[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Subredes, proxy y otras yerbas

Buenas buenas, paso a comentar la estructura de red y un resumen:
El equipo en donde corre el firewall-squid tiene dos eth (eth0:
192.168.0.194 y eth1: 192.168.0.193), el gw brindado a todos los
usuarios mediante dhcp es el 192.168.0.194 (eth0)
A partir de la implementacion de la subred 30, se instalaron 2 routers
mikrotik, uno es el gw 192.168.0.1 y el otro es 192.168.30.1
Los gw físicos de internet son el 192.168.0.216 y 192.168.0.205.
El squid tiene grupos, de los cuales uno es acceso total y el otro
limitado, a su vez el firewall filtra accesos y forwardea todo el 80
al 3128 del squid, como habran visto.
También el firewall deja acceder a mac address listeadas estén o no
dentro del dominio de mi empresa (caso visitas, terceros, etc).

Lo de las 2 interfases eth, lo armaron asi, y creo que la excusa fue
monitorear trafico y discriminarlo por interfase.

El día 31 de diciembre de 2014, 18:06, Santiago Liz
<lizsanti@gmail.com> escribió:
> No hagas top posting porque se vuelve difícil seguir el tema...
> No abras otro hilo para el mismo tema... pego acá
>
>>El día 30 de diciembre de 2014, 21:24, Santiago Liz <lizsanti@gmail.com> escribió:
>>> El día 30 de diciembre de 2014, 17:23, Fernando Miculan
>>> <fernandocmiculan@gmail.com> escribió:
>>>> Hola, como están?.
>>>> Me presento, me llamo Fernando, vivo en La Plata, Argentina y hace unos
>>>> cuantos años que utilizo Linux, en especial Debian y Ubuntu.
>>>>
>>>> Se me presento un caso en mi trabajo. Tenemos un squid linkeado a un active
>>>> directory de Win(fucker) 2008 en la red 192.168.0.0, ademas de haber
>>>> implementado un firewall con iptables. Todo realizado en un Debian 7.
>>>> Hasta ahí no hay inconvenientes, los usuarios navegan perfectamente según
>>>> los grupos asignados en el active directory.
>>>> El problema se presento justamente hoy, al querer ampliar la red a otra
>>>> subred (192.168.30.0, que dicho sea de paso se implemento en forma de vlan
>>>> en un router mikrotik.)
>>>> La cuestión es, que después de haber agregado la ruta en una de las
>>>> interfaces del debian para que vea la subred 30, estos navegan perfectamente
>>>> en internet, pero no la subred 0, todo lo que sea web no funciona, salvo el
>>>> correo electrónico y el skype.
>>>> Que es lo que puede estar pasando?
>>>> Con netstat -nr se ven las rutas asignadas perfectamente, por ese lado no
>>>> veo el problema... me estará faltando algún tipo de regla adicional en el
>>>> firewall ??
>>>> Si les sirve les puedo postear el script del firewall. La política por
>>>> defecto es DROP y luego permito algunos puertos y mac address para que
>>>> bypaseen el proxy.
>>>>
>>>
>>> Falta algo de info, pero adivinando diría que algún cambio afectó la
>>> configuración de squid donde se daba permiso a la red
>>> 192.168.0.0/(24?) para utilizar el mismo al habilitar la
>>> 192.168.30.0(/24?) o lo mismo en iptables donde se permite acceder a
>>> la IP:Puerto donde escucha squid.
>>> Al decir que anda el correo y skype descarto problemas de ruteo/nat.
>>> Cuando desis que no navegan, cual es el error? un error de squid
>>> diciendo que no tienen permiso o que no los clientes nos se pueden
>>> conectar al proxy?
>>>
>>>
>>
>> Los que no navegan son los equipos de la subred 0 que esquivan el proxy
>> squid a través de una regla iptables por mac address. Si esos equipos los
>> apunto al squid desde el navegador, funcionan bien.
>> Lo extraño es que esa regla funciono de maravillas antes de hacer la subred
>> 30.
>>
>
>> Aqui posteo lo que me tira un netstat -nr
>>
>> Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
>> 0.0.0.0         192.168.0.216   0.0.0.0         UG        0 0          0 eth1
>> 192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0
>> 192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
>> 192.168.30.0    192.168.0.1     255.255.255.0   UG        0 0          0 eth0
>>
>> Donde 192.168.0.216 es el gateway de la subred 0 y 192.168.0.1 es lo mismo para la subred 30
>
> El equipo tiene dos interfaces (eth0 y eth1) con IPs dentro de la
> misma red 192.168.0.0/24 ?
>
> 192.168.0.0    0.0.0.0           255.255.255.0   U         0 0          0 eth1
> 192.168.0.0    0.0.0.0           255.255.255.0   U         0 0          0 eth0
>
> La IP 192.168.0.216 es el default que te conecta a Internet y hace el NAT?
> Eth0 y eth1 están conectadas al mismo segmento de red?
>
> Donde están conectados los equipos que no tienen acceso físicamente, a
> la eth0 o eth1?
>
> Con esos datos parecería ser que hay un problema independiente de la
> red 192.168.30.0/24 y es que (salvo que estés omitiendo datos) estás
> intentando que el equipo forwardee paquetes entre dos interfaces de la
> misma red, lo cual no tiene mucho sentido.
> Si un equipo cualquiera de las red 192.168.0.0/24 tiene como default
> la IP 192.168.0.216 debería andar sin intervención del proxy/firewall.
>
> Deberías aclarar como está implementada la red.
>
>>
>>
>> --
>> Fernando Miculan.-
>> FCM Sistemas
>> Tel. 15-5435862 / ID: 160*6915
>> ICQ: 6410724 / Skype: fcmsistemas
>> http://ferchobbs.ddns.net
>> BBS Telnet: ferchobbs.ddns.net:23
>
> Saludos,
> Santiago.-
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Archive: https://lists.debian.org/CAJ5eSfaC9sQcAXwhyA_ÛiRs_4GN5yq7R3TtxQcj_Ur+RUDw@mail.gmail.com
>



-- 
Fernando Miculan.-
FCM Sistemas
Tel. 15-5435862 / ID: 160*6915
ICQ: 6410724 / Skype: fcmsistemas
http://ferchobbs.ddns.net
BBS Telnet: ferchobbs.ddns.net:23
Reply to: