Do jeito que eu coloquei não funcionou mas na segunda irei testar da forma que o Paulo Ricardo aconselhou.
Moksha Em 7 de junho de 2012 19:37, Eden Caldas <edencal...@gmail.com> escreveu: > Moksha > > Quando eu li seu e-mail pensei exatamente o que Paulo Ricardo respondeu. > > Colocando da forma que você colocou no interfaces, está funcionando? > > Verifica com o comando route -n > > > Em 7 de junho de 2012 12:47, Moksha Tux <gova...@gmail.com> escreveu: > > Prezado Paulo Ricardo! >> >> Muito obrigado pela sua resposta, esse comando eu coloquei realmente >> abaixo da interface onde gostaria adicionar esta rota mas pelo que vi no >> seu e-mail o comando não era adequado, o estranho é que esse comando que >> usei *( route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 )* eu >> pesquisei na internet e dos diversos exemplos que olhei, este mesmo comando >> se encontrava no arquivo interfaces e abaixo da interface desejada. Mas de >> qualquer forma muito obrigado pela sua valorosa ajuda. Abraços, >> >> Moksha >> >> Em 7 de junho de 2012 10:54, Paulo Ricardo Bruck < >> paulo...@contatogs.com.br> escreveu: >> >> Bom dia >>> >>> ----- Mensagem original ----- >>> > De: "Moksha Tux" <gova...@gmail.com> >>> > Para: "Eden Caldas" <edencal...@gmail.com> >>> > Cc: "Forum Debian" <debian-user-portuguese@lists.debian.org> >>> > Enviadas: Quarta-feira, 6 de Junho de 2012 22:49:50 >>> > Assunto: Re: Outras dúividas sobre iptables e roteamento >>> > Grande Eden! >>> > >>> > E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma >>> > nova rota. >>> > >>> > Então a linha que adicionei no arquivo "interfaces" que aparece abaixo >>> > parece não estar adiantando e isso retirando o gateway da rede 10.203 >>> > veja: >>> > >>> > route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 . >>> >>> ok eu não segui todo o histórico m as se vc quer adicionar rotas >>> estaticas no arquivo /etc/network/interfaces ao menos saiba como fazer da >>> forma correta... man interfaces na parte IFACE OPTIONS >>> >>> >>> ok se vc não sabia ou não leu o man, a maneira correta é colocar debaixo >>> da interface que vc deseja: >>> >>> up route add -net 10.0.0.0 netmask 255.0.0.0 gw >>> 10.203.0.1 || true >>> >>> mas dê preferencia para o modelo de rotas do man iproute >>> >>> up iproute add 10.0.0.0/24 via 10.203.0.1 dev eth1 || >>> true >>> >>> ats >>> >>> >>> >>> >>> >>> > >>> > Note que estou adicionando o acesso a toda rede 10 mas mesmo assim as >>> > outras VLANs não estão tendo acesso ao firewall mas somente a rede >>> > 10.203. Será que eu devo incluir rota estática para cada vlan? A saber >>> > 10.10, 10.100, 10.200, etc... ? >>> > >>> > Moksha >>> > >>> > >>> > Em 6 de junho de 2012 14:15, Eden Caldas < edencal...@gmail.com > >>> > escreveu: >>> > >>> > >>> > >>> > "Mas se então se eu não puder declarar o gateway da rede 10.203 como >>> > esta interface se comunicará com as redes das VLANs? " >>> > >>> > Ele não precisa de gateway pois já está com IP configurado nessa >>> > própria rede e conectado diretamente nela. >>> > >>> > E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma >>> > nova rota. O gateway padrão nada mais é do que uma rota que será usada >>> > quando nenhuma das outras rotas der jeito. >>> > >>> > >>> > Em 6 de junho de 2012 10:18, Moksha Tux < gova...@gmail.com > >>> > escreveu: >>> > >>> > >>> > >>> > >>> > Meu querido Eden! >>> > >>> > Quanto tempo... rsrsrs estou amadurecendo cada vez mais no conceito de >>> > iptables e chegou a hora de fazer o meu humilde script funcionar mas >>> > estou deparando com uma outra barreira... o roteamento dos pacotes das >>> > VLANs. eu possuo em minha rede um switch router com 13 VLANs >>> > leventadas neles e uma das VLANs é uma rede que tem somente uma >>> > interface do roteador plugada nela, a VLAN 10.203. Possuo alguns IPs >>> > válidos aqui para trabalhar com serviços da internet e tudo que estou >>> > fazendo aqui é baseado nas configurações dos antigos roteadores que >>> > estão em produção (PF com OpenBSD). Não estou sabendo como bolar as >>> > rotas das redes das VLANs para que saiam para a internet, abaixo segue >>> > meu arquivo "interfaces" do Debian onde configuro toda a rede. >>> > >>> > >>> > allow-hotplug eth0 >>> > iface eth0 inet static >>> > address 200.20.116.50 >>> > netmask 255.255.255.192 >>> > network 200.20.116.0 >>> > broadcast 200.20.116.63 >>> > gateway 200.20.116.1 >>> > >>> > iface eth0:0 inet static >>> > address 200.20.116.52 >>> > netmask 255.255.255.192 >>> > >>> > iface eth0:1 inet static >>> > address 200.20.116.53 >>> > netmask 255.255.255.192 >>> > >>> > iface eth0:2 inet static >>> > address 200.20.116.54 >>> > netmask 255.255.255.192 >>> > >>> > >>> > allow-hotplug eth1 >>> > iface eth1 inet static >>> > address 10.203.0.2 >>> > netmask 255.255.0.0 >>> > network 10.203.0.0 >>> > broadcast 10.203.255.255 >>> > gateway 10.203.0.1 >>> > route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 >>> > >>> > allow-hotplug eth2 >>> > iface eth2 inet static >>> > address 172.16.0.1 >>> > netmask 255.255.0.0 >>> > network 172.16.0.0 >>> > broadcast 172.16.255.255 >>> > >>> > Devo dizer que no nosso switch route, o default gateway para onde as >>> > VLANS saem para a internet é a rede 10.203.0.1 por isso que declarei >>> > este endereço na eth1 e não o tradicional "10.0.0.1' pois essa >>> > configuração já estava assim desde o último administrador e está >>> > funcionando no atual roteador, eu estou desconfiando que o erro está >>> > em declarar dois gateways mas como devo fazer com as VLANs da rede 10? >>> > Desde já agradeço a ajuda e caso não possa me ajudar agradeço da mesma >>> > forma. Abraços, >>> > >>> > Moksha >>> > >>> > >>> > >>> > >>> > >>> > Em 5 de junho de 2012 22:51, Eden Caldas < edencal...@gmail.com > >>> > escreveu: >>> > Sim você suspeitou corretamente. Não se pode ter dois gateways. >>> > >>> > Quando vocẽ seta um gateway no firewall, esse é o gateway DO firewall, >>> > e não do resto da rapaziada. Assim o firewall tem dois gateways para a >>> > internet, quando ele deveria ter um. >>> > >>> > Agora, o firewall deve ser o gateway das redes vlans, e para ele ser >>> > isso, as redes precisam chegar nele de qualquer jeito, em qualquer ip >>> > que ele tenha. >>> > >>> > Talvez isso já esteja acontecendo, e falta apenas fazer um SNAT / >>> > MASQUERADE para essas vlans todas e(ou) habilitar o roteamento com >>> > aquela linha echo 1 /proc/sys bla bla bla. >>> > >>> > Estou vendo que você mandou o e-mail diretamente para mim. Melhor >>> > mandar pra lista para todos poderem ajudar e(ou) aprender. >>> > >>> > Eden Caldas >>> > Consultor de TI >>> > e...@linuxfacil.srv.br >>> > (81) 9747 4444 >>> > (81) 9653 7220 >>> > LINUX FÁCIL – Consultoria e Serviços em TI >>> > >>> > >>> > >>> > ---------- Mensagem encaminhada ---------- >>> > De: Moksha Tux < gova...@gmail.com > >>> > Data: 6 de junho de 2012 10:07 >>> > Assunto: Re: Outras dúvidas sobre Iptables! >>> > Para: Eden Caldas < edencal...@gmail.com > >>> > >>> > >>> > Muito obrigado pela resposta! >>> > >>> > Me perdoe por ter escrito somente pro senhor, segue agora a minha >>> > resposta ao senhor para todo o forum. Eu fiz a regra no iptables que o >>> > senhor menciona segue abaixo: >>> > >>> > >>> > wan="eth0" >>> > int="eth1" >>> > dmz="eth2" >>> > rede_int=" 10.0.0.0/8 " >>> > >>> > echo "1" > /proc/sys/net/ipv4/ip_forward >>> > >>> > e o compartilhamento de toda: >>> > >>> > iptables -t nat -A POSTROUTING -s $rede_int -o $wan -j SNAT >>> > --to-source 200.20.116.52 >>> > iptables -A FORWARD -i $int -s $rede_int -o $wan -j ACCEPT >>> > >>> > poxa, com certeza quando eu informo ao firewall 10.0.0.0/8 eu estou >>> > informando toda a rede 10 não seria isso mesmo? Acredito que não teria >>> > a obrigação de informar cada VLAN o senhor não concorda? Mas se então >>> > se eu não puder declarar o gateway da rede 10.203 como esta interface >>> > se comunicará com as redes das VLANs? Grande abraço, >>> > >>> > Moksha >>> >>> -- >>> Paulo Ricardo Bruck >>> Consultor Linux >>> cel 011 9235-4327 tel 011 3596-4881/4882 >>> http://www.contatogs.com.br >>> skype: suportecontatogs >>> >>> >>> -- >>> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org >>> with a subject of "unsubscribe". Trouble? Contact >>> listmas...@lists.debian.org >>> Archive: >>> http://lists.debian.org/811145381.2.1339077292791.javamail.r...@mercurio.contatogs.com.br >>> >>> >> >
