Re: Subredes, proxy y otras yerbas
No hagas top posting porque se vuelve difícil seguir el tema...
No abras otro hilo para el mismo tema... pego acá
>El día 30 de diciembre de 2014, 21:24, Santiago Liz <lizsanti@gmail.com> escribió:
>> El día 30 de diciembre de 2014, 17:23, Fernando Miculan
>> <fernandocmiculan@gmail.com> escribió:
>>> Hola, como están?.
>>> Me presento, me llamo Fernando, vivo en La Plata, Argentina y hace unos
>>> cuantos años que utilizo Linux, en especial Debian y Ubuntu.
>>>
>>> Se me presento un caso en mi trabajo. Tenemos un squid linkeado a un active
>>> directory de Win(fucker) 2008 en la red 192.168.0.0, ademas de haber
>>> implementado un firewall con iptables. Todo realizado en un Debian 7.
>>> Hasta ahí no hay inconvenientes, los usuarios navegan perfectamente según
>>> los grupos asignados en el active directory.
>>> El problema se presento justamente hoy, al querer ampliar la red a otra
>>> subred (192.168.30.0, que dicho sea de paso se implemento en forma de vlan
>>> en un router mikrotik.)
>>> La cuestión es, que después de haber agregado la ruta en una de las
>>> interfaces del debian para que vea la subred 30, estos navegan perfectamente
>>> en internet, pero no la subred 0, todo lo que sea web no funciona, salvo el
>>> correo electrónico y el skype.
>>> Que es lo que puede estar pasando?
>>> Con netstat -nr se ven las rutas asignadas perfectamente, por ese lado no
>>> veo el problema... me estará faltando algún tipo de regla adicional en el
>>> firewall ??
>>> Si les sirve les puedo postear el script del firewall. La política por
>>> defecto es DROP y luego permito algunos puertos y mac address para que
>>> bypaseen el proxy.
>>>
>>
>> Falta algo de info, pero adivinando diría que algún cambio afectó la
>> configuración de squid donde se daba permiso a la red
>> 192.168.0.0/(24?) para utilizar el mismo al habilitar la
>> 192.168.30.0(/24?) o lo mismo en iptables donde se permite acceder a
>> la IP:Puerto donde escucha squid.
>> Al decir que anda el correo y skype descarto problemas de ruteo/nat.
>> Cuando desis que no navegan, cual es el error? un error de squid
>> diciendo que no tienen permiso o que no los clientes nos se pueden
>> conectar al proxy?
>>
>>
>
> Los que no navegan son los equipos de la subred 0 que esquivan el proxy
> squid a través de una regla iptables por mac address. Si esos equipos los
> apunto al squid desde el navegador, funcionan bien.
> Lo extraño es que esa regla funciono de maravillas antes de hacer la subred
> 30.
>
> Aqui posteo lo que me tira un netstat -nr
>
> Destination Gateway Genmask Flags MSS Window irtt Iface
> 0.0.0.0 192.168.0.216 0.0.0.0 UG 0 0 0 eth1
> 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
> 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
> 192.168.30.0 192.168.0.1 255.255.255.0 UG 0 0 0 eth0
>
> Donde 192.168.0.216 es el gateway de la subred 0 y 192.168.0.1 es lo mismo para la subred 30
El equipo tiene dos interfaces (eth0 y eth1) con IPs dentro de la
misma red 192.168.0.0/24 ?
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
La IP 192.168.0.216 es el default que te conecta a Internet y hace el NAT?
Eth0 y eth1 están conectadas al mismo segmento de red?
Donde están conectados los equipos que no tienen acceso físicamente, a
la eth0 o eth1?
Con esos datos parecería ser que hay un problema independiente de la
red 192.168.30.0/24 y es que (salvo que estés omitiendo datos) estás
intentando que el equipo forwardee paquetes entre dos interfaces de la
misma red, lo cual no tiene mucho sentido.
Si un equipo cualquiera de las red 192.168.0.0/24 tiene como default
la IP 192.168.0.216 debería andar sin intervención del proxy/firewall.
Deberías aclarar como está implementada la red.
>
>
> --
> Fernando Miculan.-
> FCM Sistemas
> Tel. 15-5435862 / ID: 160*6915
> ICQ: 6410724 / Skype: fcmsistemas
> http://ferchobbs.ddns.net
> BBS Telnet: ferchobbs.ddns.net:23
Saludos,
Santiago.-
Reply to: