On 17 jun, 09:10, paulobruck1 <
paulobru...@gmail.com> wrote:
> Em Seg, 2008-06-16 às 14:15 -0700, Julio escreveu:
>
>
>
> > On 16 jun, 15:50, paulobruck1 <
paulobru...@gmail.com> wrote:
> > > Em Seg, 2008-06-16 às 11:03 -0700, Julio escreveu:
>
> > > > On 16 jun, 08:50, paulobruck1 <
paulobru...@gmail.com> wrote:
> > > > > Em Dom, 2008-06-15 às 20:03 -0700, Julio escreveu:
>
> > > > > > Olá pessoal. Sou novato aqui no grupo...
>
> > > > > olá
>
> > > > > veja abaixo:
>
> > > > > > Estou montando um gateway com debian etch, porém estou tendo
> > > > > > problemas.
> > > > > > Tenho 2 ADSLs da Brasil Telecom. Uma com IP Fixo e outra com IP
> > > > > > dinâmico (ambas tendo o gateway
201.24.160.254)
> > > > > > Quero compartilhar as 2...estou usando squid. Estou usando o iproute.
> > > > > > Mas o problemas mais difícil está com o MSN. Os clientes não conseguem
> > > > > > se conectar...erro 8000306.
> > > > > > Alguém sabe o que acontece?
> > > > > > Um resumo dos meus scripts...
>
> > > > > > Meu firewall...
> > > > > > #!/bin/bash
> > > > > > IF_PPP0=ppp0
> > > > > > IF_PPP1=ppp1
>
> > > > > > IF_ETH0=eth0
> > > > > > IF_ETH1=eth1
> > > > > > IF_ETH2=eth2
> > > > > > IF_ETH3=eth3
> > > > > > IF_ETH4=eth4
>
> > > > > > GW_PPP0=
201.24.160.254
> > > > > > GW_PPP1=
201.24.160.254
>
> > > > > > echo -n "Ativando o redirecionamento no kernel
> > > > > > -------------------------------------------"
> > > > > > echo 1 > /proc/sys/net/ipv4/ip_forward
> > > > > > echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
> > > > > > echo "OK!"
>
> > > > > > #Ativa acessos que podem ir de uma interface mas que voltam por outra
> > > > > > echo 0 > /proc/sys/net/ipv4/conf/ppp0/rp_filter
> > > > > > echo 0 > /proc/sys/net/ipv4/conf/ppp1/rp_filter
>
> > > > > > echo -n "Registrando e dropando novas conexões de fora
> > > > > > ----------------------------------"
> > > > > > iptables -A INPUT -i ppp+ -m state --state ! ESTABLISHED,RELATED -j
> > > > > > DROP
> > > > > > echo "OK!"
>
> > > > > > #Habilitando proxy transparente com squid
> > > > > > echo -n "Ativando proxy transparente com squid
> > > > > > ----------------------------------------"
> > > > > > iptables -t nat -A PREROUTING -i eth+ -p tcp --dport 80 -j REDIRECT --
> > > > > > to-port 3128
> > > > > > echo "OK!"
>
> > > > > > #Liberando acesso das conexões de entrada já estabelecidas
> > > > > > echo -n "Liberando acesso às conexões já estabelecidas
> > > > > > ---------------------------------"
> > > > > > iptables -A INPUT -i ppp+ -m state --state RELATED,ESTABLISHED -j
> > > > > > ACCEPT
> > > > > > echo "OK!"
>
> > > > > > echo -n "Bloqueando pacotes fragmentados
> > > > > > -----------------------------------------------"
> > > > > > iptables -A INPUT -i ppp0 -f -j LOG --log-prefix "Pacote fragmentado:
> > > > > > "
> > > > > > iptables -A INPUT -i ppp0 -f -j DROP
> > > > > > iptables -A INPUT -i ppp1 -f -j LOG --log-prefix "Pacote Fragmentado:
> > > > > > "
> > > > > > iptables -A INPUT -i ppp1 -f -j DROP
> > > > > > echo "OK!"
>
> > > > > > #Bloqueando ataques do tipo SPOOF de IP
> > > > > > echo -n "Bloqueando IP spoofing
> > > > > > ---------------------------------------------------------"
> > > > > > iptables -A INPUT -i ppp+ -s
10.0.0.0/8 -j DROP
> > > > > > iptables -A INPUT -i ppp+ -s
172.16.0.0/12 -j DROP
> > > > > > iptables -A INPUT -i ppp+ -s
192.168.0.0/16 -j DROP
> > > > > > iptables -A INPUT -i ppp+ -s
224.0.0.0/4 -j DROP
> > > > > > iptables -A INPUT -i ppp+ -s
240.0.0.0/5 -j DROP
> > > > > > echo "OK!"
>
> > > > > > echo -n "Mantendo conexões ativas
> > > > > > -----------------------------------------------------"
> > > > > > iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
> > > > > > echo "OK!"
>
> > > > > > #Fazendo mascaramento (compartilhamento da conexão)
> > > > > > echo -n "Compartilhando conexões ADSL
> > > > > > -----------------------------------------------"
> > > > > > iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
> > > > > > iptables -t nat -A POSTROUTING -o ppp1 -j SNAT --to-
> > > > > > source=
189.72.198.12
> > > > > > echo "OK!"
>
> > > > > > # Desabilitando o filtro de pacotes do martian source
> > > > > > echo -n "Desligando rp_filter
> > > > > > ------------------------------------------------------"
>
> > > > > > for eee in /proc/sys/net/ipv4/conf/*/rp_filter; do
> > > > > > echo 0 > $eee
> > > > > > done
>
> > > > > > echo "OK!"
>
> > > > > > Esta é parte que aplica as regras nas tabelas de roteamento...Faz
> > > > > > balanceamento de carga.
> > > > > > Sei que o MSN tem q ser autenticado usando somente uma interface, mas
> > > > > > não sei como restringir isso.
>
> > > > > > #!/bin/bash
>
> > > > > > #Variáveis
> > > > > > GW_PPP0=
201.24.160.254
> > > > > > GW_PPP1=
201.24.160.254
>
> > > > > > IP_PPP1=189.72.x.x #IP Fixo
>
> > > > > > IF_PPP0=ppp0
> > > > > > IF_PPP1=ppp1
>
> > > > > > T_PPP0=200
> > > > > > T_PPP1=201
>
> > > > > > ip route del default
>
> > > > > > iptables -t mangle -A PREROUTING -p tcp -d
64.70.45.46 -j MARK --set-
> > > > > > mark 1 #Porta MSN
>
> > > > > vc tem que marcar o destino da porta MSN ( que pelo que eu lembro é
> > > > > 1863, mas é bom checar isto...) tambem sendo +- assim:
> > > > > iptables -t mangle -A PREROUTING -p tcp -dport 1863 -j MARK --set-
> > > > > mark 1 #Porta MSN
>
> > > > > good firewalling
>
> > > > > []s
>
> > > > > > iptables -t mangle -A OUTPUT -p tcp --dport 443 -j MARK --set-mark 1
> > > > > > iptables -t mangle -A PREROUTING -p tcp --dport 1863 -j MARK --set-
> > > > > > mark 1
>
> > > > > > ip rule add fwmark 1 table $T_PPP0 prio 1
>
> > > > > > ip route add $GW_PPP0 dev $IF_PPP0 table $T_PPP0
> > > > > > ip route add default via $GW_PPP0 dev $IF_PPP0 table $T_PPP0
>
> > > > > > ip route add $GW_PPP1 dev $IF_PPP1 table $T_PPP1
> > > > > > ip route add default via $GW_PPP1 dev $IF_PPP1 table $T_PPP1
>
> > > > > > ip route add default nexthop via $GW_PPP0 dev $IF_PPP0 weight 1
> > > > > > nexthop via $GW_PPP1 dev $IF_PPP1 weight 1
>
> > > > > > meu arquivo /etc/iproute2/rt_tables
>
> > > > > > #
> > > > > > # reserved values
> > > > > > #
> > > > > > #
> > > > > > 255 local
> > > > > > 254 main
> > > > > > 253 default
> > > > > > 0 unspec
> > > > > > #
> > > > > > # local
> > > > > > #
> > > > > > #1 inr.ruhep
> > > > > > 200 PPP0
> > > > > > 201 PPP1
>
> > > > > > Alguém tem alguma idéia de como resolver isso?
>
> > > > > --
> > > > > Paulo Ricardo Bruck - consultor
> > > > > tel 011 5031-4932 011 5034-1732 cel011 9235-4327
> > > > > Contato Global S|olutionshttp://
www.contato.com.br
>
> > > > > --
> > > > > To UNSUBSCRIBE, email to
debian-user-portuguese-REQU...@lists.debian.org
> > > > > with a subject of "unsubscribe". Trouble? Contact
listmas...@lists.debian.org
>
> > > > Sim, mas foi isso que eu fiz. Marquei a porta para ser roteada pela
> > > > tabela específica:
>
> > > > iptables -t mangle -A PREROUTING -p tcp --dport 1863 -j MARK --set-
> > > > mark 1
>
> > > oppps desculpe agora eu ví que vc colocou a regra corretamente...
>
> > > Bem tive o mesmo problema e desistí... comecei a utilizar o CONNMARK
> > > juntamente com o MARK, mas cara fiquei apanhando 3 semanas para deixar
> > > tudo redondinho..... e tem coisas que ainda me surpreeendem..
>
> > > bem como o seu caso é só o MSN vc pode criar uma regras assim:
>
> > > ip rule add to
64.70.45.46 table PPP0
> > > mas infelizmente é somente por IP , ele não aceita portas......
> > > se o MSN mudar deste IP aí não tem jeito desta maneira
>
> > > veja na lista do netfilter que este tema vira e mexe aparece com outros
> > > tipos de solução usando o MARK e o CONNMARK.
>
> olá Julio
>
> bem seguem alguns links que me ajudaram a entender um pouco o CONNMARK e
> o MARK:
http://iptables-tutorial.frozentux.net/( clássico todos deveriam ler)
http://lists.netfilter.org/pipermail/netfilter/2005-February/058874.html
>
> []s
>
>
>
>
>
> > > []s
>
> > > --
> > > To UNSUBSCRIBE, email to
debian-user-portuguese-REQU...@lists.debian.org
> > > with a subject of "unsubscribe". Trouble? Contact
listmas...@lists.debian.org
>
> > Pois é Paulo. Como você viu, o negócio é complicado. Já faz 2 meses
> > que tô nessa...rs
> > Mas o resto funciona tranquilo. Uso o iptraf para ver o tráfego. Ele
> > balanceia sem problemas. Vejo os pacotes saindo da ppp0 e ppp1 com
> > balanceamento...
> > O problema é só com o MSN mesmo. Sites de banco também tem problema,
> > pois eles validam mudança de IP.
> > Agora o CONNMARK, funciona como?
> > Serve para eu identificar que uma conexão vai usar sempre a mesma
> > rota, até ser finalizada?
> > Por exemplo, ao usar sites de banco (Bradesco):
> > iptables -t mangle -A PREROUTING -d
200.155.88.15 -j CONNMARK --set-
> > mark 1
> > e depois...
> > iptables -t mangle -A PREROUTING -d
200.155.88.15 -j CONNMARK --save-
> > mark
>
> > Seria só isso? Acho q não entendi como se usa direito...rs
>
> > Ou poderia fazer assim: Usar sempre conexões com mesma rota
> > (Independentes de onde venha, ou pra onde vão...):
> > iptables -t mangle -A PREROUTING -d 0/0 -j CONNMARK --set-mark 1
> > iptables -t mangle -A PREROUTING -d 0/0 -j CONNMARK --save-mark
>
> > Tá certo o raciocínio?
>
> > Li algumas coisas aqui:
>
> >
http://security.maruhn.com/iptables-tutorial/x9125.html
>
> > Agora aquela idéia do IP do MSN não deu certo (ip rule add to
> >
64.70.45.46 table PPP0). Acho que ele usa outros IPs para
> > autenticação...Pelo menos é o que parece.
>
> --
> To UNSUBSCRIBE, email to
debian-user-portuguese-REQU...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
listmas...@lists.debian.org