Re: Subredes, proxy y otras yerbas
El 02/01/2015, a las 17:57, Fernando Miculan <fernandocmiculan@gmail.com> escribió:
> Buenas buenas, paso a comentar la estructura de red y un resumen:
> El equipo en donde corre el firewall-squid tiene dos eth (eth0:
> 192.168.0.194 y eth1: 192.168.0.193), el gw brindado a todos los
> usuarios mediante dhcp es el 192.168.0.194 (eth0)
> A partir de la implementacion de la subred 30, se instalaron 2 routers
> mikrotik, uno es el gw 192.168.0.1 y el otro es 192.168.30.1
> Los gw físicos de internet son el 192.168.0.216 y 192.168.0.205.
> El squid tiene grupos, de los cuales uno es acceso total y el otro
> limitado, a su vez el firewall filtra accesos y forwardea todo el 80
> al 3128 del squid, como habran visto.
> También el firewall deja acceder a mac address listeadas estén o no
> dentro del dominio de mi empresa (caso visitas, terceros, etc).
>
> Lo de las 2 interfases eth, lo armaron asi, y creo que la excusa fue
> monitorear trafico y discriminarlo por interfase.
>
> El día 31 de diciembre de 2014, 18:06, Santiago Liz
> <lizsanti@gmail.com> escribió:
>> No hagas top posting porque se vuelve difícil seguir el tema...
>> No abras otro hilo para el mismo tema... pego acá
>>
>>> El día 30 de diciembre de 2014, 21:24, Santiago Liz <lizsanti@gmail.com> escribió:
>>>> El día 30 de diciembre de 2014, 17:23, Fernando Miculan
>>>> <fernandocmiculan@gmail.com> escribió:
>>>>> Hola, como están?.
>>>>> Me presento, me llamo Fernando, vivo en La Plata, Argentina y hace unos
>>>>> cuantos años que utilizo Linux, en especial Debian y Ubuntu.
>>>>>
>>>>> Se me presento un caso en mi trabajo. Tenemos un squid linkeado a un active
>>>>> directory de Win(fucker) 2008 en la red 192.168.0.0, ademas de haber
>>>>> implementado un firewall con iptables. Todo realizado en un Debian 7.
>>>>> Hasta ahí no hay inconvenientes, los usuarios navegan perfectamente según
>>>>> los grupos asignados en el active directory.
>>>>> El problema se presento justamente hoy, al querer ampliar la red a otra
>>>>> subred (192.168.30.0, que dicho sea de paso se implemento en forma de vlan
>>>>> en un router mikrotik.)
>>>>> La cuestión es, que después de haber agregado la ruta en una de las
>>>>> interfaces del debian para que vea la subred 30, estos navegan perfectamente
>>>>> en internet, pero no la subred 0, todo lo que sea web no funciona, salvo el
>>>>> correo electrónico y el skype.
>>>>> Que es lo que puede estar pasando?
>>>>> Con netstat -nr se ven las rutas asignadas perfectamente, por ese lado no
>>>>> veo el problema... me estará faltando algún tipo de regla adicional en el
>>>>> firewall ??
>>>>> Si les sirve les puedo postear el script del firewall. La política por
>>>>> defecto es DROP y luego permito algunos puertos y mac address para que
>>>>> bypaseen el proxy.
>>>>
>>>> Falta algo de info, pero adivinando diría que algún cambio afectó la
>>>> configuración de squid donde se daba permiso a la red
>>>> 192.168.0.0/(24?) para utilizar el mismo al habilitar la
>>>> 192.168.30.0(/24?) o lo mismo en iptables donde se permite acceder a
>>>> la IP:Puerto donde escucha squid.
>>>> Al decir que anda el correo y skype descarto problemas de ruteo/nat.
>>>> Cuando desis que no navegan, cual es el error? un error de squid
>>>> diciendo que no tienen permiso o que no los clientes nos se pueden
>>>> conectar al proxy?
>>>
>>> Los que no navegan son los equipos de la subred 0 que esquivan el proxy
>>> squid a través de una regla iptables por mac address. Si esos equipos los
>>> apunto al squid desde el navegador, funcionan bien.
>>> Lo extraño es que esa regla funciono de maravillas antes de hacer la subred
>>> 30.
>>
>>> Aqui posteo lo que me tira un netstat -nr
>>>
>>> Destination Gateway Genmask Flags MSS Window irtt Iface
>>> 0.0.0.0 192.168.0.216 0.0.0.0 UG 0 0 0 eth1
>>> 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
>>> 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
>>> 192.168.30.0 192.168.0.1 255.255.255.0 UG 0 0 0 eth0
>>>
>>> Donde 192.168.0.216 es el gateway de la subred 0 y 192.168.0.1 es lo mismo para la subred 30
>>
>> El equipo tiene dos interfaces (eth0 y eth1) con IPs dentro de la
>> misma red 192.168.0.0/24 ?
>>
>> 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
>> 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
>>
>> La IP 192.168.0.216 es el default que te conecta a Internet y hace el NAT?
>> Eth0 y eth1 están conectadas al mismo segmento de red?
>>
>> Donde están conectados los equipos que no tienen acceso físicamente, a
>> la eth0 o eth1?
>>
>> Con esos datos parecería ser que hay un problema independiente de la
>> red 192.168.30.0/24 y es que (salvo que estés omitiendo datos) estás
>> intentando que el equipo forwardee paquetes entre dos interfaces de la
>> misma red, lo cual no tiene mucho sentido.
>> Si un equipo cualquiera de las red 192.168.0.0/24 tiene como default
>> la IP 192.168.0.216 debería andar sin intervención del proxy/firewall.
>>
>> Deberías aclarar como está implementada la red.
>>
>>>
>>>
>>> --
>>> Fernando Miculan.-
>>> FCM Sistemas
>>> Tel. 15-5435862 / ID: 160*6915
>>> ICQ: 6410724 / Skype: fcmsistemas
>>> http://ferchobbs.ddns.net
>>> BBS Telnet: ferchobbs.ddns.net:23
>>
>> Saludos,
>> Santiago.-
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>> Archive: https://lists.debian.org/CAJ5eSfaC9sQcAXwhyA_ÛiRs_4GN5yq7R3TtxQcj_Ur+RUDw@mail.gmail.com
¿Las 2 interfaces están conectadas al mismo switch y misma VLAN?
Saludos,
Ramses
Reply to: