utilizar un sistema operativo centos como router en una red local

... Y AMD tambin, por qu noAnd Pentium For All...

jueves, 8 de diciembre de 2011

Utilizar un sistema operativo CentOS como router en una red local.CentOS (Comunnity enterprise Operating System) es un sistema operativo de cdigo libre, basadoen el ncleo Red Hat, pero con cdigo liberado. CentOS es la alternativa gratuta a Red Hat, ypor ello, suele tener bastante tirn para implementarlo como servidor en una pequea o medianared. CentOS puede ser usado tambin como servidor LAMP, servidor de correo, servidor DHCP,DNS, y un largo etctera.

CentOS puede ser usado tambin como un router, usando dos tarjetas de red, una hacia la red derea local y otra al exterior(Internet)

Para empezar esta entrada, nos centraremos primero en una situacin "de la vida real":

Imaginemos que tenemos una red de rea local de por ejemplo tres o cuatro ordenadores, todosconectados por un switch, y queremos usar un ordenador ajeno a esos como servidor, paraadministrar a esos ordenadores direcciones IP y servicios de red cualesquiera. El ordenadorservidor se usar como router, y tambin como firewall, filtrando las conexiones, rechazandoalgunas y aceptando otros puertos, para as tener control absoluto sobre las conexiones.

Configuracin del servidor:

El servidor tiene para esta administracin dos interfaces: eth0 y eth1

eth0 para local.

eth1 para salida a Internet.

La configuracin del firewall de la red se administrar mediante iptables

El mtodo para enrutar los paquetes ser NAT.

ste esquema se da en bastantes empresas a nivel pequeo y mediano. La diferencia es quenosotros usaremos CentOS, mientras que en una empresa es ms probable usar un Windows Server(No tengo nada contra WS, pero resulta ms eficiente el uso de Linux para administracin deservidores. Ms control)

Una vez planteado todo, montaremos todo poco a poco.

El esquema a seguir ser el siguiente:

Instalaremos un servidor DHCP y configuraremos las opciones del mismo.1.Configurar las interfaces eth0 y eth1 para su funcionamiento.2.Enrutar los paquetes entre las dos conexiones (IP Forward y NAT)3.Establecer las polticas de filtrado (iptables)4.

Sugerencia: Recomiendo usar CentOS en Runlevel 3 (Lnea de comandos). Ganaremos rapidez en elservidor al omitir el entorno grfico.

Nota: Todo ejecutado como Superuser.

1. Instalacin del servidor DHCP y configuracin del mismo.

En primer lugar, hay que descargar de los repositorios de CentOS el servidor DHCP. El paqueteactual a fecha de hoy es dhcp-3.0.5-29.el5_7.1. Para instalarlo, en la lnea de comandos,escribimos

# yum install dhcp

El ordenador buscar en los repositorios de CentOS el paquete solicitado. Una vez lo tenga, lobajar a nuestro ordenador, lo configurar y lo intentar inicializar sin xito, debido a queno tiene una configuracin predefinida todava.

Una vez tenemos bajado el servidor DHCP, vamos a proceder a configurarlo.

En primer lugar, tenemos que tener fijada cul va a ser nuestra poltica de administracin delas direcciones IP, as como del rango de direcciones disponible, mscara de subred, puerta deenlace y servidor DNS. Como ser un servidor nico, no usaremos poltica de alquiler dedirecciones.

El archivo de configuracin a editar se encuentra en /etc y se llama dhcpd.conf. Si loejecutamos con nano y vim, nos saldr que el archivo de configuracin de muestra se encuentraen /usr/share/doc/dhcp-3.0.5/dhcpd.conf.sample. Para evitar posibles fallos y autorizacioneserrneas, introduciremos nuestro propio dhcpd.conf sin copiar el archivo de muestra.

Como ejemplo, vamos a usar la subred 172.16.1.0, mscara de subred 255.255.255.0, puerta deenlace la 172.16.1.1, DNS el 8.8.8.8. La administracin de direcciones IP va de la 20 a la 30.

El archivo quedara as:

# /etc/dhcpd.conf

2011 (16) agosto (3) septiembre (2) octubre (2) noviembre (3) diciembre (6)

Windows 7,WindowsServer 2008 y"Adaptador detn...

Desactivar lacampana delsistema enCentOS

Modificar elprompt deWindows

Utilizar unsistemaoperativoCentOS comorouter e...

Qu es ARP?Cul es la

capacidadreal denuestro discoduro?

2012 (10)

Lista de entradas

CentOS(3) Consejos (4)

Ipconfig (4)Linux (9)

netsh (3)

regedit (3)

Servicios (4)

Windows (13)

Tags

Utilizar un sistema operativoCentOS como router en unared local.

Utilizar un sistema operativoCentOS como servidor FTP

Cul es la capacidad real denuestro disco duro?

Resolucin de problemas deDHCP en tarjetas de red.

Windows 7, Windows Server2008 y "Adaptador de tnelConexin de rea Local *X"[Solucin]

Entradas ms vistas

Participar en este sitioGoogle Friend ConnectMiembros (5)

Ya eres miembro? Iniciar sesin

Quin me sigue en esteblog

Compartir 0 Ms Siguiente blog Crear blog Acceder

And Pentium For All...: Utilizar un sistema operati... http://andpentiumforall.blogspot.com/2011/12/util...

1 of 12 25/02/14 20:27

ddns-update-style none;ignore client-updates;

subnet 172.16.1.0 netmask 255.255.255.0 {

option routers 172.16.1.1;option subnet-mask 255.255.255.0;option domain-name-servers 8.8.8.8;

range dynamic-bootp 172.16.1.20 172.16.1.30;}

Guardamos el archivo. Ahora tenemos configurado correctamente todas las opciones que requeranuestro servidor. Seguimos sin poder ejecutar el servicio debido a que no hemos configurado ladireccin IP del interfaz a usar, pero lo arreglamos enseguida.

PD: Las dos primeras lneas (ddns-update-style y ignore client-updates) vienen a decir que noqueremos actualizaciones dns e ignoraremos las peticiones de clientes queriendo renovar sudireccin IP local.

(Correccin hecha por el usuario Juan Ortega. Comentario ms abajo. Gracias por la ayuda)Si tenemos un equipo al que le queremos dar una IP fija, aadimos la siguiente lnea:

host (nombre mquina abreviado) {option host-name (nombre mquina completo);hardware ethernet (direccin mac);fixed-address (direccin ip que le damos);}

El nombre abreviado o completo de mquina lo pueden poner como quiera.

Nota: la direccin IP que le demos debe estar en la subred del servidor DHCP

2. Configurar las interfaces eth0 y eth1

Las interfaces eth0 y eth1, por lo general, tendrn diferente rango de direcciones IP

eth0: Deber llevar la direccin que pusimos en option-routers, ya que CentOS esnuestro servidor y puerta de enlace para la red local.

Bloque de direcciones a usar:

Direccin IP: 172.16.1.1

Mscara de subred: 255.255.255.0

No requiere de gateway ni DNS.

eth1: A gusto del consumidor. Yo utilizar un modelo DHCP, ya que usaremos CentOSsolo para enrutar la red local y servir como filtro y eth1 se conectara a un routerADSL, pero si necesita ser implementado como red fija, especificar donde proceda.

En CentOS, las configuraciones de las interfaces de red no se hacen por ifconfig de formageneral. En su lugar, lo haremos ms eficiente.

Hay dos modos:

Usando la Utilidad de configuracin en modo texto (setup). Se ejecuta poniendo en lalnea de comandos # setup. Es ms fcil de manejar.

Editando los archivos de configuracin. Se encuentran en /etc/sysconfig/network-scripts/ y su nombre es ifcfg-ethx, donde x es el nmero de conexin

Setup es una sencilla herramienta semigrfica que mediante un men intuitivo nos permiteconfigurar las interfaces fcilmente.

La edicin de los ficheros de configuracin se puede realizar utilizando Vim o Nano, el quems rabia os d.

El fichero de configuracin ser algo as para eth0:

# (Controlador del adaptador de red)

DEVICE=eth0BOOTPROTO=noneONBOOT=yesHWADDR=(Direccin MAC del adaptador)IPADDR=172.16.1.1NETMASK=255.255.255.0

Para el fichero eth1, algo tal que as:

# (Controlador del adaptador de red)

DEVICE=eth1BOOTPROTO=dhcpONBOOT=yesHWADDR=(Direccin MAC del adaptador)


2 of 12 25/02/14 20:27

Si queremos especificar un gateway en cualquiera de los dos adaptadores, se aadir GATEWAY=(Direccin del gateway). Si queremos aadir un servidor DNS, debemos cambiar el archivo deconfiguracin /etc/resolv.conf, y en las lneas que proceden escribir.

nameserver (direccin DNS)

Una vez modificados los valores de los ficheros de configuracin y del Setup, debemosreiniciar el servicio para que la configuracin tenga efecto. Para ello, escribimos:

# service network restart

Una vez realizamos la siguiente accin, la direccin de las dos interfaces se cambiar a laque hayamos configurado en el Setup o los ifcfg. Acto seguido, procederemos a iniciar elservicio dhcp, para as inicializar la red local. Para ello, en la misma consola, escribimos:

# service dhcpd start

PD: Si falla el inicio de dhcpd, revisa los ficheros de configuracin (generalmente es quefalta un punto y coma, o algo mal puesto de nombre). Si no encuentras nada, existe un ficheroen /var/log/messages que nos dir lo que nos chirra de la configuracin general de dhcp ocualquiera que estemos usando. Si falla alguna cosa, revisar este archivo es lo msconveniente. se ejecuta con:

# cat /var/log/messages

3. Enrutar los paquetes entre las dos conexiones (IP Forward y NAT)

Hemos configurado las dos interfaces, pero aunque hayamos configurado, nos resulta un poco"intil", debido a que an nos falta realizar el enrutamiento y el seguimiento de paquetesentre interfaces. Para ello, debemos activar el IP Forward y establecer NAT para realizar unenrutamiento exitoso.

Activar IP Forward: Para activarlo, tenemos que editar el fichero /etc/sysctl.conf, yen la lnea denominada

net.ipv4.ip_forward = 0

Editar el 0 por un 1. Reiniciar el servidor CentOS para que los cambios hagan efecto.

Establecer NAT como configuracin de enrutamiento: Por s solo, el IP Forward nosirve de nada si no ejecutamos una excepcin en iptables para aadir una "ruta"interna entre ambas interfaces y as poder enrutar.

Para ello, en la consola, escribimos:

# iptables -F# iptables -t nat -F

Estos dos primeros comandos son para limpiar las configuraciones.

# iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -d 0/0 -j MASQUERADE

Una vez realizado sto, CentOS podr enrutar los paquetes que le lleguen desde eth0 a eth1 yas, dar acceso a Internet a la red local en DHCP que montamos anteriormente.

4. Establecer las polticas de filtrado (iptables).

Una vez todo est funcionando, es posible que solo queramos que estn abiertos determinadospuertos, o denegar el acceso a un usuario concreto, permitir que pase informacin de unpuerto... Para ello, CentOS y su iptables (cortafuegos) nos podrn ayudar para establecer qudejamos o no pasar a travs de la red.

Lo primero de todo, antes de establecer filtros, vamos a eliminar la configuracin antigua delcortafuegos. Para eso, teclearemos los siguientes comandos:

# iptables -F (Borra todas las reglas de iptables)# iptables -X (Igual que -F)# iptables -Z (Pone el contador de paquetes de iptables a cero)# iptables -t nat -F (Borra la regla de enrutamiento NAT anterior)

Una vez tecleamos todos estos comandos, procederemos a disponer nuestra propia configuracin.Por ejemplo:

Permitiremos acceso a los puertos de Internet bsicos (80 y 443, HTTP y HTTPS)

Permitiremos un puerto de conexin segura (22, SSH)

A un equipo le daremos acceso total.

Para empezar, restauraremos la ltima lnea de cuando usamos NAT en el servidor:

# iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -d 0/0 -j MASQUERADE

Para que el servidor acepte y reenve paquetes, debemos aceptar las polticas de uso (INPUTpara enviar paquetes, FORWARD para enrutar, y POSTROUTING para enviar a la ruta)

# iptables -P INPUT ACCEPT# iptables -P FORWARD ACCEPT# iptables -t nat -P POSTROUTING ACCEPT


3 of 12 25/02/14 20:27

Redactado por Admin

Etiquetas: CentOS, DHCP, IP Forward, iptables, Linux

Para aceptar las polticas de HTTP y HTTPS, aadiremos la siguiente lnea:

# iptables -A FORWARD -s 172.16.1.0/24 -p tcp --dport 80 -j ACCEPT# iptables -A FORWARD -s 172.16.1.0/24 -p tcp --dport 443 -j ACCEPT

Para aceptar el SSH, aadiremos la siguiente lnea:

# iptables -A INPUT -s 172.16.1.0/24 -p tcp --dport 22 -j ACCEPT

Para rechazar los paquetes de un determinado nmero de puerto.

# iptables -I INPUT -s 172.16.1.0/24 -p tcp --dport (puerto cualesquiera) -j DROP

Para el acceso total a un equipo, aadiremos la siguiente lnea. Como ejemplo, pondr el172.16.1.2

# iptables -A FORWARD -s 172.16.1.2 -j ACCEPT

Para consultar todos los cambios hechos, ejecutamos:

# iptables -L

Para guardar la configuracin, ejecutamos:

# iptables-save

Nota: Para las reglas iptables, es ms recomendable usar un script, para ejecutar todo a lavez y no uno a uno.

Siguiendo estos pasos, conseguiremos tener nuestra propia red local con un CentOS como router.

Fuentes:Redes de rea local. Aplicaciones y Servicios Linux [Formacin del profesorado]. Instituto deTecnologas Educativas.Experiencia propia.

Revisin de artculo: Octubre de 2013Razn: Correccin del contexto. Adicin de la clusula de rechazo de paquetes. Correccin dela clusula de IP fija gracias al comentario de un usuario.

Recomendar esto en Google

Respuestas

Responder

Respuestas

51 comentarios:Hernan Sanchez 5 de julio de 2012, 19:40Excelente explicacion,...muy detalladoResponder

Admin 5 de julio de 2012, 21:45Hasta el da de hoy es la que ms visitas est teniendo. Estoy recompilando loscomandos que introduje aqu porque igual tengo fallos (Vamos, casi seguro). Asque si podis aportar indicios o algo (Tanto usted como algn otro visitante) megustara que me lo hicieran saber.

Lucas 15 de agosto de 2012, 21:44Muy bueno, a diferencia de otros tutoriales en este caso me funciono. Es importante parareenviar el trafico la sentencia #iptables -F.Muchas gracias.

Aportare en cualquier momento.

saludosResponder

Admin 16 de agosto de 2012, 1:48Gracias, tanto por el comentario como por que te haya servido, compaero. (Porfin alguien dice que funciona y me lo verifica)

iptables -F? Pero en qu momento? Eso nicamente borra las reglas existentesen todo el iptables (excepto en tablas, que debes usar iptables -t NAT -F), y seutiliza al principio del script... Aunque no s, igual soy yo que me estoymostrando espeso a estas horas y no lo cojo bien jeje

Saludos.


4 of 12 25/02/14 20:27

Responder

Respuestas

Responder

Respuestas

Responder

Respuestas

Henry 24 de octubre de 2012, 11:31Excelente aporte! Muy bueno y me ayudo mucho, por favor deme una sugerencia, tengo unared local con mas de 20 terminales y entre ellos hay clientes con SO Windows, concentroinformacin en el servidor CentOS, como compartir con ciertos Privilegios a los clientesen windows, (como por ejemplo: lectura y escritura en el servidor y otros soloescritura, algunos terminales solo guarden archivos en el servidor), aun estoy consamba, algo para hacer mas eficiente el servicio.

Se Agradece.Responder

Admin 24 de octubre de 2012, 17:42Lo primero, gracias por tu comentario.

Segn veo:

- Tienes un servidor Samba en el CentOS- 20 terminales

Primeramente, debemos decirle al iptables que deje pasar el trfico de Samba.Los puertos son 137, 138, 139 y 445. Ponemos la clusula de ACCEPT en esospuertos.

Voy a determinar que todos los terminales tienen usuario y contrasea propios.Te voy a poner por ejemplo, que tienes los usuarios: jefe1, empleado1 yempleado2

Si quiero que jefe1 tenga permisos de escritura en una carpeta llamadaProyectos, la cual est presente en el smb.conf del Samba, en los atributos desmb.conf tendr que poner

[Proyectos]path = /datos/proyectos (Este dice dnde est ubicado la carpeta en el servidorSamba)readonly = yes (Slo lectura)write list = jefe1 ( Aqu, ya podemos poner los usuarios que queramos queescriban en esta path. Los usuarios que no aparezcan son los que solo tienen delectura y no de escritura)

Si despus quiero que empleado2 los tenga, en la write list de la carpeta, alfinal, lo ponemos.

Creo que es eso lo que ms o menos quieres No?

Admin 11 de diciembre de 2012, 23:06Gracias por la molestia de realizar este tipo de guia, por la noche la ejecutar, esposible que agregues como activar y configurar correctamente DNS en la eth1, graciasResponder

Admin 12 de diciembre de 2012, 1:17Gracias por el comentario.

DNS es un tema que no he dado mucho... Adems, debera ser un DNS en eth0(porque si quieres que los de la red local tengan un DNS, no lo vas a poner enla direccin de extremo opuesto, que adems es DHCP y requerira una especie deDNS dinmico, sera liar las cosas)

En un futuro no descarto realizar una pequea gua de DNS con Bind y una jaulatipo bind-chroot, pero por el momento voy a investigar primero el cmo hacerlo.Adems dependera del DNS que quieras hacer: Autoritativo, no autoritativo,cach forward, cach no forward. El que ms sencillo sera y aplicara sera elforward para no armar tanto folln entre dominios.

(Si me equivoco en algo, es porque yo DNS no lo doy mucho y no controlo, losiento)

Mariano Agero 9 de enero de 2013, 15:08Muchas gracias, hace mucho tiempo que no encuentro un post como el tuyo, ordenado y condetalles. Hace tiempo quiero implementar esto, voy a ponerme con el tema y te comento.Desde ya gracias.Responder


5 of 12 25/02/14 20:27

Responder

Respuestas

Admin 9 de enero de 2013, 17:53Gracias compaero. Espero que te funcione, creo que al resto de gente s que leha funcionado, porque no han vuelto a reclamar o pedir ayuda (O quiz,decidieron buscar otra fuente alternativa para buscar porque erro demasiado).

Sea como fuere, mucha suerte en la implementacin.

ivan 16 de abril de 2013, 10:13una preguntota... yo lo estoy haciendo en virtual box tengo montados 2 S.O. en 1 elcentOS 6(servidor) y en otra windows xp(ciente) en el servidor tengo las 2 interfacesuna como puente para que me tome el internet del modem y otra como NAT para la redinterna y as enrutar hacia el cliente.

en mi servidor levante el servicio DHCP y puse un rango de como 5 ip's (10.0.2.1 a10.0.2.6) la cuestion aqui es por que cuando prendo mi maquina cliente me asigana una ipque no esta en el rango (10.0.2.15) si tengo internet y todo y lo raro aqu es que si meda ping al servidor(10.0.2.3)

espero haberme explicado gracias buen manual :DResponder

Admin 16 de abril de 2013, 13:16Lo primero, gracias por el comentario.

Si te asigna una direccin IP diferente a la del rango puede ser porque:

1. El archivo de configuracin dhcpd.conf tenga mal el rango (Que oye, a vecespodemos estar seguros y luego al final resulta que si)

2. Si el rango y todo est bien definido, inicia el cliente y servidor a la vez,y cuando est todo marchando, reinicia el servidor DHCP a la par que cortas laconexin entre cliente y servidor. Una vez reinicie el servicio, conctalo a versi por algn casual funciona.

3. A lo mejor hay alguna clusula de servidor DHCP que est funcionando mal. Sipuedes, psame por aqu la configuracin de tu dhcpd.conf y le hecho un vistazo.

4. Por ltimo, aunque puede parecer una tontera, verifica que tu cliente notenga direccin esttica.

ivan 17 de abril de 2013, 1:04Dhcpd.cong

#Red CentOSsubnet 10.0.2.0 netmask 255.255.255.0{range 10.0.2.3 10.0.2.20;}

es lo que tengo en este archivo ya me asigna una ip del rango en mi cleinte sitengo salida pero el problema es que en mi puerta de enlace tengo 10.0.2.2 ysegun yo tengo configurado 10.0.2.1 como puerta de enlace lo hice con webmin yenmi cliente como NAT si me asigna ip del rango solo me cambia la puerta de enlacey si tengo salida a internet y cuando doy de baja el dhcp en centos y en elcliente aun me sigue asignando un ip del rango y aun as tengo internet cuando

Admin 17 de abril de 2013, 1:33En el dhcpd.conf slo tienes eso o has omitido los option-routers y optiondems?

El caso que te acaece digamos que es un tanto "raro". Un servidor DHCP siempredistribuye todo al pie de la letra, y en tu caso... Es un poco extraordinario.Quiz te est haciendo mal el puente.

Cul es el gateway del router y cul el del CentOS? 10.0.2.1 en router y10.0.2.2 en CentOS? O es al revs?

Respondiendo a cuando tiras el servicio de DHCP y te sigue con la misma IP, cabedestacar que cuando tiras el DHCP el XP puede seguir con las direcciones porqueno renueva todo el tiempo ni hace peticiones al servidor.

Aunque esto que vaya a decir te suene un poco repetitivo, verifica bien todo ymira paso por paso. Si pasa a mayores y sigue sin aclarrsete, te pedira que mepasaras las configuraciones pertinentes, hago el esquema en mis servidoresvirtuales y veo si es algn fallo de mquina cliente o servidor.

PD: Tengo una duda. Esta maana decas que el rango que diste es de la 10.0.2.1a 10.0.2.6, y ahora dices que es de la 3 a la 20... Ahora tambin dices que la10.0.2.1 es un gateway... Es cosa ma o te has equivocado? Sin ofender

ivan 17 de abril de 2013, 2:22


6 of 12 25/02/14 20:27

Responder

Respuestas

Responder

Respuestas

no pasa nada en la maana cambie el rango de ips'sy si cuando tumbo el dhcp en el centos en el xp le doy /release y /renew y aunasi me sigue asignando ip del rango de centos y yo configure el dhcp en webminde puerat de enlac ele puse 10.0.2.1 y en los clientes me pone la misma pero con.2 y cuando cambio la interface de NAT a red Interna si me asigana ip y lapuerat de enlace que deben de ser

Admin 17 de abril de 2013, 2:34La cosa cada vez se complica ms, segn veo...

As que segun leo. No configuraste el DHCP mediante edicin del archivo de config, sino con Webmin? Es posible que en eso, Webmin est haciendo alguna cosa extraa (algo quefrecuentemente no suele realizar porque Webmin es una herramienta muy buena, pero oye,que nunca se sabe)

Lo de interface de NAT a Red Interna creo que me lo deberas explicar. En so terefieres a las interfaces del Virtualbox No?

Para el caso de mquinas virtuales haciendo ste escenario, el adaptador siempre debeestar en Bridged o interno, y nunca usar NAT. NAT solamente lo debemos usar en las VMcuando no queremos hacer que si configuraciones, que si conflictos... Pero para el temade estos escenarios, tiene que ser todo en Bridged o interno, porque si no puedenocurrir cosas muy raras. De todas formas, no s si Virtualbox tambin lo equipa, perolos virtualizadores "suelen" tener un Virtual Network Editor, que edita los adaptadoresvirtuales que usas. Por si acaso est haciendo algn efecto raro.

Has probado a virtualizar ste escenario con VMware? Es el que us yo cuando desarrolleste tema, y te puedo asegurar que no me ha dado problema alguno.Responder

Ing. Christyan Len 15 de mayo de 2013, 5:31amigo me gusto tu explicacin pero tengo una duda yo uso brazifw en m cyber pero porejemplo quiero instalar un servidor de datos en centos mi duda es solo le instalo unasola tarjeta de red?Responder

Admin 15 de mayo de 2013, 11:55Si vas a instalar un servidor FTP (de archivos) en un CentOS que ya tengas conesta misma configuracin explicada en el blog, lo puedes instalar sin aadirotra tarjeta de red. La direccin local que le hayas puesto al servidor es lamisma y no hace falta ninguna ms.

He estado viendo lo de BrazilFW, pero... Eso cmo es exactamente? Es que es laprimera vez que oigo sobre ello. He visto que es una distribucin como ya listapara hacer de router y firewall slo poniendo la config.

Ahora, si lo que quieres es implementar un equipo a la red local (Siendo elBrazilFW como servidor de router y firewall), puedes introducirlo en la red,pero pones una excepcin en el servidor DHCP especificando que para se equipola direccin sea fija.

Creo que es so lo que queras saber... Si no es as, te pido por favor queconcretes un poquillo.

Annimo 21 de mayo de 2013, 19:53Gracias amigo por este gran tutorial, me sirvio de mucho he visitado muchas paginas perono me habia funcionado y como me estoy introduciendo en el hambiente linux me costo unpoquito, pero encuentro muy entendible este tuto

GRACIAS !!!!Responder

Annimo 27 de mayo de 2013, 22:35excelente tuto...Responder

Annimo 30 de mayo de 2013, 16:38Excelente y funciono, bien explicado 20 puntos para ti! Com hago listas de paginas NOpermitidas, ejempo porno...

Gracias de nuevoResponder


7 of 12 25/02/14 20:27

Responder

Respuestas

Responder

Respuestas

Responder

Respuestas

Responder

Admin 30 de mayo de 2013, 21:31Para bloquear pginas porno o cualquier otra:

1. Busca las IP de las direcciones (suelen ser tres o cuatro, con nslookup lasencuentras ms fcil)2. En el IPTABLES, por sta regla:

iptables -I INPUT -s (Direccin web a bloquear) -j DROP

3. As, cuando se hagan peticiones a sa direccin IP, el servidor las tirar.

Gracias por el comentario. Y al resto que coment, tambin. :D

Javier Reinoso 2 de julio de 2013, 23:27Amigo puedes ayudarme. Mi servidor DHCP permite tener acceso al servidor cuando seconfigura por medio de una ip estatica como bloque este problema? graciasResponder

Admin 3 de julio de 2013, 0:23No entiendo muy bien la pregunta. Creo que te refieres a :los clientes tienen acceso al servidor DHCP y quieres evitar el problema?Al revs?

Por favor, si pudieras explicarlo ms claro, te lo agradecera. Es eso o estoyun poco espeso esta noche...

GilberT 5 de agosto de 2013, 6:02Creo se refiere que aunque solo espesifique unr ango de ips de 10 osea192.168.1.10/20 si en el equipo cliente pones ip fija .40 aun asi conecta esoentiendo yo jeje eh seguido esta guia y todo funcionando pero no eh provado estoaver si tmb me pasa

Annimo 25 de julio de 2013, 7:41se podr hacer bonding osea de un bon0 (internet) eth0Responder

Admin 29 de julio de 2013, 12:17Me parece que s se podra hacer, pero en el tema de bonding interfaces no estoymuy metido...

GilberT 5 de agosto de 2013, 6:10Te agradesco por tu guia muy buena muy bien explicada, y te escribo aver si me puedierasayudar tengo mi servidor centOS corriendo ya con muchas cosas mysql-asterisk-apache-dhcp-entre otras cosas ya funcionando puse otra tarjeta de red y lo configure comorouter como indicas por ahora permitiendo todo alas ip un tipo de dmz supongo.

Buenoa l grano la idea es qeu tengo 2 conexiones de internet y la duda es su puedoagregar otra tarjeta ami server y poder conectar las 2 y cuando falle eth2automaticamente cambie a eth3 y cuando vuelva eth2 vuelva a funcionar este aver si meexplique y me pudieras dar una idea de esto que ya le di vueltas al asunto.Responder

Admin 6 de agosto de 2013, 9:29Lo primero de todo, gracias por el comentario.

A ver, tienes dos tarjetas de red, o tres las que tengas, y quieres que cuandouna ethx caiga, se cambie a la siguiente ethx... Mi pregunta es Caerse elinternet o que la tarjeta de red se sature?

La verdad es que ste tema lo tengo que discurrir un poco. Recuerdo que cuandoestuve en un sitio de prcticas, tenamos una especie de servidor monitorizador(Nagios Te suena?), y se pona a husmear en todas las cosas que hacan losservidores que le aadiramos (ping, funcionamiento de servicios,disponibilidad). Mi solucin ms "complicada" por as decirlo podra ser queinstales un Nagios y prepares un script para que cuando eth2 falle, lo ejecutesy tire eth2 y suba eth3.


8 of 12 25/02/14 20:27

Respuestas

Responder

Respuestas

Responder

Respuestas

Responder

Esteban Jhony Gmez Castelln 7 de agosto de 2013, 17:11De pelos!! muy bien explicado.!Responder

ROGELIO MENDEZ CRUZ 16 de agosto de 2013, 17:27que tal mi nombre es rogelio mendez [email protected] y tengo un problema yadespues de configurar el servidor centos, al hacer una prueba en una pc que tengoconectada al switch si me da acceso a la red pero al querer salir a internet manda errory dice que el DNS no esta funcionando espero tu ayuda gracias.Responder

Admin 17 de agosto de 2013, 11:18Si te da red pero te falla el DNS, intenta poner otro DNS en el dhcpd.conf, apoder ser los que te suministra tu ISP. Revisa tambin la configuracin del NATpor si ha fallado algo.

Ivan Centurion Giles 5 de septiembre de 2013, 18:54En primer lugar excelente guia, muy bien explicada y entendible, a mi tambien mefuncionaron todos los pasos pero, cuando quiero dar salida a internet a los host de lalan, no lo consigo porque la configuracion realizada no da correctamenta la direccion deDNS, y estoy tratando de lograr que los demas equipos de la lan tengan salida a interneta traves de la tarjeta de lanResponder

Admin 5 de septiembre de 2013, 20:24Has probado a dar los servidores DNS de tu ISP? O has intentado poner los del8.8.8.8?Es raro que pueda dar el rango de direcciones pero no d los dominios.Prueba a usar la utilidad nslookup para ver si consigue resolver el DNS.

Ivan Centurion Giles 10 de septiembre de 2013, 17:59eh vuelto a probar y mi problema era que no puse bien las reglas del iptables,lo cual hacia que la lan no pueda ver a la tarjeta con salida a internet,gracias el tutorial funciona.

eDgAr FaBiAn LDU 22 de octubre de 2013, 3:08Buen post .. una pregunta dentro de lo que es FORWARD manejamos en filter - mangle -naten cual de las tres reglas aplicariamosResponder

Admin 23 de octubre de 2013, 23:35Exactamente, Qu quieres hacer?

Juan Ortega 27 de octubre de 2013, 17:22Hola fenmeno, es un tutorial EXCELENTE, MUY bien explicado e intuitivo, pero he deindicarte un fallo, en la parte de asignar una ip fija, las lneas a escribir son:host (nombre mquina) {hardware ethernet (direccin mac);fixed-address (direccin ip que le damos);}Que como lo tienes escrito me di fallos y me volva loco intentando saber porque erajajaja ;)

Tengo una duda, a m no me funciona. Los clientes no tienen salida haca fuera. Lo hehecho todo tal cual, pero lo que pasa es que mi red tiene la salida autentificada ya quetenemos un proxy. Te explico lo que yo quiero realizar:1- el cliente quiere acceder a internet.2-manda al switch y este al servidor.3-el servidor enruta con la otra tarjeta que es la red donde est el proxy y la salidaal router.4-el proxy autoriza la salida de la red del cliente y ya tiene internet.Entonces la parte de enviarlo al proxy y este fuera pues parece que no va. Podrasayudarme? GraciasResponder


9 of 12 25/02/14 20:27

Respuestas

Responder

Respuestas

Responder

Respuestas

Responder

Admin 27 de octubre de 2013, 18:02Lo primero de todo, gracias por la correccin. Enseguida cambio la entrada contu nueva cfg para IP fija y declaro tu autora en dicha correccin(Saba yo quealgo de la entrada tena que fallar... Era todo muy bonito jajaja)

Respecto a tu problema... El proxy usa puertos especficos? Es raro que fallela configuracin justo en el proxy, dado que enrutas desde la eth0 al resto (a0/0, que es el resto de redes conectadas). De todas formas, me pondr ainvestigar en la "gaseosa" a ver si consigo arreglar tu problema.

Juan Ortega 27 de octubre de 2013, 20:31Hoooola! De nada hombre, estamos para ayudarnos entre todos jajaEl proxy usa el puerto 3128. Yo pienso que es por el proxy por lo que me falla,he cambiado el bashrc(que en el servidor lo cambi para poder tener salida ainternet) pero no ha funcionado. Llevo unos cinco das investigando pero no heconseguido solucionarlo... A ver si consigues darme una solucin para probarlo.Muchas gracias, tanto por el tutorial como por contestar.

Admin 27 de octubre de 2013, 23:14Has probado a abrir el puerto 3128 por TCP Y UDP?

Prueba con sto:

# iptables -A FORWARD -s (la red que uses) -p udp --dport 3128 -j ACCEPT# iptables -A FORWARD -s (la red que uses) -p tcp --dport 3128 -j ACCEPT

Prueba tambin a pasar un Wireshark para analizar el empaquetado, pero eso si note funcionan estas dos clusulas.

Si ves que sigue fallando, prueba a tirar el iptables entero, y poner lasclusulas de ACCEPT en INPUT, FORWARD y -t nat POSTROUTING y la de POSTROUTINGpara enrutar (Pero ninguna de los puertos). Si te falla bajando eso, prueba aver si el proxy est bien configurado o falla alguna cosa.

Sigo probando cosas, de momento.

Annimo 7 de noviembre de 2013, 16:39como puedo compartir internet desde centos 6.4, tengo 2 tarjetas de red en eth0ip 192.168.0.3,mask 255.255.255.0, puerta 192.168.0.5, DNS 190.4.6.194, comoconfiguraria la tarjeta eth1 y el cliente?Responder

Admin 7 de noviembre de 2013, 20:051. sa configuracin de red es "hacia dentro" o "hacia afuera"?2. La tarjeta eth1, si es la que vas a usar para distribuir al resto declientes, como quieras, siguiendo las instrucciones que arriba se detallan. Elcliente no hara falta, porque si es DHCP da la direccin solo

Pedro Mena 25 de noviembre de 2013, 20:37Hola Buenas tardes, tengo un PC instalado centos 6.4, con 2 tarjetas de Red y unaconexin adsl con Ip Fija y por medio PPPoE. y quiero hacer que este servidor centos,convertirlo en un router que por una interfaz ethernet se conecte al adsl, y por la otradarle Internet a otros equipos por medio de swith. alguien me podra ayudar como hacerhacer esto.Responder

Admin 25 de noviembre de 2013, 21:11Has seguido ste manual? Para tu configuracin, lo nico que deberas cambiares que la eth0 haga de DHCP y que eth1 lo pongas esttica con tu conexin ADSL.Y bueno, los iptables y lo que te convenga... O no es eso lo que andasbuscando?


10 of 12 25/02/14 20:27

Respuestas

Responder

Respuestas

Responder

Julio Aquino 18 de diciembre de 2013, 15:56Hola, muy buena explicacion felicidades, aprovecho para hacerte una consulta, tengo lanecesidad de implementar un servidor, pero yo no controlo la salida a internet, eso locontrola otra area con un firewall, me necesidad es poner un servidor con carpetascompartidas, que este no se vea en la red, que solo permita conectarse a las carpetascompartidas por MAC, usuario y contrasea, gracias....Responder

Admin 18 de diciembre de 2013, 21:43Si lo vas a implementar solamente en la rea de red local, configura el servidorFTP solamente para dicha red y evitar que la interfaz que tenga salida aInternet pueda conectarse y ver el contenido de las carpetas compartidas. Porejemplo, en el iptables podras poner:

# iptables -A INPUT -s (red de internet que tengas asignada en la interfaz) -jDROP

As, solo podrn acceder los ordenadores que tengas en el DHCP implementado y nolos de fuera. Revisa tambien el artculo sobre FTP que tengo publicado en stemismo blog para que veas ms o menos la estructura de cmo lo podras hacer.

Si todo lo que he dicho anteriormente no te sirve, por favor, comunncalo eintenta explicarlo un poco ms detallado.

Gracias por el comentario. :D

http://detodounpoco-msn.com 24 de enero de 2014, 17:54Excelente aporte!!! es genial encontrar a personas que al igual que tu compartanconocimiento y ayuden a debatir, discutir e incluso solucionar problemas...Estoy trabajando con CentOS y tengo un Servidor Proxy/Firewall que estoy montando.Mi esquema es q tengo 3 interfaces desde mi Servidor CentOS...Eth0= 192.168.1.2 (que es mi Proxy/Firewall)Eth1= 172.16.0.1 (para la RED LAN)Eth2= 10.0.0.1 (que es mi DMZ)Tengo ademas mi server Web, Correo y BD...El problema surge que no puedo acceder a mi server BD desde mi LAN y lo necesito pues elSistema de mi institucin para conectarse, como es obvio, debe conectarse a mi BD... heido por muchos sitios y visto muchas configuraciones y no puedo... (OJO: no tengoproblemas con mi server de COrreo y Web). Cuando hago un telnet al puerto que contienela BD se ve q esta abierto...Prob una distribucin llamada IPCOP y si me hizo el enlace con la BD, pero me haciaconflicto con el INTERNET y como yo ya tengo mi propio Firewall/Proxy no necesito usarIPCOP... Te agradeceria si me puedes ayudar u orientar.. Soy nueva en esto... MilGraciasssssssssssssss!!!Responder

Admin 25 de enero de 2014, 20:31Buenas noches.Lo primero, gracias por el comentario. :DHas probado a ver si es algn tema del iptables? Es que puede ser lo msseguro, por lo que me cuentas. Necesitaras saber los puertos que usa la base dedatos (En las especificaciones del sistema BBDD vendrn, o si no ejecuta unWireshark en la red y mira qu puertos son los que hacen conexin) y luegoaadir una regla de tipo INPUT y FORWARD. INPUT que lleve el trfico a 10.0.0.0y FORWARD para enviarlo a 10.0.0.0

En la mayora de los casos de ste tipo, suele ser por alguna regla. Si de tured puedes llegar a la base de datos con un ping, pero no puedes acceder, esporque el firewall te esta haciendo drop en el puerto.

Para tu caso, por ejemplo, si tienes como eth1 y eth2 las que quieres enlazar,podras usar algo como:

iptables -A FORWARD -s 10.0.0.0 -p tcp --dport (puerto) -j ACCEPTAadir esa regla con todos los puertos que requiera.Esta regla lo que hace es aceptar el trfico que venga de la red y aceptarlo porel puerto X a la red 10.0.0.0 (es decir, para enviarlo a cualquier direccin dese rango)

Y luego la de INPUTiptables -A INPUT -s 172.16.1.0 -p tcp --dport (puerto) -j ACCEPTEste comando (que puedes o no poner, pero lo recomiendo) se usa para aceptar eltrfico de se puerto a sa red. As por ejemplo, si tiene que pasar trfico de10.0.0.0 a 172.16.0.0, lo acepte.

Prueba y me cuentas.

Enrique Rodriguez Sanchez 13 de febrero de 2014, 18:26


11 of 12 25/02/14 20:27

Entrada ms reciente Entrada antiguaPgina principal

Suscribirse a: Enviar comentarios (Atom)

Respuestas

Responder

Comentar como: Seleccionar perfil...

PublicarPublicar Vista previaVista previa

Comenta si te gust la entrada, algn error que tenga, o simplemente entra a debatir si tienesalgn problema, pues recuerda que aqu todo es posible y nada es seguro (Y a lo mejor a m seme ha podido ir la pinza y escribir algo mal)

Por favor, s conciso y ten buena escritura, que aqu no se cobra por letras ni palabras ausar. Los comentarios estilo HOYGAN o descalificativos no sern publicados.

Muy buen tutorial pero una pregunta , porque cuando reinicio la maquina no funciona apesar de a ver guardado la configuracin (iptables-save) como se puede sulucionar .

De antemano GRACIAS .Responder

Admin 13 de febrero de 2014, 20:52A veces el iptables-save no guarda. Slo a veces. Por eso, en el mismo artculo,os insto a que inicieis las clusulas desde un script que hayis creado antes,por si dicha instruccin no guarda. Tambin puedes probar conel fichero"/etc/rc.d/rc.local" y copiar ah las instrucciones de iptables para que en cadareinicio funcionen y no sea necesario el iptables-save.

Todos los derechos e izquierdos reservados. Con la tecnologa de Blogger.


12 of 12 25/02/14 20:27

utilizar un sistema operativo centos como router en una red local

Documents