Fwd: Iptables com 1 placa de rede
Creio que o Guillermo me enviou por engano...
Segue para a lista para alimentar a discussão.
---------- Forwarded message ----------
From: Guillermo Pereyra Irujo <gpirujo@comtron.com.ar>
Date: 19/12/2005 18:57
Subject: Re: Iptables com 1 placa de rede
To: pmarc <paulomarcondes@gmail.com>
pmarc wrote:
> > estes ips são gateways de suas respectivas redes, mas são a mesma placa em
> > um firewall... é possível fazer esse roteamento?
>
> Acho que possível até é, porém, não é recomendável.
É possível, mas o que não é recomendável é a topologia da rede, não o
roteamento. Ter duas redes no mesmo switch não evita o trafico entre as
redes; qualquer usuário pode trocar seu endereço por um da outra rede e
automáticamente está nela; e se da á placa dois endereços, como faze
você com o router, está nas duas. Não é recomendável se você divide os
micros em duas redes para segurança, porque um usuário com um pouco de
conhecimento pode violar sua politica. Se você tem feito isso só pro
organização, não ha problema.
O roteamento e lógicamente o mesmo que o roteamento entre distintas
redes, só que os modificadores -i e -o não sirvem pois só aceitam
interfaces reais, é dizer, só eth0 e não eth0:1. Tem que fazer as regras
com os endereços de origem e destino. Em lugar de, por exemplo,
iptables -A FORWARD -i eth0 -o eth0:1 -p tcp --dport 445 -j ACCEPT
tem que fazer
iptables -A FORWARD -i eth0 -s 10.14.6.0/24 -o eth0 -d 192.168.1.0/24 \
-p tcp --dport 445 -j ACCEPT
Além disso, não é necessario fazer mais nada.
Todavia, cada pacote entre una rede e outra, se convertirá em dois, um
da origem ao router e outro do router ao destino, ambos sobre a mesma
rede física. Pense em unificar as redes ou em comprar outro switch se a
carga na rede se torna excessiva.
--
Guillermo Pereyra Irujo
Tandil, Argentina
--
Paulo Marcondes
PU2PIX/PU1
Debian GNU/Linux = http://rj.debianbrasil.org
Reply to: