Ah! Sim, agora entendi. Que cabeçudo eu sou... Na segunda trago novidades a todos vcs. Abraços,
Moksha Em 7 de junho de 2012 22:29, Eden Caldas <[email protected]> escreveu: > Do jeito que você colocou seria se fosse feito direto na linha de comando. > > > Em 7 de junho de 2012 21:51, Moksha Tux <[email protected]> escreveu: > > Do jeito que eu coloquei não funcionou mas na segunda irei testar da forma >> que o Paulo Ricardo aconselhou. >> >> Moksha >> >> Em 7 de junho de 2012 19:37, Eden Caldas <[email protected]> escreveu: >> >> Moksha >>> >>> Quando eu li seu e-mail pensei exatamente o que Paulo Ricardo respondeu. >>> >>> Colocando da forma que você colocou no interfaces, está funcionando? >>> >>> Verifica com o comando route -n >>> >>> >>> Em 7 de junho de 2012 12:47, Moksha Tux <[email protected]> escreveu: >>> >>> Prezado Paulo Ricardo! >>>> >>>> Muito obrigado pela sua resposta, esse comando eu coloquei realmente >>>> abaixo da interface onde gostaria adicionar esta rota mas pelo que vi no >>>> seu e-mail o comando não era adequado, o estranho é que esse comando que >>>> usei *( route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 )* eu >>>> pesquisei na internet e dos diversos exemplos que olhei, este mesmo comando >>>> se encontrava no arquivo interfaces e abaixo da interface desejada. Mas de >>>> qualquer forma muito obrigado pela sua valorosa ajuda. Abraços, >>>> >>>> Moksha >>>> >>>> Em 7 de junho de 2012 10:54, Paulo Ricardo Bruck < >>>> [email protected]> escreveu: >>>> >>>> Bom dia >>>>> >>>>> ----- Mensagem original ----- >>>>> > De: "Moksha Tux" <[email protected]> >>>>> > Para: "Eden Caldas" <[email protected]> >>>>> > Cc: "Forum Debian" <[email protected]> >>>>> > Enviadas: Quarta-feira, 6 de Junho de 2012 22:49:50 >>>>> > Assunto: Re: Outras dúividas sobre iptables e roteamento >>>>> > Grande Eden! >>>>> > >>>>> > E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma >>>>> > nova rota. >>>>> > >>>>> > Então a linha que adicionei no arquivo "interfaces" que aparece >>>>> abaixo >>>>> > parece não estar adiantando e isso retirando o gateway da rede 10.203 >>>>> > veja: >>>>> > >>>>> > route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 . >>>>> >>>>> ok eu não segui todo o histórico m as se vc quer adicionar rotas >>>>> estaticas no arquivo /etc/network/interfaces ao menos saiba como fazer da >>>>> forma correta... man interfaces na parte IFACE OPTIONS >>>>> >>>>> >>>>> ok se vc não sabia ou não leu o man, a maneira correta é colocar >>>>> debaixo da interface que vc deseja: >>>>> >>>>> up route add -net 10.0.0.0 netmask 255.0.0.0 gw >>>>> 10.203.0.1 || true >>>>> >>>>> mas dê preferencia para o modelo de rotas do man iproute >>>>> >>>>> up iproute add 10.0.0.0/24 via 10.203.0.1 dev eth1 || >>>>> true >>>>> >>>>> ats >>>>> >>>>> >>>>> >>>>> >>>>> >>>>> > >>>>> > Note que estou adicionando o acesso a toda rede 10 mas mesmo assim as >>>>> > outras VLANs não estão tendo acesso ao firewall mas somente a rede >>>>> > 10.203. Será que eu devo incluir rota estática para cada vlan? A >>>>> saber >>>>> > 10.10, 10.100, 10.200, etc... ? >>>>> > >>>>> > Moksha >>>>> > >>>>> > >>>>> > Em 6 de junho de 2012 14:15, Eden Caldas < [email protected] > >>>>> > escreveu: >>>>> > >>>>> > >>>>> > >>>>> > "Mas se então se eu não puder declarar o gateway da rede 10.203 como >>>>> > esta interface se comunicará com as redes das VLANs? " >>>>> > >>>>> > Ele não precisa de gateway pois já está com IP configurado nessa >>>>> > própria rede e conectado diretamente nela. >>>>> > >>>>> > E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma >>>>> > nova rota. O gateway padrão nada mais é do que uma rota que será >>>>> usada >>>>> > quando nenhuma das outras rotas der jeito. >>>>> > >>>>> > >>>>> > Em 6 de junho de 2012 10:18, Moksha Tux < [email protected] > >>>>> > escreveu: >>>>> > >>>>> > >>>>> > >>>>> > >>>>> > Meu querido Eden! >>>>> > >>>>> > Quanto tempo... rsrsrs estou amadurecendo cada vez mais no conceito >>>>> de >>>>> > iptables e chegou a hora de fazer o meu humilde script funcionar mas >>>>> > estou deparando com uma outra barreira... o roteamento dos pacotes >>>>> das >>>>> > VLANs. eu possuo em minha rede um switch router com 13 VLANs >>>>> > leventadas neles e uma das VLANs é uma rede que tem somente uma >>>>> > interface do roteador plugada nela, a VLAN 10.203. Possuo alguns IPs >>>>> > válidos aqui para trabalhar com serviços da internet e tudo que estou >>>>> > fazendo aqui é baseado nas configurações dos antigos roteadores que >>>>> > estão em produção (PF com OpenBSD). Não estou sabendo como bolar as >>>>> > rotas das redes das VLANs para que saiam para a internet, abaixo >>>>> segue >>>>> > meu arquivo "interfaces" do Debian onde configuro toda a rede. >>>>> > >>>>> > >>>>> > allow-hotplug eth0 >>>>> > iface eth0 inet static >>>>> > address 200.20.116.50 >>>>> > netmask 255.255.255.192 >>>>> > network 200.20.116.0 >>>>> > broadcast 200.20.116.63 >>>>> > gateway 200.20.116.1 >>>>> > >>>>> > iface eth0:0 inet static >>>>> > address 200.20.116.52 >>>>> > netmask 255.255.255.192 >>>>> > >>>>> > iface eth0:1 inet static >>>>> > address 200.20.116.53 >>>>> > netmask 255.255.255.192 >>>>> > >>>>> > iface eth0:2 inet static >>>>> > address 200.20.116.54 >>>>> > netmask 255.255.255.192 >>>>> > >>>>> > >>>>> > allow-hotplug eth1 >>>>> > iface eth1 inet static >>>>> > address 10.203.0.2 >>>>> > netmask 255.255.0.0 >>>>> > network 10.203.0.0 >>>>> > broadcast 10.203.255.255 >>>>> > gateway 10.203.0.1 >>>>> > route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 >>>>> > >>>>> > allow-hotplug eth2 >>>>> > iface eth2 inet static >>>>> > address 172.16.0.1 >>>>> > netmask 255.255.0.0 >>>>> > network 172.16.0.0 >>>>> > broadcast 172.16.255.255 >>>>> > >>>>> > Devo dizer que no nosso switch route, o default gateway para onde as >>>>> > VLANS saem para a internet é a rede 10.203.0.1 por isso que declarei >>>>> > este endereço na eth1 e não o tradicional "10.0.0.1' pois essa >>>>> > configuração já estava assim desde o último administrador e está >>>>> > funcionando no atual roteador, eu estou desconfiando que o erro está >>>>> > em declarar dois gateways mas como devo fazer com as VLANs da rede >>>>> 10? >>>>> > Desde já agradeço a ajuda e caso não possa me ajudar agradeço da >>>>> mesma >>>>> > forma. Abraços, >>>>> > >>>>> > Moksha >>>>> > >>>>> > >>>>> > >>>>> > >>>>> > >>>>> > Em 5 de junho de 2012 22:51, Eden Caldas < [email protected] > >>>>> > escreveu: >>>>> > Sim você suspeitou corretamente. Não se pode ter dois gateways. >>>>> > >>>>> > Quando vocẽ seta um gateway no firewall, esse é o gateway DO >>>>> firewall, >>>>> > e não do resto da rapaziada. Assim o firewall tem dois gateways para >>>>> a >>>>> > internet, quando ele deveria ter um. >>>>> > >>>>> > Agora, o firewall deve ser o gateway das redes vlans, e para ele ser >>>>> > isso, as redes precisam chegar nele de qualquer jeito, em qualquer ip >>>>> > que ele tenha. >>>>> > >>>>> > Talvez isso já esteja acontecendo, e falta apenas fazer um SNAT / >>>>> > MASQUERADE para essas vlans todas e(ou) habilitar o roteamento com >>>>> > aquela linha echo 1 /proc/sys bla bla bla. >>>>> > >>>>> > Estou vendo que você mandou o e-mail diretamente para mim. Melhor >>>>> > mandar pra lista para todos poderem ajudar e(ou) aprender. >>>>> > >>>>> > Eden Caldas >>>>> > Consultor de TI >>>>> > [email protected] >>>>> > (81) 9747 4444 >>>>> > (81) 9653 7220 >>>>> > LINUX FÁCIL – Consultoria e Serviços em TI >>>>> > >>>>> > >>>>> > >>>>> > ---------- Mensagem encaminhada ---------- >>>>> > De: Moksha Tux < [email protected] > >>>>> > Data: 6 de junho de 2012 10:07 >>>>> > Assunto: Re: Outras dúvidas sobre Iptables! >>>>> > Para: Eden Caldas < [email protected] > >>>>> > >>>>> > >>>>> > Muito obrigado pela resposta! >>>>> > >>>>> > Me perdoe por ter escrito somente pro senhor, segue agora a minha >>>>> > resposta ao senhor para todo o forum. Eu fiz a regra no iptables que >>>>> o >>>>> > senhor menciona segue abaixo: >>>>> > >>>>> > >>>>> > wan="eth0" >>>>> > int="eth1" >>>>> > dmz="eth2" >>>>> > rede_int=" 10.0.0.0/8 " >>>>> > >>>>> > echo "1" > /proc/sys/net/ipv4/ip_forward >>>>> > >>>>> > e o compartilhamento de toda: >>>>> > >>>>> > iptables -t nat -A POSTROUTING -s $rede_int -o $wan -j SNAT >>>>> > --to-source 200.20.116.52 >>>>> > iptables -A FORWARD -i $int -s $rede_int -o $wan -j ACCEPT >>>>> > >>>>> > poxa, com certeza quando eu informo ao firewall 10.0.0.0/8 eu estou >>>>> > informando toda a rede 10 não seria isso mesmo? Acredito que não >>>>> teria >>>>> > a obrigação de informar cada VLAN o senhor não concorda? Mas se então >>>>> > se eu não puder declarar o gateway da rede 10.203 como esta interface >>>>> > se comunicará com as redes das VLANs? Grande abraço, >>>>> > >>>>> > Moksha >>>>> >>>>> -- >>>>> Paulo Ricardo Bruck >>>>> Consultor Linux >>>>> cel 011 9235-4327 tel 011 3596-4881/4882 >>>>> http://www.contatogs.com.br >>>>> skype: suportecontatogs >>>>> >>>>> >>>>> -- >>>>> To UNSUBSCRIBE, email to >>>>> [email protected] >>>>> with a subject of "unsubscribe". Trouble? Contact >>>>> [email protected] >>>>> Archive: >>>>> http://lists.debian.org/811145381.2.1339077292791.javamail.r...@mercurio.contatogs.com.br >>>>> >>>>> >>>> >>> >> >
