Re: Fwd: Iptables com 1 placa de rede
Oi Guilhermo:
Se o Switch aceitar a configuração de vlans pode sim usar um switch só. Ainda
mais se a vlan default estiver isolada.
Mas você tem razão. O maior problema em si é a falta de detalhes sobre a
topologia e o objetivo da rede como um todo. temos que saber como vai
funcionar a rede e para que vai funcionar a rede. Uma delas tem acesso a
internet? a outra vai acessar a internet por ela? Como são os clientes? Os
usuário tem acesso à configuração das máquinas clientes?
Em nenhum momento a segurança foi levantada como requisito. A pergunta era se
o ele iria precisar do NAT e do IPTABLES. A resposta é não. Ele vai precisar
configurar o roteamento entre as redes. Se ele disser que precisa fazer isso
com segurança, aí o IPTABLES entra como ferramenta, e talvez até o NAT. Mas
pelo que o Harlei descreveu o NAT em si deve ser feito por outra máquina com
acesso a Internet.
> É possível, mas o que não é recomendável é a topologia da rede, não o
> roteamento. Ter duas redes no mesmo switch não evita o trafico entre as
> redes; qualquer usuário pode trocar seu endereço por um da outra rede e
> automáticamente está nela;
De qualquer forma seu alerta é importante e deve ser levado em conta. Se a
segurançafor um item importante o que o Guilhermo falou é capital. Ainda mais
se em vez de Switch suas redes rodarem com HUB's.
Abraços, Artur.
Em Segunda 19 Dezembro 2005 19:04, pmarc escreveu:
> Creio que o Guillermo me enviou por engano...
> Segue para a lista para alimentar a discussão.
>
> ---------- Forwarded message ----------
> From: Guillermo Pereyra Irujo <gpirujo@comtron.com.ar>
> Date: 19/12/2005 18:57
> Subject: Re: Iptables com 1 placa de rede
> To: pmarc <paulomarcondes@gmail.com>
>
> pmarc wrote:
> > > estes ips são gateways de suas respectivas redes, mas são a mesma placa
> > > em um firewall... é possível fazer esse roteamento?
> >
> > Acho que possível até é, porém, não é recomendável.
>
> É possível, mas o que não é recomendável é a topologia da rede, não o
> roteamento. Ter duas redes no mesmo switch não evita o trafico entre as
> redes; qualquer usuário pode trocar seu endereço por um da outra rede e
> automáticamente está nela; e se da á placa dois endereços, como faze
> você com o router, está nas duas. Não é recomendável se você divide os
> micros em duas redes para segurança, porque um usuário com um pouco de
> conhecimento pode violar sua politica. Se você tem feito isso só pro
> organização, não ha problema.
>
> O roteamento e lógicamente o mesmo que o roteamento entre distintas
> redes, só que os modificadores -i e -o não sirvem pois só aceitam
> interfaces reais, é dizer, só eth0 e não eth0:1. Tem que fazer as regras
> com os endereços de origem e destino. Em lugar de, por exemplo,
>
> iptables -A FORWARD -i eth0 -o eth0:1 -p tcp --dport 445 -j ACCEPT
>
> tem que fazer
>
> iptables -A FORWARD -i eth0 -s 10.14.6.0/24 -o eth0 -d 192.168.1.0/24 \
> -p tcp --dport 445 -j ACCEPT
>
> Além disso, não é necessario fazer mais nada.
>
> Todavia, cada pacote entre una rede e outra, se convertirá em dois, um
> da origem ao router e outro do router ao destino, ambos sobre a mesma
> rede física. Pense em unificar as redes ou em comprar outro switch se a
> carga na rede se torna excessiva.
>
> --
> Guillermo Pereyra Irujo
> Tandil, Argentina
>
>
>
> --
> Paulo Marcondes
> PU2PIX/PU1
> Debian GNU/Linux = http://rj.debianbrasil.org
--
Artur F. Pimentel
Analista de Suporte
------------------------------
www.suam.edu.br
www.unisuam.edu.br
Reply to: