[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Outras dúividas sobre iptables e roteamento

Prezados amigos!

Hoje foi o segundo dia de funcionamento da rede aqui do trabalho mas já com o iptables rodando e todos notando uma considerável rapidez na conexão da internet. Só não gostei de uma coisa... no roteador antigo  (OpenBSD com PF) acontecia uma coisa bem interessante os servidores de serviços externos para internet que ficam na DMZ a saber Web, File entre outros possuíam um ip da DMZ em suas placas de redes e um ip público declarado no roteador/firewall mas e rede interna (rede 10) só se comunicava com estes servidores através da rede da DMZ unicamente e a rede "pública" só se era possível acessá-la fora da rede daqui do trabalho. Quando eu botei o Iptables tive uma decepção ao notar que quando eu digitava um ip público de um servidor que estava na DMZ de dentro da rede 10 a página era aberta, ou seja, concluí que os pacotes estão saindo e voltando para a rede 10 o que não acontecia com o antigo roteador, ele separava bem os papéis, rede interna consulta a DMZ e a rede externa somente é consultada por acesso externo. Como eu posso resolver isto? Abraços,

Moksha 

Em 12 de junho de 2012 11:24, Eden Caldas <edencaldas@gmail.com> escreveu:
Boa!

Em 11 de junho de 2012 20:59, Moksha Tux <govatux@gmail.com> escreveu:

Queridos Eden Caldas e Paulo Ricardo!!!

Realmente os senhores estavam cobertos de razão, depois que adicionei a rota estática, exemplificada pelo nobre Paulo Ricardo, o meu tão sonhado e esperado script de fariwall e roteador está funcionando e bem rapidinho. Só não estou gostando que a regra de retorno de pacote não está funcionando eu tenho que liberar a conexão indo e vindo do firewall mas amanhã irei me debruçar sobre isso para me aprofundar. Mil vezes obrigado a vcs pelo carinho e atenção. Abraços,

Moksha

Em 8 de junho de 2012 10:57, Moksha Tux <govatux@gmail.com> escreveu:

Ah! Sim, agora entendi. Que cabeçudo eu sou... Na segunda trago novidades a todos vcs. Abraços,

Moksha

Em 7 de junho de 2012 22:29, Eden Caldas <edencaldas@gmail.com> escreveu:

Do jeito que você colocou seria se fosse feito direto na linha de comando.


Em 7 de junho de 2012 21:51, Moksha Tux <govatux@gmail.com> escreveu:

Do jeito que eu coloquei não funcionou mas na segunda irei testar da forma que o Paulo Ricardo aconselhou.

Moksha

Em 7 de junho de 2012 19:37, Eden Caldas <edencaldas@gmail.com> escreveu:

Moksha

Quando eu li seu e-mail pensei exatamente o que Paulo Ricardo respondeu.

Colocando da forma que você colocou no interfaces, está funcionando?

Verifica com o comando route -n


Em 7 de junho de 2012 12:47, Moksha Tux <govatux@gmail.com> escreveu:

Prezado Paulo Ricardo!

Muito obrigado pela sua resposta, esse comando eu coloquei realmente abaixo da interface onde gostaria adicionar esta rota mas pelo que vi no seu e-mail o comando não era adequado, o estranho é que esse comando que usei ( route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 ) eu pesquisei na internet e dos diversos exemplos que olhei, este mesmo comando se encontrava no arquivo interfaces e abaixo da interface desejada. Mas de qualquer forma muito obrigado pela sua valorosa ajuda. Abraços,

Moksha

Em 7 de junho de 2012 10:54, Paulo Ricardo Bruck <pauloric@contatogs.com.br> escreveu:

Bom dia

----- Mensagem original -----
> De: "Moksha Tux" <govatux@gmail.com>
> Para: "Eden Caldas" <edencaldas@gmail.com>
> Cc: "Forum Debian" <debian-user-portuguese@lists.debian.org>
> Enviadas: Quarta-feira, 6 de Junho de 2012 22:49:50
> Assunto: Re: Outras dúividas sobre iptables e roteamento
> Grande Eden!
>
> E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma
> nova rota.
>
> Então a linha que adicionei no arquivo "interfaces" que aparece abaixo
> parece não estar adiantando e isso retirando o gateway da rede 10.203
> veja:
>
> route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 .

ok eu não segui todo o histórico m as se vc quer adicionar rotas estaticas no arquivo /etc/network/interfaces ao menos saiba como fazer da forma correta...  man interfaces  na parte IFACE OPTIONS


ok se vc não sabia ou não leu o man, a maneira correta é colocar debaixo da interface que vc deseja:

               up route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 || true

 mas dê preferencia para o modelo de rotas do man iproute

                up iproute add 10.0.0.0/24 via 10.203.0.1 dev eth1 || true

ats





>
> Note que estou adicionando o acesso a toda rede 10 mas mesmo assim as
> outras VLANs não estão tendo acesso ao firewall mas somente a rede
> 10.203. Será que eu devo incluir rota estática para cada vlan? A saber
> 10.10, 10.100, 10.200, etc... ?
>
> Moksha
>
>
> Em 6 de junho de 2012 14:15, Eden Caldas < edencaldas@gmail.com >
> escreveu:
>
>
>
> "Mas se então se eu não puder declarar o gateway da rede 10.203 como
> esta interface se comunicará com as redes das VLANs? "
>
> Ele não precisa de gateway pois já está com IP configurado nessa
> própria rede e conectado diretamente nela.
>
> E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma
> nova rota. O gateway padrão nada mais é do que uma rota que será usada
> quando nenhuma das outras rotas der jeito.
>
>
> Em 6 de junho de 2012 10:18, Moksha Tux < govatux@gmail.com >
> escreveu:
>
>
>
>
> Meu querido Eden!
>
> Quanto tempo... rsrsrs estou amadurecendo cada vez mais no conceito de
> iptables e chegou a hora de fazer o meu humilde script funcionar mas
> estou deparando com uma outra barreira... o roteamento dos pacotes das
> VLANs. eu possuo em minha rede um switch router com 13 VLANs
> leventadas neles e uma das VLANs é uma rede que tem somente uma
> interface do roteador plugada nela, a VLAN 10.203. Possuo alguns IPs
> válidos aqui para trabalhar com serviços da internet e tudo que estou
> fazendo aqui é baseado nas configurações dos antigos roteadores que
> estão em produção (PF com OpenBSD). Não estou sabendo como bolar as
> rotas das redes das VLANs para que saiam para a internet, abaixo segue
> meu arquivo "interfaces" do Debian onde configuro toda a rede.
>
>
> allow-hotplug eth0
> iface eth0 inet static
> address 200.20.116.50
> netmask 255.255.255.192
> network 200.20.116.0
> broadcast 200.20.116.63
> gateway 200.20.116.1
>
> iface eth0:0 inet static
> address 200.20.116.52
> netmask 255.255.255.192
>
> iface eth0:1 inet static
> address 200.20.116.53
> netmask 255.255.255.192
>
> iface eth0:2 inet static
> address 200.20.116.54
> netmask 255.255.255.192
>
>
> allow-hotplug eth1
> iface eth1 inet static
> address 10.203.0.2
> netmask 255.255.0.0
> network 10.203.0.0
> broadcast 10.203.255.255
> gateway 10.203.0.1
> route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1
>
> allow-hotplug eth2
> iface eth2 inet static
> address 172.16.0.1
> netmask 255.255.0.0
> network 172.16.0.0
> broadcast 172.16.255.255
>
> Devo dizer que no nosso switch route, o default gateway para onde as
> VLANS saem para a internet é a rede 10.203.0.1 por isso que declarei
> este endereço na eth1 e não o tradicional "10.0.0.1' pois essa
> configuração já estava assim desde o último administrador e está
> funcionando no atual roteador, eu estou desconfiando que o erro está
> em declarar dois gateways mas como devo fazer com as VLANs da rede 10?
> Desde já agradeço a ajuda e caso não possa me ajudar agradeço da mesma
> forma. Abraços,
>
> Moksha
>
>
>
>
>
> Em 5 de junho de 2012 22:51, Eden Caldas < edencaldas@gmail.com >
> escreveu:
> Sim você suspeitou corretamente. Não se pode ter dois gateways.
>
> Quando vocẽ seta um gateway no firewall, esse é o gateway DO firewall,
> e não do resto da rapaziada. Assim o firewall tem dois gateways para a
> internet, quando ele deveria ter um.
>
> Agora, o firewall deve ser o gateway das redes vlans, e para ele ser
> isso, as redes precisam chegar nele de qualquer jeito, em qualquer ip
> que ele tenha.
>
> Talvez isso já esteja acontecendo, e falta apenas fazer um SNAT /
> MASQUERADE para essas vlans todas e(ou) habilitar o roteamento com
> aquela linha echo 1 /proc/sys bla bla bla.
>
> Estou vendo que você mandou o e-mail diretamente para mim. Melhor
> mandar pra lista para todos poderem ajudar e(ou) aprender.
>
> Eden Caldas
> Consultor de TI
> eden@linuxfacil.srv.br
> (81) 9747 4444
> (81) 9653 7220
> LINUX FÁCIL – Consultoria e Serviços em TI
>
>
>
> ---------- Mensagem encaminhada ----------
> De: Moksha Tux < govatux@gmail.com >
> Data: 6 de junho de 2012 10:07
> Assunto: Re: Outras dúvidas sobre Iptables!
> Para: Eden Caldas < edencaldas@gmail.com >
>
>
> Muito obrigado pela resposta!
>
> Me perdoe por ter escrito somente pro senhor, segue agora a minha
> resposta ao senhor para todo o forum. Eu fiz a regra no iptables que o
> senhor menciona segue abaixo:
>
>
> wan="eth0"
> int="eth1"
> dmz="eth2"
> rede_int=" 10.0.0.0/8 "
>
> echo "1" > /proc/sys/net/ipv4/ip_forward
>
> e o compartilhamento de toda:
>
> iptables -t nat -A POSTROUTING -s $rede_int -o $wan -j SNAT
> --to-source 200.20.116.52
> iptables -A FORWARD -i $int -s $rede_int -o $wan -j ACCEPT
>
> poxa, com certeza quando eu informo ao firewall 10.0.0.0/8 eu estou
> informando toda a rede 10 não seria isso mesmo? Acredito que não teria
> a obrigação de informar cada VLAN o senhor não concorda? Mas se então
> se eu não puder declarar o gateway da rede 10.203 como esta interface
> se comunicará com as redes das VLANs? Grande abraço,
>
> Moksha

--
Paulo Ricardo Bruck
Consultor Linux
cel 011 9235-4327 tel 011 3596-4881/4882
http://www.contatogs.com.br
skype: suportecontatogs


--
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Archive: [🔎] 811145381.2.1339077292791.JavaMail.root@mercurio.contatogs.com.br" target="_blank">http://lists.debian.org/[🔎] 811145381.2.1339077292791.JavaMail.root@mercurio.contatogs.com.br









Reply to: