VPN LAN-DMZ
Olá Pessoal! Gostaria de pedir a opinião de vocês para uma solução que estou montando aqui. A Situação é a seguinte, na nossa instituição existem uma sala de reuniões onde as mesmas precisão ser transmitidas pela web publicamente, todos os pontos de rede dessa sala são da LAN interna, e nesse local existe uma mesa de som que cuida do audio. Eu irei colocar um servidor de streaming de audio nessa dala em um ponto de rede ligado a mesa de som e queria colocar essa máquina de streaming na DMZ. Eu primeiramente não queria fazer redirecionamento de IP, essa vai ser minha ultima solução, então eu estive pensando em fazer uma VPN dessa máquina até minha DMZ. Vocês acham que eu estou compicando demais? Meu primeiro cuidado é com segurança, se assim for mais seguro, é assim que eu vou fazer. Agradeceria considerações sobre a solução. Obrigado. -- Fagner Patrício João Pessoa - PB Brasil
Re: VPN LAN-DMZ
Em 01-07-2014 10:23, Fagner Patricio escreveu: Olá Pessoal! Gostaria de pedir a opinião de vocês para uma solução que estou montando aqui. A Situação é a seguinte, na nossa instituição existem uma sala de reuniões onde as mesmas precisão ser transmitidas pela web publicamente, todos os pontos de rede dessa sala são da LAN interna, e nesse local existe uma mesa de som que cuida do audio. Eu irei colocar um servidor de streaming de audio nessa dala em um ponto de rede ligado a mesa de som e queria colocar essa máquina de streaming na DMZ. Eu primeiramente não queria fazer redirecionamento de IP, essa vai ser minha ultima solução, então eu estive pensando em fazer uma VPN dessa máquina até minha DMZ. Vocês acham que eu estou compicando demais? Meu primeiro cuidado é com segurança, se assim for mais seguro, é assim que eu vou fazer. Agradeceria considerações sobre a solução. Obrigado. Olá! Se vai abrir publicamente, não vejo motivo para usar VPN. Sem mais informações da sua infraestrutura fica difícil opinar, quantos IPs tem disponível, se vai compartilhar o IP, etc... Pelo que descreveu, creio que terá um IP para esta máquina, então creio ser possível apenas rotear este IP, mais ou menos assim: Internet --- Roteador FW 1 SW DMZ Roteador FW 2 - SW LAN - Servidor IP1.1 IP1.2 IP2.1 IP2.2IP3 - Na tabela de roteamento do FW 1, se o IP recebido for o IP3, rotear ele para o roteador FW 2 (IP2.1). - Na tabela de roteamento do FW 2, se o IP recebido for o IP3, direcionar este para a interface do IP2.2 - No servidor, configurar a interface como roteador padrão IP2.2 (ou ponto-a-ponto). -- []'s Junior Polegato -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/53b2d76d.9050...@juniorpolegato.com.br
Re: Problema com DMZ - ROTA AVANÇADA - Ajedem-me pl ease
Bom tentar explicar melhor. Tenho um servidor que faz o roteamento avançado, tenho um link velox e outro Embratel Dedicado. eth1 Velox eth2 Embratel eth0 Rede 192.168.0.0/24 eth0:dmz 192.169.0.0/24 Tenho um servidor TS que sai pelo link embratel, meu link principal é o velox. Criei uma DMZ, que vai separar os servidores das MAQUINAS, a principio. Temos 2 servidores, um sai pelo link velox e outro pelo link embratel, o que sai pelo link default, elefuncona na DMZ sem problemas, o outro não. Ambos existem no DNS mas quando teno pingar alguma maqiuna da outra rede ele nao funcona. parede que ele força sair pelo link embratel. Tentei criar uma rota para a rede interna e outra rota para a DMZ, porem fiquei em duvida do que colocar no GATEWAY, pois ambas não possuem. O que fazer? Coloco o gateway a propria interface de rede. Att Gustavo 2009/3/4 PEdroArthur_JEdi pedro.fo...@gmail.com 2009/3/4 gunix gustavo.gru...@gmail.com: Teria como eu criar um rotaavançada ignorando o destino. Ex: Todo que for da rede 192.169.0.0 (SERVIDOR) pra 192.168.0.0 (REDE), ele ignore a rota aançada? Se você nos mostrasse o cenário todo ficaria mais fácil, :) Mas, adianto as seguintes regras (estou assumindo iproute2): rede A = 192.169.0.0/16 rede B = 192.168.0.0/16 # ip route add from 192.169.0.0/16 to 192.168.0.0/16 via $GWA_B # ip route add from 192.168.0.0/16 to 192.169.0.0/16 via $GWB_A -- PEdroArthur_JEdi Nunca acredite num sistema que você não conhece o código fonte! Never trust a system you don't have sources for! A unica condição na qual a inteligência, a dignidade e a felicidade podem se desenvolver é na liberdade. -- Mikhail Bakunin
Problema com DMZ - ROTA AVANÇADA - Ajedem-me please
Galera, estou com um problema Tenho uma rede, com ROTEAMENTO AVANÇADO pela origem. Tudo funciona perfeitamente. Porem resolvi criar um DMZ que separa os servidores da rede. Todo perfeito, porem o servidor que sai pelo ROTA DOIS não consegue reslver nome DNS da rede. Des te servidor quando tento pingar em qualquer maquina da rede ele resolve o nome pelo ip mas não pinga, dos demais funciona. Se eu tirar a rota avançada volta a funcionar. Teria como eu criar um rotaavançada ignorando o destino. Ex: Todo que for da rede 192.169.0.0 (SERVIDOR) pra 192.168.0.0 (REDE), ele ignore a rota aançada? Att Gustavo
Re: Problema com DMZ - ROTA AVANÇADA - Ajedem-me pl ease
2009/3/4 gunix gustavo.gru...@gmail.com: Teria como eu criar um rotaavançada ignorando o destino. Ex: Todo que for da rede 192.169.0.0 (SERVIDOR) pra 192.168.0.0 (REDE), ele ignore a rota aançada? Se você nos mostrasse o cenário todo ficaria mais fácil, :) Mas, adianto as seguintes regras (estou assumindo iproute2): rede A = 192.169.0.0/16 rede B = 192.168.0.0/16 # ip route add from 192.169.0.0/16 to 192.168.0.0/16 via $GWA_B # ip route add from 192.168.0.0/16 to 192.169.0.0/16 via $GWB_A -- PEdroArthur_JEdi Nunca acredite num sistema que você não conhece o código fonte! Never trust a system you don't have sources for! A unica condição na qual a inteligência, a dignidade e a felicidade podem se desenvolver é na liberdade. -- Mikhail Bakunin -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Ajuda em DMZ
Galera, tenho uma DMZ funcionando meia boca aqui na emrpesa e gostaria de implementa-la mais um pouco. Tenho duas redes... 192.169.0.0/255.255.255.0 192.168.0.0/255.255.255.0 A minha rede principal é a 192.168 e tenho um firewall que permite apenas portas para as demais redes. Porem quero liberar nas mauqinas quindows o uso de \\servidor Porem nao funcona. Ja tentei no firewall MASCARA TODAS as poras e mesmo assim nao funciona. tenho um DNS que resolve o domone. Se eu pingar em servidor ele responde normalmente de ambas as redes. Como faço para que funcione o netbios na DMZ. Aguardo... ajudas Att Gustavo
Re: Ajuda em DMZ
gunix escreveu: Galera, tenho uma DMZ funcionando meia boca aqui na emrpesa e gostaria de implementa-la mais um pouco. Tenho duas redes 192..169.0.0/255.255.255.0 http://192.169.0.0/255.255.255.0 192.168.0.0/255.255.255.0 http://192.168.0.0/255.255.255.0 A minha rede principal é a 192.168 e tenho um firewall que permite apenas portas para as demais redes. Porem quero liberar nas mauqinas quindows o uso de \\servidor Porem nao funcona. Ja tentei no firewall MASCARA TODAS as poras e mesmo assim nao funciona. tenho um DNS que resolve o domone. Se eu pingar em servidor ele responde normalmente de ambas as redes. Como faço para que funcione o netbios na DMZ. Aguardo... ajudas Att Gustavo Bom não entendi muito bem o seu problema, mas acho que você quer que as máquinas da rede 192.169.0.0/24 consigam acessar seu servidor que está na rede 192.168.0.0/24, é isso? Como está sua estrutura atual? Uma máquina com Debian instalado fazendo roteamento entre as duas redes? Cada rede está ligada à uma NIC de seu roteador? Se for assim, verifique se o ip forward está ativado, você pode verificar por um cat /proc/sys/net/ipv4/ip_forward, se estiver 0 está desativado, se estiver 1 está ativado, ou verificar em seu arquivo /etc/sysctl.conf se a linha net.ipv4.ip_forward=1 está comentada ou não. Depois disso é só setar as regras via iptables (iptables -t filter -A FORWARD -s 192.169.0.0/24 -dip_do_servidor -j ACCEPT) Se não for isso, tente detalhar melhor seu problema. -- Atenciosamente, Allan Carvalho Informação Computação Centro de Engenharia Biomédica – CEB Universidade Estadual de Campinas - UNICAMP Fone:(19) 3521-9281 http://www.ceb.unicamp.br Para as lagartixas só posso dizer: treine muito e vire um calango, e continue admirando os crocodilos. O MS Office não consegue ler os arquivos salvos em formato OpenOffice, já o OpenOffice consegue ler os arquivos salvos em formato MS Office, o engraçado disso é que é o OpenOffice que não presta... !DSPAM:49886d1227661153721910! -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Ajuda em DMZ
Exatamente isso que preciso.eu tenho meus servidores na rede 192.169.0.0 e minhas estaçoes na ede 192.168.0.0 Hoje eu tenho um firewall debian que roteia os pacotes na rede. Porem nao consigo roteador quando o cara tenta acessar a maquina com \\servidor Se ele usar o SQL Server por exemplo funciona pois a porta esta roteada normalmente. O Arquivo /proc/sys/net/ipv4/ip_forward esta com 1. Meu firewall ja set apor padrao este valor. O Meu arquivo /etc/sysctl.conf não possui a linha net.ipv4.ip_forward=1 Devo cria-la? Me disseram que para funcionar, deveria ligar um bridge entre as interfaces de rede do servidor. Porem gostaria de confirmar para saber se existe outro forma. Att Gustavo 2009/2/3 Allan Carvalho al...@ceb.unicamp.br gunix escreveu: Galera, tenho uma DMZ funcionando meia boca aqui na emrpesa e gostaria de implementa-la mais um pouco. Tenho duas redes 192..169.0.0/255.255.255.0 http://192.169.0.0/255.255.255.0 192.168.0.0/255.255.255.0 http://192.168.0.0/255.255.255.0 A minha rede principal é a 192.168 e tenho um firewall que permite apenas portas para as demais redes. Porem quero liberar nas mauqinas quindows o uso de \\servidor Porem nao funcona. Ja tentei no firewall MASCARA TODAS as poras e mesmo assim nao funciona. tenho um DNS que resolve o domone. Se eu pingar em servidor ele responde normalmente de ambas as redes. Como faço para que funcione o netbios na DMZ. Aguardo... ajudas Att Gustavo Bom não entendi muito bem o seu problema, mas acho que você quer que as máquinas da rede 192.169.0.0/24 consigam acessar seu servidor que está na rede 192.168.0.0/24, é isso? Como está sua estrutura atual? Uma máquina com Debian instalado fazendo roteamento entre as duas redes? Cada rede está ligada à uma NIC de seu roteador? Se for assim, verifique se o ip forward está ativado, você pode verificar por um cat /proc/sys/net/ipv4/ip_forward, se estiver 0 está desativado, se estiver 1 está ativado, ou verificar em seu arquivo /etc/sysctl.conf se a linha net.ipv4.ip_forward=1 está comentada ou não. Depois disso é só setar as regras via iptables (iptables -t filter -A FORWARD -s 192.169.0.0/24 -dip_do_servidor -j ACCEPT) Se não for isso, tente detalhar melhor seu problema. -- Atenciosamente, Allan Carvalho Informação Computação Centro de Engenharia Biomédica – CEB Universidade Estadual de Campinas - UNICAMP Fone:(19) 3521-9281 http://www.ceb.unicamp.br Para as lagartixas só posso dizer: treine muito e vire um calango, e continue admirando os crocodilos. O MS Office não consegue ler os arquivos salvos em formato OpenOffice, já o OpenOffice consegue ler os arquivos salvos em formato MS Office, o engraçado disso é que é o OpenOffice que não presta... !DSPAM:49886d1127661825581892!
DMZ
Caros amigos. Estou pretendendo implementar uma DMZ pros notebooks de minha unidade, para que assim, eu não perca os IPs quando vierem me pedir um. Implementei um protótipo onde, tenho um servidor DHCP, que atribui IPs não-válidos aos notebooks (192.168.0.0/24), e este mesmo servidor DHCP está fazendo NAT pra minha rede, que contém IPs válidos, este servidor está com uma única placa de rede (eth0) e nesta placa eu atribui dois IPs, via ipconfig mesmo, não instalei iproute, ativei o ip_forward, e coloquei o NAT em MASQUERADE, e coloquei a política padrão do FORWARD como ACCEPT. Minha pergunta é, vocês consideram uma boa implementação? Ou eu poderia fazer de outra maneira? Meus principais objetivos são: - Atribuir IPs não-válidos para os Notebooks; - Proteger a minha rede de IPs válidos, para evitar propagação de vírus, ou acesso não-autorizado aos compartilhamentos de rede. -- Atenciosamente, Allan Carvalho Para as lagartixas só posso dizer: treine muito e vire um calango, e continue admirando os crocodilos. O MS Office não consegue ler os arquivos salvos em formato OpenOffice, já o OpenOffice consegue ler os arquivos salvos em formato MS Office, o engraçado disso é que é o OpenOffice que não presta... !DSPAM:492d6ce827024587712717! -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: DMZ
Olha, Alan, isso tudo vai depender de suas regras, mas em geral, uma boa DMZ é uma combinação de regras e Vlans. Geralmente um servidor NAT/FIREWALL que gerencie uma DMZ contém 3 placas de rede, uma com o ip roteável , uma da intranet e outra da DMZ, mas isso é o padrão, nada impede que vocÊ faça dessa forma, portanto que com regras muito bem fundamentadas. Se precisar de um help para essa montagem, escreve aí. Do mais, boa sorte []'s Daniel Allan Carvalho escreveu: Caros amigos. Estou pretendendo implementar uma DMZ pros notebooks de minha unidade, para que assim, eu não perca os IPs quando vierem me pedir um. Implementei um protótipo onde, tenho um servidor DHCP, que atribui IPs não-válidos aos notebooks (192.168.0.0/24), e este mesmo servidor DHCP está fazendo NAT pra minha rede, que contém IPs válidos, este servidor está com uma única placa de rede (eth0) e nesta placa eu atribui dois IPs, via ipconfig mesmo, não instalei iproute, ativei o ip_forward, e coloquei o NAT em MASQUERADE, e coloquei a política padrão do FORWARD como ACCEPT. Minha pergunta é, vocês consideram uma boa implementação? Ou eu poderia fazer de outra maneira? Meus principais objetivos são: - Atribuir IPs não-válidos para os Notebooks; - Proteger a minha rede de IPs válidos, para evitar propagação de vírus, ou acesso não-autorizado aos compartilhamentos de rede. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: DMZ
Daniel escribió: Olha, Alan, isso tudo vai depender de suas regras, mas em geral, uma boa DMZ é uma combinação de regras e Vlans. Geralmente um servidor NAT/FIREWALL que gerencie uma DMZ contém 3 placas de rede, uma com o ip roteável , uma da intranet e outra da DMZ, mas isso é o padrão, nada impede que vocÊ faça dessa forma, portanto que com regras muito bem fundamentadas. Se precisar de um help para essa montagem, escreve aí. Do mais, boa sorte []'s Daniel Allan Carvalho escreveu: Caros amigos. Estou pretendendo implementar uma DMZ pros notebooks de minha unidade, para que assim, eu não perca os IPs quando vierem me pedir um. Implementei um protótipo onde, tenho um servidor DHCP, que atribui IPs não-válidos aos notebooks (192.168.0.0/24), e este mesmo servidor DHCP está fazendo NAT pra minha rede, que contém IPs válidos, este servidor está com uma única placa de rede (eth0) e nesta placa eu atribui dois IPs, via ipconfig mesmo, não instalei iproute, ativei o ip_forward, e coloquei o NAT em MASQUERADE, e coloquei a política padrão do FORWARD como ACCEPT. Minha pergunta é, vocês consideram uma boa implementação? Ou eu poderia fazer de outra maneira? Meus principais objetivos são: - Atribuir IPs não-válidos para os Notebooks; - Proteger a minha rede de IPs válidos, para evitar propagação de vírus, ou acesso não-autorizado aos compartilhamentos de rede. O que não entendi é o seguinte... com uma placa de rede só, você com certeza vai precisar de um switch para conectar os laptops e o servidor que você quer instalar. Além do mais, esse switch terá que ser conectado à sua rede, então, você vai permitir que um espertinho coloque um IP no laptop dele e possa usar internet sem problemas. E porque você não instala esse servidor com 2 placas de rede? Vai facilitar sua vida, é barato e tornará a topologia mais clara. Até e boa sorte. -- Miguel Da Silva Administrador Junior de Sistemas Unix Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
dúvida com dmz
Pessoal, nos servidores que ficarão na DMZ os ips que devo utilizar são publicos ( 200.X..X) ou privados (10.x.x.x). Pergunto isso pq li em algumas documentações que utilizam das duas formas. Quero saber qual é a forma correta e a que provê maior segurança. obrigado a todos, Novos endereços, o Yahoo! que você conhece. Crie um email novo com a sua cara @ymail.com ou @rocketmail.com. http://br.new.mail.yahoo.com/addresses -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: dúvida com dmz
Na minha opinião utilizaria privados. Pq vc teria um firewall anterior a DMZ né, e ele teria um publico. E tb teria uma economia com os ips né. Samuel Rios Carvalho 2008/11/12 Alex [EMAIL PROTECTED] Pessoal, nos servidores que ficarão na DMZ os ips que devo utilizar são publicos ( 200.X..X) ou privados (10.x.x.x). Pergunto isso pq li em algumas documentações que utilizam das duas formas. Quero saber qual é a forma correta e a que provê maior segurança. obrigado a todos, Novos endereços, o Yahoo! que você conhece. Crie um email novo com a sua cara @ymail.com ou @rocketmail.com. http://br.new.mail.yahoo.com/addresses -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Como configurar DNS para que funcione a DMZ.
Sim, meu DNAT e SNAT ja esta ok. Porem minha rede é 10.1.0.0/16 Meus servidores estao em 192.168.1.0/24 Colocando meu dominio no DMZ nao consigo autenticar no domainio. Verificando no google, pude ver que no caso do dominio NETBIOS preico do DNS funcionando perfeitamento para que o servidor saia o que é DOMINIO. Att Gustavo 2008/8/13 Miguel Da Silva - Centro de Matemática [EMAIL PROTECTED] Citando gunix [EMAIL PROTECTED]: Ola galera, mais uma vez solicito uma ajda. Como configurar o DNS para que o dmz funcone bem. coloquei os servidores em uma rede separada e criei interfaces virtuais no firewall para que tivessemos acesso ao server na rede. Até ai tudo bem. Se eu usar os serviços por ip consigo usar todos perfeitamente. Agora nao consigo por exemplo o dominio funcionar. Me passaram que eu teria que configurar o DNS para que isso acontece-se. Mas como configurar o DNS para que consultas \\server tive-se sucesso numa mauqina windows. Att Gustavo DNS para DMZ?!?! O que você tem que fazer é usar SNAT e DNAT para transferir à DMZ as conexões que correspondem aos servidores que estão na DMZ. A única coisa que um DNS faz é traduzir IP em nomes de hosts e vice-versa.Se os servidores estão ou não numa DMZ já é outra história. Até. -- Miguel Da Silva Administrador Junior de Sistemas Unix Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy This message was sent using IMP, the Internet Messaging Program. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Como configurar DNS para que funcione a DMZ.
Ola galera, mais uma vez solicito uma ajda. Como configurar o DNS para que o dmz funcone bem. coloquei os servidores em uma rede separada e criei interfaces virtuais no firewall para que tivessemos acesso ao server na rede. Até ai tudo bem. Se eu usar os serviços por ip consigo usar todos perfeitamente. Agora nao consigo por exemplo o dominio funcionar. Me passaram que eu teria que configurar o DNS para que isso acontece-se. Mas como configurar o DNS para que consultas \\server tive-se sucesso numa mauqina windows. Att Gustavo
Re: Como configurar DNS para que funcione a DMZ.
Citando gunix [EMAIL PROTECTED]: Ola galera, mais uma vez solicito uma ajda. Como configurar o DNS para que o dmz funcone bem. coloquei os servidores em uma rede separada e criei interfaces virtuais no firewall para que tivessemos acesso ao server na rede. Até ai tudo bem. Se eu usar os serviços por ip consigo usar todos perfeitamente. Agora nao consigo por exemplo o dominio funcionar. Me passaram que eu teria que configurar o DNS para que isso acontece-se. Mas como configurar o DNS para que consultas \\server tive-se sucesso numa mauqina windows. Att Gustavo DNS para DMZ?!?! O que você tem que fazer é usar SNAT e DNAT para transferir à DMZ as conexões que correspondem aos servidores que estão na DMZ. A única coisa que um DNS faz é traduzir IP em nomes de hosts e vice-versa.Se os servidores estão ou não numa DMZ já é outra história. Até. -- Miguel Da Silva Administrador Junior de Sistemas Unix Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy This message was sent using IMP, the Internet Messaging Program. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
DMZ
Galera, estou procurando no google sobre como montar uma DMZ para inicar uns estudos. Porem varios links que achei esta fora do ar. Muitos deles do Viva o Linux. Alguem sabe de algum material bom na net que eu possa ler sobre o assinto e algumas dicas iniciais. Att Gunix
Re: DMZ
http://www.infrastructures.org/ -- PEdroArthur_JEdi -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: DMZ
http://www.clubedohacker.com.br/tutoriaisartigos-mainmenu-31/36-sistemas-linux/206-dmz-de-militarized-zone Esse site é muito bom ;) 2008/7/30 gunix [EMAIL PROTECTED] Galera, estou procurando no google sobre como montar uma DMZ para inicar uns estudos. Porem varios links que achei esta fora do ar. Muitos deles do Viva o Linux. Alguem sabe de algum material bom na net que eu possa ler sobre o assinto e algumas dicas iniciais. Att Gunix
REDE DMZ
Olá Lista, Estou com a seguinte duvida: Tenho uma DMZ, onde esta tem uma só máquina rodando todos meus serviço de internet com o seguinte IP 192.168.2.2, o gw dela é 192.168.2.1 que é meu firewall com a eth0 com o ip 200.xxx.xxx.xxx. Meus e-mail enviados não estão sendo aceitos no MSN e Nem no Yahoo, meu DNS reverso e tudo mais esta OK, ja fiz inumeros testes www.terra.com.br/postmaster e vários outros o resultado é OK. Então cheguei a uma conclusão que só pode ser o ip 192.168.2.2 que esta causando isso, para sulucionar o problema fiz o seguinte, troquei o ip 192.168.2.2 para 200.222.222.222 e no firewall troquei o ip 192.168.2.1 para 200.222.222.111. O que aconteceu foi que tudo parou de funcionar, tive q voltar para o que era antes. 192.168.2.2 -- Cabo Cross -- 192.168.2.1 NET -- 200.xxx.xxx.xxx - Assim Funciona 200.222.222.222 Cabo Cross 200.222.222.111 NET 200.xxx.xxx.xxx -- Assim para de funcionar, os ips 200 estão todos na mesma rede, tenho um range com 5 Ips válidos, mais na 2 maneira para tudo, as placas não se falam. Fui claro, deu para entender o probe ? Alguem pode me ajudar ? Agradeço. ## # Gustavo V. Goulart # # Linux Debian Sarge # ## Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento! http://br.mail.yahoo.com/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: REDE DMZ
Em Qua, 2008-04-09 às 15:45 -0300, Gustavo Goulart escreveu: 192.168.2.2 -- Cabo Cross -- 192.168.2.1 NET -- 200.xxx.xxx.xxx - Assim Funciona 200.222.222.222 Cabo Cross 200.222.222.111 NET 200.xxx.xxx.xxx -- Assim para de funcionar, os ips 200 estão todos na mesma rede, tenho um range com 5 Ips válidos, mais na 2 maneira para tudo, as placas não se falam. Fui claro, deu para entender o probe ? Alguem pode me ajudar ? Você está fazendo NAT do 200.xxx.xxx.xxx para o 192.168.2.2, certo? Quando o seu servidor de email se conecta para enviar uma mensagem para o MSN, ele se apresenta como 192.168.2.2 ou como 200.xxx.xxx.xxx? Algumas linhas do log do seu servidor SMTP poderiam ajudar bastante a entender o problema. -- Goedson Teixeira Paixao http://mundolivre.wordpress.com/ Debian Project http://www.debian.org/ Jabber ID: [EMAIL PROTECTED]http://www.jabber.org/ signature.asc Description: Esta é uma parte de mensagem assinada digitalmente
[OFF-TOPIC] Como implantar uma DMZ?
Galera, boa tarde! Andei pesquisando, pra tentar encontrar algum site que tenha um conteúdo completo sobre a implantação de DMZ, e infelizmente não achei o que queria (que fale sobre implantação - do zero - e gerenciamento da DMZ). Alguém sabe de algum site que tenha um bom conteúdo? ou que possua algum material e que possa me passar? Desde de já agradeço! - (o_Marcus Vinícius //\GNU/Debian V_/_User #171901 - Flickr agora em português. Você clica, todo mundo vê. http://www.flickr.com.br/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OFF-TOPIC] Como implantar uma DMZ?
Boa noite! Um livro que gostei muito sobre firewall foi o Construindo firewalls para a internet da Editora Campus. Este livro aborda o conceito de firewall de forma bem abrangente, cabendo ao leitor a escolha de qual ferramenta utilizar para a construção do mesmo. Se ainda encontrar este título à venda eu recmendo. Marcus Vinícius Liberani escreveu: Galera, boa tarde! Andei pesquisando, pra tentar encontrar algum site que tenha um conteúdo completo sobre a implantação de DMZ, e infelizmente não achei o que queria (que fale sobre implantação - do zero - e gerenciamento da DMZ). Alguém sabe de algum site que tenha um bom conteúdo? ou que possua algum material e que possa me passar? Desde de já agradeço! - (o_Marcus Vinícius //\GNU/Debian V_/_User #171901 - Flickr agora em português. Você clica, todo mundo vê. http://www.flickr.com.br/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OFF-TOPIC] Como implantar uma DMZ?
Rogerio. Primeiro vc tem que entender o que é uma DMZ, depois desenhar a rede, e assim implantar. Nesse artigo vc terá uma idéia basica: http://www.projetoderedes.com.br/artigos/artigo_redes_de_perimetro.php On 9/24/07, Rogerio Ferreira [EMAIL PROTECTED] wrote: Boa noite! Um livro que gostei muito sobre firewall foi o Construindo firewalls para a internet da Editora Campus. Este livro aborda o conceito de firewall de forma bem abrangente, cabendo ao leitor a escolha de qual ferramenta utilizar para a construção do mesmo. Se ainda encontrar este título à venda eu recmendo. Marcus Vinícius Liberani escreveu: Galera, boa tarde! Andei pesquisando, pra tentar encontrar algum site que tenha um conteúdo completo sobre a implantação de DMZ, e infelizmente não achei o que queria (que fale sobre implantação - do zero - e gerenciamento da DMZ). Alguém sabe de algum site que tenha um bom conteúdo? ou que possua algum material e que possa me passar? Desde de já agradeço! - (o_Marcus Vinícius //\GNU/Debian V_/_User #171901 - Flickr agora em português. Você clica, todo mundo vê. http://www.flickr.com.br/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- _ °v° Sérgio Lopes- Analista de Sistema /(_)\ São Paulo - SP - BRAZIL ^ ^ Linux user number 373166
Re: Firewall com 3 redes: Net, Lan e DMZ - roteamento entre elas
Denis!! è isso ai mesmo amigo!! Brigadão cara, funcionou de cara, eu tava suspeitando de que seria uma rota, mas nao fazia a minima de como por pra rolar! Agora vou fazer um script organizado e comentado pra subir o firewall com a dmz, e compilar as dicas que voce e os amigos aqui da lista me passaram, assim posto aqui e vou postar tb no Vivaolinux. Brigadaooo!! On Monday 09 April 2007 17:42, Denis wrote: nas máquinas que estão na DMZ: route add -net 0/0 gw ip_firewall_dmz. Deve resolver. Abraço! Em 09/04/07, andnovelli[EMAIL PROTECTED] escreveu: Denis E amigos! Estou aqui para comentar sobre os progressos da minha curzada épica pra fazer funcionar uma DMZ decente! rsrsrs. Bom, Tenho iptables rodando, politica padrão é drop. adicionei as regras do iptables pra liberar o acesso da lan pra dmz e vice versa, adicionei as rotas necessarias, entao da maquina que ta na dmz eu pingo qualquer maquina da lan, e de qualquer maquina da lan eu pingo a maquina que ta na dmz. Até ai ta tudo beleza (graças às boas dicas do Denis e dos amigos aqui da lista). Acontece que a maquina da dmz precisa acessar a Internet tumein! A internet é uma placa de rede com ip dinamico (posso ver se dá pra fixar) eu habilitei o compartilhamento da net com o iptables conforme o script abaixo: echo Subindo modulos /sbin/modprobe ip_conntrack /sbin/modprobe ipt_MASQUERADE /sbin/modprobe ipt_LOG /sbin/modprobe iptable_nat /sbin/modprobe ipt_REDIRECT #habilitando Ip forward echo 1 /proc/sys/net/ipv4/ip_forward echo [OK] echo Inicializando as tabelas $IPT -F $IPT -Z $IPT -t nat -F $IPT -P INPUT DROP $IPT -t filter -P FORWARD DROP $IPT -P OUTPUT ACCEPT echo [ok] ## COMPARTILHAMENTO DE CONEXAO # echo Habilitando o compartilhamento da conexao de internet $IPT -t nat -A POSTROUTING -o $NET_IFACE -j MASQUERADE echo [OK] ### ## Configurando interface DMZ # ### echo Subindo interface DMZ ifconfig $DMZ_IFACE $DMZ_IP_ADDR netmask 255.255.255.0 broadcast 10.100.100.255 route add -net $DMZ_NET netmask 255.255.255.0 dev $DMZ_IFACE #liberando trafego entre DMZ e LAN $IPT -I FORWARD -s 10.100.100.0/255.255.255.0 -i eth2 -d 10.0.4.0/255.255.255.0 -o eth1 -j ACCEPT $IPT -I FORWARD -s 10.0.4.0/255.255.255.0 -i eth1 -d 10.100.100.0/255.255.255.0 -o eth2 -j ACCEPT echo [OK] Acontece que mesmo se eu alterar a politica padrao pra ACCEPT eu nao consigo dar um ping pra nenhum site na internet, por exemplo o uol, pois tenho como retorno a mensagem dizendo que a rede é inacessivel network is unreachable ja tentei colocar as mesmas regras de liberação que estao para a DMZ (alterando os parametros de rede e interfaces, claro) mas nao tive sucesso! Alguma luz amigos? On Tuesday 03 April 2007 10:07, Denis wrote: Se as políticas estão com odrop vc vai precisar de: iptables -I FORWARD -s 10.0.100.0/sua_mascara -i eth2 -d 10.0.4.0/sua_mascara -o eth1 -j ACCEPT e iptables -I FORWARD -s 10.0.4.0/sua_mascara -i eth1 -d 10.0.100.0/sua_mascara -o eth2 -j ACCEPT Denis Em 03/04/07, andnovelli[EMAIL PROTECTED] escreveu: Opá denis! O iptables esta com as regras de firewall que existiam antes, vou dar um flush e colocar accept em tudo, e testar se pinga normal. On Tuesday 03 April 2007 09:54, you wrote: Das máquinas da DMZ vc consegue pingar nas outras interfaces do firewall? E na net? Seu iptables está sem nenhuma regra, e as politicas estão como accept? iptables -L -n Para a máquina rotear, não é necessário colocar nenhuma regra no iptables. Denis Em 03/04/07, andnovelli[EMAIL PROTECTED] escreveu: Opa denis! Esta sim, o acesso a net ja etsa sendo feito, eu ainda nao coloquei nehuma regra no iptables, to tentando fazer so um ping, sera que precisa meter algo no iptables? Valew a força! On Tuesday 03 April 2007 09:40, you wrote: o ip forward está habilitado? echo 1 /proc/sys/net/ipv4/ip_forward ? Em 03/04/07, andnovelli[EMAIL PROTECTED] escreveu: Opá! Sim esta! a maquina 10.0.100.90 tem gateway para 10.0.100.3 On Tuesday 03 April 2007 09:25, Denis wrote: Suas máquinas da rede 10.0.100.0 têm que ter como gateway o ip 10.9.100.3 Isso tá Ok? abraço. Em 03/04/07, andnovelli[EMAIL PROTECTED] escreveu: Pessoal, dando prosseguimento ao pepino que estou tentando resolver, parti pra solução que achei mais segura, que é montar uma DMZ ( 3° placa de rede no firewall
Re: Firewall com 3 redes: Net, Lan e DMZ - roteamento entre elas
Falou rapaz Estamos aí! ;) Em 10/04/07, andnovelli[EMAIL PROTECTED] escreveu: Denis!! è isso ai mesmo amigo!! Brigadão cara, funcionou de cara, eu tava suspeitando de que seria uma rota, mas nao fazia a minima de como por pra rolar! Agora vou fazer um script organizado e comentado pra subir o firewall com a dmz, e compilar as dicas que voce e os amigos aqui da lista me passaram, assim posto aqui e vou postar tb no Vivaolinux. Brigadaooo!! On Monday 09 April 2007 17:42, Denis wrote: nas máquinas que estão na DMZ: route add -net 0/0 gw ip_firewall_dmz. Deve resolver. Abraço! Em 09/04/07, andnovelli[EMAIL PROTECTED] escreveu: Denis E amigos! Estou aqui para comentar sobre os progressos da minha curzada épica pra fazer funcionar uma DMZ decente! rsrsrs. Bom, Tenho iptables rodando, politica padrão é drop. adicionei as regras do iptables pra liberar o acesso da lan pra dmz e vice versa, adicionei as rotas necessarias, entao da maquina que ta na dmz eu pingo qualquer maquina da lan, e de qualquer maquina da lan eu pingo a maquina que ta na dmz. Até ai ta tudo beleza (graças às boas dicas do Denis e dos amigos aqui da lista). Acontece que a maquina da dmz precisa acessar a Internet tumein! A internet é uma placa de rede com ip dinamico (posso ver se dá pra fixar) eu habilitei o compartilhamento da net com o iptables conforme o script abaixo: echo Subindo modulos /sbin/modprobe ip_conntrack /sbin/modprobe ipt_MASQUERADE /sbin/modprobe ipt_LOG /sbin/modprobe iptable_nat /sbin/modprobe ipt_REDIRECT #habilitando Ip forward echo 1 /proc/sys/net/ipv4/ip_forward echo [OK] echo Inicializando as tabelas $IPT -F $IPT -Z $IPT -t nat -F $IPT -P INPUT DROP $IPT -t filter -P FORWARD DROP $IPT -P OUTPUT ACCEPT echo [ok] ## COMPARTILHAMENTO DE CONEXAO # echo Habilitando o compartilhamento da conexao de internet $IPT -t nat -A POSTROUTING -o $NET_IFACE -j MASQUERADE echo [OK] ### ## Configurando interface DMZ # ### echo Subindo interface DMZ ifconfig $DMZ_IFACE $DMZ_IP_ADDR netmask 255.255.255.0 broadcast 10.100.100.255 route add -net $DMZ_NET netmask 255.255.255.0 dev $DMZ_IFACE #liberando trafego entre DMZ e LAN $IPT -I FORWARD -s 10.100.100.0/255.255.255.0 -i eth2 -d 10.0.4.0/255.255.255.0 -o eth1 -j ACCEPT $IPT -I FORWARD -s 10.0.4.0/255.255.255.0 -i eth1 -d 10.100.100.0/255.255.255.0 -o eth2 -j ACCEPT echo [OK] Acontece que mesmo se eu alterar a politica padrao pra ACCEPT eu nao consigo dar um ping pra nenhum site na internet, por exemplo o uol, pois tenho como retorno a mensagem dizendo que a rede é inacessivel network is unreachable ja tentei colocar as mesmas regras de liberação que estao para a DMZ (alterando os parametros de rede e interfaces, claro) mas nao tive sucesso! Alguma luz amigos? On Tuesday 03 April 2007 10:07, Denis wrote: Se as políticas estão com odrop vc vai precisar de: iptables -I FORWARD -s 10.0.100.0/sua_mascara -i eth2 -d 10.0.4.0/sua_mascara -o eth1 -j ACCEPT e iptables -I FORWARD -s 10.0.4.0/sua_mascara -i eth1 -d 10.0.100.0/sua_mascara -o eth2 -j ACCEPT Denis Em 03/04/07, andnovelli[EMAIL PROTECTED] escreveu: Opá denis! O iptables esta com as regras de firewall que existiam antes, vou dar um flush e colocar accept em tudo, e testar se pinga normal. On Tuesday 03 April 2007 09:54, you wrote: Das máquinas da DMZ vc consegue pingar nas outras interfaces do firewall? E na net? Seu iptables está sem nenhuma regra, e as politicas estão como accept? iptables -L -n Para a máquina rotear, não é necessário colocar nenhuma regra no iptables. Denis Em 03/04/07, andnovelli[EMAIL PROTECTED] escreveu: Opa denis! Esta sim, o acesso a net ja etsa sendo feito, eu ainda nao coloquei nehuma regra no iptables, to tentando fazer so um ping, sera que precisa meter algo no iptables? Valew a força! On Tuesday 03 April 2007 09:40, you wrote: o ip forward está habilitado? echo 1 /proc/sys/net/ipv4/ip_forward ? Em 03/04/07, andnovelli[EMAIL PROTECTED] escreveu: Opá! Sim esta! a maquina 10.0.100.90 tem gateway para 10.0.100.3 On Tuesday 03 April 2007 09:25, Denis wrote: Suas máquinas da rede 10.0.100.0 têm que ter como gateway o ip 10.9.100.3 Isso tá Ok? abraço. Em 03/04/07, andnovelli[EMAIL PROTECTED] escreveu: Pessoal, dando prosseguimento ao pepino que estou tentando resolver, parti pra solução que
Re: Firewall com 3 redes: Net, Lan e DMZ - roteamento entre elas
Denis E amigos! Estou aqui para comentar sobre os progressos da minha curzada épica pra fazer funcionar uma DMZ decente! rsrsrs. Bom, Tenho iptables rodando, politica padrão é drop. adicionei as regras do iptables pra liberar o acesso da lan pra dmz e vice versa, adicionei as rotas necessarias, entao da maquina que ta na dmz eu pingo qualquer maquina da lan, e de qualquer maquina da lan eu pingo a maquina que ta na dmz. Até ai ta tudo beleza (graças às boas dicas do Denis e dos amigos aqui da lista). Acontece que a maquina da dmz precisa acessar a Internet tumein! A internet é uma placa de rede com ip dinamico (posso ver se dá pra fixar) eu habilitei o compartilhamento da net com o iptables conforme o script abaixo: echo Subindo modulos /sbin/modprobe ip_conntrack /sbin/modprobe ipt_MASQUERADE /sbin/modprobe ipt_LOG /sbin/modprobe iptable_nat /sbin/modprobe ipt_REDIRECT #habilitando Ip forward echo 1 /proc/sys/net/ipv4/ip_forward echo [OK] echo Inicializando as tabelas $IPT -F $IPT -Z $IPT -t nat -F $IPT -P INPUT DROP $IPT -t filter -P FORWARD DROP $IPT -P OUTPUT ACCEPT echo [ok] ## COMPARTILHAMENTO DE CONEXAO # echo Habilitando o compartilhamento da conexao de internet $IPT -t nat -A POSTROUTING -o $NET_IFACE -j MASQUERADE echo [OK] ### ## Configurando interface DMZ # ### echo Subindo interface DMZ ifconfig $DMZ_IFACE $DMZ_IP_ADDR netmask 255.255.255.0 broadcast 10.100.100.255 route add -net $DMZ_NET netmask 255.255.255.0 dev $DMZ_IFACE #liberando trafego entre DMZ e LAN $IPT -I FORWARD -s 10.100.100.0/255.255.255.0 -i eth2 -d 10.0.4.0/255.255.255.0 -o eth1 -j ACCEPT $IPT -I FORWARD -s 10.0.4.0/255.255.255.0 -i eth1 -d 10.100.100.0/255.255.255.0 -o eth2 -j ACCEPT echo [OK] Acontece que mesmo se eu alterar a politica padrao pra ACCEPT eu nao consigo dar um ping pra nenhum site na internet, por exemplo o uol, pois tenho como retorno a mensagem dizendo que a rede é inacessivel network is unreachable ja tentei colocar as mesmas regras de liberação que estao para a DMZ (alterando os parametros de rede e interfaces, claro) mas nao tive sucesso! Alguma luz amigos? On Tuesday 03 April 2007 10:07, Denis wrote: Se as políticas estão com odrop vc vai precisar de: iptables -I FORWARD -s 10.0.100.0/sua_mascara -i eth2 -d 10.0.4.0/sua_mascara -o eth1 -j ACCEPT e iptables -I FORWARD -s 10.0.4.0/sua_mascara -i eth1 -d 10.0.100.0/sua_mascara -o eth2 -j ACCEPT Denis Em 03/04/07, andnovelli[EMAIL PROTECTED] escreveu: Opá denis! O iptables esta com as regras de firewall que existiam antes, vou dar um flush e colocar accept em tudo, e testar se pinga normal. On Tuesday 03 April 2007 09:54, you wrote: Das máquinas da DMZ vc consegue pingar nas outras interfaces do firewall? E na net? Seu iptables está sem nenhuma regra, e as politicas estão como accept? iptables -L -n Para a máquina rotear, não é necessário colocar nenhuma regra no iptables. Denis Em 03/04/07, andnovelli[EMAIL PROTECTED] escreveu: Opa denis! Esta sim, o acesso a net ja etsa sendo feito, eu ainda nao coloquei nehuma regra no iptables, to tentando fazer so um ping, sera que precisa meter algo no iptables? Valew a força! On Tuesday 03 April 2007 09:40, you wrote: o ip forward está habilitado? echo 1 /proc/sys/net/ipv4/ip_forward ? Em 03/04/07, andnovelli[EMAIL PROTECTED] escreveu: Opá! Sim esta! a maquina 10.0.100.90 tem gateway para 10.0.100.3 On Tuesday 03 April 2007 09:25, Denis wrote: Suas máquinas da rede 10.0.100.0 têm que ter como gateway o ip 10.9.100.3 Isso tá Ok? abraço. Em 03/04/07, andnovelli[EMAIL PROTECTED] escreveu: Pessoal, dando prosseguimento ao pepino que estou tentando resolver, parti pra solução que achei mais segura, que é montar uma DMZ ( 3° placa de rede no firewall ). Espetei a dita placa de rede, configurei o IP da mesma, ficando assim: NET - 200.x.x.88 - ETH0 LAN - 10.0.4.3 - ETH1 DMZ - 10.0.100.3 - ETH2 O IP 10.0.4.3 é o gateway padrao da minha rede, todas as estações tem ele configurado. quando eu pingo o 10.0.100.3 de uma estação, vai tudo ok, mas quando eu pingo o ip de uma maquina, por exemplo 10.0.100.90 da mesma estação, o mesmo nao pinga! o que poderia ser ?? -- Andre Novelli Depto de TI +55 11 5534.0017 [EMAIL PROTECTED] www.embalatec.com.br -- Andre Novelli Depto de TI +55 11 5534.0017 [EMAIL PROTECTED
Re: Firewall com 3 redes: Net, Lan e DMZ - roteamento entre elas
nas máquinas que estão na DMZ: route add -net 0/0 gw ip_firewall_dmz. Deve resolver. Abraço! Em 09/04/07, andnovelli[EMAIL PROTECTED] escreveu: Denis E amigos! Estou aqui para comentar sobre os progressos da minha curzada épica pra fazer funcionar uma DMZ decente! rsrsrs. Bom, Tenho iptables rodando, politica padrão é drop. adicionei as regras do iptables pra liberar o acesso da lan pra dmz e vice versa, adicionei as rotas necessarias, entao da maquina que ta na dmz eu pingo qualquer maquina da lan, e de qualquer maquina da lan eu pingo a maquina que ta na dmz. Até ai ta tudo beleza (graças às boas dicas do Denis e dos amigos aqui da lista). Acontece que a maquina da dmz precisa acessar a Internet tumein! A internet é uma placa de rede com ip dinamico (posso ver se dá pra fixar) eu habilitei o compartilhamento da net com o iptables conforme o script abaixo: echo Subindo modulos /sbin/modprobe ip_conntrack /sbin/modprobe ipt_MASQUERADE /sbin/modprobe ipt_LOG /sbin/modprobe iptable_nat /sbin/modprobe ipt_REDIRECT #habilitando Ip forward echo 1 /proc/sys/net/ipv4/ip_forward echo [OK] echo Inicializando as tabelas $IPT -F $IPT -Z $IPT -t nat -F $IPT -P INPUT DROP $IPT -t filter -P FORWARD DROP $IPT -P OUTPUT ACCEPT echo [ok] ## COMPARTILHAMENTO DE CONEXAO # echo Habilitando o compartilhamento da conexao de internet $IPT -t nat -A POSTROUTING -o $NET_IFACE -j MASQUERADE echo [OK] ### ## Configurando interface DMZ # ### echo Subindo interface DMZ ifconfig $DMZ_IFACE $DMZ_IP_ADDR netmask 255.255.255.0 broadcast 10.100.100.255 route add -net $DMZ_NET netmask 255.255.255.0 dev $DMZ_IFACE #liberando trafego entre DMZ e LAN $IPT -I FORWARD -s 10.100.100.0/255.255.255.0 -i eth2 -d 10.0.4.0/255.255.255.0 -o eth1 -j ACCEPT $IPT -I FORWARD -s 10.0.4.0/255.255.255.0 -i eth1 -d 10.100.100.0/255.255.255.0 -o eth2 -j ACCEPT echo [OK] Acontece que mesmo se eu alterar a politica padrao pra ACCEPT eu nao consigo dar um ping pra nenhum site na internet, por exemplo o uol, pois tenho como retorno a mensagem dizendo que a rede é inacessivel network is unreachable ja tentei colocar as mesmas regras de liberação que estao para a DMZ (alterando os parametros de rede e interfaces, claro) mas nao tive sucesso! Alguma luz amigos? On Tuesday 03 April 2007 10:07, Denis wrote: Se as políticas estão com odrop vc vai precisar de: iptables -I FORWARD -s 10.0.100.0/sua_mascara -i eth2 -d 10.0.4.0/sua_mascara -o eth1 -j ACCEPT e iptables -I FORWARD -s 10.0.4.0/sua_mascara -i eth1 -d 10.0.100.0/sua_mascara -o eth2 -j ACCEPT Denis Em 03/04/07, andnovelli[EMAIL PROTECTED] escreveu: Opá denis! O iptables esta com as regras de firewall que existiam antes, vou dar um flush e colocar accept em tudo, e testar se pinga normal. On Tuesday 03 April 2007 09:54, you wrote: Das máquinas da DMZ vc consegue pingar nas outras interfaces do firewall? E na net? Seu iptables está sem nenhuma regra, e as politicas estão como accept? iptables -L -n Para a máquina rotear, não é necessário colocar nenhuma regra no iptables. Denis Em 03/04/07, andnovelli[EMAIL PROTECTED] escreveu: Opa denis! Esta sim, o acesso a net ja etsa sendo feito, eu ainda nao coloquei nehuma regra no iptables, to tentando fazer so um ping, sera que precisa meter algo no iptables? Valew a força! On Tuesday 03 April 2007 09:40, you wrote: o ip forward está habilitado? echo 1 /proc/sys/net/ipv4/ip_forward ? Em 03/04/07, andnovelli[EMAIL PROTECTED] escreveu: Opá! Sim esta! a maquina 10.0.100.90 tem gateway para 10.0.100.3 On Tuesday 03 April 2007 09:25, Denis wrote: Suas máquinas da rede 10.0.100.0 têm que ter como gateway o ip 10.9.100.3 Isso tá Ok? abraço. Em 03/04/07, andnovelli[EMAIL PROTECTED] escreveu: Pessoal, dando prosseguimento ao pepino que estou tentando resolver, parti pra solução que achei mais segura, que é montar uma DMZ ( 3° placa de rede no firewall ). Espetei a dita placa de rede, configurei o IP da mesma, ficando assim: NET - 200.x.x.88 - ETH0 LAN - 10.0.4.3 - ETH1 DMZ - 10.0.100.3 - ETH2 O IP 10.0.4.3 é o gateway padrao da minha rede, todas as estações tem ele configurado. quando eu pingo o 10.0.100.3 de uma estação, vai tudo ok, mas quando eu pingo o ip de uma maquina, por exemplo 10.0.100.90 da mesma estação, o mesmo nao pinga! o que poderia ser ?? -- Andre Novelli Depto de TI +55 11 5534.0017 [EMAIL PROTECTED
Firewall com 3 redes: Net, Lan e DMZ - roteamento entre elas
Pessoal, dando prosseguimento ao pepino que estou tentando resolver, parti pra solução que achei mais segura, que é montar uma DMZ ( 3° placa de rede no firewall ). Espetei a dita placa de rede, configurei o IP da mesma, ficando assim: NET - 200.x.x.88 - ETH0 LAN - 10.0.4.3 - ETH1 DMZ - 10.0.100.3 - ETH2 O IP 10.0.4.3 é o gateway padrao da minha rede, todas as estações tem ele configurado. quando eu pingo o 10.0.100.3 de uma estação, vai tudo ok, mas quando eu pingo o ip de uma maquina, por exemplo 10.0.100.90 da mesma estação, o mesmo nao pinga! o que poderia ser ?? -- Andre Novelli Depto de TI +55 11 5534.0017 [EMAIL PROTECTED] www.embalatec.com.br
Re: Firewall com 3 redes: Net, Lan e DMZ - roteamento entre elas
Suas máquinas da rede 10.0.100.0 têm que ter como gateway o ip 10.9.100.3 Isso tá Ok? abraço. Em 03/04/07, andnovelli[EMAIL PROTECTED] escreveu: Pessoal, dando prosseguimento ao pepino que estou tentando resolver, parti pra solução que achei mais segura, que é montar uma DMZ ( 3° placa de rede no firewall ). Espetei a dita placa de rede, configurei o IP da mesma, ficando assim: NET - 200.x.x.88 - ETH0 LAN - 10.0.4.3 - ETH1 DMZ - 10.0.100.3 - ETH2 O IP 10.0.4.3 é o gateway padrao da minha rede, todas as estações tem ele configurado. quando eu pingo o 10.0.100.3 de uma estação, vai tudo ok, mas quando eu pingo o ip de uma maquina, por exemplo 10.0.100.90 da mesma estação, o mesmo nao pinga! o que poderia ser ?? -- Andre Novelli Depto de TI +55 11 5534.0017 [EMAIL PROTECTED] www.embalatec.com.br
Re: Firewall com 3 redes: Net, Lan e DMZ - roteamento entre elas
Opá! Sim esta! a maquina 10.0.100.90 tem gateway para 10.0.100.3 On Tuesday 03 April 2007 09:25, Denis wrote: Suas máquinas da rede 10.0.100.0 têm que ter como gateway o ip 10.9.100.3 Isso tá Ok? abraço. Em 03/04/07, andnovelli[EMAIL PROTECTED] escreveu: Pessoal, dando prosseguimento ao pepino que estou tentando resolver, parti pra solução que achei mais segura, que é montar uma DMZ ( 3° placa de rede no firewall ). Espetei a dita placa de rede, configurei o IP da mesma, ficando assim: NET - 200.x.x.88 - ETH0 LAN - 10.0.4.3 - ETH1 DMZ - 10.0.100.3 - ETH2 O IP 10.0.4.3 é o gateway padrao da minha rede, todas as estações tem ele configurado. quando eu pingo o 10.0.100.3 de uma estação, vai tudo ok, mas quando eu pingo o ip de uma maquina, por exemplo 10.0.100.90 da mesma estação, o mesmo nao pinga! o que poderia ser ?? -- Andre Novelli Depto de TI +55 11 5534.0017 [EMAIL PROTECTED] www.embalatec.com.br -- Andre Novelli Depto de TI +55 11 5534.0017 [EMAIL PROTECTED] www.embalatec.com.br
Re: Firewall com 3 redes: Net, Lan e DMZ - roteamento entre elas
Das máquinas da DMZ vc consegue pingar nas outras interfaces do firewall? E na net? Seu iptables está sem nenhuma regra, e as politicas estão como accept? iptables -L -n Para a máquina rotear, não é necessário colocar nenhuma regra no iptables. Denis Em 03/04/07, andnovelli[EMAIL PROTECTED] escreveu: Opa denis! Esta sim, o acesso a net ja etsa sendo feito, eu ainda nao coloquei nehuma regra no iptables, to tentando fazer so um ping, sera que precisa meter algo no iptables? Valew a força! On Tuesday 03 April 2007 09:40, you wrote: o ip forward está habilitado? echo 1 /proc/sys/net/ipv4/ip_forward ? Em 03/04/07, andnovelli[EMAIL PROTECTED] escreveu: Opá! Sim esta! a maquina 10.0.100.90 tem gateway para 10.0.100.3 On Tuesday 03 April 2007 09:25, Denis wrote: Suas máquinas da rede 10.0.100.0 têm que ter como gateway o ip 10.9.100.3 Isso tá Ok? abraço. Em 03/04/07, andnovelli[EMAIL PROTECTED] escreveu: Pessoal, dando prosseguimento ao pepino que estou tentando resolver, parti pra solução que achei mais segura, que é montar uma DMZ ( 3° placa de rede no firewall ). Espetei a dita placa de rede, configurei o IP da mesma, ficando assim: NET - 200.x.x.88 - ETH0 LAN - 10.0.4.3 - ETH1 DMZ - 10.0.100.3 - ETH2 O IP 10.0.4.3 é o gateway padrao da minha rede, todas as estações tem ele configurado. quando eu pingo o 10.0.100.3 de uma estação, vai tudo ok, mas quando eu pingo o ip de uma maquina, por exemplo 10.0.100.90 da mesma estação, o mesmo nao pinga! o que poderia ser ?? -- Andre Novelli Depto de TI +55 11 5534.0017 [EMAIL PROTECTED] www.embalatec.com.br -- Andre Novelli Depto de TI +55 11 5534.0017 [EMAIL PROTECTED] www.embalatec.com.br -- Andre Novelli Depto de TI +55 11 5534.0017 [EMAIL PROTECTED] www.embalatec.com.br
Re: Firewall com 3 redes: Net, Lan e DMZ - roteamento entre elas
Se as políticas estão com odrop vc vai precisar de: iptables -I FORWARD -s 10.0.100.0/sua_mascara -i eth2 -d 10.0.4.0/sua_mascara -o eth1 -j ACCEPT e iptables -I FORWARD -s 10.0.4.0/sua_mascara -i eth1 -d 10.0.100.0/sua_mascara -o eth2 -j ACCEPT Denis Em 03/04/07, andnovelli[EMAIL PROTECTED] escreveu: Opá denis! O iptables esta com as regras de firewall que existiam antes, vou dar um flush e colocar accept em tudo, e testar se pinga normal. On Tuesday 03 April 2007 09:54, you wrote: Das máquinas da DMZ vc consegue pingar nas outras interfaces do firewall? E na net? Seu iptables está sem nenhuma regra, e as politicas estão como accept? iptables -L -n Para a máquina rotear, não é necessário colocar nenhuma regra no iptables. Denis Em 03/04/07, andnovelli[EMAIL PROTECTED] escreveu: Opa denis! Esta sim, o acesso a net ja etsa sendo feito, eu ainda nao coloquei nehuma regra no iptables, to tentando fazer so um ping, sera que precisa meter algo no iptables? Valew a força! On Tuesday 03 April 2007 09:40, you wrote: o ip forward está habilitado? echo 1 /proc/sys/net/ipv4/ip_forward ? Em 03/04/07, andnovelli[EMAIL PROTECTED] escreveu: Opá! Sim esta! a maquina 10.0.100.90 tem gateway para 10.0.100.3 On Tuesday 03 April 2007 09:25, Denis wrote: Suas máquinas da rede 10.0.100.0 têm que ter como gateway o ip 10.9.100.3 Isso tá Ok? abraço. Em 03/04/07, andnovelli[EMAIL PROTECTED] escreveu: Pessoal, dando prosseguimento ao pepino que estou tentando resolver, parti pra solução que achei mais segura, que é montar uma DMZ ( 3° placa de rede no firewall ). Espetei a dita placa de rede, configurei o IP da mesma, ficando assim: NET - 200.x.x.88 - ETH0 LAN - 10.0.4.3 - ETH1 DMZ - 10.0.100.3 - ETH2 O IP 10.0.4.3 é o gateway padrao da minha rede, todas as estações tem ele configurado. quando eu pingo o 10.0.100.3 de uma estação, vai tudo ok, mas quando eu pingo o ip de uma maquina, por exemplo 10.0.100.90 da mesma estação, o mesmo nao pinga! o que poderia ser ?? -- Andre Novelli Depto de TI +55 11 5534.0017 [EMAIL PROTECTED] www.embalatec.com.br -- Andre Novelli Depto de TI +55 11 5534.0017 [EMAIL PROTECTED] www.embalatec.com.br -- Andre Novelli Depto de TI +55 11 5534.0017 [EMAIL PROTECTED] www.embalatec.com.br -- Andre Novelli Depto de TI +55 11 5534.0017 [EMAIL PROTECTED] www.embalatec.com.br
Re: [OFF]Redirecionamento para dois servidores web dentro da DMZ
Bom dia Kleber e demais membros da lista,Obrigado pela ajuda, mas acho que vc não entendeu o que eu quero fazer...Eu possuo dois servidores web dentro da DMZ e não sei como diferenciar as requisições sendo que no firewall eu queria deixar um único ip público. Se alguém souber se é possível eu fico feliz em aprender mais uma vez com vcs :)Valeu pessoal.On 8/15/06, Kleber Leal [EMAIL PROTECTED] wrote:Isso é feito com o comando abaixo.iptables -t nat -A PREROUTING -i eth0 -s ip.externo/24-j DNAT --to ip.interno-inicio-ip.interno-finalVeja o focalinux.cipsga.org.brKléber--Não à pirataria. Sim ao Software Livre. Kléber Leal___Você quer respostas para suas perguntas? Ou você sabe muito e quer compartilhar seu conhecimento? Experimente o Yahoo! Respostas ! http://br.answers.yahoo.com/--To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]-- UninCor - Universidade Vale do Rio Verde de Três Corações Islan Nascimento Rocha - Departamento de InformáticaMSN: [EMAIL PROTECTED] Fone: 0xx35 3239-1240
[OFF]Redirecionamento para dois servidores web dentro da DMZ
Boma dia a todos,Coloquei o tópico como off pois está mais relacionado ao iptables...Minha dúvida é bem besta :)É possivel diferenciar e fazer redirecionamento das requições http que chegarem a um firewall para servidores web diferentes dentro de uma dmz? Vou desenhar o cenário:Tenho dois servidores web dentro da DMZ com ips privados e um firewall com um único ip público, o que gostaria de fazer é que quando chegar uma requisição para o domínio xxx.com.br vá para o servidor x dentro da DMZ e quando chegar uma requisição para o servidor yyy.com.br vá para o servidor y na DMZ. O detalhe é que o DNS aponta os dois domínios para o ip do firewall que fará este redirecionamento. Uma saída pra fazer isso seria colocar dois ips na interface externa do firewall e fazer o dns apontar cada domínio pra um desses ips e a partir daí fazer o redirecionamento, certo?Mas enfim, existe a possibilidade de fazer com um ip apenas? Desde já agradeço a atenção :)-- UninCor - Universidade Vale do Rio Verde de Três CoraçõesIslan Nascimento Rocha - Departamento de InformáticaMSN: [EMAIL PROTECTED] Fone: 0xx35 3239-1240
Re: [OFF]Redirecionamento para dois servidores web dentro da DMZ
Isso é feito com o comando abaixo. iptables -t nat -A PREROUTING -i eth0 -s ip.externo/24 -j DNAT --to ip.interno-inicio-ip.interno-final Veja o focalinux.cipsga.org.br Kléber -- Não à pirataria. Sim ao Software Livre. Kléber Leal ___ Você quer respostas para suas perguntas? Ou você sabe muito e quer compartilhar seu conhecimento? Experimente o Yahoo! Respostas ! http://br.answers.yahoo.com/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Zona desmilitarizada (DMZ)
Galera, o que é que eu preciso para criar uma DMZ na minha rede? Tem uma máquina na minha rede que tem que ser totalmente visível na internet, como se estivesse diretamente ligada no link. Além das configurações do iptables, tenho que mexer em mais o que? Algum tutorial? -- []'s chmod000 Linux User #291033 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: usando dmz
Está faltando o postrouting e forward de entrada e saida. - Original Message - From: Manoel Lôbo [EMAIL PROTECTED] To: morais [EMAIL PROTECTED] Cc: debian debian-user-portuguese@lists.debian.org Sent: Friday, July 16, 2004 10:23 PM Subject: Re: usando dmz Morais, é rolo! DNAT de FTP é meio chatinho de fazer, procura no histórico da lista, eu escrevi um e-mail sobre isso, tá bem detalhado. morais wrote: ola galera estou tantando implementar uma dmz mais estou dificuldade segue minha logica: eu configurei um servidor proftp na minha intranet com edereco 192.168.0.200.. blz !! esta funcionado!!! ai o q q eu estou tentando fazer . usar o velox na interface ppp0 para o acesso a meu proftp que esta na minha intranet com endereco 192.168.0.200 olhe esse scripts: iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 21 -j DNAT --to 192.168.0.200 nao esta dando certos o q q estou fazendo de errado aguardo retorno -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
usando dmz
ola galera estou tantando implementar uma dmz mais estou dificuldade segue minha logica: eu configurei um servidor proftp na minha intranet com edereco 192.168.0.200.. blz !!esta funcionado!!! ai o q q eu estou tentando fazer . usar o velox na interface ppp0 para o acesso a meu proftp queesta na minha intranet com endereco 192.168.0.200 olhe esse scripts: iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 21 -j DNAT --to 192.168.0.200 nao esta dando certos o q q estou fazendo de errado aguardo retorno
Re: usando dmz
Morais, é rolo! DNAT de FTP é meio chatinho de fazer, procura no histórico da lista, eu escrevi um e-mail sobre isso, tá bem detalhado. morais wrote: ola galera estou tantando implementar uma dmz mais estou dificuldade segue minha logica: eu configurei um servidor proftp na minha intranet com edereco 192.168.0.200.. blz !! esta funcionado!!! ai o q q eu estou tentando fazer . usar o velox na interface ppp0 para o acesso a meu proftp que esta na minha intranet com endereco 192.168.0.200 olhe esse scripts: iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 21 -j DNAT --to 192.168.0.200 nao esta dando certos o q q estou fazendo de errado aguardo retorno
HowTo ou Tutorial DMZ?
Olá pessoal. Gostaria de saber se alguém conhece um bom howto ou tutorial sobre a configuração de uma DMZ, explicando desde a estruturação física (de hardware, roteador, etc) até a configuração das regras dos firewalls com iptables/ipchains. Obrigado! Abrantes -- *** * Dr. Abrantes Araújo Silva Filho * *[EMAIL PROTECTED] * * * *** *Sou livre! Uso GNU/Linux!* ***