[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Outras dúividas sobre iptables e roteamento



"Mas se então se eu não puder declarar o gateway da rede 10.203 como esta interface se comunicará com as redes das VLANs? "

Ele não precisa de gateway pois já está com IP configurado nessa própria rede e conectado diretamente nela.

E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma nova rota. O gateway padrão nada mais é do que uma rota que será usada quando nenhuma das outras rotas der jeito.

Em 6 de junho de 2012 10:18, Moksha Tux <govatux@gmail.com> escreveu:
Meu querido Eden!

Quanto tempo... rsrsrs estou amadurecendo cada vez mais no conceito de iptables e chegou a hora de fazer o meu humilde script funcionar mas estou deparando com uma outra barreira... o roteamento dos pacotes das VLANs. eu possuo em minha rede um switch router com 13 VLANs leventadas neles e uma das VLANs é uma rede que tem somente uma interface do roteador plugada nela, a VLAN 10.203. Possuo alguns IPs válidos aqui para trabalhar com serviços da internet e tudo que estou fazendo aqui é baseado nas configurações dos antigos roteadores que estão em produção (PF com OpenBSD). Não estou sabendo como bolar as rotas das redes das VLANs para que saiam para a internet, abaixo segue meu arquivo "interfaces" do Debian onde configuro toda a rede.


 allow-hotplug eth0
 iface eth0 inet static
        address 200.20.116.50
        netmask 255.255.255.192
        network 200.20.116.0
        broadcast 200.20.116.63
        gateway 200.20.116.1


 iface eth0:0 inet static
           address 200.20.116.52
           netmask 255.255.255.192

iface eth0:1 inet static
           address 200.20.116.53
           netmask 255.255.255.192

iface eth0:2 inet static
           address 200.20.116.54
           netmask 255.255.255.192


allow-hotplug eth1
 iface eth1 inet static
        address 10.203.0.2
        netmask 255.255.0.0
        network 10.203.0.0
        broadcast 10.203.255.255
        gateway 10.203.0.1
        route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1


allow-hotplug eth2
 iface eth2 inet static
        address 172.16.0.1
        netmask 255.255.0.0
        network 172.16.0.0
        broadcast 172.16.255.255


Devo dizer que no nosso switch route, o default gateway para onde as VLANS saem para a internet é a rede 10.203.0.1 por isso que declarei este endereço na eth1 e não o tradicional "10.0.0.1' pois essa configuração já estava assim desde o último administrador e está funcionando no atual roteador, eu estou desconfiando que o erro está em declarar dois gateways mas como devo fazer com as VLANs da rede 10? Desde já agradeço a ajuda e caso não possa me ajudar agradeço da mesma forma. Abraços,

Moksha





Em 5 de junho de 2012 22:51, Eden Caldas <edencaldas@gmail.com> escreveu:
Sim você suspeitou corretamente. Não se pode ter dois gateways.

Quando vocẽ seta um gateway no firewall, esse é o gateway DO firewall, e não do resto da rapaziada. Assim o firewall tem dois gateways para a internet, quando ele deveria ter um.

Agora, o firewall deve ser o gateway das redes vlans, e para ele ser isso, as redes precisam chegar nele de qualquer jeito, em qualquer ip que ele tenha.

Talvez isso já esteja acontecendo, e falta apenas fazer um SNAT / MASQUERADE para essas vlans todas e(ou) habilitar o roteamento com aquela linha echo 1 /proc/sys bla bla bla.

Estou vendo que você mandou o e-mail diretamente para mim. Melhor mandar pra lista para todos poderem ajudar e(ou) aprender.

Eden Caldas
Consultor de TI
eden@linuxfacil.srv.br
(81) 9747 4444
(81) 9653 7220
LINUX FÁCIL – Consultoria e Serviços em TI



---------- Mensagem encaminhada ----------
De: Moksha Tux <govatux@gmail.com>
Data: 6 de junho de 2012 10:07
Assunto: Re: Outras dúvidas sobre Iptables!
Para: Eden Caldas <edencaldas@gmail.com>


Muito obrigado pela resposta!

Me perdoe por ter escrito somente pro senhor, segue agora a minha resposta ao senhor para todo o forum. Eu fiz a regra no iptables que o senhor menciona segue abaixo:

wan="eth0"
int="eth1"
dmz="eth2"
rede_int="10.0.0.0/8"

echo "1" > /proc/sys/net/ipv4/ip_forward


e o compartilhamento de toda:

iptables -t nat -A POSTROUTING -s $rede_int  -o $wan -j SNAT --to-source 200.20.116.52
iptables -A FORWARD -i $int -s $rede_int -o $wan -j ACCEPT

poxa, com certeza quando eu informo ao firewall 10.0.0.0/8 eu estou informando toda a rede 10 não seria isso mesmo? Acredito que não teria a obrigação de informar cada VLAN o senhor não concorda? Mas se então se eu não puder declarar o gateway da rede 10.203 como esta interface se comunicará com as redes das VLANs? Grande abraço,

Moksha



Reply to: