Denis!!
è isso ai mesmo amigo!!
Brigadão cara, funcionou de cara, eu tava suspeitando de que seria uma rota,
mas nao fazia a minima de como por pra rolar!
Agora vou fazer um script organizado e comentado pra subir o firewall com a
dmz, e compilar as dicas que voce e os amigos aqui da lista me passaram,
assim posto aqui e vou postar tb no Vivaolinux.
Brigadaooo!!
On Monday 09 April 2007 17:42, Denis wrote:
> nas máquinas que estão na DMZ:
>
> route add -net 0/0 gw ip_firewall_dmz.
>
>
> Deve resolver.
>
> Abraço!
>
> Em 09/04/07, andnovelli<andre.ti@embalatec.com.br> escreveu:
> > Denis E amigos!
> >
> > Estou aqui para comentar sobre os progressos da minha curzada épica pra
> > fazer funcionar uma DMZ decente!!!!! rsrsrs.
> >
> > Bom,
> >
> > Tenho iptables rodando, politica padrão é drop.
> >
> > adicionei as regras do iptables pra liberar o acesso da lan pra dmz e
> > vice versa, adicionei as rotas necessarias, entao da maquina que ta na
> > dmz eu pingo qualquer maquina da lan, e de qualquer maquina da lan eu
> > pingo a maquina que ta na dmz.
> >
> > Até ai ta tudo beleza (graças às boas dicas do Denis e dos amigos aqui da
> > lista).
> >
> >
> > Acontece que a maquina da dmz precisa acessar a Internet tumein!
> > A internet é uma placa de rede com ip dinamico (posso ver se dá pra
> > fixar) eu habilitei o compartilhamento da net com o iptables conforme o
> > script abaixo:
> >
> > echo "Subindo modulos"
> > /sbin/modprobe ip_conntrack
> > /sbin/modprobe ipt_MASQUERADE
> > /sbin/modprobe ipt_LOG
> > /sbin/modprobe iptable_nat
> > /sbin/modprobe ipt_REDIRECT
> > #habilitando Ip forward
> > echo 1 > /proc/sys/net/ipv4/ip_forward
> > echo "[OK]"
> >
> >
> > echo "Inicializando as tabelas"
> > $IPT -F
> > $IPT -Z
> > $IPT -t nat -F
> > $IPT -P INPUT DROP
> > $IPT -t filter -P FORWARD DROP
> > $IPT -P OUTPUT ACCEPT
> > echo "[ok]"
> >
> > ################################
> > ## COMPARTILHAMENTO DE CONEXAO #
> > ################################
> > echo "Habilitando o compartilhamento da conexao de internet"
> > $IPT -t nat -A POSTROUTING -o $NET_IFACE -j MASQUERADE
> > echo "[OK]"
> >
> > ###############################
> > ## Configurando interface DMZ #
> > ###############################
> > echo "Subindo interface DMZ"
> > ifconfig $DMZ_IFACE $DMZ_IP_ADDR netmask 255.255.255.0 broadcast
> > 10.100.100.255
> > route add -net $DMZ_NET netmask 255.255.255.0 dev $DMZ_IFACE
> >
> > #liberando trafego entre DMZ e LAN
> > $IPT -I FORWARD -s 10.100.100.0/255.255.255.0 -i eth2 -d
> > 10.0.4.0/255.255.255.0 -o eth1 -j ACCEPT
> > $IPT -I FORWARD -s 10.0.4.0/255.255.255.0 -i eth1 -d
> > 10.100.100.0/255.255.255.0 -o eth2 -j ACCEPT
> >
> > echo "[OK]"
> >
> >
> >
> >
> >
> > Acontece que mesmo se eu alterar a politica padrao pra ACCEPT eu nao
> > consigo dar um ping pra nenhum site na internet, por exemplo o uol, pois
> > tenho como retorno a mensagem dizendo que a rede é inacessivel network is
> > unreachable
> >
> > ja tentei colocar as mesmas regras de liberação que estao para a DMZ
> > (alterando os parametros de rede e interfaces, claro) mas nao tive
> > sucesso!
> >
> > Alguma luz amigos?
> >
> > On Tuesday 03 April 2007 10:07, Denis wrote:
> > > Se as políticas estão com odrop vc vai precisar de:
> > >
> > > iptables -I FORWARD -s 10.0.100.0/sua_mascara -i eth2 -d
> > > 10.0.4.0/sua_mascara -o eth1 -j ACCEPT
> > >
> > > e
> > >
> > > iptables -I FORWARD -s 10.0.4.0/sua_mascara -i eth1 -d
> > > 10.0.100.0/sua_mascara -o eth2 -j ACCEPT
> > >
> > >
> > > Denis
> > >
> > > Em 03/04/07, andnovelli<andre.ti@embalatec.com.br> escreveu:
> > > > Opá denis!
> > > >
> > > > O iptables esta com as regras de firewall que existiam antes, vou dar
> > > > um flush e colocar accept em tudo, e testar se pinga normal.
> > > >
> > > > On Tuesday 03 April 2007 09:54, you wrote:
> > > > > Das máquinas da DMZ vc consegue pingar nas outras interfaces do
> > > > > firewall?
> > > > >
> > > > > E na net?
> > > > >
> > > > > Seu iptables está sem nenhuma regra, e as politicas estão como
> > > > > accept?
> > > > >
> > > > > iptables -L -n
> > > > >
> > > > > Para a máquina rotear, não é necessário colocar nenhuma regra no
> > > > > iptables.
> > > > >
> > > > >
> > > > >
> > > > > Denis
> > > > >
> > > > > Em 03/04/07, andnovelli<andre.ti@embalatec.com.br> escreveu:
> > > > > > Opa denis!
> > > > > >
> > > > > > Esta sim, o acesso a net ja etsa sendo feito, eu ainda nao
> > > > > > coloquei nehuma regra no iptables, to tentando fazer so um ping,
> > > > > > sera que precisa meter algo no iptables?
> > > > > >
> > > > > > Valew a força!
> > > > > >
> > > > > > On Tuesday 03 April 2007 09:40, you wrote:
> > > > > > > o ip forward está habilitado?
> > > > > > >
> > > > > > > echo 1 > /proc/sys/net/ipv4/ip_forward
> > > > > > >
> > > > > > > ?
> > > > > > >
> > > > > > > Em 03/04/07, andnovelli<andre.ti@embalatec.com.br> escreveu:
> > > > > > > > Opá!
> > > > > > > >
> > > > > > > > Sim esta! a maquina 10.0.100.90 tem gateway para 10.0.100.3
> > > > > > > >
> > > > > > > > On Tuesday 03 April 2007 09:25, Denis wrote:
> > > > > > > > > Suas máquinas da rede 10.0.100.0 têm que ter como gateway o
> > > > > > > > > ip 10.9.100.3
> > > > > > > > >
> > > > > > > > >
> > > > > > > > > Isso tá Ok?
> > > > > > > > >
> > > > > > > > >
> > > > > > > > > abraço.
> > > > > > > > >
> > > > > > > > > Em 03/04/07, andnovelli<andre.ti@embalatec.com.br> escreveu:
> > > > > > > > > > Pessoal,
> > > > > > > > > > dando prosseguimento ao pepino que estou tentando
> > > > > > > > > > resolver, parti pra solução que achei mais segura, que é
> > > > > > > > > > montar uma DMZ ( 3° placa de rede no firewall ).
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > > Espetei a dita placa de rede, configurei o IP da mesma,
> > > > > > > > > > ficando assim:
> > > > > > > > > >
> > > > > > > > > > NET - 200.x.x.88 - ETH0
> > > > > > > > > > LAN - 10.0.4.3 - ETH1
> > > > > > > > > > DMZ - 10.0.100.3 - ETH2
> > > > > > > > > >
> > > > > > > > > > O IP 10.0.4.3 é o gateway padrao da minha rede, todas as
> > > > > > > > > > estações tem ele configurado.
> > > > > > > > > >
> > > > > > > > > > quando eu pingo o 10.0.100.3 de uma estação, vai tudo ok,
> > > > > > > > > > mas quando eu pingo o ip de uma maquina, por exemplo
> > > > > > > > > > 10.0.100.90 da mesma estação, o mesmo nao pinga!
> > > > > > > > > >
> > > > > > > > > > o que poderia ser ??
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > > --
> > > > > > > > > > Andre Novelli
> > > > > > > > > > Depto de TI
> > > > > > > > > > +55 11 5534.0017
> > > > > > > > > > andre.ti@embalatec.com.br
> > > > > > > > > > www.embalatec.com.br
> > > > > > > >
> > > > > > > > --
> > > > > > > > Andre Novelli
> > > > > > > > Depto de TI
> > > > > > > > +55 11 5534.0017
> > > > > > > > andre.ti@embalatec.com.br
> > > > > > > > www.embalatec.com.br
> > > > > >
> > > > > > --
> > > > > > Andre Novelli
> > > > > > Depto de TI
> > > > > > +55 11 5534.0017
> > > > > > andre.ti@embalatec.com.br
> > > > > > www.embalatec.com.br
> > > >
> > > > --
> > > > Andre Novelli
> > > > Depto de TI
> > > > +55 11 5534.0017
> > > > andre.ti@embalatec.com.br
> > > > www.embalatec.com.br
> >
> > --
> > Andre Novelli
> > Depto de TI
> > +55 11 5534.0017
> > andre.ti@embalatec.com.br
> > www.embalatec.com.br
--
Andre Novelli
Depto de TI
+55 11 5534.0017
andre.ti@embalatec.com.br
www.embalatec.com.br