Grande Eden! *E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma nova rota. *
Então a linha que adicionei no arquivo "interfaces" que aparece abaixo parece não estar adiantando e isso retirando o gateway da rede 10.203 veja: *route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1. * Note que estou adicionando o acesso a toda rede 10 mas mesmo assim as outras VLANs não estão tendo acesso ao firewall mas somente a rede 10.203. Será que eu devo incluir rota estática para cada vlan? A saber 10.10, 10.100, 10.200, etc... ? Moksha Em 6 de junho de 2012 14:15, Eden Caldas <[email protected]> escreveu: > *"Mas se então se eu não puder declarar o gateway da rede 10.203 como > esta interface se comunicará com as redes das VLANs? "* > > Ele não precisa de gateway pois já está com IP configurado nessa própria > rede e conectado diretamente nela. > > E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma nova > rota. O gateway padrão nada mais é do que uma rota que será usada quando > nenhuma das outras rotas der jeito. > > Em 6 de junho de 2012 10:18, Moksha Tux <[email protected]> escreveu: > > Meu querido Eden! >> >> Quanto tempo... rsrsrs estou amadurecendo cada vez mais no conceito de >> iptables e chegou a hora de fazer o meu humilde script funcionar mas estou >> deparando com uma outra barreira... o roteamento dos pacotes das VLANs. eu >> possuo em minha rede um switch router com 13 VLANs leventadas neles e uma >> das VLANs é uma rede que tem somente uma interface do roteador plugada >> nela, a VLAN 10.203. Possuo alguns IPs válidos aqui para trabalhar com >> serviços da internet e tudo que estou fazendo aqui é baseado nas >> configurações dos antigos roteadores que estão em produção (PF com >> OpenBSD). Não estou sabendo como bolar as rotas das redes das VLANs para >> que saiam para a internet, abaixo segue meu arquivo "interfaces" do Debian >> onde configuro toda a rede. >> >> >> * allow-hotplug eth0 >> iface eth0 inet static >> address 200.20.116.50 >> netmask 255.255.255.192 >> network 200.20.116.0 >> broadcast 200.20.116.63 >> gateway 200.20.116.1* >> >> * iface eth0:0 inet static* >> * address **200.20.116.52* >> * netmask 255.255.255.192* >> * >> **iface eth0:1 inet static* >> * address **200.20.116.53* >> * netmask 255.255.255.192 >> >> **iface eth0:2 inet static* >> * address **200.20.116.54* >> * netmask 255.255.255.192* >> * >> >> allow-hotplug eth1 >> iface eth1 inet static >> address 10.203.0.2 >> netmask 255.255.0.0 >> network 10.203.0.0 >> broadcast 10.203.255.255 >> gateway 10.203.0.1 >> route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1* >> >> *allow-hotplug eth2 >> iface eth2 inet static >> address 172.16.0.1 >> netmask 255.255.0.0 >> network 172.16.0.0 >> broadcast 172.16.255.255* >> >> Devo dizer que no nosso switch route, o default gateway para onde as >> VLANS saem para a internet é a rede 10.203.0.1 por isso que declarei este >> endereço na eth1 e não o tradicional "10.0.0.1' pois essa configuração já >> estava assim desde o último administrador e está funcionando no atual >> roteador, eu estou desconfiando que o erro está em declarar dois gateways >> mas como devo fazer com as VLANs da rede 10? Desde já agradeço a ajuda e >> caso não possa me ajudar agradeço da mesma forma. Abraços, >> >> Moksha >> >> >> >> >> >> Em 5 de junho de 2012 22:51, Eden Caldas <[email protected]> escreveu: >> Sim você suspeitou corretamente. Não se pode ter dois gateways. >> >> Quando vocẽ seta um gateway no firewall, esse é o gateway DO firewall, e >> não do resto da rapaziada. Assim o firewall tem dois gateways para a >> internet, quando ele deveria ter um. >> >> Agora, o firewall deve ser o gateway das redes vlans, e para ele ser >> isso, as redes precisam chegar nele de qualquer jeito, em qualquer ip que >> ele tenha. >> >> Talvez isso já esteja acontecendo, e falta apenas fazer um SNAT / >> MASQUERADE para essas vlans todas e(ou) habilitar o roteamento com aquela >> linha echo 1 /proc/sys bla bla bla. >> >> Estou vendo que você mandou o e-mail diretamente para mim. Melhor mandar >> pra lista para todos poderem ajudar e(ou) aprender. >> >> Eden Caldas >> Consultor de TI >> [email protected] >> (81) 9747 4444 >> (81) 9653 7220 >> LINUX FÁCIL – Consultoria e Serviços em TI >> >> >> >> ---------- Mensagem encaminhada ---------- >> De: Moksha Tux <[email protected]> >> Data: 6 de junho de 2012 10:07 >> Assunto: Re: Outras dúvidas sobre Iptables! >> Para: Eden Caldas <[email protected]> >> >> >> Muito obrigado pela resposta! >> >> Me perdoe por ter escrito somente pro senhor, segue agora a minha >> resposta ao senhor para todo o forum. Eu fiz a regra no iptables que o >> senhor menciona segue abaixo: >> >> wan="eth0" >> int="eth1" >> dmz="eth2" >> rede_int="10.0.0.0/8" >> >> echo "1" > /proc/sys/net/ipv4/ip_forward >> >> e o compartilhamento de toda: >> >> iptables -t nat -A POSTROUTING -s $rede_int -o $wan -j SNAT --to-source >> 200.20.116.52 >> iptables -A FORWARD -i $int -s $rede_int -o $wan -j ACCEPT >> >> poxa, com certeza quando eu informo ao firewall 10.0.0.0/8 eu estou >> informando toda a rede 10 não seria isso mesmo? Acredito que não teria a >> obrigação de informar cada VLAN o senhor não concorda? Mas se então se eu >> não puder declarar o gateway da rede 10.203 como esta interface se >> comunicará com as redes das VLANs? Grande abraço, >> >> Moksha >> >> >
