André,
Nas filiais tem o famigerado d-link 500b. Ele não tem suporte a vpn
(pptp, ipsec) mas pelo menos me permite abrir e redirecionar as portas.
Não tinha pensado nisso.
Eu venho do ipchains e do kernel 2.2 do falecido OpenLinux Caldera.
Me acomodei com o tempo. Agora tendo recuperar o que perdi de conhecimento.
Sim há políticas default no script. Não coloquei aqui. Com certeza
deve ter incoerências em meu script. Por exemplo acho que não preciso
liberar o udp para TS que usa tcp mas mesmo assim coloquei lá. E sim
preciso tirar a bunda da cadeira e ir estudar melhor o netfilter.
Você tem razão não preciso abrir a entrada (INPUT) no firewall e
usar também O FORWARD se já redireciono a porta (PREROUNTING) para uma
máquina na rede. Quais as outras incoerências? Desejo aprender no que
erro. Aprender a fazer é melhor que ctrl+c e ctrl+v.
Tirei o INPUT e FORWARD além do udp para 3389 do script.
Quanto a vpn na época usei o openvpn e dentro da vpn as máquinas
tinham ping, apareciam no ambiente de rede. Tudo certinho. Apenas 2
máquinas com windows tinham problema para enxergar por exemplo uma outra
máquina dentro da filial e mandar uma impressão. As outras funcionavam
perfeitamente. As vezes elas não enxergavam nem o PDC da rede e deixavam
de aplicar o policy. Tivemos de reinstalar o windows para funcionar.
Agora fica a dúvida era algo do windows ou da vpn que montei. Mais
provável que seja do windows.
Instalei o Slackware para aprender a fundo as coisas e oferecer um
serviço melhor aos meus clientes. E acredite aprendi coisas novas todos
os dias. Como aprendo agora com vocês. Eu precisava tirar aquele
conceito que Slackware é somente para usuários avançados. Ele serve para
qualquer um e é o que achei mais flexível de todos em minha opinião
pessoal. Talvez se tivesse usado antes aprenderia as coisas mais
rapidamente.
Entendi sobre o ipv6.
Sobre o GNU/Linux posso citar Platão "/Só sei que nada sei/.". Todo
dia é uma novidade e quanto mais aprendo mais fico perplexo com minha
ignorância.
Max e Eliel vou experimentar seus conselhos. Com a vpn não
dependeria da máquina atualizar o no-ip para depois as regras do
firewall dar certo. Graças ao bom Deus meu cliente tem ip fixo na matriz
oque facilita bastante as coisas.
Obrigado a todos.
Em 11-05-2010 02:14, Andre Ramoni escreveu:
Alexandre,
O endereco mac existe para a resolucao de arp, ou seja, "em que porta so switch esta
este IP ?". Resumindo, mesmo meio físico.
Apesar de existir mac sobre enlaces mpls e outros, nao creio que este seja seu
caso.
Mas quanto ao IPV6 voce se engana, apenas cairia no mesmo problema do ipv4 sim,
precisaria ser fixo (o que muito provavelmente será quando for adotado mesmo em
links nao corporativos).
A VPN parece mesmo ser a melhor solucao, mas porque voce precisa de VPN em cada
host ?
Porque nao poderia ser site-to-site ? Voce controlaria quais hosts poderiam acessar com
regras de firewall normais, mas a VPN poderia sim servir para unir as redes. E mesmo que
a VPN fosse em cada host, eles só se "enxergariam" (enxergar na rede pra mim é
ping) se voce liberasse o tráfego SMB do windos.
Custos: nas filiais nao tem roteador, access point, ou roteadores simples ? Por
mais que voce nao possa colocar um fw em cada filial, esses outros equipamentos
costumam fazer VPNs ipsec ou pptp tambem...
Sobre seu script: a parte que voce colou ja apresenta varias incoerencias.
Pra comentar uma, porque voce libera no INPUT e no FORWARD o trafego com
destino a 3389/tcp se na verdade voce redireciona para 192.168.1.3 ???
Em que how-to voce viu que precisava liberar na FORWARD e na INPUT ? Jogue fora
esse how-to e diga para o autor que o kernel atual nao é mais o 2.2 nem o
firewall é o ipchains.
No script tambem nao mostra a parte em que voce define as politicas default,
mas espero que haja em alguma parte a definicao das politicas para DROP.
On May 11, 2010, at 1:42 AM, Alexandre Pereira Bühler wrote:
André,
Boa noite,
Depois desta fui dormir. É isso que me falta além do conhecimento mais
específico.
Nem pensei que estava querendo colocar uma camada OSI 2 (ARP) e 3 OSI (IP)
na camada 4 OSI (TCP, UDP e etc).
Isto na minha mente é claro. E ainda assim posso ter falado besteira. Também
esqueci que o mac address pode ser usado no mesmo enlace mas não em enlaces
diferentes como intranet/internet
As vezes nós cometemos muita bobeira.
Se eu usa-se arping 200.xxx.xxx.xxx ficaria numa espera muito, mas muito
demorada, pro resto da vida. O pacote de broadcast enviado pelo arping não é
encaminhado pelo gateway da rede (internet) e mesmo que fosse seria descartado
no primeiro roteador. Mesmo que quisesse o broadcast e multicast não é nativo
no atm usado pelo adsl. Teria que usar de artifícios sobre o atm... Com o ipv6
acho que fica pior já não temos broadcast somente multicast e blablabla. Enfim,
foi falta de sono e conhecimento específico
Somente me resta ip fixo ou um no-ip da vida na filiais...
Neste caso podem me dar uma idéia melhor? Pois o acesso ao TS (terminal
service) deverá ficar liberado apenas ao adsl (ip) das filiais. Já pensei em
VPN, mas se ligasse cada computador numa vpn não mataria a rede local na
filial? Uma vez fiz isso e alguns Rwindows não enxergavam a rede local.
Sei que poderia colocar um firewall+vpn para fazer a vpn nas filiais. O
problema é que enfrento o fator comum na informática: reduzir custos, firewall
com vpn em cada filial nem pensar.
Tenho duas adsl: uma ip dinâmico para acesso a internet e outra adsl ip fixo
somente para TS com entrada no mesmo firewall que distribui para intranet. O
servidor TS está na intranet. A placa mãe por falta de slot não permite fazer
DMZ.
Parte do meu script está aqui em baixo (sei que falta o restante como fechar
tudo, proteção deny dos e etc).
Não é necessário me dar tudo debulhado. Somente me indiquem o que pesquisar.
# Limpa as regras
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
#### "Libera LocalHost"
iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# libera terminal service
iptables -A INPUT -i eth2 -p TCP --dport 3389 --syn -j ACCEPT
iptables -A INPUT -i eth2 -p UDP --dport 3389 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -d 192.168.1.3 -p TCP --dport 3389 -j
ACCEPT
### (preciso mudar a regra abaixo pois libera o TS para qualquer rede / ip)
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth2 --dport 3389 -j DNAT
--to-destination 192.168.1.3
iptables -A FORWARD -j LOG --log-prefix "Serviço: TS "
### cria rotas para saída da internet pelo adsl interno (ip dinâmico) tabela
200 internet no rt_tables
ip route add default dev eth1 via 192.168.2.1 table internet
ip rule add from 191.168.1.0/24 lookup internet
### Marca pacotes para saída pelo adsl interno (ip dinâmico)
iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 80 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 443 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 110 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 25 -j MARK --set-mark 1
## cria marca na tabela 200 internet e limpa cache rota
ip rule add fwmark 1 lookup internet
ip route flush cached
# nat com internet adsl ip fixo (TS) e adsl dinâmico (internet)
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
Obrigado
--
Alexandre Pereira Bühler
Técnico Eletroeletrônica - Senai - MG
Linux User: 397.546
Colunista:www.delphisophp.com
Owner:http://br.groups.yahoo.com/group/freepascal/
Liberdade é essencial. Use GNU/Linux.
Legalize os softwares de sua empresa
Simão& Bühler Ltda (Infobrindes)
Instalação, manutenção e venda de servidores GNU/Linux.
http://www.simaoebuhler.com.br
Hardware acesse, veja e tenha produtos com qualidade, garantia e nota fiscal.
http://www.simaoebuhler.com.br/loja
[email protected]
Telefone: (41) 3538-5428
Infobrindes (Simão& Bühler Ltda)
Brindes e material promocional.
http://www.infobrindes.com.br
[email protected]
Telefone: (41) 3532-5428
--
GUS-BR - Grupo de Usuários de Slackware Brasil
http://www.slackwarebrasil.org/
http://groups.google.com/group/slack-users-br
Antes de perguntar:
http://www.istf.com.br/perguntas/
Para sair da lista envie um e-mail para:
[email protected]
--
Alexandre Pereira Bühler
Técnico Eletroeletrônica - Senai - MG
Linux User: 397.546
Colunista: www.delphisophp.com
Owner: http://br.groups.yahoo.com/group/freepascal/
Liberdade é essencial. Use GNU/Linux.
Legalize os softwares de sua empresa
Simão& Bühler Ltda (Infobrindes)
Instalação, manutenção e venda de servidores GNU/Linux.
http://www.simaoebuhler.com.br
Hardware acesse, veja e tenha produtos com qualidade, garantia e nota fiscal.
http://www.simaoebuhler.com.br/loja
[email protected]
Telefone: (41) 3538-5428
Infobrindes (Simão& Bühler Ltda)
Brindes e material promocional.
http://www.infobrindes.com.br
[email protected]
Telefone: (41) 3532-5428
--
GUS-BR - Grupo de Usuários de Slackware Brasil
http://www.slackwarebrasil.org/
http://groups.google.com/group/slack-users-br
Antes de perguntar:
http://www.istf.com.br/perguntas/
Para sair da lista envie um e-mail para:
[email protected]
