Qual seu IP de saída?!?! Rede 10.0.0.0/8 não é roteável
2009/12/2 Rafael Dutra <[email protected]> > > Senhores; > > Primeiramente, meus problemas, logo abaixo, o que estou fazendo. > > Problema: resolver nomes www.terra.com.br - www.goo..... ... > Se pingo para a internet ? sim > Se estou vendo os logs ? sim, estou tendo essa resposta por tcpdump: > > {r...@matadeiro}/mnt/sda/vmware [ tcpdump -i eth0 host 10.0.10.1 > > > tcpdump: verbose output suppressed, use -v or -vv for full protocol decode > listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes > 16:16:59.378678 IP 10.0.10.1.46182 > 10.0.0.2.domain: 5787+ A? > www.google.com. (32) > 16:16:59.378881 IP 10.0.0.2.domain > 10.0.10.1.46182: 5787 Refused- > 0/0/0 (32) > 16:16:59.379280 IP 10.0.10.1.49751 > 10.0.0.2.domain: 5787+ A? > www.google.com. (32) > 16:16:59.379361 IP 10.0.0.2.domain > 10.0.10.1.49751: 5787 Refused- > 0/0/0 (32) > 16:16:59.379542 IP 10.0.10.1.58422 > 10.0.0.2.domain: 57641+ A? > www.google.com. (32) > 16:16:59.379595 IP 10.0.0.2.domain > 10.0.10.1.58422: 57641 Refused- > 0/0/0 (32) > 16:16:59.379716 IP 10.0.10.1.44449 > 10.0.0.2.domain: 57641+ A? > www.google.com. (32) > 16:16:59.379774 IP 10.0.0.2.domain > 10.0.10.1.44449: 57641 Refused- > 0/0/0 (32) > > e estou tendo a resposta por logs no iptables: > {r...@matadeiro}/mnt/sda/vmware [ tail -f /var/log/messages > > > Dec 1 16:17:14 localhost dhcpd: DHCPREQUEST for 10.0.0.56 from > 00:01:6c:11:45:c8 via eth0 > Dec 1 16:17:38 localhost named[30142]: client 10.0.10.1#37432: query > (cache) 'www.google.com/A/IN' denied > Dec 1 16:17:38 localhost named[30142]: client 10.0.10.1#60710: query > (cache) 'www.google.com/A/IN' denied > Dec 1 16:17:38 localhost named[30142]: client 10.0.10.1#51006: query > (cache) 'www.google.com/A/IN' denied > Dec 1 16:17:38 localhost named[30142]: client 10.0.10.1#41290: query > (cache) 'www.google.com/A/IN' denied > > ---- > Vamos lá: > Estou isolando redes aqui na empresa, mas ainda tudo em fazes de testes. > > Tenho 2 redes no momento, na verdade agora são 3 (essa em teste); > 1 - 10.0.0.0/24 = 255.255.255.0 > 2 - 10.0.1.0/24 = 255.255.255.0 > 3 - 10.0.10.0/29 = 255.255.255.248 > > os gateways de cada de rede > 0 - modem 10.0.0.1 que é gateway da maquina 10.0.0.2 > 1 - 10.0.0.2/24 (firewall + proxy + cache dns) - modem 10.0.0.1 > 2 - 10.0.1.254/24 > 3 - 10.0.10.1/29 > > > No momento nao preciso de acesso a rede 10.0.1.0/24, estou testando > apenas nas outras duas redes, no caso 10.0.0.0/24 e 10.0.10/29 > > Entao o seguinte, rede 10.0.0.0/24: > Kernel IP routing table > Destination Gateway Genmask > 10.0.0.0 0.0.0.0 255.255.255.0 > 10.0.1.0 10.0.0.253 255.255.255.0 > 127.0.0.0 0.0.0.0 255.0.0.0 > 0.0.0.0 10.0.0.1 0.0.0.0 > > Como eu nao tinha a rota para a rede 10.0.10.0/29 tive que criar: > route add -net 10.0.10.0 netmask 255.255.255.248 gw 10.0.0.2 > > e na rede 10.0.10.0 criei a rota para a rede 10.0.0.0/24 e para a > internet: > > route add -net 10.0.0.0 netmask 255.255.255.0 gw 10.0.10.1 > route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.0.0.2 > > ficando assim na rede 10.0.0.0/24: > Kernel IP routing table > Destination Gateway Genmask > 10.0.10.0 10.0.0.2 255.255.255.248 > 10.0.0.0 0.0.0.0 255.255.255.0 > 10.0.1.0 10.0.0.253 255.255.255.0 > 127.0.0.0 0.0.0.0 255.0.0.0 > 0.0.0.0 10.0.0.1 0.0.0.0 > > e na rede 10.0.10.0/24: > Kernel IP routing table > Destination Gateway Genmask > 10.0.10.0 0.0.0.0 255.255.255.248 > 10.0.0.0 10.0.10.1 255.255.255.0 > 0.0.0.0 10.0.0.2 0.0.0.0 > 127.0.0.0 0.0.0.0 255.0.0.0 > > No meu humilde conhecimento, me parece problema nas minhas regras de > firewall (que trabalho pra configurar estaticamente as portas de nfs > através de firewall), mas não consigo achar o que seria, ou ainda no meu > cache dns, mas nao conheço (no momento) muito de dns. > > Segue minhas regras (sugestões, SEMPRE bem vindas): > > #!/bin/bash > # Criado em: 2009/10/29 (Thu) 15:19:39 (BRST) > # Ultima Modificação: 2009/11/03 (Tue) 14:30:39 (BRST) > # Autor: Rafael Dutra <[email protected]> > # http://www.du3x.com > > IPTABLES="/usr/sbin/iptables" > NIC0="eth0" > NIC1="eth1" > NIC2="eth2" > SERVER="10.0.0.2" > REDE="10.0.0.0/24" > ROUTER_TIJUQUINHAS="10.0.0.253" > REDE_TIJUQUINHAS="10.0.1.0" > MASC_TIJUQUINHAS="255.255.255.0" > > # Alguns computadores que precisam de permissões extras > GANDALF="10.0.0.36" > > function color() > { > VERMELHO="31" > VERDE="32" > AMARELO="33" > AZUL="34" > MAGENTA="35" > CIANO="36" > BRANCO="37" > echo -e "\e[$AMARELO;1m [ OK ]\e[m\e[35;1m\e[m" > } > > function stop() > { > echo -n "Limpando regras:" > # Limpar regras > $IPTABLES -F # Delete all rules in chain or all > chains > $IPTABLES -Z # Zero counters in chain or all chains > $IPTABLES -X # Delete a user-defined chain > $IPTABLES -t filter -F # table to manipulate (default: `filter') > $IPTABLES -t filter -Z > $IPTABLES -t nat -Z > $IPTABLES -t nat -F # Flushing table nat > color > } > > function start() > { > # Determina a política padrão > $IPTABLES -P INPUT DROP > $IPTABLES -P OUTPUT DROP > $IPTABLES -P FORWARD DROP > > # Aceitando tudo em loopback > $IPTABLES -A INPUT -i lo -j ACCEPT > $IPTABLES -A OUTPUT -o lo -j ACCEPT > > # Ativa roteamento e mascaramento > echo -n "Ativando o roteamento:" > echo 1 > /proc/sys/net/ipv4/ip_forward > color > > # Habilitando ping > $IPTABLES -A INPUT -p icmp -j ACCEPT > > # Aceita os pacotes que realmente devem entrar > $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > $IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT > $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT > > $IPTABLES -A FORWARD -d $SERVER -j ACCEPT > $IPTABLES -A FORWARD -s $SERVER -j ACCEPT > > # dns para entrar > $IPTABLES -A INPUT -p tcp -m multiport --dports 53,953 -m state > --state NEW -j ACCEPT > $IPTABLES -A INPUT -p udp -m multiport --dports 53,953 -m state > --state NEW -j ACCEPT > > # dns para sair > $IPTABLES -A OUTPUT -p tcp -m multiport --dports 53,953 -m state > --state NEW -j ACCEPT > $IPTABLES -A OUTPUT -p udp -m multiport --dports 53,953 -m state > --state NEW -j ACCEPT > > > # Loga tentativa de acesso a deter determinadas portas > $IPTABLES -A INPUT -p tcp --dport 3128 -i $NIC0 -j LOG --log-level > 6 --log-prefix "FIREWALL: squid: " > $IPTABLES -A INPUT -p tcp --dport 80 -i $NIC0 -j LOG --log-level > 6 --log-prefix "FIREWALL: http: " > $IPTABLES -A INPUT -p icmp -i $NIC0 -j LOG --log-level > 6 --log-prefix "FIREWALL: icmp: " > $IPTABLES -A INPUT -p tcp --dport 111 -i $NIC0 -j LOG --log-level > 6 --log-prefix "FIREWALL: nfs-111-tcp: " > $IPTABLES -A INPUT -p udp --dport 111 -i $NIC0 -j LOG --log-level > 6 --log-prefix "FIREWALL: nfs-111-udp: " > $IPTABLES -A INPUT -p tcp --dport 2049 -i $NIC0 -j LOG --log-level > 6 --log-prefix "FIREWALL: nfs-2049: " > $IPTABLES -A INPUT -p udp --dport 2049 -i $NIC0 -j LOG --log-level > 6 --log-prefix "FIREWALL: nfs-2049: " > $IPTABLES -A INPUT -p udp --dport 53 -i $NIC0 -j LOG --log-level > 6 --log-prefix "FIREWALL: DNS-53: " > > # libero apenas para meu note o acesso ao autofs > $IPTABLES -A INPUT -p tcp -m multiport --dports > 111,2049,32765:32768 -j ACCEPT > $IPTABLES -A INPUT -p udp -m multiport --dports > 111,2049,32765:32768 -j ACCEPT > > > $IPTABLES -A INPUT -p tcp --dport 137 -j ACCEPT > $IPTABLES -A INPUT -p udp --dport 137 -j ACCEPT > > $IPTABLES -A INPUT -p tcp --dport 138 -j ACCEPT > $IPTABLES -A INPUT -p udp --dport 138 -j ACCEPT > > $IPTABLES -A INPUT -p tcp --dport 139 -j ACCEPT > $IPTABLES -A INPUT -p udp --dport 139 -j ACCEPT > > # ntp > $IPTABLES -A INPUT -p udp --dport 123 -j ACCEPT > > # vmware server > $IPTABLES -A INPUT -s $REDE -p tcp --dport 8222 -j ACCEPT > $IPTABLES -A INPUT -s $REDE -p tcp --dport 8333 -j ACCEPT > $IPTABLES -A INPUT -s $REDE -p tcp --dport 902 -j ACCEPT > > # dhcp > $IPTABLES -I INPUT -i $NIC0 -p udp --dport 67:68 --sport 67:68 -j > ACCEPT > > > # Libera acesso externo a determinadas portas > # Permite configurar um período de tempo no qual uma determinada > conexão pode ocorrer a cada x segundos: > $IPTABLES -A INPUT -m state --state ESTABLISHED -j ACCEPT > $IPTABLES -A INPUT -p tcp --dport ssh -m recent --update --seconds > 10 -j DROP > $IPTABLES -A INPUT -p tcp --dport ssh --tcp-flags syn,ack,rst syn > -m recent --set -j ACCEPT > $IPTABLES -A INPUT -p tcp -s $REDE --dport 22 -i $NIC0 -j ACCEPT > > # squid > $IPTABLES -t nat -A PREROUTING -s $REDE -p tcp --dport 80 -j > REDIRECT --to-port 3128 > $IPTABLES -A INPUT -d $SERVER -p tcp --dport 3128 -j ACCEPT > > # mascaramento > $IPTABLES -t nat -A POSTROUTING -o $NIC0 -j MASQUERADE > > } > > function libera() > { > stop > $IPTABLES -P OUTPUT ACCEPT > $IPTABLES -P INPUT ACCEPT > $IPTABLES -P FORWARD ACCEPT > } > > > function status() > { > $IPTABLES -vL -t filter > } > > function routes() > { > if [ "$1" == "start" ] || [ "$1" == "restart" ] || [ "$1" == "libera" ] > then > ADD="add" > else > ADD="del" > fi > > route $ADD -net $REDE_TIJUQUINHAS netmask $MASC_TIJUQUINHAS gw > $ROUTER_TIJUQUINHAS 2>/dev/null > echo "route $ADD -net $REDE_TIJUQUINHAS netmask $MASC_TIJUQUINHAS > gw $ROUTER_TIJUQUINHAS" > > } > > function restart() > { > stop > sleep 2 > start > } > > > case "$1" in > 'libera') > libera $1 > ;; > 'start') > start > routes $1 > ;; > 'stop') > stop > routes $1 > ;; > 'status') > status > ;; > 'restart') > restart > routes $1 > ;; > *) > echo "usage $0 start|stop|restart|status" > esac > > > Como falei, pingo pra ips fora, mas nao resolvo dns. > > Obrigado por qualquer sugestão ! > > Abraço > > -- > cat << EOT > > Rafael Dutra <[email protected]> > http://www.du3x.com > Florianópolis - SC - Brasil > Linux user #376.904 > Tel. +55 48 88279453 > echo 1244394795515721490698P | dc > # while true; do work + work; done > Current System: Debian 5.0 (lenny) > > http://pt.wikipedia.org/wiki/ASCII > 01001010 01001111 01001001 01000011 01000101 > 01010100 01000101 01000001 01001101 01001111 > > EOT > > > > --~--~---------~--~----~------------~-------~--~----~ GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected] -~----------~----~----~----~------~----~------~--~---
