On May 11, 2010, at 11:49 AM, Alexandre Pereira Bühler wrote: > > Você tem razão não preciso abrir a entrada (INPUT) no firewall e usar > também O FORWARD se já redireciono a porta (PREROUNTING) para uma máquina na > rede. Quais as outras incoerências? Desejo aprender no que erro. Aprender a > fazer é melhor que ctrl+c e ctrl+v. > Tirei o INPUT e FORWARD além do udp para 3389 do script. O FORWARD precisa manter. O PREROUTING faz apenas o nat, daí basta a regra de forward pra permitir, o input é que nao precisa.
> Quanto a vpn na época usei o openvpn e dentro da vpn as máquinas tinham > ping, apareciam no ambiente de rede. Tudo certinho. Apenas 2 máquinas com > windows tinham problema para enxergar por exemplo uma outra máquina dentro da > filial e mandar uma impressão. As outras funcionavam perfeitamente. As vezes > elas não enxergavam nem o PDC da rede e deixavam de aplicar o policy. Tivemos > de reinstalar o windows para funcionar. Agora fica a dúvida era algo do > windows ou da vpn que montei. Mais provável que seja do windows. > Instalei o Slackware para aprender a fundo as coisas e oferecer um > serviço melhor aos meus clientes. E acredite aprendi coisas novas todos os > dias. Como aprendo agora com vocês. Eu precisava tirar aquele conceito que > Slackware é somente para usuários avançados. Ele serve para qualquer um e é o > que achei mais flexível de todos em minha opinião pessoal. Talvez se tivesse > usado antes aprenderia as coisas mais rapidamente. > Entendi sobre o ipv6. > Sobre o GNU/Linux posso citar Platão "Só sei que nada sei.". Todo dia é > uma novidade e quanto mais aprendo mais fico perplexo com minha ignorância. Esta certo mesmo. Só o que nao se pode fazer é ser responsavel por algo que nao conhece. Nessas horas é melhor assumir que tem que aprender. Se nao, nego que nao sabe e le um howto no google acaba montando um ambiente tao desnecessariamente complexo que quando da pau, nem um senior consegue endireitar tudo de forma agil... aí da-lhe novo projeto, custos etc. E eu to CANSADO de ver isso hehe... nego só chama quando a merda ja ta feita.... até dar um problema serio, o gerente acha que o newbie ta fazendo tudo certo. O pior cara, é que eu nao conheco um bom how-to de iptables, nem livro. Em tudo que ja li sobre iptables tinha besteira.... > Max e Eliel vou experimentar seus conselhos. Com a vpn não dependeria da > máquina atualizar o no-ip para depois as regras do firewall dar certo. Graças > ao bom Deus meu cliente tem ip fixo na matriz oque facilita bastante as > coisas. > Obrigado a todos. > > > > > > Em 11-05-2010 02:14, Andre Ramoni escreveu: >> >> Alexandre, >> >> O endereco mac existe para a resolucao de arp, ou seja, "em que porta so >> switch esta este IP ?". Resumindo, mesmo meio físico. >> Apesar de existir mac sobre enlaces mpls e outros, nao creio que este seja >> seu caso. >> >> Mas quanto ao IPV6 voce se engana, apenas cairia no mesmo problema do ipv4 >> sim, precisaria ser fixo (o que muito provavelmente será quando for adotado >> mesmo em links nao corporativos). >> >> A VPN parece mesmo ser a melhor solucao, mas porque voce precisa de VPN em >> cada host ? >> Porque nao poderia ser site-to-site ? Voce controlaria quais hosts poderiam >> acessar com regras de firewall normais, mas a VPN poderia sim servir para >> unir as redes. E mesmo que a VPN fosse em cada host, eles só se >> "enxergariam" (enxergar na rede pra mim é ping) se voce liberasse o tráfego >> SMB do windos. >> >> Custos: nas filiais nao tem roteador, access point, ou roteadores simples ? >> Por mais que voce nao possa colocar um fw em cada filial, esses outros >> equipamentos costumam fazer VPNs ipsec ou pptp tambem... >> >> >> Sobre seu script: a parte que voce colou ja apresenta varias incoerencias. >> Pra comentar uma, porque voce libera no INPUT e no FORWARD o trafego com >> destino a 3389/tcp se na verdade voce redireciona para 192.168.1.3 ??? >> Em que how-to voce viu que precisava liberar na FORWARD e na INPUT ? Jogue >> fora esse how-to e diga para o autor que o kernel atual nao é mais o 2.2 nem >> o firewall é o ipchains. >> No script tambem nao mostra a parte em que voce define as politicas default, >> mas espero que haja em alguma parte a definicao das politicas para DROP. >> >> >> >> On May 11, 2010, at 1:42 AM, Alexandre Pereira Bühler wrote: >> >> >>> André, >>> Boa noite, >>> Depois desta fui dormir. É isso que me falta além do conhecimento mais >>> específico. >>> Nem pensei que estava querendo colocar uma camada OSI 2 (ARP) e 3 OSI >>> (IP) na camada 4 OSI (TCP, UDP e etc). >>> Isto na minha mente é claro. E ainda assim posso ter falado besteira. >>> Também esqueci que o mac address pode ser usado no mesmo enlace mas não em >>> enlaces diferentes como intranet/internet >>> As vezes nós cometemos muita bobeira. >>> Se eu usa-se arping 200.xxx.xxx.xxx ficaria numa espera muito, mas muito >>> demorada, pro resto da vida. O pacote de broadcast enviado pelo arping não >>> é encaminhado pelo gateway da rede (internet) e mesmo que fosse seria >>> descartado no primeiro roteador. Mesmo que quisesse o broadcast e multicast >>> não é nativo no atm usado pelo adsl. Teria que usar de artifícios sobre o >>> atm... Com o ipv6 acho que fica pior já não temos broadcast somente >>> multicast e blablabla. Enfim, foi falta de sono e conhecimento específico >>> Somente me resta ip fixo ou um no-ip da vida na filiais... >>> Neste caso podem me dar uma idéia melhor? Pois o acesso ao TS (terminal >>> service) deverá ficar liberado apenas ao adsl (ip) das filiais. Já pensei >>> em VPN, mas se ligasse cada computador numa vpn não mataria a rede local na >>> filial? Uma vez fiz isso e alguns Rwindows não enxergavam a rede local. >>> Sei que poderia colocar um firewall+vpn para fazer a vpn nas filiais. O >>> problema é que enfrento o fator comum na informática: reduzir custos, >>> firewall com vpn em cada filial nem pensar. >>> >>> Tenho duas adsl: uma ip dinâmico para acesso a internet e outra adsl ip >>> fixo somente para TS com entrada no mesmo firewall que distribui para >>> intranet. O servidor TS está na intranet. A placa mãe por falta de slot não >>> permite fazer DMZ. >>> Parte do meu script está aqui em baixo (sei que falta o restante como >>> fechar tudo, proteção deny dos e etc). >>> Não é necessário me dar tudo debulhado. Somente me indiquem o que pesquisar. >>> >>> # Limpa as regras >>> iptables -F >>> iptables -X >>> iptables -Z >>> iptables -t nat -F >>> >>> #### "Libera LocalHost" >>> iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT >>> iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT >>> >>> # libera terminal service >>> iptables -A INPUT -i eth2 -p TCP --dport 3389 --syn -j ACCEPT >>> iptables -A INPUT -i eth2 -p UDP --dport 3389 -j ACCEPT >>> iptables -A FORWARD -i eth2 -o eth0 -d 192.168.1.3 -p TCP --dport 3389 -j >>> ACCEPT >>> >>> ### (preciso mudar a regra abaixo pois libera o TS para qualquer rede / ip) >>> >>> iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth2 --dport 3389 -j >>> DNAT --to-destination 192.168.1.3 >>> iptables -A FORWARD -j LOG --log-prefix "Serviço: TS " >>> >>> ### cria rotas para saída da internet pelo adsl interno (ip dinâmico) >>> tabela 200 internet no rt_tables >>> ip route add default dev eth1 via 192.168.2.1 table internet >>> ip rule add from 191.168.1.0/24 lookup internet >>> >>> ### Marca pacotes para saída pelo adsl interno (ip dinâmico) >>> iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 80 -j MARK >>> --set-mark 1 >>> iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 443 -j MARK >>> --set-mark 1 >>> iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 110 -j MARK >>> --set-mark 1 >>> iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 25 -j MARK >>> --set-mark 1 >>> >>> ## cria marca na tabela 200 internet e limpa cache rota >>> ip rule add fwmark 1 lookup internet >>> ip route flush cached >>> >>> # nat com internet adsl ip fixo (TS) e adsl dinâmico (internet) >>> iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE >>> iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE >>> >>> Obrigado >>> >>> -- >>> Alexandre Pereira Bühler >>> Técnico Eletroeletrônica - Senai - MG >>> Linux User: 397.546 >>> Colunista:www.delphisophp.com >>> Owner:http://br.groups.yahoo.com/group/freepascal/ >>> Liberdade é essencial. Use GNU/Linux. >>> Legalize os softwares de sua empresa >>> >>> Simão& Bühler Ltda (Infobrindes) >>> Instalação, manutenção e venda de servidores GNU/Linux. >>> http://www.simaoebuhler.com.br >>> Hardware acesse, veja e tenha produtos com qualidade, garantia e nota >>> fiscal. >>> http://www.simaoebuhler.com.br/loja >>> [email protected] >>> Telefone: (41) 3538-5428 >>> >>> Infobrindes (Simão& Bühler Ltda) >>> Brindes e material promocional. >>> http://www.infobrindes.com.br >>> [email protected] >>> Telefone: (41) 3532-5428 >>> >>> -- >>> GUS-BR - Grupo de Usuários de Slackware Brasil >>> http://www.slackwarebrasil.org/ >>> http://groups.google.com/group/slack-users-br >>> >>> Antes de perguntar: >>> http://www.istf.com.br/perguntas/ >>> >>> Para sair da lista envie um e-mail para: >>> [email protected] >>> >> > > > -- > Alexandre Pereira Bühler > Técnico Eletroeletrônica - Senai - MG > Linux User: 397.546 > Colunista: www.delphisophp.com > Owner: http://br.groups.yahoo.com/group/freepascal/ > Liberdade é essencial. Use GNU/Linux. > Legalize os softwares de sua empresa > > Simão& Bühler Ltda (Infobrindes) > Instalação, manutenção e venda de servidores GNU/Linux. > http://www.simaoebuhler.com.br > Hardware acesse, veja e tenha produtos com qualidade, garantia e nota fiscal. > http://www.simaoebuhler.com.br/loja > [email protected] > Telefone: (41) 3538-5428 > > Infobrindes (Simão& Bühler Ltda) > Brindes e material promocional. > http://www.infobrindes.com.br > [email protected] > Telefone: (41) 3532-5428 > > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.org/ > http://groups.google.com/group/slack-users-br > > Antes de perguntar: > http://www.istf.com.br/perguntas/ > > Para sair da lista envie um e-mail para: > [email protected] -- GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected]
