Em Dom, 2008-06-15 às 20:03 -0700, Julio escreveu: > Olá pessoal. Sou novato aqui no grupo...
olá veja abaixo: > Estou montando um gateway com debian etch, porém estou tendo > problemas. > Tenho 2 ADSLs da Brasil Telecom. Uma com IP Fixo e outra com IP > dinâmico (ambas tendo o gateway 201.24.160.254) > Quero compartilhar as 2...estou usando squid. Estou usando o iproute. > Mas o problemas mais difícil está com o MSN. Os clientes não conseguem > se conectar...erro 8000306. > Alguém sabe o que acontece? > Um resumo dos meus scripts... > > > Meu firewall... > #!/bin/bash > IF_PPP0=ppp0 > IF_PPP1=ppp1 > > IF_ETH0=eth0 > IF_ETH1=eth1 > IF_ETH2=eth2 > IF_ETH3=eth3 > IF_ETH4=eth4 > > GW_PPP0=201.24.160.254 > GW_PPP1=201.24.160.254 > > echo -n "Ativando o redirecionamento no kernel > -------------------------------------------" > echo 1 > /proc/sys/net/ipv4/ip_forward > echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts > echo "OK!" > > #Ativa acessos que podem ir de uma interface mas que voltam por outra > echo 0 > /proc/sys/net/ipv4/conf/ppp0/rp_filter > echo 0 > /proc/sys/net/ipv4/conf/ppp1/rp_filter > > echo -n "Registrando e dropando novas conexões de fora > ----------------------------------" > iptables -A INPUT -i ppp+ -m state --state ! ESTABLISHED,RELATED -j > DROP > echo "OK!" > > #Habilitando proxy transparente com squid > echo -n "Ativando proxy transparente com squid > ----------------------------------------" > iptables -t nat -A PREROUTING -i eth+ -p tcp --dport 80 -j REDIRECT -- > to-port 3128 > echo "OK!" > > #Liberando acesso das conexões de entrada já estabelecidas > echo -n "Liberando acesso à s conexões já estabelecidas > ---------------------------------" > iptables -A INPUT -i ppp+ -m state --state RELATED,ESTABLISHED -j > ACCEPT > echo "OK!" > > echo -n "Bloqueando pacotes fragmentados > -----------------------------------------------" > iptables -A INPUT -i ppp0 -f -j LOG --log-prefix "Pacote fragmentado: > " > iptables -A INPUT -i ppp0 -f -j DROP > iptables -A INPUT -i ppp1 -f -j LOG --log-prefix "Pacote Fragmentado: > " > iptables -A INPUT -i ppp1 -f -j DROP > echo "OK!" > > #Bloqueando ataques do tipo SPOOF de IP > echo -n "Bloqueando IP spoofing > ---------------------------------------------------------" > iptables -A INPUT -i ppp+ -s 10.0.0.0/8 -j DROP > iptables -A INPUT -i ppp+ -s 172.16.0.0/12 -j DROP > iptables -A INPUT -i ppp+ -s 192.168.0.0/16 -j DROP > iptables -A INPUT -i ppp+ -s 224.0.0.0/4 -j DROP > iptables -A INPUT -i ppp+ -s 240.0.0.0/5 -j DROP > echo "OK!" > > echo -n "Mantendo conexões ativas > -----------------------------------------------------" > iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT > echo "OK!" > > #Fazendo mascaramento (compartilhamento da conexão) > echo -n "Compartilhando conexões ADSL > -----------------------------------------------" > iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE > iptables -t nat -A POSTROUTING -o ppp1 -j SNAT --to- > source=189.72.198.12 > echo "OK!" > > # Desabilitando o filtro de pacotes do martian source > echo -n "Desligando rp_filter > ------------------------------------------------------" > > for eee in /proc/sys/net/ipv4/conf/*/rp_filter; do > echo 0 > $eee > done > > echo "OK!" > > > > > > > Esta é parte que aplica as regras nas tabelas de roteamento...Faz > balanceamento de carga. > Sei que o MSN tem q ser autenticado usando somente uma interface, mas > não sei como restringir isso. > > #!/bin/bash > > #Variáveis > GW_PPP0=201.24.160.254 > GW_PPP1=201.24.160.254 > > IP_PPP1=189.72.x.x #IP Fixo > > IF_PPP0=ppp0 > IF_PPP1=ppp1 > > T_PPP0=200 > T_PPP1=201 > > ip route del default > > iptables -t mangle -A PREROUTING -p tcp -d 64.70.45.46 -j MARK --set- > mark 1 #Porta MSN vc tem que marcar o destino da porta MSN ( que pelo que eu lembro é 1863, mas é bom checar isto...) tambem sendo +- assim: iptables -t mangle -A PREROUTING -p tcp -dport 1863 -j MARK --set- mark 1 #Porta MSN good firewalling []s > iptables -t mangle -A OUTPUT -p tcp --dport 443 -j MARK --set-mark 1 > iptables -t mangle -A PREROUTING -p tcp --dport 1863 -j MARK --set- > mark 1 > > ip rule add fwmark 1 table $T_PPP0 prio 1 > > ip route add $GW_PPP0 dev $IF_PPP0 table $T_PPP0 > ip route add default via $GW_PPP0 dev $IF_PPP0 table $T_PPP0 > > ip route add $GW_PPP1 dev $IF_PPP1 table $T_PPP1 > ip route add default via $GW_PPP1 dev $IF_PPP1 table $T_PPP1 > > ip route add default nexthop via $GW_PPP0 dev $IF_PPP0 weight 1 > nexthop via $GW_PPP1 dev $IF_PPP1 weight 1 > > > meu arquivo /etc/iproute2/rt_tables > > # > # reserved values > # > # > 255 local > 254 main > 253 default > 0 unspec > # > # local > # > #1 inr.ruhep > 200 PPP0 > 201 PPP1 > > Alguém tem alguma idéia de como resolver isso? > > -- Paulo Ricardo Bruck - consultor tel 011 5031-4932 011 5034-1732 cel 011 9235-4327 Contato Global S|olutions http://www.contato.com.br -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]