[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Outras dúividas sobre iptables e roteamento



Moksha

Quando eu li seu e-mail pensei exatamente o que Paulo Ricardo respondeu.

Colocando da forma que você colocou no interfaces, está funcionando?

Verifica com o comando route -n


Em 7 de junho de 2012 12:47, Moksha Tux <govatux@gmail.com> escreveu:
Prezado Paulo Ricardo!

Muito obrigado pela sua resposta, esse comando eu coloquei realmente abaixo da interface onde gostaria adicionar esta rota mas pelo que vi no seu e-mail o comando não era adequado, o estranho é que esse comando que usei ( route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 ) eu pesquisei na internet e dos diversos exemplos que olhei, este mesmo comando se encontrava no arquivo interfaces e abaixo da interface desejada. Mas de qualquer forma muito obrigado pela sua valorosa ajuda. Abraços,

Moksha

Em 7 de junho de 2012 10:54, Paulo Ricardo Bruck <pauloric@contatogs.com.br> escreveu:

Bom dia

----- Mensagem original -----
> De: "Moksha Tux" <govatux@gmail.com>
> Para: "Eden Caldas" <edencaldas@gmail.com>
> Cc: "Forum Debian" <debian-user-portuguese@lists.debian.org>
> Enviadas: Quarta-feira, 6 de Junho de 2012 22:49:50
> Assunto: Re: Outras dúividas sobre iptables e roteamento
> Grande Eden!
>
> E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma
> nova rota.
>
> Então a linha que adicionei no arquivo "interfaces" que aparece abaixo
> parece não estar adiantando e isso retirando o gateway da rede 10.203
> veja:
>
> route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 .

ok eu não segui todo o histórico m as se vc quer adicionar rotas estaticas no arquivo /etc/network/interfaces ao menos saiba como fazer da forma correta...  man interfaces  na parte IFACE OPTIONS


ok se vc não sabia ou não leu o man, a maneira correta é colocar debaixo da interface que vc deseja:

               up route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 || true

 mas dê preferencia para o modelo de rotas do man iproute

                up iproute add 10.0.0.0/24 via 10.203.0.1 dev eth1 || true

ats





>
> Note que estou adicionando o acesso a toda rede 10 mas mesmo assim as
> outras VLANs não estão tendo acesso ao firewall mas somente a rede
> 10.203. Será que eu devo incluir rota estática para cada vlan? A saber
> 10.10, 10.100, 10.200, etc... ?
>
> Moksha
>
>
> Em 6 de junho de 2012 14:15, Eden Caldas < edencaldas@gmail.com >
> escreveu:
>
>
>
> "Mas se então se eu não puder declarar o gateway da rede 10.203 como
> esta interface se comunicará com as redes das VLANs? "
>
> Ele não precisa de gateway pois já está com IP configurado nessa
> própria rede e conectado diretamente nela.
>
> E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma
> nova rota. O gateway padrão nada mais é do que uma rota que será usada
> quando nenhuma das outras rotas der jeito.
>
>
> Em 6 de junho de 2012 10:18, Moksha Tux < govatux@gmail.com >
> escreveu:
>
>
>
>
> Meu querido Eden!
>
> Quanto tempo... rsrsrs estou amadurecendo cada vez mais no conceito de
> iptables e chegou a hora de fazer o meu humilde script funcionar mas
> estou deparando com uma outra barreira... o roteamento dos pacotes das
> VLANs. eu possuo em minha rede um switch router com 13 VLANs
> leventadas neles e uma das VLANs é uma rede que tem somente uma
> interface do roteador plugada nela, a VLAN 10.203. Possuo alguns IPs
> válidos aqui para trabalhar com serviços da internet e tudo que estou
> fazendo aqui é baseado nas configurações dos antigos roteadores que
> estão em produção (PF com OpenBSD). Não estou sabendo como bolar as
> rotas das redes das VLANs para que saiam para a internet, abaixo segue
> meu arquivo "interfaces" do Debian onde configuro toda a rede.
>
>
> allow-hotplug eth0
> iface eth0 inet static
> address 200.20.116.50
> netmask 255.255.255.192
> network 200.20.116.0
> broadcast 200.20.116.63
> gateway 200.20.116.1
>
> iface eth0:0 inet static
> address 200.20.116.52
> netmask 255.255.255.192
>
> iface eth0:1 inet static
> address 200.20.116.53
> netmask 255.255.255.192
>
> iface eth0:2 inet static
> address 200.20.116.54
> netmask 255.255.255.192
>
>
> allow-hotplug eth1
> iface eth1 inet static
> address 10.203.0.2
> netmask 255.255.0.0
> network 10.203.0.0
> broadcast 10.203.255.255
> gateway 10.203.0.1
> route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1
>
> allow-hotplug eth2
> iface eth2 inet static
> address 172.16.0.1
> netmask 255.255.0.0
> network 172.16.0.0
> broadcast 172.16.255.255
>
> Devo dizer que no nosso switch route, o default gateway para onde as
> VLANS saem para a internet é a rede 10.203.0.1 por isso que declarei
> este endereço na eth1 e não o tradicional "10.0.0.1' pois essa
> configuração já estava assim desde o último administrador e está
> funcionando no atual roteador, eu estou desconfiando que o erro está
> em declarar dois gateways mas como devo fazer com as VLANs da rede 10?
> Desde já agradeço a ajuda e caso não possa me ajudar agradeço da mesma
> forma. Abraços,
>
> Moksha
>
>
>
>
>
> Em 5 de junho de 2012 22:51, Eden Caldas < edencaldas@gmail.com >
> escreveu:
> Sim você suspeitou corretamente. Não se pode ter dois gateways.
>
> Quando vocẽ seta um gateway no firewall, esse é o gateway DO firewall,
> e não do resto da rapaziada. Assim o firewall tem dois gateways para a
> internet, quando ele deveria ter um.
>
> Agora, o firewall deve ser o gateway das redes vlans, e para ele ser
> isso, as redes precisam chegar nele de qualquer jeito, em qualquer ip
> que ele tenha.
>
> Talvez isso já esteja acontecendo, e falta apenas fazer um SNAT /
> MASQUERADE para essas vlans todas e(ou) habilitar o roteamento com
> aquela linha echo 1 /proc/sys bla bla bla.
>
> Estou vendo que você mandou o e-mail diretamente para mim. Melhor
> mandar pra lista para todos poderem ajudar e(ou) aprender.
>
> Eden Caldas
> Consultor de TI
> eden@linuxfacil.srv.br
> (81) 9747 4444
> (81) 9653 7220
> LINUX FÁCIL – Consultoria e Serviços em TI
>
>
>
> ---------- Mensagem encaminhada ----------
> De: Moksha Tux < govatux@gmail.com >
> Data: 6 de junho de 2012 10:07
> Assunto: Re: Outras dúvidas sobre Iptables!
> Para: Eden Caldas < edencaldas@gmail.com >
>
>
> Muito obrigado pela resposta!
>
> Me perdoe por ter escrito somente pro senhor, segue agora a minha
> resposta ao senhor para todo o forum. Eu fiz a regra no iptables que o
> senhor menciona segue abaixo:
>
>
> wan="eth0"
> int="eth1"
> dmz="eth2"
> rede_int=" 10.0.0.0/8 "
>
> echo "1" > /proc/sys/net/ipv4/ip_forward
>
> e o compartilhamento de toda:
>
> iptables -t nat -A POSTROUTING -s $rede_int -o $wan -j SNAT
> --to-source 200.20.116.52
> iptables -A FORWARD -i $int -s $rede_int -o $wan -j ACCEPT
>
> poxa, com certeza quando eu informo ao firewall 10.0.0.0/8 eu estou
> informando toda a rede 10 não seria isso mesmo? Acredito que não teria
> a obrigação de informar cada VLAN o senhor não concorda? Mas se então
> se eu não puder declarar o gateway da rede 10.203 como esta interface
> se comunicará com as redes das VLANs? Grande abraço,
>
> Moksha

--
Paulo Ricardo Bruck
Consultor Linux
cel 011 9235-4327 tel 011 3596-4881/4882
http://www.contatogs.com.br
skype: suportecontatogs


--
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Archive: [🔎] 811145381.2.1339077292791.JavaMail.root@mercurio.contatogs.com.br" target="_blank">http://lists.debian.org/[🔎] 811145381.2.1339077292791.JavaMail.root@mercurio.contatogs.com.br




Reply to: