Paulinho,
Vou tentar ser mais claro, os endereços IPs são fictícios, mas ambas as
classes que utilizamos são de IPs válidos, todos roteáveis, portanto
represento meus exemplos fielmente a que usamos aqui, só usei uma subnet
diferente, mas a classe é a mesma.
Ambas são /24 e cada uma pertencente a um domínio diferente, devidamente
cadastrado no DNS.
- Rede A: 143.100.100.0/24 (domínioA.com.br)
- Rede B: 200.200.200.0/24 (domínioB.org.br)
O servidor utilizamos para serviços Web (Apache) e Mail (Postfix), para
ambos os domínios, é como tivesse meu servidor respondendo por
www.debian.org e www.unicamp.br , sendo cada domínio com seu próprio IP
válido, por isso configurei as placas de rede conforme segue:
- Servidor: servidor.dominioA.com.br (IP: 143.100.100.132 eth0)
- Domínio virtual: mail.dominioA.com.br (IP: 143.100.100.130 eth1)
- Domínio virtual: mail.dominioB.org.br (IP: 200.200.200.9 eth1:1)
Para simplificar o problema, vou usar só o Putty com exemplo, acessando
direto pelo IP, assim descarto que seja problema de DNS.
Quando estou em uma máquina com IP "Rede A" e acesso via Putty o servidor
(IP 143.100.100.132) funciona perfeitamente, mas quando acesso de uma
máquina com IP "Rede B" há certa lentidão, é solicitado o username, mas até
aparecer à solicitação da senha leva uns 30 segundos. Se desativo o firewall
fica perfeito.
Segue abaixo novamente as configurações de rede e firewall:
/etc/network/interfaces:
===================
auto eth0
iface eth0 inet static
address 143.100.100.132
netmask 255.255.255.0
network 143.100.100.0
broadcast 143.100.100.255
gateway 143.100.100.1
dns-nameservers 200.255.255.65 200.255.255.70
dns-search dominioA.com.br
auto eth1 eth1:1
iface eth1 inet static
address 143.100.100.130
netmask 255.255.255.0
network 143.100.100.0
broadcast 143.100.100.255
gateway 143.100.100.1
iface eth1:1 inet static
address 200.200.200.9
netmask 255.255.255.0
network 200.200.200.0
broadcast 200.200.200.255
Configuração Iptables:
================
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# Loopback
iptables -A INPUT -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT
# Libera acesso rede local
iptables -A INPUT -s 143.100.100.0/24 -j ACCEPT iptables -A INPUT -s
200.200.200.0/24 -j ACCEPT
# Estabelece relacao de confianca entre estacoes da rede local ja
estabelecidas #iptables -A INPUT -s 143.100.100.0/24 -m state --state NEW -j
ACCEPT #iptables -A INPUT -s 200.200.200.0/24 -m state --state NEW -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A
FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# Apache: HTTP/HTTPS
iptables -A INPUT -d 143.100.100.132 -p tcp -m multiport --dport 80,443 -j
ACCEPT iptables -A INPUT -d 143.100.100.130 -p tcp -m multiport --dport 80
-j ACCEPT iptables -A INPUT -d 200.200.200.9 -p tcp -m multiport --dport 80
-j ACCEPT
# Mail
iptables -A INPUT -d 143.100.100.130 -p tcp -m multiport --dport 25 -j
ACCEPT iptables -A INPUT -d 143.100.100.132 -p tcp -m multiport --dport 25
-j ACCEPT iptables -A INPUT -d 200.200.200.9 -p tcp -m multiport --dport 25
-j ACCEPT
Obrigado,
Rogério Naressi.
-----Mensagem original-----
De: Paulino Kenji Sato [mailto:[email protected]]
Enviada em: quarta-feira, 1 de junho de 2011 23:07
Para: [email protected]
Assunto: Re: Conexão lenta em apenas um bloco de rede
2011/5/30 Rogério Oliveira Naressi <[email protected]>:
> Caros,
>
> Em uma LAN utilizamos dois blocos de rede e temos um servidor Linux
> Debian Etch com duas placas de rede ligadas na LAN. Segue
> configurações com dados
> fictícios:
> - Rede A: 143.100.100.0/24
> - Rede B: 200.200.200.0/24
Esses são os ips reais da sua rede interna?
Não use ips roteáveis em redes internas, a não ser que tenha concessão
delas.
Se foi somente para não mostrar os ips da rede interna, tbm não use ips
roteáveis, isso confunde a gente que pretende te ajudar. Se a rede A e
192.168.0.0/24 use 192.168.1.0/24 como exemplo.
E informar qual das redes reservadas usa na sua rede nem e problema grave de
segurança, um "brute force" e sempre aplicado em casos de tentativas de
penetração.
> - Servidor: servidor.dominioA.com.br (IP: 143.100.100.132)
> - Domínio virtual: mail.dominioA.com.br (IP: 143.100.100.130)
> - Domínio virtual: mail.dominioB.org.br (IP: 200.200.200.9)
Muito estranho...
> Quando acesso o servidor de máquinas com IP "Rede A" funciona
> perfeitamente, mas quando acesso de máquinas com IP "Rede B" há uma
> certa lentidão, tanto em acessos via putty (ssh) ao endereço
> 143.100.100.132 com também para navegar em páginas do servidor.
Demora para fechar a conexão costuma de problema da falta de dns reverso e
lentidão no servidor de dns em responder.
Tenha um servidor dns interno respondendo pelo reverso das redes internas,
nem precisa ter os hosts, basta que responda a consulta.
>
> Se desativo o firewall (iptables) a conexão fica rápida, mesmo depois
> que volto a ativar o firewall, a conexão continua rápida. Mas se
> reinicio o servidor volta a ficar lento novamente. Lembra que somente
> ao acessar por máquinas da "Rede B".
Isso comente mais em baixo.
> Acho que o problema é a configuração do Iptables, alguma sugestão?
>
> Configurações rede e firewall:
>
> /etc/network/interfaces:
> ===================
> auto lo
> iface lo inet loopback
>
> auto eth0
> iface eth0 inet static
> address 143.100.100.132
>
> auto eth1 eth1:1
> iface eth1 inet static
> address 143.100.100.130
Heim? Mais coisa estranha...
eth0 e eth1 possuem IPs da mesma rede?
Estão no mesmo switch?
Sabe que isso não funciona? (exceto em condições especiais, que não e o
caso)
> iface eth1:1 inet static
> address 200.200.200.9
Se recomenda não usar ethertnet alias, isso esta obsoleto desde o kernel
Linux 2.4. E já estamos no kernel Linux 3.0 (espero que tenham removido em
definitivo).
Desde então a interface suporta múltiplos IPs, tanto ipv4 como ipv6.
Bom, mas a culpa principal e do ifconfig, que não sabe adicionar ips a
interface.
ip addr add 192.168.1.1/24 dev eth1
ip addr add 10.0.0.1/8 dev eth1
ip addr add 172.16.0.0/16 eth1
>
> Configuração Iptables:
> ================
> iptables -F
> iptables -P FORWARD DROP
A maquina em questão e um roteador (gateway)?
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Se sim, não vi a regra que permite o estabelecimento da conexão a ser
tratada por essa regra.
>
> # Apache: HTTP/HTTPS
> iptables -A INPUT -d 143.100.100.132 -p tcp -m multiport --dport
> 80,443 -j ACCEPT iptables -A INPUT -d 143.100.100.130 -p tcp -m
> multiport --dport 80 -j > ACCEPT iptables -A INPUT -d 200.200.200.9 -p
> tcp -m multiport --dport 80 -j ACCEPT
>
> # Mail
> iptables -A INPUT -d 143.100.100.130 -p tcp -m multiport --dport 25 -j
> ACCEPT iptables -A INPUT -d 143.100.100.132 -p tcp -m multiport
> --dport 25 -j ACCEPT iptables -A INPUT -d 200.200.200.9 -p tcp -m
> multiport --dport 25 -j ACCEPT
Se já carregou o modulo multiport, porque não fez o uso dele?
DICA: Estude o protocolo IPV4, ou seja leia a RFC 791.
A falta desse conhecimento e uma das grandes fontes de consulta em listas e
forums.
> Obrigado,
de Nada.
--
Paulino Kenji Sato
--
To UNSUBSCRIBE, email to [email protected]
with a subject of "unsubscribe". Trouble? Contact
[email protected]
Archive:
http://lists.debian.org/[email protected]
--
To UNSUBSCRIBE, email to [email protected]
with a subject of "unsubscribe". Trouble? Contact [email protected]
Archive: http://lists.debian.org/[email protected]
