Re: Subredes, proxy y otras yerbas

To: Ramses <ramses.sevilla@gmail.com>
Cc: "debian-user-spanish@lists.debian.org" <debian-user-spanish@lists.debian.org>
Subject: Re: Subredes, proxy y otras yerbas
From: Fernando Miculan <fernandocmiculan@gmail.com>
Date: Fri, 2 Jan 2015 14:24:37 -0300
Message-id: <[🔎] CA+qfd8fW+Qaxe7CbWb1KLqyWK7fTE86rCWAAXC31y+=nEbrruA@mail.gmail.com>
In-reply-to: <[🔎] F3DA73F6-5D85-48B6-9C1B-8032D05B917B@gmail.com>
References: <CA+qfd8eVvfbHK4C11aOnSKW+=kY=9uzrEKDp6yR1Dk4g1J11YQ@mail.gmail.com> <CAJ5eSfaQfB-3QwPZuu1=nPOyb4X6V7mhD4+AF7+6_PLPnuixQg@mail.gmail.com> <CAJ5eSfaC9sQcAXwhyA_=DbiRs_4GN5yq7R3TtxQcj_Ur+RU=Dw@mail.gmail.com> <[🔎] CA+qfd8evPD3u92+XDGuwXMFxxMBsVG9OqF64ELE11rMor2BhVw@mail.gmail.com> <[🔎] F3DA73F6-5D85-48B6-9C1B-8032D05B917B@gmail.com>

Es una maquina virtual bajo vmware y si, están conectadas al mismo
switch, no se si llamarla vlan, porque fue siempre la subred 0 lisa y
llanamente. Siempre funciono de maravillas hasta que implementamos
esta subred 30 que si es una vlan.


El día 2 de enero de 2015, 14:13, Ramses <ramses.sevilla@gmail.com> escribió:
> El 02/01/2015, a las 17:57, Fernando Miculan <fernandocmiculan@gmail.com> escribió:
>
>> Buenas buenas, paso a comentar la estructura de red y un resumen:
>> El equipo en donde corre el firewall-squid tiene dos eth (eth0:
>> 192.168.0.194 y eth1: 192.168.0.193), el gw brindado a todos los
>> usuarios mediante dhcp es el 192.168.0.194 (eth0)
>> A partir de la implementacion de la subred 30, se instalaron 2 routers
>> mikrotik, uno es el gw 192.168.0.1 y el otro es 192.168.30.1
>> Los gw físicos de internet son el 192.168.0.216 y 192.168.0.205.
>> El squid tiene grupos, de los cuales uno es acceso total y el otro
>> limitado, a su vez el firewall filtra accesos y forwardea todo el 80
>> al 3128 del squid, como habran visto.
>> También el firewall deja acceder a mac address listeadas estén o no
>> dentro del dominio de mi empresa (caso visitas, terceros, etc).
>>
>> Lo de las 2 interfases eth, lo armaron asi, y creo que la excusa fue
>> monitorear trafico y discriminarlo por interfase.
>>
>> El día 31 de diciembre de 2014, 18:06, Santiago Liz
>> <lizsanti@gmail.com> escribió:
>>> No hagas top posting porque se vuelve difícil seguir el tema...
>>> No abras otro hilo para el mismo tema... pego acá
>>>
>>>> El día 30 de diciembre de 2014, 21:24, Santiago Liz <lizsanti@gmail.com> escribió:
>>>>> El día 30 de diciembre de 2014, 17:23, Fernando Miculan
>>>>> <fernandocmiculan@gmail.com> escribió:
>>>>>> Hola, como están?.
>>>>>> Me presento, me llamo Fernando, vivo en La Plata, Argentina y hace unos
>>>>>> cuantos años que utilizo Linux, en especial Debian y Ubuntu.
>>>>>>
>>>>>> Se me presento un caso en mi trabajo. Tenemos un squid linkeado a un active
>>>>>> directory de Win(fucker) 2008 en la red 192.168.0.0, ademas de haber
>>>>>> implementado un firewall con iptables. Todo realizado en un Debian 7.
>>>>>> Hasta ahí no hay inconvenientes, los usuarios navegan perfectamente según
>>>>>> los grupos asignados en el active directory.
>>>>>> El problema se presento justamente hoy, al querer ampliar la red a otra
>>>>>> subred (192.168.30.0, que dicho sea de paso se implemento en forma de vlan
>>>>>> en un router mikrotik.)
>>>>>> La cuestión es, que después de haber agregado la ruta en una de las
>>>>>> interfaces del debian para que vea la subred 30, estos navegan perfectamente
>>>>>> en internet, pero no la subred 0, todo lo que sea web no funciona, salvo el
>>>>>> correo electrónico y el skype.
>>>>>> Que es lo que puede estar pasando?
>>>>>> Con netstat -nr se ven las rutas asignadas perfectamente, por ese lado no
>>>>>> veo el problema... me estará faltando algún tipo de regla adicional en el
>>>>>> firewall ??
>>>>>> Si les sirve les puedo postear el script del firewall. La política por
>>>>>> defecto es DROP y luego permito algunos puertos y mac address para que
>>>>>> bypaseen el proxy.
>>>>>
>>>>> Falta algo de info, pero adivinando diría que algún cambio afectó la
>>>>> configuración de squid donde se daba permiso a la red
>>>>> 192.168.0.0/(24?) para utilizar el mismo al habilitar la
>>>>> 192.168.30.0(/24?) o lo mismo en iptables donde se permite acceder a
>>>>> la IP:Puerto donde escucha squid.
>>>>> Al decir que anda el correo y skype descarto problemas de ruteo/nat.
>>>>> Cuando desis que no navegan, cual es el error? un error de squid
>>>>> diciendo que no tienen permiso o que no los clientes nos se pueden
>>>>> conectar al proxy?
>>>>
>>>> Los que no navegan son los equipos de la subred 0 que esquivan el proxy
>>>> squid a través de una regla iptables por mac address. Si esos equipos los
>>>> apunto al squid desde el navegador, funcionan bien.
>>>> Lo extraño es que esa regla funciono de maravillas antes de hacer la subred
>>>> 30.
>>>
>>>> Aqui posteo lo que me tira un netstat -nr
>>>>
>>>> Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
>>>> 0.0.0.0         192.168.0.216   0.0.0.0         UG        0 0          0 eth1
>>>> 192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0
>>>> 192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
>>>> 192.168.30.0    192.168.0.1     255.255.255.0   UG        0 0          0 eth0
>>>>
>>>> Donde 192.168.0.216 es el gateway de la subred 0 y 192.168.0.1 es lo mismo para la subred 30
>>>
>>> El equipo tiene dos interfaces (eth0 y eth1) con IPs dentro de la
>>> misma red 192.168.0.0/24 ?
>>>
>>> 192.168.0.0    0.0.0.0           255.255.255.0   U         0 0          0 eth1
>>> 192.168.0.0    0.0.0.0           255.255.255.0   U         0 0          0 eth0
>>>
>>> La IP 192.168.0.216 es el default que te conecta a Internet y hace el NAT?
>>> Eth0 y eth1 están conectadas al mismo segmento de red?
>>>
>>> Donde están conectados los equipos que no tienen acceso físicamente, a
>>> la eth0 o eth1?
>>>
>>> Con esos datos parecería ser que hay un problema independiente de la
>>> red 192.168.30.0/24 y es que (salvo que estés omitiendo datos) estás
>>> intentando que el equipo forwardee paquetes entre dos interfaces de la
>>> misma red, lo cual no tiene mucho sentido.
>>> Si un equipo cualquiera de las red 192.168.0.0/24 tiene como default
>>> la IP 192.168.0.216 debería andar sin intervención del proxy/firewall.
>>>
>>> Deberías aclarar como está implementada la red.
>>>
>>>>
>>>>
>>>> --
>>>> Fernando Miculan.-
>>>> FCM Sistemas
>>>> Tel. 15-5435862 / ID: 160*6915
>>>> ICQ: 6410724 / Skype: fcmsistemas
>>>> http://ferchobbs.ddns.net
>>>> BBS Telnet: ferchobbs.ddns.net:23
>>>
>>> Saludos,
>>> Santiago.-
>>>
>>>
>>> --
>>> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
>>> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>>> Archive: https://lists.debian.org/CAJ5eSfaC9sQcAXwhyA_ÛiRs_4GN5yq7R3TtxQcj_Ur+RUDw@mail.gmail.com
>
> ¿Las 2 interfaces están conectadas al mismo switch y misma VLAN?
>
>
> Saludos,
>
> Ramses
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Archive: [🔎] F3DA73F6-5D85-48B6-9C1B-8032D05B917B@gmail.com">https://lists.debian.org/[🔎] F3DA73F6-5D85-48B6-9C1B-8032D05B917B@gmail.com
>



-- 
Fernando Miculan.-
FCM Sistemas
Tel. 15-5435862 / ID: 160*6915
ICQ: 6410724 / Skype: fcmsistemas
http://ferchobbs.ddns.net
BBS Telnet: ferchobbs.ddns.net:23

Reply to:

References:
- Re: Subredes, proxy y otras yerbas
  - From: Fernando Miculan <fernandocmiculan@gmail.com>
- Re: Subredes, proxy y otras yerbas
  - From: Ramses <ramses.sevilla@gmail.com>

Prev by Date: Re: Subredes, proxy y otras yerbas
Next by Date: Linux, Windows y reinicios
Previous by thread: Re: Subredes, proxy y otras yerbas
Next by thread: Linux, Windows y reinicios
Index(es):
- Date
- Thread