-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 A bridge ta na eth0 e eth1, foi o que eu quis dizer com o desenho.
Qual a sugestão? fazer as máquinas da DMZ usarem a eth1 como GW ? o firewall ter o router como GW ? e a lan usar a eth2 como GW ? Eu to precisando de sugestão pra arrumar isso.... Melhorar talvez, por que na teoria somente o DNAT pra LAN é que não ta funcionando. Miguel Da Silva - Centro de Matemática escreveu: > Flamarion Jorge escreveu: >> br0 >> | >> router-------------- eth0------eth1------------DMZ >> | >> eth2 >> | >> | >> LAN >> >> >> >> Tenho uma maquina que faz este papel ai em cima. >> O que ta acontecendo é que se eu tiro a bridge eu consigo fazer o DNAT >> normalmente, ou seja, tudo que chega na eth0 em determinada porta eu >> mando pra uma máquina na LAN e funciona tudo normal. >> Lembrando que a lan sai por um proxy qye faz NAT. >> Porém quando eu coloco em bridge, pra ficar transparente para o povo da >> DMZ o DNAT não funciona mais. >> Se eu tento fazer a regra pra br0 não funciona, seu eu faço sem >> especificar a interface também não funciona >> As regras são simples. >> DROP em INPUT e OUTPUT >> libero as portas que que eu quero tando pra INPUT quanto para OUTPUT. >> FORWARD ta ACCEPT. >> >> Exemplo de algumas regras >> >> $IPT -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 3389 -j DNAT >> --to-destination 10.1.3.13:3389 >> $IPT -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 3389 -j DNAT >> --to-destination 10.1.1.54:3389 >> >> Alguem tem alguma sugestão? >> Estou fazendo algo errado? >> >> Um resumo: a lan sai por um proxy transparente que passa pelo firewall >> que faz nat. >> A dmz é transparente ou seja não preciso fazer nada os pacotes passam >> direto pela bridge para o seu destino. >> >> Desde já agradeço. >> >> Flamarion Jorge > > Mas porque você quer usar um bridge? O que você precisa não é nada mais > nem nada mais do que um router comum e corrente. > > Ultimamente tenho visto muita gente confundir transparência com bridging. > > Para você ter o bridge funcionando, é necessário "juntar" 2 ou mais > placas de rede. O br0 está formado por quais placas? > > Se eu fosse você, usaria um router e pronto. > > Até. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.9 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iEYEARECAAYFAklJsV8ACgkQ0SDRnmynUOErpQCdGPprzbMudXVANAKAhdfzTKqm fnIAmgLyPaqfROvi8jWlm2Cj4hEqnSBH =Ojmd -----END PGP SIGNATURE----- -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
