Queridos Eden Caldas e Paulo Ricardo!!! Realmente os senhores estavam cobertos de razão, depois que adicionei a rota estática, exemplificada pelo nobre Paulo Ricardo, o meu tão sonhado e esperado script de fariwall e roteador está funcionando e bem rapidinho. Só não estou gostando que a regra de retorno de pacote não está funcionando eu tenho que liberar a conexão indo e vindo do firewall mas amanhã irei me debruçar sobre isso para me aprofundar. Mil vezes obrigado a vcs pelo carinho e atenção. Abraços,
Moksha Em 8 de junho de 2012 10:57, Moksha Tux <[email protected]> escreveu: > Ah! Sim, agora entendi. Que cabeçudo eu sou... Na segunda trago novidades > a todos vcs. Abraços, > > Moksha > > Em 7 de junho de 2012 22:29, Eden Caldas <[email protected]> escreveu: > > Do jeito que você colocou seria se fosse feito direto na linha de comando. >> >> >> Em 7 de junho de 2012 21:51, Moksha Tux <[email protected]> escreveu: >> >> Do jeito que eu coloquei não funcionou mas na segunda irei testar da >>> forma que o Paulo Ricardo aconselhou. >>> >>> Moksha >>> >>> Em 7 de junho de 2012 19:37, Eden Caldas <[email protected]>escreveu: >>> >>> Moksha >>>> >>>> Quando eu li seu e-mail pensei exatamente o que Paulo Ricardo >>>> respondeu. >>>> >>>> Colocando da forma que você colocou no interfaces, está funcionando? >>>> >>>> Verifica com o comando route -n >>>> >>>> >>>> Em 7 de junho de 2012 12:47, Moksha Tux <[email protected]> escreveu: >>>> >>>> Prezado Paulo Ricardo! >>>>> >>>>> Muito obrigado pela sua resposta, esse comando eu coloquei realmente >>>>> abaixo da interface onde gostaria adicionar esta rota mas pelo que vi no >>>>> seu e-mail o comando não era adequado, o estranho é que esse comando que >>>>> usei *( route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 )* eu >>>>> pesquisei na internet e dos diversos exemplos que olhei, este mesmo >>>>> comando >>>>> se encontrava no arquivo interfaces e abaixo da interface desejada. Mas de >>>>> qualquer forma muito obrigado pela sua valorosa ajuda. Abraços, >>>>> >>>>> Moksha >>>>> >>>>> Em 7 de junho de 2012 10:54, Paulo Ricardo Bruck < >>>>> [email protected]> escreveu: >>>>> >>>>> Bom dia >>>>>> >>>>>> ----- Mensagem original ----- >>>>>> > De: "Moksha Tux" <[email protected]> >>>>>> > Para: "Eden Caldas" <[email protected]> >>>>>> > Cc: "Forum Debian" <[email protected]> >>>>>> > Enviadas: Quarta-feira, 6 de Junho de 2012 22:49:50 >>>>>> > Assunto: Re: Outras dúividas sobre iptables e roteamento >>>>>> > Grande Eden! >>>>>> > >>>>>> > E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma >>>>>> > nova rota. >>>>>> > >>>>>> > Então a linha que adicionei no arquivo "interfaces" que aparece >>>>>> abaixo >>>>>> > parece não estar adiantando e isso retirando o gateway da rede >>>>>> 10.203 >>>>>> > veja: >>>>>> > >>>>>> > route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 . >>>>>> >>>>>> ok eu não segui todo o histórico m as se vc quer adicionar rotas >>>>>> estaticas no arquivo /etc/network/interfaces ao menos saiba como fazer da >>>>>> forma correta... man interfaces na parte IFACE OPTIONS >>>>>> >>>>>> >>>>>> ok se vc não sabia ou não leu o man, a maneira correta é colocar >>>>>> debaixo da interface que vc deseja: >>>>>> >>>>>> up route add -net 10.0.0.0 netmask 255.0.0.0 gw >>>>>> 10.203.0.1 || true >>>>>> >>>>>> mas dê preferencia para o modelo de rotas do man iproute >>>>>> >>>>>> up iproute add 10.0.0.0/24 via 10.203.0.1 dev eth1 >>>>>> || true >>>>>> >>>>>> ats >>>>>> >>>>>> >>>>>> >>>>>> >>>>>> >>>>>> > >>>>>> > Note que estou adicionando o acesso a toda rede 10 mas mesmo assim >>>>>> as >>>>>> > outras VLANs não estão tendo acesso ao firewall mas somente a rede >>>>>> > 10.203. Será que eu devo incluir rota estática para cada vlan? A >>>>>> saber >>>>>> > 10.10, 10.100, 10.200, etc... ? >>>>>> > >>>>>> > Moksha >>>>>> > >>>>>> > >>>>>> > Em 6 de junho de 2012 14:15, Eden Caldas < [email protected] > >>>>>> > escreveu: >>>>>> > >>>>>> > >>>>>> > >>>>>> > "Mas se então se eu não puder declarar o gateway da rede 10.203 como >>>>>> > esta interface se comunicará com as redes das VLANs? " >>>>>> > >>>>>> > Ele não precisa de gateway pois já está com IP configurado nessa >>>>>> > própria rede e conectado diretamente nela. >>>>>> > >>>>>> > E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma >>>>>> > nova rota. O gateway padrão nada mais é do que uma rota que será >>>>>> usada >>>>>> > quando nenhuma das outras rotas der jeito. >>>>>> > >>>>>> > >>>>>> > Em 6 de junho de 2012 10:18, Moksha Tux < [email protected] > >>>>>> > escreveu: >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>> > Meu querido Eden! >>>>>> > >>>>>> > Quanto tempo... rsrsrs estou amadurecendo cada vez mais no conceito >>>>>> de >>>>>> > iptables e chegou a hora de fazer o meu humilde script funcionar mas >>>>>> > estou deparando com uma outra barreira... o roteamento dos pacotes >>>>>> das >>>>>> > VLANs. eu possuo em minha rede um switch router com 13 VLANs >>>>>> > leventadas neles e uma das VLANs é uma rede que tem somente uma >>>>>> > interface do roteador plugada nela, a VLAN 10.203. Possuo alguns IPs >>>>>> > válidos aqui para trabalhar com serviços da internet e tudo que >>>>>> estou >>>>>> > fazendo aqui é baseado nas configurações dos antigos roteadores que >>>>>> > estão em produção (PF com OpenBSD). Não estou sabendo como bolar as >>>>>> > rotas das redes das VLANs para que saiam para a internet, abaixo >>>>>> segue >>>>>> > meu arquivo "interfaces" do Debian onde configuro toda a rede. >>>>>> > >>>>>> > >>>>>> > allow-hotplug eth0 >>>>>> > iface eth0 inet static >>>>>> > address 200.20.116.50 >>>>>> > netmask 255.255.255.192 >>>>>> > network 200.20.116.0 >>>>>> > broadcast 200.20.116.63 >>>>>> > gateway 200.20.116.1 >>>>>> > >>>>>> > iface eth0:0 inet static >>>>>> > address 200.20.116.52 >>>>>> > netmask 255.255.255.192 >>>>>> > >>>>>> > iface eth0:1 inet static >>>>>> > address 200.20.116.53 >>>>>> > netmask 255.255.255.192 >>>>>> > >>>>>> > iface eth0:2 inet static >>>>>> > address 200.20.116.54 >>>>>> > netmask 255.255.255.192 >>>>>> > >>>>>> > >>>>>> > allow-hotplug eth1 >>>>>> > iface eth1 inet static >>>>>> > address 10.203.0.2 >>>>>> > netmask 255.255.0.0 >>>>>> > network 10.203.0.0 >>>>>> > broadcast 10.203.255.255 >>>>>> > gateway 10.203.0.1 >>>>>> > route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 >>>>>> > >>>>>> > allow-hotplug eth2 >>>>>> > iface eth2 inet static >>>>>> > address 172.16.0.1 >>>>>> > netmask 255.255.0.0 >>>>>> > network 172.16.0.0 >>>>>> > broadcast 172.16.255.255 >>>>>> > >>>>>> > Devo dizer que no nosso switch route, o default gateway para onde as >>>>>> > VLANS saem para a internet é a rede 10.203.0.1 por isso que declarei >>>>>> > este endereço na eth1 e não o tradicional "10.0.0.1' pois essa >>>>>> > configuração já estava assim desde o último administrador e está >>>>>> > funcionando no atual roteador, eu estou desconfiando que o erro está >>>>>> > em declarar dois gateways mas como devo fazer com as VLANs da rede >>>>>> 10? >>>>>> > Desde já agradeço a ajuda e caso não possa me ajudar agradeço da >>>>>> mesma >>>>>> > forma. Abraços, >>>>>> > >>>>>> > Moksha >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>> > Em 5 de junho de 2012 22:51, Eden Caldas < [email protected] > >>>>>> > escreveu: >>>>>> > Sim você suspeitou corretamente. Não se pode ter dois gateways. >>>>>> > >>>>>> > Quando vocẽ seta um gateway no firewall, esse é o gateway DO >>>>>> firewall, >>>>>> > e não do resto da rapaziada. Assim o firewall tem dois gateways >>>>>> para a >>>>>> > internet, quando ele deveria ter um. >>>>>> > >>>>>> > Agora, o firewall deve ser o gateway das redes vlans, e para ele ser >>>>>> > isso, as redes precisam chegar nele de qualquer jeito, em qualquer >>>>>> ip >>>>>> > que ele tenha. >>>>>> > >>>>>> > Talvez isso já esteja acontecendo, e falta apenas fazer um SNAT / >>>>>> > MASQUERADE para essas vlans todas e(ou) habilitar o roteamento com >>>>>> > aquela linha echo 1 /proc/sys bla bla bla. >>>>>> > >>>>>> > Estou vendo que você mandou o e-mail diretamente para mim. Melhor >>>>>> > mandar pra lista para todos poderem ajudar e(ou) aprender. >>>>>> > >>>>>> > Eden Caldas >>>>>> > Consultor de TI >>>>>> > [email protected] >>>>>> > (81) 9747 4444 >>>>>> > (81) 9653 7220 >>>>>> > LINUX FÁCIL – Consultoria e Serviços em TI >>>>>> > >>>>>> > >>>>>> > >>>>>> > ---------- Mensagem encaminhada ---------- >>>>>> > De: Moksha Tux < [email protected] > >>>>>> > Data: 6 de junho de 2012 10:07 >>>>>> > Assunto: Re: Outras dúvidas sobre Iptables! >>>>>> > Para: Eden Caldas < [email protected] > >>>>>> > >>>>>> > >>>>>> > Muito obrigado pela resposta! >>>>>> > >>>>>> > Me perdoe por ter escrito somente pro senhor, segue agora a minha >>>>>> > resposta ao senhor para todo o forum. Eu fiz a regra no iptables >>>>>> que o >>>>>> > senhor menciona segue abaixo: >>>>>> > >>>>>> > >>>>>> > wan="eth0" >>>>>> > int="eth1" >>>>>> > dmz="eth2" >>>>>> > rede_int=" 10.0.0.0/8 " >>>>>> > >>>>>> > echo "1" > /proc/sys/net/ipv4/ip_forward >>>>>> > >>>>>> > e o compartilhamento de toda: >>>>>> > >>>>>> > iptables -t nat -A POSTROUTING -s $rede_int -o $wan -j SNAT >>>>>> > --to-source 200.20.116.52 >>>>>> > iptables -A FORWARD -i $int -s $rede_int -o $wan -j ACCEPT >>>>>> > >>>>>> > poxa, com certeza quando eu informo ao firewall 10.0.0.0/8 eu estou >>>>>> > informando toda a rede 10 não seria isso mesmo? Acredito que não >>>>>> teria >>>>>> > a obrigação de informar cada VLAN o senhor não concorda? Mas se >>>>>> então >>>>>> > se eu não puder declarar o gateway da rede 10.203 como esta >>>>>> interface >>>>>> > se comunicará com as redes das VLANs? Grande abraço, >>>>>> > >>>>>> > Moksha >>>>>> >>>>>> -- >>>>>> Paulo Ricardo Bruck >>>>>> Consultor Linux >>>>>> cel 011 9235-4327 tel 011 3596-4881/4882 >>>>>> http://www.contatogs.com.br >>>>>> skype: suportecontatogs >>>>>> >>>>>> >>>>>> -- >>>>>> To UNSUBSCRIBE, email to >>>>>> [email protected] >>>>>> with a subject of "unsubscribe". Trouble? Contact >>>>>> [email protected] >>>>>> Archive: >>>>>> http://lists.debian.org/811145381.2.1339077292791.javamail.r...@mercurio.contatogs.com.br >>>>>> >>>>>> >>>>> >>>> >>> >> >
