André,
Boa noite,
Depois desta fui dormir. É isso que me falta além do conhecimento
mais específico.
Nem pensei que estava querendo colocar uma camada OSI 2 (ARP) e 3
OSI (IP) na camada 4 OSI (TCP, UDP e etc).
Isto na minha mente é claro. E ainda assim posso ter falado besteira.
Também esqueci que o mac address pode ser usado no mesmo enlace mas não
em enlaces diferentes como intranet/internet
As vezes nós cometemos muita bobeira.
Se eu usa-se arping 200.xxx.xxx.xxx ficaria numa espera muito, mas
muito demorada, pro resto da vida. O pacote de broadcast enviado pelo
arping não é encaminhado pelo gateway da rede (internet) e mesmo que
fosse seria descartado no primeiro roteador. Mesmo que quisesse o
broadcast e multicast não é nativo no atm usado pelo adsl. Teria que
usar de artifícios sobre o atm... Com o ipv6 acho que fica pior já não
temos broadcast somente multicast e blablabla. Enfim, foi falta de sono
e conhecimento específico
Somente me resta ip fixo ou um no-ip da vida na filiais...
Neste caso podem me dar uma idéia melhor? Pois o acesso ao TS
(terminal service) deverá ficar liberado apenas ao adsl (ip) das
filiais. Já pensei em VPN, mas se ligasse cada computador numa vpn não
mataria a rede local na filial? Uma vez fiz isso e alguns Rwindows não
enxergavam a rede local.
Sei que poderia colocar um firewall+vpn para fazer a vpn nas
filiais. O problema é que enfrento o fator comum na informática: reduzir
custos, firewall com vpn em cada filial nem pensar.
Tenho duas adsl: uma ip dinâmico para acesso a internet e outra adsl ip
fixo somente para TS com entrada no mesmo firewall que distribui para
intranet. O servidor TS está na intranet. A placa mãe por falta de slot
não permite fazer DMZ.
Parte do meu script está aqui em baixo (sei que falta o restante como
fechar tudo, proteção deny dos e etc).
Não é necessário me dar tudo debulhado. Somente me indiquem o que pesquisar.
# Limpa as regras
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
#### "Libera LocalHost"
iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# libera terminal service
iptables -A INPUT -i eth2 -p TCP --dport 3389 --syn -j ACCEPT
iptables -A INPUT -i eth2 -p UDP --dport 3389 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -d 192.168.1.3 -p TCP --dport 3389
-j ACCEPT
### (preciso mudar a regra abaixo pois libera o TS para qualquer rede / ip)
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth2 --dport 3389
-j DNAT --to-destination 192.168.1.3
iptables -A FORWARD -j LOG --log-prefix "Serviço: TS "
### cria rotas para saída da internet pelo adsl interno (ip dinâmico)
tabela 200 internet no rt_tables
ip route add default dev eth1 via 192.168.2.1 table internet
ip rule add from 191.168.1.0/24 lookup internet
### Marca pacotes para saída pelo adsl interno (ip dinâmico)
iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 80 -j MARK
--set-mark 1
iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 443 -j MARK
--set-mark 1
iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 110 -j MARK
--set-mark 1
iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 25 -j MARK
--set-mark 1
## cria marca na tabela 200 internet e limpa cache rota
ip rule add fwmark 1 lookup internet
ip route flush cached
# nat com internet adsl ip fixo (TS) e adsl dinâmico (internet)
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
Obrigado
--
Alexandre Pereira Bühler
Técnico Eletroeletrônica - Senai - MG
Linux User: 397.546
Colunista:www.delphisophp.com
Owner:http://br.groups.yahoo.com/group/freepascal/
Liberdade é essencial. Use GNU/Linux.
Legalize os softwares de sua empresa
Simão& Bühler Ltda (Infobrindes)
Instalação, manutenção e venda de servidores GNU/Linux.
http://www.simaoebuhler.com.br
Hardware acesse, veja e tenha produtos com qualidade, garantia e nota fiscal.
http://www.simaoebuhler.com.br/loja
[email protected]
Telefone: (41) 3538-5428
Infobrindes (Simão& Bühler Ltda)
Brindes e material promocional.
http://www.infobrindes.com.br
[email protected]
Telefone: (41) 3532-5428
--
GUS-BR - Grupo de Usuários de Slackware Brasil
http://www.slackwarebrasil.org/
http://groups.google.com/group/slack-users-br
Antes de perguntar:
http://www.istf.com.br/perguntas/
Para sair da lista envie um e-mail para:
[email protected]
