hola a todos los amigos de esta comunidad, necesito su grandiosa ayuda con lo siguiente... Esta es mi configuracion con que tengo corriendo el iptables y squid.

#!/bin/sh
## SCRIPT de IPTABLES

echo -n Aplicando Reglas de Firewall...

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

## Empezamos a filtrar
## NOTA: eth0 es el interfaz conectado al router y eth1 a la LAN
# El localhost se deja
/sbin/iptables -A INPUT -i lo -j ACCEPT

# Al firewall tenemos acceso desde la red local
iptables -A INPUT -s 192.168.7.0/24 -i eth1 -j ACCEPT

# Habilitar Forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# Redirigir el trafico que entre por la interface interna (eth1)
# y que vaya con destino al puerto 80 (http) para que lo haga atravez
# del proxy squid (puerot: 3128)
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Hacemos NAT a todo el trafico distinto de HTTP (80)
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Permitir trafico entrante desde LAN hacia la maquina Linux
iptables -I INPUT 1 -s 192.168.7.0/24 -j ACCEPT

echo "OK. Verifique que lo que se aplica con: iptables -L -n"

# Fin del script

Hasta aqui todo funciona de lo mejor

El escenario es el siguiente, tengo un servicio speedy con un ip publica estatica xxx.xxx.xxx.xxx, un servidor donde tengo alojada mi pagina web "www.xxxxxxxxxx.com"

El inconveniente que tengo es que cuando intento accesar desde mi red a mi pagina web, me devuelve como respuesta, la pagina de acceso a mi modem router,
Que es lo que estoy haciendo mal???
Que lineas debo de agregar???

Un amigo me sugirió que haga un pequeño cambio en el archivos host del windows "C:\windows\system32\drivers\host" ingresando la direccion de mi pagina web. Este pequeño cambio lo tendria que hacer en algo mas de 80 pc's que son las que componen mi red.

OTROS DATOS
mi eth0 192.168.1.20
eth1 192.167.7.1

lan 192.168.7.2
mask 255.255.255.0
gateway 192.168.7.1
dns 200.48.225.130
200.48.225.146

mi ip statica xxx.xxx.xxx.xxx
mi pag. web www.xxxxxxxxxx.com

muchas gracias de antemano por su ayuda

tu pagina web esta resuelta por algun DNS, si no es asi levanta uno y que todas tus maquinas resuelvan sobre el y te evitas hinchar con el archivo hosts, que ademas cada vez que agregues algo tendrias que retocar cada.

Aqui hay un manual para que configures tu DNS, esta sencillo de comprender

Tu ya no deberias ver la pagina web de tu modem.

Tu servidor web esta delante del firewall?

O es parte de la red 192.168.7.0/24? O esta el servicio web en el firewall?

Necesito mas datos para darte una pista, pero, por lo que veo, tu modem debe ser la ip 192.168.1.1 y de alli la eth0 la 192.168.1.20

La eth1 la 192.168.7.1 y a partir del .2 seria tu LAN.

Esto significa que toda ru red LAN unicamente esta conectada a la eth1 y tiene la ip en formato 192.168.7.0/24 y por ello no hay manera de que puedas llegar a ver la pagina web del modem a menos que expresamente indiques la ruta http://192.168.1.1, porque sino, al tipear http://192.168.7.? deberias ver la pagina test de tu servidor web.

Hola miguel, todo lo que tu has dicho es cierto, toda mi configracion esta de la manera como lo describes, ahora quisiera que me aclares o expliques por que no puedo ver mi pagina web, que en mi caso tiene la ip 192.168.1.43 (ip publica 200.121.77.232) o como tu dices indicar la ruta. en que parte debo de agregar ese dato y cual seria la especificacion completa.

Disculpa por las preguntas, pero es que soy novato en todo esto, pero me gusta aprender.

de antemano muchas gracias

Verifica primero que tengas conectividad sin cortafuegos activo.Es decir, revisa si realmente funcionan los servidores DNS definidos en /etc/resolv.conf y si hay salida.

Configuración de Shorewall, que hace lo mismo que tu guión de cortafuegos. Instala descargando el tar.gz desde http://www.shorewall.net o bien, si usas Fedora solo haz yum install shorewall o bien si usas Red Hat o CentOS, instala el RPM de AL Server.

(NOTA: Todas la separaciones entre campos de los siguientes procedimientos, son tabuladores)

1) Edita /etc/shorewall/shorewall.conf, configura solamente:
2) Edita /etc/shorewall/zones, define antes de la última línea lo siguiente:
3) Edita /etc/shorewall/interfaces, define antes de la última línea lo siguiente:
4) Edita /etc/shorewall/policy, define antes de la última línea lo siguiente:
5)Edita /etc/shorewall/masq, define antes de la penúltima línea lo siguiente:
6)Edita /etc/shorewall/rules, define antes de la penúltima línea lo siguiente:
7) Ejecuta:

Por lo que veo, tu servidor web esta delante del firewall, por eso la IP 192.168.1.43 y eso significa que estando en tu red LAN de formato 192.168.7.0/24 al tipear http://192.168.1.43 deberias ya verlo.

Asumo que desde tu LAN puedes hacerle ping al servidor web asi comoque puedes salir a Internet.

Tendrias que configurar tu servidor web (no se si esta sobre Linux o Windows) para que publique el servicio sin añadirle ninguna IP origen sino unicamente el puerto TCP 80 y asi se veria tanto desde tu LAN como desde Internet.

Asumo que tu modem-router tiene el NAT necesario apuntando a la 192.168.1.43 al puerto 80 para poder verlo desde Internet.

Si por via IP es accesible, el tema DNS nombre-dominio seria luego.

MIGUEL.

no se que puedo estar haciendo mal, pero sigo con el mismo pequeño problema, tengo un proxy transparente montado con squid e iptables y tambien otro proxy para hacer pruebas montado con squid y shorewall ambos con CentOS 5.2, en los dos va igual el problema.

Estoy a su disposicion para seguir haciendo pruebas.

muchas gracias por su ayuda

Necesito datos:

En que has levantado el servidor web?
Esta delante del proxy conectado directo al modem-router?
Logras hacer ping al servidor web desde tu lan?
Sales a internet sin restricciones?


MIGUEL.

Hola Miguel C.

te doy los datos :

Tengo un servidor hp proliant con windows server 2003 - conectado directo al router la interface de este equipo es 192.168.1.43 al hacer ping obtengo respuesta desde cualquier pc, la ip publica donde esta alojado la web es el 200.121.77.232 que tambien cuando hago ping obtengo respuestas, pero dentro de mi red 192.168.7.xx cuando trato de ingresar a mi pagina me bota al web configurator del modem router - lo mismo sucede con la señal inalambrica 192.168.1.xx, tambien me bota al web configurator del modem, - dentro del servidor windows server 2003 logro navegar sin problemas, logro ver mi entorno de red, todas las tareas comunes las veo con normalidad.

espero te sirva para que me ayudes . gracias

Puedo inferir que tu servidor web con W2K3 esta delante de tu proxy-firewall, enchufado directo al modem-router compartiendose con el Linux.

Hay 2 posibilidades de corregir esto:

1- Haz una ruta estatica en el W2K3 para que sepa atender y/o llegar a la LAN 192.168.7.0/24 mediante:

route add 192.168.7.0 mask 255.255.255.0 192.168.7.1

Esto lo puedes pegar en un archivo ruta.bat

Imagino que al IIS lo has configurado en predeterminado para que escuche de cualquier interface y no necesariamente de su ethernet.

2- Si falla la posibilidad 1 entonces traslada, como corresponde, al W2K3 a la red LAN y ponle una IP del formato 192.168.7.0/24 puerta enlace 192.168.7.1 & DNS's de tu proveedor.

En tu script de iptables agrega:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to
192.168.7.?:80

Donde ? seria la IP que le asignes al W2K3 dentro de tu LAN. Esto con el fin de acceder desde Internet (exactamente desde el modem-router) a tu IIS.

Asumo que tu modem-router tendria un NAT del tipo 80--->192.168.1.20 para dejar entrar conexion web a tu IIS a traves de la eth0 de tu Linux.

La opcion 2 es la mejor manera de configurar servicios hacia internet porque esta detras del firewall-proxy y se halla defendida.

Con esto ya deberia andar.

MIGUEL.

Debo hacer una correccion a mi post anterior.

Escribi muy rapido la ruta estatica en el W2K3 y la puse incorrecta.

El valor correcto es:

route add 192.168.7.0 mask 255.255.255.0 192.168.1.20

MIGUEL.

Hola Miguel

He seguido tus dos procedimietos y aun nada, creo que ya voy a tirar la toalla...

no entiendo que sucede...