Bem pessoal eu consegui resolver o problema, as regras do firewall estão corretas e as rotas também, só tive que setar o proxy nos clientes e funcionou. Obrigado a todos! Valeu mais uma vez Slacks!
2009/11/20 Rafael Tomelin <[email protected]> > Daniel, > > Pelo que percebi você tem serios problemas de configurações, tais como: > > OBS.: roteamento é diferente do que redirecionamento > > No caso abaixo, você terá que ter 2 DNAT, um de entrada e outro de saída. > > > " > Preciso fazer um redirecionamento via nat, do ip 172.28.1.1 para o ip > 172.28.33.70, e estou resolvendo no dns um certo site para esse ip > 172.28.1.1, quando chegar no firewall, irá redirecionar tudo que vinher para > porta 80 e 443 para o ip 172.28.33.70 que é um roteador com link direto em > uma vpn. > " > > Qual a POLITICA do teu FIREWALL, é bloquear tudo? > Liberou teu FORWARD entre as redes? > Tentou fazer um TRACEROUTE? > E verifica as conexões com o TCPDUMP? > > > > 2009/11/17 Daniel <[email protected]> > >> Exatamente Luiz, estou montando outro firewall mais detalahado..., que irá >> substituir o anterior (que estou testando...) que está com todas as chains >> da tabela Filter, com política padrão Accept, tratando portas especificas >> somente, entre outros. Mas já coloquei explicitamente Accept na chain >> forward para a placa que está a vpn, tentei usar algumas regras com ip >> route, mas continua no mesmo cenário. >> >> Obs.: No firewall só consigo acessar se colocar uma rota da rede >> 172.28.1.0/24 para o gateway 172.28.33.70. Como já falaram, eu desconfio >> que seja a resposta para o pc solicitante, mas há a regra de Snat para >> retonro..., tá tenso...rss. >> >> Obrigado pelas respostas, quem tiver mais dicas para uma possível solução >> eu agradeço. Enquanto isso vou tentanto e tentando..., google na veia e etc. >> >> >> 2009/11/16 Luiz Antonio <[email protected]> >> >> >>> Se eu entendi direito o fw acessa, mas a rede interna não. Eh isso? >>> Como esta sua tabela de forward? >>> >>> Fico no aguardo >>> >>> On Monday, November 16, 2009, Fabio Oliveira <[email protected]> >>> wrote: >>> > >>> > Daniel, >>> > me parece problema de rota de retorno... verifique nos dois firewalls >>> > que compôem a vpn, talvez a resposta esteja chegando somente no >>> > firewall pelo ip da vpn. >>> > >>> > abçs >>> > >>> > On 15 nov, 23:38, Daniel <[email protected]> wrote: >>> >> Bem esses ips são vpns providas pelo governo estadual e federal..., >>> são >>> >> todos fixos (setado diretamente em /etc/rc.d/rc.inet1.conf). O gateway >>> que >>> >> uso é do link dentro da rede 10.49.7.0/24, no caso 10.49.7.1. Meu >>> problema é >>> >> distribuir o acesso a vpn que acessa o roteador para a rede local, que >>> no >>> >> estado atual não acontece, somente consigo no firewall que tem uma >>> placa com >>> >> ip dentro da faixa de ip do roteador, nas redes não consigo. >>> >> >>> >> 2009/11/15 Hav0k <[email protected]> >>> >> >>> >> >>> >> >>> >> > o seu firewall recebeu este ip via dhcp? >>> >> > por acaso essas redes sao providas pelo Sonic Wall da Volks? >>> >> >>> >> > quais ips estao atribuidos ao seu firewall e quais gateways? >>> >> >>> >> > 2009/11/14 Daniel <[email protected]> >>> >> >>> >> > Saudações Slacks, gostaria de uma ajuda sobre o netfilter (iptables) >>> com >>> >> >> relação a redirecionamento para vpn. Vou explicar o cenário para >>> que vocês >>> >> >> possam me ajudar se possível (e agradeço qualquer ajuda): >>> >> >>> >> >> Tenho 3 placas de redes, sendo 1 ip virtual: >>> >> >>> >> >> Rede local (eth0): 192.168.1.0/24 >>> >> >> Rede Wan1 (eth1): 10.49.7.0/24 >>> >> >> Rede Wan2 (eth1:1): 10.49.10.0/8 >>> >> >> Rede Wan3 (eth2): 172.28.33.0/27 >>> >> >>> >> >> Preciso fazer um redirecionamento via nat, do ip 172.28.1.1 para o >>> ip >>> >> >> 172.28.33.70, e estou resolvendo no dns um certo site para esse ip >>> >> >> 172.28.1.1, quando chegar no firewall, irá redirecionar tudo que >>> vinher para >>> >> >> porta 80 e 443 para o ip 172.28.33.70 que é um roteador com link >>> direto em >>> >> >> uma vpn. >>> >> >>> >> >> Minha regra de firewall está assim: >>> >> >> iptables -t nat -A PREROUTING -d 172.28.1.1 -p tcp -m multiport >>> --dport >>> >> >> 80,433 -j DNAT --to-destination 172.28.33.70 >>> >> >> iptables -t nat -A POSTROUTING -d 172.28.33.70 -p tcp -m multiport >>> --dport >>> >> >> 80,433 -j SNAT --to 192.168.1.1 >>> >> >>> >> >> Adicionei a seguinte rota no firewall: >>> >> >> route add -net 172.28.1.0/24 gw 172.28.33.70 >>> >> >>> >> >> Ou seja quando eu acesar a url (que é resolvido no dns como >>> 172.28.1.1), >>> >> >> eu faço o redirecionamento desse ip para o ip do roteador >>> 172.33.28.70 que >>> >> >> vai acessar a vpn e trazer o site desejado, a resposta será >>> redirecionada >>> >> >> para o próprio firewall que deveria repassar para o pc dentro da >>> minha rede >>> >> >> local. >>> >> >>> >> >> Mas só funciona no firewall (testei usando o links), pois quando >>> tento >>> >> >> acessar de um computador dentro da minha rede interna ( >>> 192.168.1.0/24) >>> >> >> não consigo. Testei o ping para url, e está aparentemente tudo >>> certo, ele >>> >> >> joga o pacote icmp para 172.28.1.1, chega no firewall e é >>> redirecionado para >>> >> >> o roteador mas dá time out na página, pois não consigo acessar, >>> como se não >>> >> >> hovese uma resposta para o pc que requisitou a página na vpn. >>> >> >>> >> >> Em resumo: o roteador só tráz a página que está em uma vpn, se for >>> >> >> acessado pelo o ip 172.28.1.1 sendo redirecionado par ao ip do >>> roteador e na >>> >> >> porta 80 e 443. Como poderia liberar para a rede interna e as >>> outras vpns? >>> >> >> Preciso adicionar outas regras? Se puderem me ajudar ficarei como >>> sempre >>> >> >> eternamente grato. Aguardo respostas. >>> >> >>> >> >> Valeu Slacks! >>> >> >>> >> >> -- >>> >> >> Keep it simple stupid! >>> >> >>> >> -- >>> >> Keep it simple stupid! >>> > > >>> > >>> >>> -- >>> Luiz Antonio Oliveira >>> aka redhate >>> Linux User #347508 >>> aMSN: [email protected] >>> Licq: 251384040 >>> >>> >>> >> >> >> -- >> Keep it simple stupid! >> >> >> >> > > > -- > Att, > Rafael Tomelin > Tel.: 51-84104084 > Skype: rafael.tomelin > > > > > -- Keep it simple stupid! --~--~---------~--~----~------------~-------~--~----~ GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected] -~----------~----~----~----~------~----~------~--~---
