Una de las situaciones para las que se usa Linux es para compartir la conexión de internet.
Es decir, supongamos que nuestro ISP nos ha dado una IP pública, en mi ejemplo será 1.2.3.4 y queremos navegar no sólo con una máquina, sino que queremos que todas las máquinas de mi red LAN, que son 5,naveguen a internet a través de mi CentOS.
Para esto podemos implementar NAT en el servidor Linux CentOS.
Requisitos y condiciones previas:
1- El servidor que tendrá CentOS-5 debe tener 2 tarjetas de red, eth0 y eth1.
2- La tarjeta eth0 tendrá la IP pública que me dió mi ISP, en mi ejemplo será: 1.2.3.4
3- La tarjeta eth1 tendrá la primera IP privada de mi red: 192.168.0.1/255.255.255.0
4- Tendré una máquina de windows conectada a la red LAN a esta máquina le pondré la IP 192.168.0.2/255.255.255.0 y desde esta máquina haré todas las pruebas de conectividad.
Asumo que ya a la máquina de Windows le has configurado la IP y estés claro de que está bien configurada la IP.
El proceso que haremos será el siguiente, no ignorar ningún paso ni proseguir al siguiente paso si falla un paso de los siguientes:
1- intalaremos CentOS , este paso no lo voy a explicar instalalo como mejor te parezca. Yo considero esto parte de otro artículo que algún día pondré.
2- Una vez CentOS arranque, nos cercioraremos de que desde CentOs se puede hacer ping al windows:
ping 192.168.0.2
Si no puedes hacer ping al windows esto es que quizá te hayas confundido de tarjeta (que hayas puesto los cables al revés), o que quizá haya un problema en la red.
3a- cerciórate de que puedas hacer ping desde el linux al gateway de tu proveedor (tu proveedor al darte la IP te dió seguramente una IP de su puerta de enlace). Esto lo haces con el mismo comando ping.
3b- También nos cercioraremos de que podemos hacer ping a 208.67.222.222, si este paso falla es el mismo problema del paso 2.. cables al revés...
4- anota cuál tarjeta apunta a la ip publica y cual tarjeta apunta a la ip privada, con el comando ifconfig. En mi ejemplo la ip publica es 1.2.3.4 y está en eth0 y la ip privada es 192.168.0.1 y está en la eth1
5- Ahora verifica si te trabajan los dns: ping www.google.com si no te responde, es que los dns no están bien definidos (podías hacer ping en el paso 3 a una ip y no puedes ahora hacer ping a una URI... eso es que los dns no te resuelven.
Listo, ya tenemos entonces nuestro CentOS navegando a internet (puedes hacer ping), ahora instalemos el firewall.
6- Bajas e instalas el arno-iptables-firewall desde aqui así:
wget http://centos5.ecualinux.com/i386/arno-iptables-firewall-1.8.8o-1.noarch.rpm
rpm -Uvh arno*rpm
7- Listo, una vez instalado, puedes configurarlo, edita el archivo:
vi /etc/arno-iptables-firewall/firewall.conf
Y buscas y cambias las siguientes opciones únicamente, no te metas a cambiar nada más, en principio así funcionará.. después metes los cascos con otras opciones, pero después, todo es poco a poco.
Opciones a cambiar:
EXT_IF="eth0"
EXT_IF_DHCP_IP=0
INT_IF="eth1"
INTERNAL_NET="192.168.0.0/24"
NAT=1
Estas opciones algunas quizá estén comentadas (# al inicio), quítales el comentario sino no harás nada, te garantizo que este será el error que cometerás, no quitar el # al inicio de estas opciones.
Te las explico:
- EXT_IF: Nombre de la interfaz externa, eth0 en mi caso (la obtuve cuando puse ifconfig
- EXT_IF_DHCP=0 significa que mi interfaz externa tiene una IP fija, que no es dhcp, si te asignaran dhcp entonces debes poner esta variable a 1
- INT_IF: Nombre de la interfaz interna. En mi caso es eth1, lo obtuve con el comando ifconfig
- INTERNAL_NET : IP de la red interna, en mi caso es: 192.168.0.0/24, lo puedes deducir del comando ifconfig
- NAT=1 justo lo que quería, que se hiciera NAT.
Una vez le haya configurado, entonces arranco el servicio de arno:
service iptables stop
chkconfig iptables off
chkconfig arno-iptables-firewall on
service arno-iptables-firewall start
Los dos primeros se ocuparán de apagar el firewall por defecto de redhat, que se llama iptables. Mala opción para el nombre pero bueno. En todo caso nunca debes correr dos scripts/programas de firewall a la vez, es por esto que me ves apagando el iptables para entonces encender el de arno. Si por casualidad tuvieras otro firewall activo, no olvides apagarlo..sino.. sino lo haces... tastas! si no lo haces pueden haber consecuencias inesperadas (cachos del otro firewall entrometido en el actual, etc.
Mira bien cuando hagas el start que no te de ningún error, si te da un error LEELO e interprétalo.
Verificación del funcionamiento:
Ya está el sistema funcionando, ahora vamos al windows y verifiquemos que funcione, estos son los pasos, desde el windows!, no continuar al siguiente paso si no les funciona el actual.
1- Hacemos ping a 192.168.0.1
2- hacemos ping a 208.67.222.222
3- hacemos ping a www.google.com
Si falla el paso 1, es porque tienes un problema en tu red local, entre el windows y el linux, este paso no debe fallar pues lo probamos a la inversa anteriormente
si falla el paso 2, es porque el firewall de arno no está arrancado o no está bien configurado, revisar la configuración y reiniciar el firewall. Aquí es donde tendrás más problemas por no leer y no hacer bien las cosas!
Si falla el paso 3 es porque la máquina de windows no tiene correctamente puesto los dns, si deseas puedes usar los siguientes DNS son muy buenos:
208.67.222.222
208.67.220.220
Estos DNS son muy buenos, incluso puedes crearte una cuenta en www.opendns.org y mediante esta cuenta controlar a dónde pueden o no acceder los usuarios de tu red (opendns se da cuenta de qué hacer porque se configura a través de la IP que tiene tu red). Incluso te puede bloquear p2p, pornografía, chat y mucho más
¿Viste qué fácil? Realmente así lo es.. fácil.. Pero eso sí, tienes que ser paciente y hacer uno a uno los pasos aquí indicados, si uno solito te falla, no te funcionarán bien las cosas.
Comentarios
hummmm... esta es la
hummmm... esta es la configuracion de ambas tarjetas...
Que mas necesitarias saber?
Muchas Gracias x responder!
eth0 Link encap:Ethernet HWaddr 00:0d:9d:d3:e1:75
inet addr:192.168.1.7 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::20d:9dff:fed3:e175/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7549 errors:0 dropped:0 overruns:0 frame:0
TX packets:7437 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:745200 (727.7 KiB) TX bytes:804406 (785.5 KiB)
Interrupt:20
eth1 Link encap:Ethernet HWaddr 00:0a:5e:65:12:b1
inet addr:190.187.100.2 Bcast:190.187.100.255 Mask:255.255.255.248
inet6 addr: fe80::20a:5eff:fe65:12b1/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:282746 errors:0 dropped:0 overruns:0 frame:0
TX packets:179394 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:423637628 (404.0 MiB) TX bytes:12742779 (12.1 MiB)
Interrupt:16 Base address:0x2000
Hola EPE .... Estaba tratando
Hola EPE ....
Estaba tratando de instalar el arno-iptables y me dio error la descarga de:
wget http://centos5.centos.ec/i386/arno-iptables-firewall-1.8.8o-1.noarch.rpm
centos5.centos.ec no responde, quien maneja ese server ...???
bye
;)
ehhhhm, nic.ec me cobraba muy
ehhhhm, nic.ec me cobraba muy caro, 35usd+iva es mucho.
lo pondré en centos5.ecualinux.com y centos4.ecualinux.com voy a modificar todos los textos ahora mismo.
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
Parece que algo pasó con tu
Parece que algo pasó con tu server http://centos5.ecualinux.com no tiene los archivos especificados, a ver si corriges ese error en el como ;)
bye
;)
ya está arreglado! Ahora sí..
ya está arreglado! Ahora sí.. verifiqué que funciona.
voy a ver si creo un rpm de la versión 2.0.0 de arno, es nueva.
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
Gracias alfin pude realizar
Gracias alfin pude realizar lo que no podia es utilizar el vi pero encontre info de como se usa este comando aca pongo el link para que le sirva al que tenga el mismo problema que yo
http://www.gentoo.org/doc/es/vi-guide.xml
"El que se enorgullece de sus conocimientos es como si estuviera ciego en plena luz."
jaja, lo lograste? bieeeen!
jaja, lo lograste? bieeeen! me alegro.. oye y si no podías con vi para la próxima usa nano
pero vi es lo mejor, claro!
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
Pido su ayuda
Estimado Ernesto
Existe la posibilidad de bloquear puertos desde arno iptables talvez, ya que al ser un firewall creo que deberia poder no, mi inquietud vine debido a que muchas personas mal utilizan el internet de la oficina en el uso del MSN y me solicitaron ver la posibilidad de bloquear ese puerto, en todo caso estado revisando y veo que muchos lo hacen por medio del proxi, y para una direccion ip especifica del cliente, pero en este caso se desea anular en toda la red el acceso a este puerto que ocupa el MSN.
Agradesco de antemano su colaboracion para hacerlo con Arno iptbles u otra forma, una guia o pista de como proceder.
:)
hum, mira, cuando lo he
hum, mira, cuando lo he requerido, lo hago en combinación con el squid. Te juro que no recuerdo ahora de primera cómo bloquear los puertos, pero te sugiero que bloquees estos puertos:
$IPTABLES -A FORWARD -s $messenger -p tcp --dport 1863 -j REJECT
$IPTABLES -A FORWARD -s $messenger -d 64.4.13.0/24 -j REJECT
$IPTABLES -A FORWARD -s $messenger -p tcp --dport 37341 -j REJECT
# #yahoo
$IPTABLES -A FORWARD -s $messenger -p tcp --dport 5050 -j REJECT
# #jabber (gtalk)
$IPTABLES -A FORWARD -s $messenger -p tcp --dport 5222:5223 -j REJECT
Mira, ahora no tengo tiempo para preparar esa parte en el arno, pero si logras bloquear esos puertos en forward en el arno, te pediría que lo pongas por acá ok?
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
Compartir internet con otra red
Buenos Dias amigos, si pude configuara el arno-ipatables como lo indicaron en el texto, el problema es que yo tengo enlaces con unos almacenes ya puse el enrutamiento pero igual no tiene internet ellos no se si me podrian ayudar aqui les pongo como tengo la configuracion
eth0 esta conectado al modem de que reparte internet
eth1 192.168.175.10 que es el segmento de lan
Tengo enlace por medio de un proveedor que es telconet ellos me pusieron unos ciscos en cada punto, entonces el cisco de la oficina tiene 192.168.175.150 y en los almacenes voy variando 192.168.176.150 - 192.168.177.150
y en los pc de los locales por dar un caso tengo asi
192.168.176.1 ip del pc
255.255.255.0 mask
192.168.176.150 puerta de enlace
hice este enrutamiento ip route add 192.168.0.0/16 via 192.168.175.150 pero siguen sin internet en las sucursales , pero si mme reponden haciendo ping al 192.168.175.10
no se que mas me falta
Gracias
Páginas