Re: Una sobre routing
El lun, 10-10-2005 a las 17:03 -0300, Leo escribió:
> Diego F. Asanza wrote:
>
> >El lun, 03-10-2005 a las 09:35 -0300, Leo escribió:
> >
> >
> >>Hola.
> >>
> >>Les detallo mi situación (todos los equipos involucrados tienen Debian
> >>Etch):
> >>
> >>Gateway (gw) con 3 tarjetas de red:
> >>eth0 -> Red Privada 192.168.0
> >>eth1 -> Internet
> >>eth2 -> Red Privada 192.168.1 (esta es la de mi oficina, que ahora solo
> >>sería entre el gw y el fw).
> >>
> >>Por distintos motivos quiero poner un Firewall (fw) entre la eth2 del Gw
> >>y mi red por lo que he montado un equipo con 2 tarjetas de red de la
> >>siguiente manera:
> >>
> >>eth0 -> 192.168.1.x -> conectada por cable cruzado a la eth2 del Gw
> >>eth1 -> 192.168.2.x -> conectado a un hub con todos los demás de equipos.
> >>
> >>Lo que pasa es lo siguiente:
> >>
> >>Desde el FW puedo hacer ping a todos los equipos de la red, ya se al
> >>firewall (192.168.1.x), a los de mi red (192.168.2.x) o hacia internet,
> >>pero el problema es que desde los equipos de mi red, a los cuales les
> >>configuré como Default Gateway la ip 192.168.2.x de mi FW no puedo
> >>pingear a Internet.
> >>
> >>Osea, desde cualquiera de los equipos de la red (192.168.2.x) puedo
> >>hacer ping hasta la eth1 de mi FW sin problemas, pero de ahi no pasa
> >>(como si el FW no estuviese ruteando).
> >>
> >>Mas abajo agrego las tablas de ruteo haber que opinan.
> >>
> >>Desde ya muchas gracias.
> >>
> >>PD. Aclaro que he puesto a 1 el flag dentro de /proc/net/....
> >>
> >>gateway# route
> >>Kernel IP routing table
> >>Destination Gateway Genmask Flags Metric Ref Use
> >>Iface
> >>x.x.x.x * 255.255.255.255 UH 0
> >>0 0 eth1
> >>192.168.1.0 * 255.255.255.0 U 0 0 0
> >>eth2
> >>192.168.0.0 * 255.255.255.0 U 0 0 0
> >>eth0
> >>x.x.x.x * 255.255.255.0 U 0
> >>0 0 eth1
> >>default x.x.x.x 0.0.0.0 UG 0 0 0 eth1
> >>
> >>
> >>(aqui es donde creo que esta el error)
> >>firewall# route
> >>Kernel IP routing table
> >>Destination Gateway Genmask Flags Metric Ref Use
> >>Iface
> >>192.168.3.10 * 255.255.255.255 UH 0 0 0
> >>tun0
> >>192.168.2.0 * 255.255.255.0 U 0 0 0
> >>eth1
> >>192.168.1.0 * 255.255.255.0 U 0 0 0
> >>eth0
> >>default 192.168.1.250 0.0.0.0 UG 0 0 0
> >>eth0
> >>
> >>
> >>--- Dat1.net ---
> >>[Este mail fue controlado con Declude Virus/F-Prot]
> >>
> >>
> >>
> >>
> >
> >Cual es la salida de los siguientes comandos:????
> >
> ># cat /proc/sys/net/ipv4/ip_forward
> ># iptables -t FILTER -L
> ># iptables -t NAT -L
> >
> >creo q no hay nada raro con las tablas de ruts q pones...
> >
> >tal parece q tienes en cero el bit de ruteo, o una mala politica de
> >firewall. :'(
> >
> >
> >Saludos
> >Diego Asanza
> >EPN-Ecuador
> >
> >
> >
> >
> >
> Diego, gracias por tu respuesta.
>
> Te comento que lo he solucionado, pero quisiera aprovechar la
> oportunidad para consultarte lo siguiente:
>
> Según el esquema, que crees mas conveniente, usar solo rutas (tanto en
> el gw como en el fw) o hacer masquerading en el firewall, con lo que me
> quedaría NAT de NAT?
>
> Muchas Gracias.
>
> Salu2.
>
>
> --- Dat1.net ---
> [Este mail fue controlado con Declude Virus/F-Prot]
>
No te recomiendo hacer nat 2 veces, por q pierdes eficiencia en la red
por uso en los encabezados adicionales necesarios en el proceso de nat.
Pero el esquema funcionaria, para sacarte de un apuro. A mi me ha sacado
de mas de uno.
Trata de mantenerlo simple. Para el esquema que estas usando bastarian
mantener las rutas correspondientes en el firewall. Has probado retirar
el firewall y colocar reglas de iptables q impidan verse a las 2
redes???. Lee el iptables-howto.
Podrias incluso, si tu red se expande mas adelante usar un demonio de
enrutamiento, como zebra, lo q te liberaria de mucho trabajo manteniendo
tablas de rutas. Evita el nat siempre q te sea posible.
Saludos
Diego Asanza
EPN-Ecuador
PD. Por favor responde a la lista.
Reply to: