| collisions:3223 txqueuelen:100
| RX bytes:834816961 (796.1 MiB) TX bytes:413030561 (393.8
MiB)
| Interrupt:10 Base address:0xd400
|
| eth2 Link encap:Ethernet HWaddr 00:04:75:C9:4B:87
| inet addr:200.60.245.245 Bcast:200.60.245.247
| Mask:255.255.255.252
| UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
| RX packets:166681 errors:0 dropped:0 overruns:141 frame:0
| TX packets:183521 errors:0 dropped:0 overruns:0 carrier:0
| collisions:69 txqueuelen:100
| RX bytes:20166176 (19.2 MiB) TX bytes:114212451 (108.9 MiB)
| Interrupt:12 Base address:0xd000
|
| eth3 Link encap:Ethernet HWaddr 00:04:75:C9:4C:22
| inet addr:200.60.245.249 Bcast:200.60.245.251
| Mask:255.255.255.252
| UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
| RX packets:0 errors:0 dropped:0 overruns:0 frame:0
| TX packets:2004 errors:0 dropped:0 overruns:0 carrier:2004
| collisions:0 txqueuelen:100
| RX bytes:0 (0.0 b) TX bytes:120240 (117.4 KiB)
| Interrupt:7 Base address:0xb800
|
| lo Link encap:Local Loopback
| inet addr:127.0.0.1 Mask:255.0.0.0
| UP LOOPBACK RUNNING MTU:16436 Metric:1
| RX packets:0 errors:0 dropped:0 overruns:0 frame:0
| TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
| collisions:0 txqueuelen:0
| RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
|
|
| cada vez... entiendo menos....
|
| gracias a todos!
|
|
|
| El mié, 26-05-2004 a las 19:58, Antonio Trujillo Carmona escribió:
|
|>El mié, 26-05-2004 a las 22:36, SeB@ escribió:
|>
|>>pero... con estas rutas...
|>>
|>># route -n
|>>Kernel IP routing table
|>>Destination Gateway Genmask Flags Metric Ref
|>>Use Iface
|>>200.60.245.248 0.0.0.0 255.255.255.252 U 0 0
|>>0 eth3
|>>200.60.245.252 0.0.0.0 255.255.255.252 U 0 0
|>>0 eth1
|>>200.60.245.244 0.0.0.0 255.255.255.252 U 0 0
|>>0 eth2
|>>10.0.0.0 0.0.0.0 255.255.255.248 U 0 0
|>>0 eth0
|>>0.0.0.0 10.0.0.1 0.0.0.0 UG 0 0
|>>0 eth0
|>>
|>>no deberia poder llegar a la red 10.0.0.0 desde los host conectados
en
|>>las eth1/3 ????
|>
|>veamos desde un equipo con direccion A=200.60.245.250 queremos
conectar
|>con B=10.0.0.5 su pauete, como no esta en su red, va a la puerta por
|>defecto y lo coge el ruter linux por 200.60.245.249 el si sabe que
|>hacer con el y lo manda por la puerta 10.0.0.2 que esta en la misma
red
|>de destino. Al llegar al destino este le responde pero tiene que
|>responderle a alguien que no sabe por donde esta (al no haber hecho
nat
|>no se ha modificado el paquete y la unica referencia es A que no esta
en
|>la red 10) por lo que lo mandara por la puerta por defecto que sera la
|>que lo une con el 10.0.0.1 el cual, como buen puente, todo lo que le
|>entra por un lado le sale por el otro, por lo que el paquete de
|>respuesta se perdera en internet y no sera posible la comunicación.
|>
|>De todas formas hay algo raro en todo lo que cuentas, pues si eth0 no
|>esta en modo promiscuo y no hay reglas añadidas en iptables y no hay
|>ningun puente configurado, tu sistema no deberia de funcionar, pues al
|>conectarse con internet todo iria bien hasta que el paquete de
respuesta
|>llegara a la interfaz eth0, pero como ese paquete no es para el este
|>interfaz deberia de ignorarlo y perderse la comunicación.
|>
|>¿Puedes ver los resultados de iptables -L e iptables -L -t nat?
|>¿y el resultadi de ifconfig?
|>Como ya te he dicho no soy un experto en cortafuegos, pero veo raro
que
|>te funcione el acceso a internet si una "atuda" oculta.
|>
|>
|>>y en el router linux, no tengo configurado ningun bridge, solo estan
|>>estas rutas que especifique antes.
|>>en cambio el cisco si lo tengo como bridge.
|>>
|>>saludos... y gracias !!!
|>>
|>>
|>>
|>>El mié, 26-05-2004 a las 15:36, Antonio Trujillo Carmona escribió:
|>>
|>>>Por lo que dices estas en la posibilidad A, esto es el conjunto
router
|>>>cisco y el el router linux forman un puente y todo lo que hay en
medio
|>>>es transparente.
|>>>Creo que debes de haber instalado o configurado algo mas que
olvidas,
|>>>pues los "bridges" no funcionan por defecto.
|>>>Los sintomas que das son corectos, las subredes puden conectarse a
|>>>internet pues tienen direcciones reales y atrabiesan el puente.
|>>>Las direcciones 10.0.0.1 y 2 son alcansanbles no por ellas mismas,
si no
|>>>por sus interfaces publicas.
|>>>Las redes no saben como llegar a las direcciones privadas 10 por lo
que
|>>>no las pueden alcanzar, imagino que en el router Linux no tienes
ninguna
|>>>regla en el iptables.
|>>>El router Linux no sale a internet porque no tiene ruta hacia afuera
(a
|>>>pesar de tener 5 direcciones reales.
|>>>Soluciones (Tomalo con alfileres pues no he configurado mas que un
|>>>puente en mi vida y no garantizo como te afectara)
|>>>Mira el resultado de iptables -L -t nat para ver si tienes algun
|>>>redireccionamiento, te hara falta uno de tipo masquerade para que
los
|>>>paquetes que vayan a 10.0.0.x se enmascaren y aparescan estar en la
red
|>>>10 (concretamente parecera que estan siendo accedidos desde el
|>>>10.0.0.2).
|>>>Prueba a hacer que el router linux pueda salir a interner, primero
has
|>>>unos tracer desde las redes a internet y podras ver por donde pasan.
|>>>si en el trasado no aparecen las direcciones 10 es que tienes un
puente
|>>>(o una vpn o las dos cosas) configurado que esta haciendo
transparente
|>>>la salida. podrias probar a poner una interfaz real nueva sobre
eth0:0
|>>>(un aliases) y definirla como default gw. (claro que al quitar la
puerta
|>>>por defecto de la dirección 10 puede que deje de funcionar (recuerda
que
|>>>solo puede haber una puerta por defecto.
|>>>
|>>>
|>>>
|>>>El mié, 26-05-2004 a las 19:35, SeB@ escribió:
|>>>
|>>>>Gracias por tu tiempo Antonio....
|>>>>
|>>>>paso a Describir un poco mejor la situacion...
|>>>>
|>>>>_ El Bridge es como tu dices, es invisible, todo el trafico que hay
de
|>>>>uno de los lados, lo trasporta hacia el otro. Mi intencion es poder
|>>>>administrarlo por web desde una terminal en una subred del router
linux.
|>>>>
|>>>>_ El Router linux tiene 5 tarjetas de red porque a El se conectan 4
|>>>>subredes. Y desde cualquier PC conectada a cualquiera de las 4
subredes
|>>>>puedo navegar y salir a internet. Pero no puedo llegar a las ip
10.0.0.5
|>>>>o 10.0.0.6, pero si llego a la 10.0.0.1 y 10.0.0.2. (Esto es lo
que no
|>>>>puedo entender) :-(
|>>>>
|>>>>
|>>>>_Y otro temas es que no puedo salir a internet desde el router
linux.
|>>>>
|>>>>
|>>>>Saludos a TODOS !!!
|>>>>
|>>>>
|>>>>
|>>>>El mié, 26-05-2004 a las 13:25, Antonio Trujillo Carmona escribió:
|>>>>
|>>>>>Ahi cosas que no entiendo bien ¿Podias aclararlas?
|>>>>>El mié, 26-05-2004 a las 16:41, SeB@ escribió:
|>>>>>
|>>>>>
|>>>>>> |internet|
|>>>>>> . |
|>>>>>> . # 216.10.234.21
|>>>>>> .(cisco)
|>>>>>> . # 10.0.0.1
|>>>>>> . |
|>>>>>> . |
|>>>>>> . # 10.0.0.5 -|
|>>>>>> . | |BridgeWireless
|>>>>>> . # 10.0.0.6 -|
|>>>>>> . |
|>>>>>> . |
|>>>>>> . # 10.0.0.2
|>>>>>> (======================Router gnu/linux=====================)
|>>>>>> .# 200.60.245.249 # 200.60.245.253 # 200.60.245.241
#200.60.245.245
|>>>>>> .| | | |
|>>>>>> .| | | |
|>>>>>> .# 200.60.245.250 # 200.60.245.254 # 200.60.245.242
#200.60.245.246
|>>>>>> (servidor) (servidor) (servidor)
(servidor)
|>>>>>> . ^http ^correo ^NAT1 ^NAT2
|>>>>>
|>>>>>¿El darle direcciones 216 pretende que sean direcciones reales de
|>>>>>internet? esto seguro que no funciona.
|>>>>>
|>>>>>Para que funcione tienes varias posibilidades
|>>>>>A) Si dispones de varias ip publicas debes de poner el
router
cisco como
|>>>>>bridge y el router linux tambien. No creo que sea el caso
|>>>>>
|>>>>>
|>>>>>>
|>>>>>>Alguien sabe que ruta estatica o como debo hacer para que desde
los host
|>>>>>>colgados al router linux llegen hasta la ip del bridge???
|>>>>>>es decir, por ejemplo que el servidor http (200.60.30.130) pueda
tener
|>>>>>>ping con el 10.0.0.5??
|>>>>>>y para que desde el router linux pueda salir a internet??? porque
no
|>>>>>>puedo conectarme a internet.
|>>>>>>
|>>>>>>la conf del router linux es la siguiente:
|>>>>>>
|>>>>>># ip route show
|>>>>>>200.60.245.248/30 dev eth3 proto kernel scope link src
200.60.245.249
|>>>>>>200.60.245.252/30 dev eth1 proto kernel scope link src
200.60.245.253
|>>>>>>200.60.245.240/30 dev eth0 proto kernel scope link src
200.60.245.241
|>>>>>>200.60.245.244/30 dev eth2 proto kernel scope link src
200.60.245.245
|>>>>>>10.0.0.0/29 dev eth0 proto kernel scope link src 10.0.0.2
|>>>>>>default via 10.0.0.1 dev eth0
|>>>>>>
|>>>>>>
|>>>>>># ip addr show
|>>>>>>1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue
|>>>>>> link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
|>>>>>> inet 127.0.0.1/8 scope host lo
|>>>>>>2: teql0: <NOARP> mtu 1500 qdisc noop qlen 100
|>>>>>> link/void
|>>>>>>3: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen
100
|>>>>>> link/ether 00:60:08:6d:76:44 brd ff:ff:ff:ff:ff:ff
|>>>>>> inet 10.0.0.2/29 brd 10.0.0.7 scope global eth0
|>>>>>>4: eth1: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen
100
|>>>>>> link/ether 00:a0:24:da:d5:de brd ff:ff:ff:ff:ff:ff
|>>>>>> inet 200.60.245.253/30 brd 200.60.245.255 scope global eth1
|>>>>>>5: eth2: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen
100
|>>>>>> link/ether 00:04:75:c9:4b:87 brd ff:ff:ff:ff:ff:ff
|>>>>>> inet 200.60.245.245/30 brd 200.60.245.247 scope global eth2
|>>>>>>6: eth3: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen
100
|>>>>>> link/ether 00:04:75:c9:4c:22 brd ff:ff:ff:ff:ff:ff
|>>>>>> inet 200.60.245.249/30 brd 200.60.245.251 scope global eth3
|>>>>>>
|>>>>>>
|>>>>>>saludos....
|>>>>>>
|>>>>>>y gracias por su tiempo, ya solo por leer el mail.....
|>>>>>
|>>>>>--
|>>>>>
|>>>>>
|>
|>--
|>
|>
|
|
|
- --
nmag only
gnupg 0xA024A03F [pgp.mit.edu] && GNU/Linux Registered User #312624
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
iD8DBQFAtjvGy3Ce2qAkoD8RAnJcAJ9buINoPW1iZ1ErJzbmhib8XQRdoACeNQzH
bj119fPJB4ohNM70ENXbt7M=
=iLHu
-----END PGP SIGNATURE-----
Reply to: