Re: Problema / Dúvida regra iptables para internet e VPN

[PaulinhoLinux <phga1@yahoo.com.br>]

Muito obrigado pela ajuda, vou realizar alguns testes aqui e envio um e-mail comentando os resultados.

Até mais !!

-----------------------------------------------------------------------------------------------------------------------
PaulinhoLinux

e-mail.... paulinholinux arroba yahoo ponto com ponto br
skype.... paulinholinux 

"Ter problemas na vida é inevitável,
ser derrotado por eles é opcional."
-----------------------------------------------------------------------------------------------------------------------

---

De: Linux Polegato <linux@juniorpolegato.com.br>
Para: PaulinhoLinux <phga1@yahoo.com.br>
Cc: Lista Debian-user <debian-user-portuguese@lists.debian.org>
Enviadas: Domingo, 7 de Abril de 2013 21:25
Assunto: Re: Problema / Dúvida regra iptables para internet e VPN

Olá!

Creio que estejam os equipamentos locais na eth2, correto?

Então o roteamento será:

# Fazer com que cada pacote que sai por eth1 (VPN) tenho o IP do roteador na eth1

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

# Fazer com que cada pacote que sai por etho (Velox) tenho o IP do roteador na eth0

iptables -t nat -A POSTROUTING -o etho -j MASQUERADE

# Rotear pacotes para a rede da VPN para eth1, deve-se conhecer a(s) rede(s), uma entrada para cada uma

route add -net <ip_da_rede_1_atrás_vpn>/<máscara> gw <gateway_da_vpn> dev eth1

route add -net <ip_da_rede_2_atrás_vpn>/<máscara> gw <gateway_da_vpn> dev eth1

route add -net <ip_da_rede_n_atrás_vpn>/<máscara> gw <gateway_da_vpn> dev eth1

# Tirar roteamento padrão para eth1 (VPN), pode dar erro, mas ignore

route del default gw <gateway_da_vpn> dev eth1

# Colocar roteamento padráo para eth0 (Velox), pode dar erro, mas ignore

route add default gw <gateway_da_velox> dev eth0

Se não conhecer as redes, apenas o domínio intranet.br, deve-se usar "iptables -t mangle -m string --string intranet.br -j MARK --set-mark 1" e então iproute2, criando as devidas tabelas e "ip rule add fwmark 1 table VPN", mas veja se atende o acima. Ainda assim se for conexão criptografada, https por exemplo, o "string" do iptables não vai ajudar muito, então vai precisar duma mãozinha do DNS.

[]'s

Junior Polegato

Em 07/04/2013 19:33, "PaulinhoLinux" <phga1@yahoo.com.br> escreveu:

Salve galera tudo blzzz...

Estou com um problema, estou com uma grande dúvida referente a iptables e gostaria de obter ajuda.

Tenho seguinte cenário:

- 1 Link de internet Velox 2 Mbps - conectado na eth0

- 1 Link que contém a VPN da matrix (já tratada pelo router cisco que me entrega um determinado ip) - conectado na eth1

- Rede local - Conectada na eth2

 

Diante do apresentado estou tentando fazer:

* Sempre que um equipamento da rede local, que está conectada na eth1, acessar o site www.google.com.br o pacote será encaminhado para a eth0 (link que está conectado o velox).

* Sempre que um equipamento da rede local, que está conectado na eth1, acessar o site www.minhaempresa.intranet.br (ou algum domínio .intranet.br)  o pacote será encaminhado para a eth1 (link que está conectado a VPN da matrix)

Pessoal estou apanhando muito para fazer estas regras. Já possuo um firewall rodando neste equipamento, só que a chegada desta VPN complicou minha vida.

Alguém poderia me ajuda? Estou precisando muito da ajuda de vcs!

Obrigado

Até mais

PaulinhoLinux

 

_______________________________________________________________

PaulinhoLinux

>> e-mail.... paulinholinux arroba yahoo ponto com ponto br
>> msn....... paulinholinux arroba hotmail ponto com

>> Ter problemas na vida é inevitável,
ser derrotado por eles é opcional. <<

_______________________________________________________________