Os acudo a sus inmejorables puntos de vista una vez mas tengo un problemilla que aun no le encuentro el sentido de por que no funca y este es
subred1=192.168.103.0/24
dispositivo layer3 en sub red 1
ip route 0.0.0.0 0.0.0.0 192.168.103.2
conectividad entre las subredes 0 problema
pix-506 ubicado en la sub red 1
inteth1=192.168.103.2
con esta configuracion no hay problema de navegacion
subred1=192.168.103.0/24
dispositivo layer3 en sub red 1
conectividad entre las subredes 0 problema
pix-506 ubicado en la sub red 1 --------- proxylinux-iptables ubicado en sub red 1
inteth0=190.194.x.x inteth0=192.168.105.2 -------- ip usada para natear las 3 sub redes
proxy transparente escuchando en la ip 192.168.103.2:3128 -----de cara a la lan
con esta actual config solo puedo navegar de la sub red1 en donde se encuentran los dispositivos, pero desde las otras 2subredes nada de nada solo llegan hasta la ip 192.168.103.2 ( solo por ping ) y de ahi para adelante no
Aclaracion
despues dado qu el proxy realiza un primer nateo traduce la red (192.168.0.0/16) hacia la ip 192.168.103.2/29
y en el pix tengo un ip route inside 192.168.0.0/16 hacia 192.168.103.3/29 que es la ip conectada a su interfaz de cara al proxy
con lo cual lo natea hacia outside 190.187.x.x que la ip publica con que navegamos. supuestamente no se si yo este mal pero con lo que te dije aca navego y el proxy hace cache de la 1 subred no asi del resto de las redes.???
a todo esto el pix por desgracia no lo administro yo solo tiene acceso mi isp
actualmente para navegar a internet salgo de la siguiente manera
subred1=192.168.103.0/24
subred2=192.168.104.0/24
subred3=192.168.106.0/24
dispositivo layer3 en sub red 1
ip route 0.0.0.0 0.0.0.0 192.168.103.2
conectividad entre las subredes 0 problema
pix-506 ubicado en la sub red 1
inteth1=192.168.103.2
inteth0=190.194.x.x
nat =subred1, subred2, subred3
con esta configuracion no hay problema de navegacion
el problema surge con esta configuracion cuando instale un proxy linux-iptables miren
subred1=192.168.103.0/24
subred2=192.168.104.0/24
subred3=192.168.106.0/24
dispositivo layer3 en sub red 1
]
ip route 0.0.0.0 0.0.0.0 192.168.103.2
ip route 0.0.0.0 0.0.0.0 192.168.103.2
conectividad entre las subredes 0 problema
pix-506 ubicado en la sub red 1 --------- proxylinux-iptables ubicado en sub red 1
inteth1=192.168.105.3 ----ipadress inside inteth2=192.168.103.2 -------
conectividad por ping hacia las 3 subredes sin problema
conectividad por ping hacia las 3 subredes sin problema
inteth0=190.194.x.x inteth0=192.168.105.2 -------- ip usada para natear las 3 sub redes
proxy transparente escuchando en la ip 192.168.103.2:3128 -----de cara a la lan
con esta actual config solo puedo navegar de la sub red1 en donde se encuentran los dispositivos, pero desde las otras 2subredes nada de nada solo llegan hasta la ip 192.168.103.2 ( solo por ping ) y de ahi para adelante no
con iptraf verifico que esta pasando trafico de sde la subred1 hacia internet pero de las otras 2 nada de nada
las politicas del iptables las tenia en drop por defecto, las cambie a accept y tampoco se navega
le estoy dando vueltas al asunto y aun no logro dar con el problema,, se que a lo mejor la explicacionn que les doy es muy pobre pero a grandes rasgos eso es lo que hice
si alguien nota algo raro en lo que escribi agradecere su opinion ya que me puede llevar a a encontrar el error con el problema
mientras yo seguire quemando las pocas neuronas jajaja.
de antemano os agradezco su tiempo para leer este correo
Aclaracion
el iptables del proxy linux como lo tenes configuradosobre que distro -------------------------CENTOS 5
tenes algun router en medio? -------> no tengo rourter entre los 2 solo una conexion cruzada conla red 192.168.103.0/29
ese proxy lo tenes contra el PIX?
como los tenes conectados?
los rangos de subredes, como los habilitaste en el proxy y en el PIX?-------- en el proxy las tengo como una red global 192.168.0.0/16 ( asi me aseguro que entre cualquier segmento k configure tenga acceso,, se que no es lo correcto pero si me funciona ire mejorando esos parametros) y el nat por supuesto ( postrouting).
despues dado qu el proxy realiza un primer nateo traduce la red (192.168.0.0/16) hacia la ip 192.168.103.2/29
y en el pix tengo un ip route inside 192.168.0.0/16 hacia 192.168.103.3/29 que es la ip conectada a su interfaz de cara al proxy
con lo cual lo natea hacia outside 190.187.x.x que la ip publica con que navegamos. supuestamente no se si yo este mal pero con lo que te dije aca navego y el proxy hace cache de la 1 subred no asi del resto de las redes.???
a todo esto el pix por desgracia no lo administro yo solo tiene acceso mi isp
Respuesta
a ver.. si usas squid por dar un ejemplo muy comun
tenes que cumplir ciertos pasos y cierta logica para lograr que funcione una solucion de este tipo
(aplicable a cualquier otro tipo de proxy)
primero, levantar las funciones de proxy web correctamente en tu servidor
segundo, proceder con la configuracion de tus iptables
- convertir a tu server en un router para que redireccione las peticiones correctamente
- enviar todas las peticiones sobre el proceso nat o dnat correctamente
tercero, correr o crear y correr scripts apropiados para que todo ese funcione correctamente
+ crear acl's con origen lan que permitan a tus maquinas internas de tu lan pasar trafico y recibirlo
+ lograr que el proxy linux tenga acceso a tu localhost y a tu lan
+ sobre iptables crear reglas que forwardeen las peticiones que entran a tu red y las dirijan correctamente
+ apuntar todas tus maquinas locales hacia la interface que actua como gateway y lograr que dhcp redistribuya correctamente esa data
despues que armes en orden y bien todo eso
realizar pruebas para ver como responde el trafico a este proceso logico que estas implementando
sobre el firewall, tenes que tener acceso, el ISP no puede administar tu firewall...
el ISP solo configura las interfaces que conectan ese pix a su red para lograr servicios
pero el filtrado lo tenes que armar vos... sino es como darle una copia de la llave de tu casa a todo el mundo
cuando tengas acceso al firewall fijate como estan los puertos
los ISP cargan config's muy basicas en los pix 50x
amen que ese pix es viejo
mas alla de la config. de hardware y software
hay que tener una correcta comprension del proceso a desplegar
no pasa solo por habilitar o deshabilitar rangos de IP
tenes que cumplir ciertos pasos y cierta logica para lograr que funcione una solucion de este tipo
(aplicable a cualquier otro tipo de proxy)
primero, levantar las funciones de proxy web correctamente en tu servidor
segundo, proceder con la configuracion de tus iptables
- convertir a tu server en un router para que redireccione las peticiones correctamente
- enviar todas las peticiones sobre el proceso nat o dnat correctamente
tercero, correr o crear y correr scripts apropiados para que todo ese funcione correctamente
+ crear acl's con origen lan que permitan a tus maquinas internas de tu lan pasar trafico y recibirlo
+ lograr que el proxy linux tenga acceso a tu localhost y a tu lan
+ sobre iptables crear reglas que forwardeen las peticiones que entran a tu red y las dirijan correctamente
+ apuntar todas tus maquinas locales hacia la interface que actua como gateway y lograr que dhcp redistribuya correctamente esa data
despues que armes en orden y bien todo eso
realizar pruebas para ver como responde el trafico a este proceso logico que estas implementando
sobre el firewall, tenes que tener acceso, el ISP no puede administar tu firewall...
el ISP solo configura las interfaces que conectan ese pix a su red para lograr servicios
pero el filtrado lo tenes que armar vos... sino es como darle una copia de la llave de tu casa a todo el mundo
cuando tengas acceso al firewall fijate como estan los puertos
los ISP cargan config's muy basicas en los pix 50x
amen que ese pix es viejo
mas alla de la config. de hardware y software
hay que tener una correcta comprension del proceso a desplegar
no pasa solo por habilitar o deshabilitar rangos de IP
