Re: Outras dúividas sobre iptables e roteamento
Boa! Em 11 de junho de 2012 20:59, Moksha Tux gova...@gmail.com escreveu: Queridos Eden Caldas e Paulo Ricardo!!! Realmente os senhores estavam cobertos de razão, depois que adicionei a rota estática, exemplificada pelo nobre Paulo Ricardo, o meu tão sonhado e esperado script de fariwall e roteador está funcionando e bem rapidinho. Só não estou gostando que a regra de retorno de pacote não está funcionando eu tenho que liberar a conexão indo e vindo do firewall mas amanhã irei me debruçar sobre isso para me aprofundar. Mil vezes obrigado a vcs pelo carinho e atenção. Abraços, Moksha Em 8 de junho de 2012 10:57, Moksha Tux gova...@gmail.com escreveu: Ah! Sim, agora entendi. Que cabeçudo eu sou... Na segunda trago novidades a todos vcs. Abraços, Moksha Em 7 de junho de 2012 22:29, Eden Caldas edencal...@gmail.com escreveu: Do jeito que você colocou seria se fosse feito direto na linha de comando. Em 7 de junho de 2012 21:51, Moksha Tux gova...@gmail.com escreveu: Do jeito que eu coloquei não funcionou mas na segunda irei testar da forma que o Paulo Ricardo aconselhou. Moksha Em 7 de junho de 2012 19:37, Eden Caldas edencal...@gmail.comescreveu: Moksha Quando eu li seu e-mail pensei exatamente o que Paulo Ricardo respondeu. Colocando da forma que você colocou no interfaces, está funcionando? Verifica com o comando route -n Em 7 de junho de 2012 12:47, Moksha Tux gova...@gmail.com escreveu: Prezado Paulo Ricardo! Muito obrigado pela sua resposta, esse comando eu coloquei realmente abaixo da interface onde gostaria adicionar esta rota mas pelo que vi no seu e-mail o comando não era adequado, o estranho é que esse comando que usei *( route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 )*eu pesquisei na internet e dos diversos exemplos que olhei, este mesmo comando se encontrava no arquivo interfaces e abaixo da interface desejada. Mas de qualquer forma muito obrigado pela sua valorosa ajuda. Abraços, Moksha Em 7 de junho de 2012 10:54, Paulo Ricardo Bruck paulo...@contatogs.com.br escreveu: Bom dia - Mensagem original - De: Moksha Tux gova...@gmail.com Para: Eden Caldas edencal...@gmail.com Cc: Forum Debian debian-user-portuguese@lists.debian.org Enviadas: Quarta-feira, 6 de Junho de 2012 22:49:50 Assunto: Re: Outras dúividas sobre iptables e roteamento Grande Eden! E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma nova rota. Então a linha que adicionei no arquivo interfaces que aparece abaixo parece não estar adiantando e isso retirando o gateway da rede 10.203 veja: route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 . ok eu não segui todo o histórico m as se vc quer adicionar rotas estaticas no arquivo /etc/network/interfaces ao menos saiba como fazer da forma correta... man interfaces na parte IFACE OPTIONS ok se vc não sabia ou não leu o man, a maneira correta é colocar debaixo da interface que vc deseja: up route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 || true mas dê preferencia para o modelo de rotas do man iproute up iproute add 10.0.0.0/24 via 10.203.0.1 dev eth1 || true ats Note que estou adicionando o acesso a toda rede 10 mas mesmo assim as outras VLANs não estão tendo acesso ao firewall mas somente a rede 10.203. Será que eu devo incluir rota estática para cada vlan? A saber 10.10, 10.100, 10.200, etc... ? Moksha Em 6 de junho de 2012 14:15, Eden Caldas edencal...@gmail.com escreveu: Mas se então se eu não puder declarar o gateway da rede 10.203 como esta interface se comunicará com as redes das VLANs? Ele não precisa de gateway pois já está com IP configurado nessa própria rede e conectado diretamente nela. E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma nova rota. O gateway padrão nada mais é do que uma rota que será usada quando nenhuma das outras rotas der jeito. Em 6 de junho de 2012 10:18, Moksha Tux gova...@gmail.com escreveu: Meu querido Eden! Quanto tempo... rsrsrs estou amadurecendo cada vez mais no conceito de iptables e chegou a hora de fazer o meu humilde script funcionar mas estou deparando com uma outra barreira... o roteamento dos pacotes das VLANs. eu possuo em minha rede um switch router com 13 VLANs leventadas neles e uma das VLANs é uma rede que tem somente uma interface do roteador plugada nela, a VLAN 10.203. Possuo alguns IPs válidos aqui para trabalhar com serviços da internet e tudo que estou fazendo aqui é baseado nas configurações dos antigos roteadores que estão em produção (PF com OpenBSD). Não estou sabendo como bolar as rotas das redes das VLANs para que saiam para a internet, abaixo segue meu arquivo interfaces do Debian onde configuro toda a rede. allow-hotplug eth0 iface eth0 inet static address 200.20.116.50 netmask
Re: Outras dúividas sobre iptables e roteamento
Prezados amigos! Hoje foi o segundo dia de funcionamento da rede aqui do trabalho mas já com o iptables rodando e todos notando uma considerável rapidez na conexão da internet. Só não gostei de uma coisa... no roteador antigo (OpenBSD com PF) acontecia uma coisa bem interessante os servidores de serviços externos para internet que ficam na DMZ a saber Web, File entre outros possuíam um ip da DMZ em suas placas de redes e um ip público declarado no roteador/firewall mas e rede interna (rede 10) só se comunicava com estes servidores através da rede da DMZ unicamente e a rede pública só se era possível acessá-la fora da rede daqui do trabalho. Quando eu botei o Iptables tive uma decepção ao notar que quando eu digitava um ip público de um servidor que estava na DMZ de dentro da rede 10 a página era aberta, ou seja, concluí que os pacotes estão saindo e voltando para a rede 10 o que não acontecia com o antigo roteador, ele separava bem os papéis, rede interna consulta a DMZ e a rede externa somente é consultada por acesso externo. Como eu posso resolver isto? Abraços, Moksha Em 12 de junho de 2012 11:24, Eden Caldas edencal...@gmail.com escreveu: Boa! Em 11 de junho de 2012 20:59, Moksha Tux gova...@gmail.com escreveu: Queridos Eden Caldas e Paulo Ricardo!!! Realmente os senhores estavam cobertos de razão, depois que adicionei a rota estática, exemplificada pelo nobre Paulo Ricardo, o meu tão sonhado e esperado script de fariwall e roteador está funcionando e bem rapidinho. Só não estou gostando que a regra de retorno de pacote não está funcionando eu tenho que liberar a conexão indo e vindo do firewall mas amanhã irei me debruçar sobre isso para me aprofundar. Mil vezes obrigado a vcs pelo carinho e atenção. Abraços, Moksha Em 8 de junho de 2012 10:57, Moksha Tux gova...@gmail.com escreveu: Ah! Sim, agora entendi. Que cabeçudo eu sou... Na segunda trago novidades a todos vcs. Abraços, Moksha Em 7 de junho de 2012 22:29, Eden Caldas edencal...@gmail.comescreveu: Do jeito que você colocou seria se fosse feito direto na linha de comando. Em 7 de junho de 2012 21:51, Moksha Tux gova...@gmail.com escreveu: Do jeito que eu coloquei não funcionou mas na segunda irei testar da forma que o Paulo Ricardo aconselhou. Moksha Em 7 de junho de 2012 19:37, Eden Caldas edencal...@gmail.comescreveu: Moksha Quando eu li seu e-mail pensei exatamente o que Paulo Ricardo respondeu. Colocando da forma que você colocou no interfaces, está funcionando? Verifica com o comando route -n Em 7 de junho de 2012 12:47, Moksha Tux gova...@gmail.com escreveu: Prezado Paulo Ricardo! Muito obrigado pela sua resposta, esse comando eu coloquei realmente abaixo da interface onde gostaria adicionar esta rota mas pelo que vi no seu e-mail o comando não era adequado, o estranho é que esse comando que usei *( route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 )*eu pesquisei na internet e dos diversos exemplos que olhei, este mesmo comando se encontrava no arquivo interfaces e abaixo da interface desejada. Mas de qualquer forma muito obrigado pela sua valorosa ajuda. Abraços, Moksha Em 7 de junho de 2012 10:54, Paulo Ricardo Bruck paulo...@contatogs.com.br escreveu: Bom dia - Mensagem original - De: Moksha Tux gova...@gmail.com Para: Eden Caldas edencal...@gmail.com Cc: Forum Debian debian-user-portuguese@lists.debian.org Enviadas: Quarta-feira, 6 de Junho de 2012 22:49:50 Assunto: Re: Outras dúividas sobre iptables e roteamento Grande Eden! E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma nova rota. Então a linha que adicionei no arquivo interfaces que aparece abaixo parece não estar adiantando e isso retirando o gateway da rede 10.203 veja: route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 . ok eu não segui todo o histórico m as se vc quer adicionar rotas estaticas no arquivo /etc/network/interfaces ao menos saiba como fazer da forma correta... man interfaces na parte IFACE OPTIONS ok se vc não sabia ou não leu o man, a maneira correta é colocar debaixo da interface que vc deseja: up route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 || true mas dê preferencia para o modelo de rotas do man iproute up iproute add 10.0.0.0/24 via 10.203.0.1 dev eth1 || true ats Note que estou adicionando o acesso a toda rede 10 mas mesmo assim as outras VLANs não estão tendo acesso ao firewall mas somente a rede 10.203. Será que eu devo incluir rota estática para cada vlan? A saber 10.10, 10.100, 10.200, etc... ? Moksha Em 6 de junho de 2012 14:15, Eden Caldas edencal...@gmail.com escreveu: Mas se então se eu não puder declarar o gateway da rede 10.203 como esta interface se comunicará com as redes das VLANs? Ele não precisa de gateway pois já está com IP configurado nessa própria rede e conectado diretamente nela
Re: Outras dúividas sobre iptables e roteamento
Queridos Eden Caldas e Paulo Ricardo!!! Realmente os senhores estavam cobertos de razão, depois que adicionei a rota estática, exemplificada pelo nobre Paulo Ricardo, o meu tão sonhado e esperado script de fariwall e roteador está funcionando e bem rapidinho. Só não estou gostando que a regra de retorno de pacote não está funcionando eu tenho que liberar a conexão indo e vindo do firewall mas amanhã irei me debruçar sobre isso para me aprofundar. Mil vezes obrigado a vcs pelo carinho e atenção. Abraços, Moksha Em 8 de junho de 2012 10:57, Moksha Tux gova...@gmail.com escreveu: Ah! Sim, agora entendi. Que cabeçudo eu sou... Na segunda trago novidades a todos vcs. Abraços, Moksha Em 7 de junho de 2012 22:29, Eden Caldas edencal...@gmail.com escreveu: Do jeito que você colocou seria se fosse feito direto na linha de comando. Em 7 de junho de 2012 21:51, Moksha Tux gova...@gmail.com escreveu: Do jeito que eu coloquei não funcionou mas na segunda irei testar da forma que o Paulo Ricardo aconselhou. Moksha Em 7 de junho de 2012 19:37, Eden Caldas edencal...@gmail.comescreveu: Moksha Quando eu li seu e-mail pensei exatamente o que Paulo Ricardo respondeu. Colocando da forma que você colocou no interfaces, está funcionando? Verifica com o comando route -n Em 7 de junho de 2012 12:47, Moksha Tux gova...@gmail.com escreveu: Prezado Paulo Ricardo! Muito obrigado pela sua resposta, esse comando eu coloquei realmente abaixo da interface onde gostaria adicionar esta rota mas pelo que vi no seu e-mail o comando não era adequado, o estranho é que esse comando que usei *( route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 )* eu pesquisei na internet e dos diversos exemplos que olhei, este mesmo comando se encontrava no arquivo interfaces e abaixo da interface desejada. Mas de qualquer forma muito obrigado pela sua valorosa ajuda. Abraços, Moksha Em 7 de junho de 2012 10:54, Paulo Ricardo Bruck paulo...@contatogs.com.br escreveu: Bom dia - Mensagem original - De: Moksha Tux gova...@gmail.com Para: Eden Caldas edencal...@gmail.com Cc: Forum Debian debian-user-portuguese@lists.debian.org Enviadas: Quarta-feira, 6 de Junho de 2012 22:49:50 Assunto: Re: Outras dúividas sobre iptables e roteamento Grande Eden! E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma nova rota. Então a linha que adicionei no arquivo interfaces que aparece abaixo parece não estar adiantando e isso retirando o gateway da rede 10.203 veja: route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 . ok eu não segui todo o histórico m as se vc quer adicionar rotas estaticas no arquivo /etc/network/interfaces ao menos saiba como fazer da forma correta... man interfaces na parte IFACE OPTIONS ok se vc não sabia ou não leu o man, a maneira correta é colocar debaixo da interface que vc deseja: up route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 || true mas dê preferencia para o modelo de rotas do man iproute up iproute add 10.0.0.0/24 via 10.203.0.1 dev eth1 || true ats Note que estou adicionando o acesso a toda rede 10 mas mesmo assim as outras VLANs não estão tendo acesso ao firewall mas somente a rede 10.203. Será que eu devo incluir rota estática para cada vlan? A saber 10.10, 10.100, 10.200, etc... ? Moksha Em 6 de junho de 2012 14:15, Eden Caldas edencal...@gmail.com escreveu: Mas se então se eu não puder declarar o gateway da rede 10.203 como esta interface se comunicará com as redes das VLANs? Ele não precisa de gateway pois já está com IP configurado nessa própria rede e conectado diretamente nela. E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma nova rota. O gateway padrão nada mais é do que uma rota que será usada quando nenhuma das outras rotas der jeito. Em 6 de junho de 2012 10:18, Moksha Tux gova...@gmail.com escreveu: Meu querido Eden! Quanto tempo... rsrsrs estou amadurecendo cada vez mais no conceito de iptables e chegou a hora de fazer o meu humilde script funcionar mas estou deparando com uma outra barreira... o roteamento dos pacotes das VLANs. eu possuo em minha rede um switch router com 13 VLANs leventadas neles e uma das VLANs é uma rede que tem somente uma interface do roteador plugada nela, a VLAN 10.203. Possuo alguns IPs válidos aqui para trabalhar com serviços da internet e tudo que estou fazendo aqui é baseado nas configurações dos antigos roteadores que estão em produção (PF com OpenBSD). Não estou sabendo como bolar as rotas das redes das VLANs para que saiam para a internet, abaixo segue meu arquivo interfaces do Debian onde configuro toda a rede. allow-hotplug eth0 iface eth0 inet static address 200.20.116.50 netmask 255.255.255.192 network 200.20.116.0 broadcast 200.20.116.63 gateway 200.20.116.1 iface eth0:0
Re: Outras dúividas sobre iptables e roteamento
Ah! Sim, agora entendi. Que cabeçudo eu sou... Na segunda trago novidades a todos vcs. Abraços, Moksha Em 7 de junho de 2012 22:29, Eden Caldas edencal...@gmail.com escreveu: Do jeito que você colocou seria se fosse feito direto na linha de comando. Em 7 de junho de 2012 21:51, Moksha Tux gova...@gmail.com escreveu: Do jeito que eu coloquei não funcionou mas na segunda irei testar da forma que o Paulo Ricardo aconselhou. Moksha Em 7 de junho de 2012 19:37, Eden Caldas edencal...@gmail.com escreveu: Moksha Quando eu li seu e-mail pensei exatamente o que Paulo Ricardo respondeu. Colocando da forma que você colocou no interfaces, está funcionando? Verifica com o comando route -n Em 7 de junho de 2012 12:47, Moksha Tux gova...@gmail.com escreveu: Prezado Paulo Ricardo! Muito obrigado pela sua resposta, esse comando eu coloquei realmente abaixo da interface onde gostaria adicionar esta rota mas pelo que vi no seu e-mail o comando não era adequado, o estranho é que esse comando que usei *( route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 )* eu pesquisei na internet e dos diversos exemplos que olhei, este mesmo comando se encontrava no arquivo interfaces e abaixo da interface desejada. Mas de qualquer forma muito obrigado pela sua valorosa ajuda. Abraços, Moksha Em 7 de junho de 2012 10:54, Paulo Ricardo Bruck paulo...@contatogs.com.br escreveu: Bom dia - Mensagem original - De: Moksha Tux gova...@gmail.com Para: Eden Caldas edencal...@gmail.com Cc: Forum Debian debian-user-portuguese@lists.debian.org Enviadas: Quarta-feira, 6 de Junho de 2012 22:49:50 Assunto: Re: Outras dúividas sobre iptables e roteamento Grande Eden! E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma nova rota. Então a linha que adicionei no arquivo interfaces que aparece abaixo parece não estar adiantando e isso retirando o gateway da rede 10.203 veja: route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 . ok eu não segui todo o histórico m as se vc quer adicionar rotas estaticas no arquivo /etc/network/interfaces ao menos saiba como fazer da forma correta... man interfaces na parte IFACE OPTIONS ok se vc não sabia ou não leu o man, a maneira correta é colocar debaixo da interface que vc deseja: up route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 || true mas dê preferencia para o modelo de rotas do man iproute up iproute add 10.0.0.0/24 via 10.203.0.1 dev eth1 || true ats Note que estou adicionando o acesso a toda rede 10 mas mesmo assim as outras VLANs não estão tendo acesso ao firewall mas somente a rede 10.203. Será que eu devo incluir rota estática para cada vlan? A saber 10.10, 10.100, 10.200, etc... ? Moksha Em 6 de junho de 2012 14:15, Eden Caldas edencal...@gmail.com escreveu: Mas se então se eu não puder declarar o gateway da rede 10.203 como esta interface se comunicará com as redes das VLANs? Ele não precisa de gateway pois já está com IP configurado nessa própria rede e conectado diretamente nela. E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma nova rota. O gateway padrão nada mais é do que uma rota que será usada quando nenhuma das outras rotas der jeito. Em 6 de junho de 2012 10:18, Moksha Tux gova...@gmail.com escreveu: Meu querido Eden! Quanto tempo... rsrsrs estou amadurecendo cada vez mais no conceito de iptables e chegou a hora de fazer o meu humilde script funcionar mas estou deparando com uma outra barreira... o roteamento dos pacotes das VLANs. eu possuo em minha rede um switch router com 13 VLANs leventadas neles e uma das VLANs é uma rede que tem somente uma interface do roteador plugada nela, a VLAN 10.203. Possuo alguns IPs válidos aqui para trabalhar com serviços da internet e tudo que estou fazendo aqui é baseado nas configurações dos antigos roteadores que estão em produção (PF com OpenBSD). Não estou sabendo como bolar as rotas das redes das VLANs para que saiam para a internet, abaixo segue meu arquivo interfaces do Debian onde configuro toda a rede. allow-hotplug eth0 iface eth0 inet static address 200.20.116.50 netmask 255.255.255.192 network 200.20.116.0 broadcast 200.20.116.63 gateway 200.20.116.1 iface eth0:0 inet static address 200.20.116.52 netmask 255.255.255.192 iface eth0:1 inet static address 200.20.116.53 netmask 255.255.255.192 iface eth0:2 inet static address 200.20.116.54 netmask 255.255.255.192 allow-hotplug eth1 iface eth1 inet static address 10.203.0.2 netmask 255.255.0.0 network 10.203.0.0 broadcast 10.203.255.255 gateway 10.203.0.1 route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 allow-hotplug eth2 iface eth2 inet static address 172.16.0.1 netmask 255.255.0.0 network 172.16.0.0 broadcast 172.16.255.255 Devo dizer
Re: Outras dúividas sobre iptables e roteamento
Bom dia - Mensagem original - De: Moksha Tux gova...@gmail.com Para: Eden Caldas edencal...@gmail.com Cc: Forum Debian debian-user-portuguese@lists.debian.org Enviadas: Quarta-feira, 6 de Junho de 2012 22:49:50 Assunto: Re: Outras dúividas sobre iptables e roteamento Grande Eden! E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma nova rota. Então a linha que adicionei no arquivo interfaces que aparece abaixo parece não estar adiantando e isso retirando o gateway da rede 10.203 veja: route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 . ok eu não segui todo o histórico m as se vc quer adicionar rotas estaticas no arquivo /etc/network/interfaces ao menos saiba como fazer da forma correta... man interfaces na parte IFACE OPTIONS ok se vc não sabia ou não leu o man, a maneira correta é colocar debaixo da interface que vc deseja: up route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 || true mas dê preferencia para o modelo de rotas do man iproute up iproute add 10.0.0.0/24 via 10.203.0.1 dev eth1 || true ats Note que estou adicionando o acesso a toda rede 10 mas mesmo assim as outras VLANs não estão tendo acesso ao firewall mas somente a rede 10.203. Será que eu devo incluir rota estática para cada vlan? A saber 10.10, 10.100, 10.200, etc... ? Moksha Em 6 de junho de 2012 14:15, Eden Caldas edencal...@gmail.com escreveu: Mas se então se eu não puder declarar o gateway da rede 10.203 como esta interface se comunicará com as redes das VLANs? Ele não precisa de gateway pois já está com IP configurado nessa própria rede e conectado diretamente nela. E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma nova rota. O gateway padrão nada mais é do que uma rota que será usada quando nenhuma das outras rotas der jeito. Em 6 de junho de 2012 10:18, Moksha Tux gova...@gmail.com escreveu: Meu querido Eden! Quanto tempo... rsrsrs estou amadurecendo cada vez mais no conceito de iptables e chegou a hora de fazer o meu humilde script funcionar mas estou deparando com uma outra barreira... o roteamento dos pacotes das VLANs. eu possuo em minha rede um switch router com 13 VLANs leventadas neles e uma das VLANs é uma rede que tem somente uma interface do roteador plugada nela, a VLAN 10.203. Possuo alguns IPs válidos aqui para trabalhar com serviços da internet e tudo que estou fazendo aqui é baseado nas configurações dos antigos roteadores que estão em produção (PF com OpenBSD). Não estou sabendo como bolar as rotas das redes das VLANs para que saiam para a internet, abaixo segue meu arquivo interfaces do Debian onde configuro toda a rede. allow-hotplug eth0 iface eth0 inet static address 200.20.116.50 netmask 255.255.255.192 network 200.20.116.0 broadcast 200.20.116.63 gateway 200.20.116.1 iface eth0:0 inet static address 200.20.116.52 netmask 255.255.255.192 iface eth0:1 inet static address 200.20.116.53 netmask 255.255.255.192 iface eth0:2 inet static address 200.20.116.54 netmask 255.255.255.192 allow-hotplug eth1 iface eth1 inet static address 10.203.0.2 netmask 255.255.0.0 network 10.203.0.0 broadcast 10.203.255.255 gateway 10.203.0.1 route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 allow-hotplug eth2 iface eth2 inet static address 172.16.0.1 netmask 255.255.0.0 network 172.16.0.0 broadcast 172.16.255.255 Devo dizer que no nosso switch route, o default gateway para onde as VLANS saem para a internet é a rede 10.203.0.1 por isso que declarei este endereço na eth1 e não o tradicional 10.0.0.1' pois essa configuração já estava assim desde o último administrador e está funcionando no atual roteador, eu estou desconfiando que o erro está em declarar dois gateways mas como devo fazer com as VLANs da rede 10? Desde já agradeço a ajuda e caso não possa me ajudar agradeço da mesma forma. Abraços, Moksha Em 5 de junho de 2012 22:51, Eden Caldas edencal...@gmail.com escreveu: Sim você suspeitou corretamente. Não se pode ter dois gateways. Quando vocẽ seta um gateway no firewall, esse é o gateway DO firewall, e não do resto da rapaziada. Assim o firewall tem dois gateways para a internet, quando ele deveria ter um. Agora, o firewall deve ser o gateway das redes vlans, e para ele ser isso, as redes precisam chegar nele de qualquer jeito, em qualquer ip que ele tenha. Talvez isso já esteja acontecendo, e falta apenas fazer um SNAT / MASQUERADE para essas vlans todas e(ou) habilitar o roteamento com aquela linha echo 1 /proc/sys bla bla bla. Estou vendo que você mandou o e-mail diretamente para mim. Melhor mandar pra lista para todos poderem ajudar e(ou) aprender. Eden Caldas Consultor de TI e...@linuxfacil.srv.br (81) 9747 (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI -- Mensagem encaminhada -- De
Re: Outras dúividas sobre iptables e roteamento
Prezado Paulo Ricardo! Muito obrigado pela sua resposta, esse comando eu coloquei realmente abaixo da interface onde gostaria adicionar esta rota mas pelo que vi no seu e-mail o comando não era adequado, o estranho é que esse comando que usei *( route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 )* eu pesquisei na internet e dos diversos exemplos que olhei, este mesmo comando se encontrava no arquivo interfaces e abaixo da interface desejada. Mas de qualquer forma muito obrigado pela sua valorosa ajuda. Abraços, Moksha Em 7 de junho de 2012 10:54, Paulo Ricardo Bruck paulo...@contatogs.com.brescreveu: Bom dia - Mensagem original - De: Moksha Tux gova...@gmail.com Para: Eden Caldas edencal...@gmail.com Cc: Forum Debian debian-user-portuguese@lists.debian.org Enviadas: Quarta-feira, 6 de Junho de 2012 22:49:50 Assunto: Re: Outras dúividas sobre iptables e roteamento Grande Eden! E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma nova rota. Então a linha que adicionei no arquivo interfaces que aparece abaixo parece não estar adiantando e isso retirando o gateway da rede 10.203 veja: route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 . ok eu não segui todo o histórico m as se vc quer adicionar rotas estaticas no arquivo /etc/network/interfaces ao menos saiba como fazer da forma correta... man interfaces na parte IFACE OPTIONS ok se vc não sabia ou não leu o man, a maneira correta é colocar debaixo da interface que vc deseja: up route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 || true mas dê preferencia para o modelo de rotas do man iproute up iproute add 10.0.0.0/24 via 10.203.0.1 dev eth1 || true ats Note que estou adicionando o acesso a toda rede 10 mas mesmo assim as outras VLANs não estão tendo acesso ao firewall mas somente a rede 10.203. Será que eu devo incluir rota estática para cada vlan? A saber 10.10, 10.100, 10.200, etc... ? Moksha Em 6 de junho de 2012 14:15, Eden Caldas edencal...@gmail.com escreveu: Mas se então se eu não puder declarar o gateway da rede 10.203 como esta interface se comunicará com as redes das VLANs? Ele não precisa de gateway pois já está com IP configurado nessa própria rede e conectado diretamente nela. E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma nova rota. O gateway padrão nada mais é do que uma rota que será usada quando nenhuma das outras rotas der jeito. Em 6 de junho de 2012 10:18, Moksha Tux gova...@gmail.com escreveu: Meu querido Eden! Quanto tempo... rsrsrs estou amadurecendo cada vez mais no conceito de iptables e chegou a hora de fazer o meu humilde script funcionar mas estou deparando com uma outra barreira... o roteamento dos pacotes das VLANs. eu possuo em minha rede um switch router com 13 VLANs leventadas neles e uma das VLANs é uma rede que tem somente uma interface do roteador plugada nela, a VLAN 10.203. Possuo alguns IPs válidos aqui para trabalhar com serviços da internet e tudo que estou fazendo aqui é baseado nas configurações dos antigos roteadores que estão em produção (PF com OpenBSD). Não estou sabendo como bolar as rotas das redes das VLANs para que saiam para a internet, abaixo segue meu arquivo interfaces do Debian onde configuro toda a rede. allow-hotplug eth0 iface eth0 inet static address 200.20.116.50 netmask 255.255.255.192 network 200.20.116.0 broadcast 200.20.116.63 gateway 200.20.116.1 iface eth0:0 inet static address 200.20.116.52 netmask 255.255.255.192 iface eth0:1 inet static address 200.20.116.53 netmask 255.255.255.192 iface eth0:2 inet static address 200.20.116.54 netmask 255.255.255.192 allow-hotplug eth1 iface eth1 inet static address 10.203.0.2 netmask 255.255.0.0 network 10.203.0.0 broadcast 10.203.255.255 gateway 10.203.0.1 route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 allow-hotplug eth2 iface eth2 inet static address 172.16.0.1 netmask 255.255.0.0 network 172.16.0.0 broadcast 172.16.255.255 Devo dizer que no nosso switch route, o default gateway para onde as VLANS saem para a internet é a rede 10.203.0.1 por isso que declarei este endereço na eth1 e não o tradicional 10.0.0.1' pois essa configuração já estava assim desde o último administrador e está funcionando no atual roteador, eu estou desconfiando que o erro está em declarar dois gateways mas como devo fazer com as VLANs da rede 10? Desde já agradeço a ajuda e caso não possa me ajudar agradeço da mesma forma. Abraços, Moksha Em 5 de junho de 2012 22:51, Eden Caldas edencal...@gmail.com escreveu: Sim você suspeitou corretamente. Não se pode ter dois gateways. Quando vocẽ seta um gateway no firewall, esse é o gateway DO firewall, e não do resto da rapaziada. Assim o firewall tem dois gateways
Re: Outras dúividas sobre iptables e roteamento
Moksha Quando eu li seu e-mail pensei exatamente o que Paulo Ricardo respondeu. Colocando da forma que você colocou no interfaces, está funcionando? Verifica com o comando route -n Em 7 de junho de 2012 12:47, Moksha Tux gova...@gmail.com escreveu: Prezado Paulo Ricardo! Muito obrigado pela sua resposta, esse comando eu coloquei realmente abaixo da interface onde gostaria adicionar esta rota mas pelo que vi no seu e-mail o comando não era adequado, o estranho é que esse comando que usei *( route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 )* eu pesquisei na internet e dos diversos exemplos que olhei, este mesmo comando se encontrava no arquivo interfaces e abaixo da interface desejada. Mas de qualquer forma muito obrigado pela sua valorosa ajuda. Abraços, Moksha Em 7 de junho de 2012 10:54, Paulo Ricardo Bruck paulo...@contatogs.com.br escreveu: Bom dia - Mensagem original - De: Moksha Tux gova...@gmail.com Para: Eden Caldas edencal...@gmail.com Cc: Forum Debian debian-user-portuguese@lists.debian.org Enviadas: Quarta-feira, 6 de Junho de 2012 22:49:50 Assunto: Re: Outras dúividas sobre iptables e roteamento Grande Eden! E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma nova rota. Então a linha que adicionei no arquivo interfaces que aparece abaixo parece não estar adiantando e isso retirando o gateway da rede 10.203 veja: route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 . ok eu não segui todo o histórico m as se vc quer adicionar rotas estaticas no arquivo /etc/network/interfaces ao menos saiba como fazer da forma correta... man interfaces na parte IFACE OPTIONS ok se vc não sabia ou não leu o man, a maneira correta é colocar debaixo da interface que vc deseja: up route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 || true mas dê preferencia para o modelo de rotas do man iproute up iproute add 10.0.0.0/24 via 10.203.0.1 dev eth1 || true ats Note que estou adicionando o acesso a toda rede 10 mas mesmo assim as outras VLANs não estão tendo acesso ao firewall mas somente a rede 10.203. Será que eu devo incluir rota estática para cada vlan? A saber 10.10, 10.100, 10.200, etc... ? Moksha Em 6 de junho de 2012 14:15, Eden Caldas edencal...@gmail.com escreveu: Mas se então se eu não puder declarar o gateway da rede 10.203 como esta interface se comunicará com as redes das VLANs? Ele não precisa de gateway pois já está com IP configurado nessa própria rede e conectado diretamente nela. E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma nova rota. O gateway padrão nada mais é do que uma rota que será usada quando nenhuma das outras rotas der jeito. Em 6 de junho de 2012 10:18, Moksha Tux gova...@gmail.com escreveu: Meu querido Eden! Quanto tempo... rsrsrs estou amadurecendo cada vez mais no conceito de iptables e chegou a hora de fazer o meu humilde script funcionar mas estou deparando com uma outra barreira... o roteamento dos pacotes das VLANs. eu possuo em minha rede um switch router com 13 VLANs leventadas neles e uma das VLANs é uma rede que tem somente uma interface do roteador plugada nela, a VLAN 10.203. Possuo alguns IPs válidos aqui para trabalhar com serviços da internet e tudo que estou fazendo aqui é baseado nas configurações dos antigos roteadores que estão em produção (PF com OpenBSD). Não estou sabendo como bolar as rotas das redes das VLANs para que saiam para a internet, abaixo segue meu arquivo interfaces do Debian onde configuro toda a rede. allow-hotplug eth0 iface eth0 inet static address 200.20.116.50 netmask 255.255.255.192 network 200.20.116.0 broadcast 200.20.116.63 gateway 200.20.116.1 iface eth0:0 inet static address 200.20.116.52 netmask 255.255.255.192 iface eth0:1 inet static address 200.20.116.53 netmask 255.255.255.192 iface eth0:2 inet static address 200.20.116.54 netmask 255.255.255.192 allow-hotplug eth1 iface eth1 inet static address 10.203.0.2 netmask 255.255.0.0 network 10.203.0.0 broadcast 10.203.255.255 gateway 10.203.0.1 route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 allow-hotplug eth2 iface eth2 inet static address 172.16.0.1 netmask 255.255.0.0 network 172.16.0.0 broadcast 172.16.255.255 Devo dizer que no nosso switch route, o default gateway para onde as VLANS saem para a internet é a rede 10.203.0.1 por isso que declarei este endereço na eth1 e não o tradicional 10.0.0.1' pois essa configuração já estava assim desde o último administrador e está funcionando no atual roteador, eu estou desconfiando que o erro está em declarar dois gateways mas como devo fazer com as VLANs da rede 10? Desde já agradeço a ajuda e caso não possa me ajudar agradeço da mesma forma. Abraços, Moksha Em 5 de junho
Re: Outras dúividas sobre iptables e roteamento
Do jeito que eu coloquei não funcionou mas na segunda irei testar da forma que o Paulo Ricardo aconselhou. Moksha Em 7 de junho de 2012 19:37, Eden Caldas edencal...@gmail.com escreveu: Moksha Quando eu li seu e-mail pensei exatamente o que Paulo Ricardo respondeu. Colocando da forma que você colocou no interfaces, está funcionando? Verifica com o comando route -n Em 7 de junho de 2012 12:47, Moksha Tux gova...@gmail.com escreveu: Prezado Paulo Ricardo! Muito obrigado pela sua resposta, esse comando eu coloquei realmente abaixo da interface onde gostaria adicionar esta rota mas pelo que vi no seu e-mail o comando não era adequado, o estranho é que esse comando que usei *( route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 )* eu pesquisei na internet e dos diversos exemplos que olhei, este mesmo comando se encontrava no arquivo interfaces e abaixo da interface desejada. Mas de qualquer forma muito obrigado pela sua valorosa ajuda. Abraços, Moksha Em 7 de junho de 2012 10:54, Paulo Ricardo Bruck paulo...@contatogs.com.br escreveu: Bom dia - Mensagem original - De: Moksha Tux gova...@gmail.com Para: Eden Caldas edencal...@gmail.com Cc: Forum Debian debian-user-portuguese@lists.debian.org Enviadas: Quarta-feira, 6 de Junho de 2012 22:49:50 Assunto: Re: Outras dúividas sobre iptables e roteamento Grande Eden! E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma nova rota. Então a linha que adicionei no arquivo interfaces que aparece abaixo parece não estar adiantando e isso retirando o gateway da rede 10.203 veja: route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 . ok eu não segui todo o histórico m as se vc quer adicionar rotas estaticas no arquivo /etc/network/interfaces ao menos saiba como fazer da forma correta... man interfaces na parte IFACE OPTIONS ok se vc não sabia ou não leu o man, a maneira correta é colocar debaixo da interface que vc deseja: up route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 || true mas dê preferencia para o modelo de rotas do man iproute up iproute add 10.0.0.0/24 via 10.203.0.1 dev eth1 || true ats Note que estou adicionando o acesso a toda rede 10 mas mesmo assim as outras VLANs não estão tendo acesso ao firewall mas somente a rede 10.203. Será que eu devo incluir rota estática para cada vlan? A saber 10.10, 10.100, 10.200, etc... ? Moksha Em 6 de junho de 2012 14:15, Eden Caldas edencal...@gmail.com escreveu: Mas se então se eu não puder declarar o gateway da rede 10.203 como esta interface se comunicará com as redes das VLANs? Ele não precisa de gateway pois já está com IP configurado nessa própria rede e conectado diretamente nela. E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma nova rota. O gateway padrão nada mais é do que uma rota que será usada quando nenhuma das outras rotas der jeito. Em 6 de junho de 2012 10:18, Moksha Tux gova...@gmail.com escreveu: Meu querido Eden! Quanto tempo... rsrsrs estou amadurecendo cada vez mais no conceito de iptables e chegou a hora de fazer o meu humilde script funcionar mas estou deparando com uma outra barreira... o roteamento dos pacotes das VLANs. eu possuo em minha rede um switch router com 13 VLANs leventadas neles e uma das VLANs é uma rede que tem somente uma interface do roteador plugada nela, a VLAN 10.203. Possuo alguns IPs válidos aqui para trabalhar com serviços da internet e tudo que estou fazendo aqui é baseado nas configurações dos antigos roteadores que estão em produção (PF com OpenBSD). Não estou sabendo como bolar as rotas das redes das VLANs para que saiam para a internet, abaixo segue meu arquivo interfaces do Debian onde configuro toda a rede. allow-hotplug eth0 iface eth0 inet static address 200.20.116.50 netmask 255.255.255.192 network 200.20.116.0 broadcast 200.20.116.63 gateway 200.20.116.1 iface eth0:0 inet static address 200.20.116.52 netmask 255.255.255.192 iface eth0:1 inet static address 200.20.116.53 netmask 255.255.255.192 iface eth0:2 inet static address 200.20.116.54 netmask 255.255.255.192 allow-hotplug eth1 iface eth1 inet static address 10.203.0.2 netmask 255.255.0.0 network 10.203.0.0 broadcast 10.203.255.255 gateway 10.203.0.1 route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 allow-hotplug eth2 iface eth2 inet static address 172.16.0.1 netmask 255.255.0.0 network 172.16.0.0 broadcast 172.16.255.255 Devo dizer que no nosso switch route, o default gateway para onde as VLANS saem para a internet é a rede 10.203.0.1 por isso que declarei este endereço na eth1 e não o tradicional 10.0.0.1' pois essa configuração já estava assim desde o último administrador e está funcionando no atual roteador, eu estou desconfiando que o erro está em
Re: Outras dúividas sobre iptables e roteamento
Do jeito que você colocou seria se fosse feito direto na linha de comando. Em 7 de junho de 2012 21:51, Moksha Tux gova...@gmail.com escreveu: Do jeito que eu coloquei não funcionou mas na segunda irei testar da forma que o Paulo Ricardo aconselhou. Moksha Em 7 de junho de 2012 19:37, Eden Caldas edencal...@gmail.com escreveu: Moksha Quando eu li seu e-mail pensei exatamente o que Paulo Ricardo respondeu. Colocando da forma que você colocou no interfaces, está funcionando? Verifica com o comando route -n Em 7 de junho de 2012 12:47, Moksha Tux gova...@gmail.com escreveu: Prezado Paulo Ricardo! Muito obrigado pela sua resposta, esse comando eu coloquei realmente abaixo da interface onde gostaria adicionar esta rota mas pelo que vi no seu e-mail o comando não era adequado, o estranho é que esse comando que usei *( route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 )* eu pesquisei na internet e dos diversos exemplos que olhei, este mesmo comando se encontrava no arquivo interfaces e abaixo da interface desejada. Mas de qualquer forma muito obrigado pela sua valorosa ajuda. Abraços, Moksha Em 7 de junho de 2012 10:54, Paulo Ricardo Bruck paulo...@contatogs.com.br escreveu: Bom dia - Mensagem original - De: Moksha Tux gova...@gmail.com Para: Eden Caldas edencal...@gmail.com Cc: Forum Debian debian-user-portuguese@lists.debian.org Enviadas: Quarta-feira, 6 de Junho de 2012 22:49:50 Assunto: Re: Outras dúividas sobre iptables e roteamento Grande Eden! E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma nova rota. Então a linha que adicionei no arquivo interfaces que aparece abaixo parece não estar adiantando e isso retirando o gateway da rede 10.203 veja: route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 . ok eu não segui todo o histórico m as se vc quer adicionar rotas estaticas no arquivo /etc/network/interfaces ao menos saiba como fazer da forma correta... man interfaces na parte IFACE OPTIONS ok se vc não sabia ou não leu o man, a maneira correta é colocar debaixo da interface que vc deseja: up route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 || true mas dê preferencia para o modelo de rotas do man iproute up iproute add 10.0.0.0/24 via 10.203.0.1 dev eth1 || true ats Note que estou adicionando o acesso a toda rede 10 mas mesmo assim as outras VLANs não estão tendo acesso ao firewall mas somente a rede 10.203. Será que eu devo incluir rota estática para cada vlan? A saber 10.10, 10.100, 10.200, etc... ? Moksha Em 6 de junho de 2012 14:15, Eden Caldas edencal...@gmail.com escreveu: Mas se então se eu não puder declarar o gateway da rede 10.203 como esta interface se comunicará com as redes das VLANs? Ele não precisa de gateway pois já está com IP configurado nessa própria rede e conectado diretamente nela. E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma nova rota. O gateway padrão nada mais é do que uma rota que será usada quando nenhuma das outras rotas der jeito. Em 6 de junho de 2012 10:18, Moksha Tux gova...@gmail.com escreveu: Meu querido Eden! Quanto tempo... rsrsrs estou amadurecendo cada vez mais no conceito de iptables e chegou a hora de fazer o meu humilde script funcionar mas estou deparando com uma outra barreira... o roteamento dos pacotes das VLANs. eu possuo em minha rede um switch router com 13 VLANs leventadas neles e uma das VLANs é uma rede que tem somente uma interface do roteador plugada nela, a VLAN 10.203. Possuo alguns IPs válidos aqui para trabalhar com serviços da internet e tudo que estou fazendo aqui é baseado nas configurações dos antigos roteadores que estão em produção (PF com OpenBSD). Não estou sabendo como bolar as rotas das redes das VLANs para que saiam para a internet, abaixo segue meu arquivo interfaces do Debian onde configuro toda a rede. allow-hotplug eth0 iface eth0 inet static address 200.20.116.50 netmask 255.255.255.192 network 200.20.116.0 broadcast 200.20.116.63 gateway 200.20.116.1 iface eth0:0 inet static address 200.20.116.52 netmask 255.255.255.192 iface eth0:1 inet static address 200.20.116.53 netmask 255.255.255.192 iface eth0:2 inet static address 200.20.116.54 netmask 255.255.255.192 allow-hotplug eth1 iface eth1 inet static address 10.203.0.2 netmask 255.255.0.0 network 10.203.0.0 broadcast 10.203.255.255 gateway 10.203.0.1 route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 allow-hotplug eth2 iface eth2 inet static address 172.16.0.1 netmask 255.255.0.0 network 172.16.0.0 broadcast 172.16.255.255 Devo dizer que no nosso switch route, o default gateway para onde as VLANS saem para a internet é a rede 10.203.0.1 por isso que declarei este endereço na eth1 e não o tradicional 10.0.0.1' pois
Outras dúividas sobre iptables e roteamento
Meu querido Eden! Quanto tempo... rsrsrs estou amadurecendo cada vez mais no conceito de iptables e chegou a hora de fazer o meu humilde script funcionar mas estou deparando com uma outra barreira... o roteamento dos pacotes das VLANs. eu possuo em minha rede um switch router com 13 VLANs leventadas neles e uma das VLANs é uma rede que tem somente uma interface do roteador plugada nela, a VLAN 10.203. Possuo alguns IPs válidos aqui para trabalhar com serviços da internet e tudo que estou fazendo aqui é baseado nas configurações dos antigos roteadores que estão em produção (PF com OpenBSD). Não estou sabendo como bolar as rotas das redes das VLANs para que saiam para a internet, abaixo segue meu arquivo interfaces do Debian onde configuro toda a rede. * allow-hotplug eth0 iface eth0 inet static address 200.20.116.50 netmask 255.255.255.192 network 200.20.116.0 broadcast 200.20.116.63 gateway 200.20.116.1* * iface eth0:0 inet static* * address **200.20.116.52* * netmask 255.255.255.192* * **iface eth0:1 inet static* * address **200.20.116.53* * netmask 255.255.255.192 **iface eth0:2 inet static* * address **200.20.116.54* * netmask 255.255.255.192* * allow-hotplug eth1 iface eth1 inet static address 10.203.0.2 netmask 255.255.0.0 network 10.203.0.0 broadcast 10.203.255.255 gateway 10.203.0.1 route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1* *allow-hotplug eth2 iface eth2 inet static address 172.16.0.1 netmask 255.255.0.0 network 172.16.0.0 broadcast 172.16.255.255* Devo dizer que no nosso switch route, o default gateway para onde as VLANS saem para a internet é a rede 10.203.0.1 por isso que declarei este endereço na eth1 e não o tradicional 10.0.0.1' pois essa configuração já estava assim desde o último administrador e está funcionando no atual roteador, eu estou desconfiando que o erro está em declarar dois gateways mas como devo fazer com as VLANs da rede 10? Desde já agradeço a ajuda e caso não possa me ajudar agradeço da mesma forma. Abraços, Moksha Em 5 de junho de 2012 22:51, Eden Caldas edencal...@gmail.com escreveu: Sim você suspeitou corretamente. Não se pode ter dois gateways. Quando vocẽ seta um gateway no firewall, esse é o gateway DO firewall, e não do resto da rapaziada. Assim o firewall tem dois gateways para a internet, quando ele deveria ter um. Agora, o firewall deve ser o gateway das redes vlans, e para ele ser isso, as redes precisam chegar nele de qualquer jeito, em qualquer ip que ele tenha. Talvez isso já esteja acontecendo, e falta apenas fazer um SNAT / MASQUERADE para essas vlans todas e(ou) habilitar o roteamento com aquela linha echo 1 /proc/sys bla bla bla. Estou vendo que você mandou o e-mail diretamente para mim. Melhor mandar pra lista para todos poderem ajudar e(ou) aprender. Eden Caldas Consultor de TI e...@linuxfacil.srv.br (81) 9747 (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI -- Mensagem encaminhada -- De: Moksha Tux gova...@gmail.com Data: 6 de junho de 2012 10:07 Assunto: Re: Outras dúvidas sobre Iptables! Para: Eden Caldas edencal...@gmail.com Muito obrigado pela resposta! Me perdoe por ter escrito somente pro senhor, segue agora a minha resposta ao senhor para todo o forum. Eu fiz a regra no iptables que o senhor menciona segue abaixo: wan=eth0 int=eth1 dmz=eth2 rede_int=10.0.0.0/8 echo 1 /proc/sys/net/ipv4/ip_forward e o compartilhamento de toda: iptables -t nat -A POSTROUTING -s $rede_int -o $wan -j SNAT --to-source 200.20.116.52 iptables -A FORWARD -i $int -s $rede_int -o $wan -j ACCEPT poxa, com certeza quando eu informo ao firewall 10.0.0.0/8 eu estou informando toda a rede 10 não seria isso mesmo? Acredito que não teria a obrigação de informar cada VLAN o senhor não concorda? Mas se então se eu não puder declarar o gateway da rede 10.203 como esta interface se comunicará com as redes das VLANs? Grande abraço, Moksha
Re: Outras dúividas sobre iptables e roteamento
*Mas se então se eu não puder declarar o gateway da rede 10.203 como esta interface se comunicará com as redes das VLANs? * Ele não precisa de gateway pois já está com IP configurado nessa própria rede e conectado diretamente nela. E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma nova rota. O gateway padrão nada mais é do que uma rota que será usada quando nenhuma das outras rotas der jeito. Em 6 de junho de 2012 10:18, Moksha Tux gova...@gmail.com escreveu: Meu querido Eden! Quanto tempo... rsrsrs estou amadurecendo cada vez mais no conceito de iptables e chegou a hora de fazer o meu humilde script funcionar mas estou deparando com uma outra barreira... o roteamento dos pacotes das VLANs. eu possuo em minha rede um switch router com 13 VLANs leventadas neles e uma das VLANs é uma rede que tem somente uma interface do roteador plugada nela, a VLAN 10.203. Possuo alguns IPs válidos aqui para trabalhar com serviços da internet e tudo que estou fazendo aqui é baseado nas configurações dos antigos roteadores que estão em produção (PF com OpenBSD). Não estou sabendo como bolar as rotas das redes das VLANs para que saiam para a internet, abaixo segue meu arquivo interfaces do Debian onde configuro toda a rede. * allow-hotplug eth0 iface eth0 inet static address 200.20.116.50 netmask 255.255.255.192 network 200.20.116.0 broadcast 200.20.116.63 gateway 200.20.116.1* * iface eth0:0 inet static* * address **200.20.116.52* * netmask 255.255.255.192* * **iface eth0:1 inet static* * address **200.20.116.53* * netmask 255.255.255.192 **iface eth0:2 inet static* * address **200.20.116.54* * netmask 255.255.255.192* * allow-hotplug eth1 iface eth1 inet static address 10.203.0.2 netmask 255.255.0.0 network 10.203.0.0 broadcast 10.203.255.255 gateway 10.203.0.1 route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1* *allow-hotplug eth2 iface eth2 inet static address 172.16.0.1 netmask 255.255.0.0 network 172.16.0.0 broadcast 172.16.255.255* Devo dizer que no nosso switch route, o default gateway para onde as VLANS saem para a internet é a rede 10.203.0.1 por isso que declarei este endereço na eth1 e não o tradicional 10.0.0.1' pois essa configuração já estava assim desde o último administrador e está funcionando no atual roteador, eu estou desconfiando que o erro está em declarar dois gateways mas como devo fazer com as VLANs da rede 10? Desde já agradeço a ajuda e caso não possa me ajudar agradeço da mesma forma. Abraços, Moksha Em 5 de junho de 2012 22:51, Eden Caldas edencal...@gmail.com escreveu: Sim você suspeitou corretamente. Não se pode ter dois gateways. Quando vocẽ seta um gateway no firewall, esse é o gateway DO firewall, e não do resto da rapaziada. Assim o firewall tem dois gateways para a internet, quando ele deveria ter um. Agora, o firewall deve ser o gateway das redes vlans, e para ele ser isso, as redes precisam chegar nele de qualquer jeito, em qualquer ip que ele tenha. Talvez isso já esteja acontecendo, e falta apenas fazer um SNAT / MASQUERADE para essas vlans todas e(ou) habilitar o roteamento com aquela linha echo 1 /proc/sys bla bla bla. Estou vendo que você mandou o e-mail diretamente para mim. Melhor mandar pra lista para todos poderem ajudar e(ou) aprender. Eden Caldas Consultor de TI e...@linuxfacil.srv.br (81) 9747 (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI -- Mensagem encaminhada -- De: Moksha Tux gova...@gmail.com Data: 6 de junho de 2012 10:07 Assunto: Re: Outras dúvidas sobre Iptables! Para: Eden Caldas edencal...@gmail.com Muito obrigado pela resposta! Me perdoe por ter escrito somente pro senhor, segue agora a minha resposta ao senhor para todo o forum. Eu fiz a regra no iptables que o senhor menciona segue abaixo: wan=eth0 int=eth1 dmz=eth2 rede_int=10.0.0.0/8 echo 1 /proc/sys/net/ipv4/ip_forward e o compartilhamento de toda: iptables -t nat -A POSTROUTING -s $rede_int -o $wan -j SNAT --to-source 200.20.116.52 iptables -A FORWARD -i $int -s $rede_int -o $wan -j ACCEPT poxa, com certeza quando eu informo ao firewall 10.0.0.0/8 eu estou informando toda a rede 10 não seria isso mesmo? Acredito que não teria a obrigação de informar cada VLAN o senhor não concorda? Mas se então se eu não puder declarar o gateway da rede 10.203 como esta interface se comunicará com as redes das VLANs? Grande abraço, Moksha
Re: Outras dúividas sobre iptables e roteamento
Grande Eden! *E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma nova rota. * Então a linha que adicionei no arquivo interfaces que aparece abaixo parece não estar adiantando e isso retirando o gateway da rede 10.203 veja: *route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1. * Note que estou adicionando o acesso a toda rede 10 mas mesmo assim as outras VLANs não estão tendo acesso ao firewall mas somente a rede 10.203. Será que eu devo incluir rota estática para cada vlan? A saber 10.10, 10.100, 10.200, etc... ? Moksha Em 6 de junho de 2012 14:15, Eden Caldas edencal...@gmail.com escreveu: *Mas se então se eu não puder declarar o gateway da rede 10.203 como esta interface se comunicará com as redes das VLANs? * Ele não precisa de gateway pois já está com IP configurado nessa própria rede e conectado diretamente nela. E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma nova rota. O gateway padrão nada mais é do que uma rota que será usada quando nenhuma das outras rotas der jeito. Em 6 de junho de 2012 10:18, Moksha Tux gova...@gmail.com escreveu: Meu querido Eden! Quanto tempo... rsrsrs estou amadurecendo cada vez mais no conceito de iptables e chegou a hora de fazer o meu humilde script funcionar mas estou deparando com uma outra barreira... o roteamento dos pacotes das VLANs. eu possuo em minha rede um switch router com 13 VLANs leventadas neles e uma das VLANs é uma rede que tem somente uma interface do roteador plugada nela, a VLAN 10.203. Possuo alguns IPs válidos aqui para trabalhar com serviços da internet e tudo que estou fazendo aqui é baseado nas configurações dos antigos roteadores que estão em produção (PF com OpenBSD). Não estou sabendo como bolar as rotas das redes das VLANs para que saiam para a internet, abaixo segue meu arquivo interfaces do Debian onde configuro toda a rede. * allow-hotplug eth0 iface eth0 inet static address 200.20.116.50 netmask 255.255.255.192 network 200.20.116.0 broadcast 200.20.116.63 gateway 200.20.116.1* * iface eth0:0 inet static* * address **200.20.116.52* * netmask 255.255.255.192* * **iface eth0:1 inet static* * address **200.20.116.53* * netmask 255.255.255.192 **iface eth0:2 inet static* * address **200.20.116.54* * netmask 255.255.255.192* * allow-hotplug eth1 iface eth1 inet static address 10.203.0.2 netmask 255.255.0.0 network 10.203.0.0 broadcast 10.203.255.255 gateway 10.203.0.1 route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1* *allow-hotplug eth2 iface eth2 inet static address 172.16.0.1 netmask 255.255.0.0 network 172.16.0.0 broadcast 172.16.255.255* Devo dizer que no nosso switch route, o default gateway para onde as VLANS saem para a internet é a rede 10.203.0.1 por isso que declarei este endereço na eth1 e não o tradicional 10.0.0.1' pois essa configuração já estava assim desde o último administrador e está funcionando no atual roteador, eu estou desconfiando que o erro está em declarar dois gateways mas como devo fazer com as VLANs da rede 10? Desde já agradeço a ajuda e caso não possa me ajudar agradeço da mesma forma. Abraços, Moksha Em 5 de junho de 2012 22:51, Eden Caldas edencal...@gmail.com escreveu: Sim você suspeitou corretamente. Não se pode ter dois gateways. Quando vocẽ seta um gateway no firewall, esse é o gateway DO firewall, e não do resto da rapaziada. Assim o firewall tem dois gateways para a internet, quando ele deveria ter um. Agora, o firewall deve ser o gateway das redes vlans, e para ele ser isso, as redes precisam chegar nele de qualquer jeito, em qualquer ip que ele tenha. Talvez isso já esteja acontecendo, e falta apenas fazer um SNAT / MASQUERADE para essas vlans todas e(ou) habilitar o roteamento com aquela linha echo 1 /proc/sys bla bla bla. Estou vendo que você mandou o e-mail diretamente para mim. Melhor mandar pra lista para todos poderem ajudar e(ou) aprender. Eden Caldas Consultor de TI e...@linuxfacil.srv.br (81) 9747 (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI -- Mensagem encaminhada -- De: Moksha Tux gova...@gmail.com Data: 6 de junho de 2012 10:07 Assunto: Re: Outras dúvidas sobre Iptables! Para: Eden Caldas edencal...@gmail.com Muito obrigado pela resposta! Me perdoe por ter escrito somente pro senhor, segue agora a minha resposta ao senhor para todo o forum. Eu fiz a regra no iptables que o senhor menciona segue abaixo: wan=eth0 int=eth1 dmz=eth2 rede_int=10.0.0.0/8 echo 1 /proc/sys/net/ipv4/ip_forward e o compartilhamento de toda: iptables -t nat -A POSTROUTING -s $rede_int -o $wan -j SNAT --to-source 200.20.116.52 iptables -A FORWARD -i $int -s $rede_int -o $wan -j ACCEPT poxa, com certeza quando eu