problemas de nat con vlan

Forums: 

hola hace dias puse una duda sobre vlan, logre hacer el enrutamiento intervlan con centos, el problema estaba en el iptables, ahora bien este equipo lo uso como proxy transparente, las mismas reglas que tenia para eth1 las replique usando si ya la subinterfaces eth1.100, eth1.200 etc, desde las pc hago ping a los dominios e ip publicas, pero las estaciones de trabajo no cargan los sitios, y si pongo el proxy en el navegador me sale que el proxy esta rechazando las conexiones, creo que ya se donde esta el problema, donde definio en el squid la ip del proxy no lo estoy haciendo no hice ese cambio, con las ip de las subinterfaces, hago el cambio y les comento, pero si tienen algún comentario que me pueda ayudar, se los agradezco. saludos.

la conexión está negada (time

Imagen de deathUser

la conexión está negada (time out) o te sale el mensaje de que el proxy a rechazado la conexión ...??? puede que no hayas definido las redes en el ACL del squid para permitir la conexión ...

bye
;)

gracias Death, las acl las

gracias Death, las acl las tengo por mac, y si me salia rechanzando la conexion, mi error era que me faltaba definir cada ip del proxy transparente para cada subinterfaz, ahora talvez me ayudas, para lograr la comunicación de las vlan por cierto son 6, el iptable me estaba bloqueando el trafico intervlan y probe con dos vlan de ejmplo y con esta regla ya lo logre:

-A FORWARD -s 192.168.10.64/26 -d 192.168.1.0/24 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -d 192.168.10.64/26 -j ACCEPT

eso para el ejemplo si tubiera dos VLAN permito el trafico en ambos sentidos,pero en mi caso tengo 6 subredes, para lograr que todas se vean tendría que meter muchas reglas para ello, no hay una manera mas sencilla?, sin implicar introducir tantas reglas que permitan el trafico entre todas las vlan, solo eso me haría falta para poner en producción los cambios que me solicitaron, lo veo bien tedioso se imaginan que fuesen unas 15 vlan se haria muchs reglas para lograr la comunicacion, les agradezco de antemano a todos. :)

Pues no te queda de otra a no

Imagen de deathUser

Pues no te queda de otra a no ser que pongas una regla menos restrictiva que te permita el paso de los paquetes de por ejemplo 192.168.0.0/16, lo que puedes hacer es un script que cree las reglas por ti leyendo de un archivo los segmentos de red, algo como:


for i in `cat redes.txt`; do
echo "-A FORWARD -s $i -d 192.168.1.0/24 -j ACCEPT";
echo "-A FORWARD -s 192.168.1.0/24 -d $i -j ACCEPT";
done

Donde redes.txt tiene el listado de los segmentos de red involucrados, así te va a ser más fácil de mantener ...

bye
;)

hola disculpa la ignorancia,

hola disculpa la ignorancia, entiendo la lógica del bucle pero tengo una duda, donde creo el .txt y como especifico en el for donde esta ubicado, y lo otro es que ah con ese bucle solo tengo relación con la primer red no entre todas, estaba pensando en usar un for anidado, pero antes de probarlo así, necesito aclarar la primera duda

elnaq wrote:

Imagen de deathUser

[quote=elnaq]donde creo el .txt y como especifico en el for donde esta ubicado[/quote]

el archivo redes.txt lo creas donde quieras, dentro del /etc por ejemplo, no se algo como
/etc/custom/redes.txt

y lo especificas en el for ...
for i in `cat /etc/custom/redes.txt`; do ...

Pues claro que puedes hacer un for anidado, era solo una muestra de lo que podías hacer para que te hagas una idea ...

bye
;)

hola Death y a todo el foro,

hola Death y a todo el foro, les comento configure todas las reglas, y listo configure los swtiches el proxy, y las vlan se enrutaban por el linux, tenían internet, los equipos podían verse, pero cuando quisimos probar las aplicaciones estas no corrían, no cargaban, se trabaja con sql server, no se si al momento de permitir el trafico entre las subredes con la subred donde esta el servidor tengo que permitir el puerto 1433 que utiliza el sql, pensé que como tenían ping con eso listo pero que va no levantan las aplicaciones, desde una subred ajena al a del servidor, los equipos que pertenecen a la vlan del sistema si logran cargar las aplicaciones y cargar el sql, si tuviese que permitir ese puerto cual seria la cada adecuada, por que introduje algunas y no me dio, si gustan pongo las reglas que configure y me comentan, saludos.

En las reglas:

Imagen de deathUser

En las reglas:

echo "-A FORWARD -s $i -d 192.168.1.0/24 -j ACCEPT";
echo "-A FORWARD -s 192.168.1.0/24 -d $i -j ACCEPT";

No se especifica ni protocolo ni puertos, por lo que se está permitiendo todo el tráfico, no solo el del ping ...

Recuerda que las aplicaciones de la moco$oft usan NETBIOS como protocolo principal (puedo estar equivocado, pero me vale con la moco$oft ... :D), y NETBIOS usa broadcasting para propagar los nombres de los hosts por ejemplo ...

Puede ser que los mensajes de broadcast no estén atravesando tus vlans (no deberían) y por ende no veas los hosts como los quiere ver el güin2 ...

Prueba con telnet al puerto 1433 del servidor de sqlserver a ver si tienes conexión o que mensaje te da al tratar de conectar, seguramente te da error de host desconocido si especificas nombre y no la dirección IP, podrías solucionarlo vía DNS (o el archivo hosts de los clientes) si ese es el caso ...

bye
;)

gracias no habia podido

gracias no habia podido postear la solucion pero ese era el problema, puse un dns de prueba y listo resuelve el nombre de host e igual probe modificando el archivo lhost de windows y ya se logran conectar al servidor, no habia podido darles las gracias por que he estado en muchas cosas

Páginas