Denis E amigos! Estou aqui para comentar sobre os progressos da minha curzada épica pra fazer funcionar uma DMZ decente!!!!! rsrsrs.
Bom, Tenho iptables rodando, politica padrão é drop. adicionei as regras do iptables pra liberar o acesso da lan pra dmz e vice versa, adicionei as rotas necessarias, entao da maquina que ta na dmz eu pingo qualquer maquina da lan, e de qualquer maquina da lan eu pingo a maquina que ta na dmz. Até ai ta tudo beleza (graças às boas dicas do Denis e dos amigos aqui da lista). Acontece que a maquina da dmz precisa acessar a Internet tumein! A internet é uma placa de rede com ip dinamico (posso ver se dá pra fixar) eu habilitei o compartilhamento da net com o iptables conforme o script abaixo: echo "Subindo modulos" /sbin/modprobe ip_conntrack /sbin/modprobe ipt_MASQUERADE /sbin/modprobe ipt_LOG /sbin/modprobe iptable_nat /sbin/modprobe ipt_REDIRECT #habilitando Ip forward echo 1 > /proc/sys/net/ipv4/ip_forward echo "[OK]" echo "Inicializando as tabelas" $IPT -F $IPT -Z $IPT -t nat -F $IPT -P INPUT DROP $IPT -t filter -P FORWARD DROP $IPT -P OUTPUT ACCEPT echo "[ok]" ################################ ## COMPARTILHAMENTO DE CONEXAO # ################################ echo "Habilitando o compartilhamento da conexao de internet" $IPT -t nat -A POSTROUTING -o $NET_IFACE -j MASQUERADE echo "[OK]" ############################### ## Configurando interface DMZ # ############################### echo "Subindo interface DMZ" ifconfig $DMZ_IFACE $DMZ_IP_ADDR netmask 255.255.255.0 broadcast 10.100.100.255 route add -net $DMZ_NET netmask 255.255.255.0 dev $DMZ_IFACE #liberando trafego entre DMZ e LAN $IPT -I FORWARD -s 10.100.100.0/255.255.255.0 -i eth2 -d 10.0.4.0/255.255.255.0 -o eth1 -j ACCEPT $IPT -I FORWARD -s 10.0.4.0/255.255.255.0 -i eth1 -d 10.100.100.0/255.255.255.0 -o eth2 -j ACCEPT echo "[OK]" Acontece que mesmo se eu alterar a politica padrao pra ACCEPT eu nao consigo dar um ping pra nenhum site na internet, por exemplo o uol, pois tenho como retorno a mensagem dizendo que a rede é inacessivel network is unreachable ja tentei colocar as mesmas regras de liberação que estao para a DMZ (alterando os parametros de rede e interfaces, claro) mas nao tive sucesso! Alguma luz amigos? On Tuesday 03 April 2007 10:07, Denis wrote: > Se as políticas estão com odrop vc vai precisar de: > > iptables -I FORWARD -s 10.0.100.0/sua_mascara -i eth2 -d > 10.0.4.0/sua_mascara -o eth1 -j ACCEPT > > e > > iptables -I FORWARD -s 10.0.4.0/sua_mascara -i eth1 -d > 10.0.100.0/sua_mascara -o eth2 -j ACCEPT > > > Denis > > Em 03/04/07, andnovelli<[EMAIL PROTECTED]> escreveu: > > Opá denis! > > > > O iptables esta com as regras de firewall que existiam antes, vou dar um > > flush e colocar accept em tudo, e testar se pinga normal. > > > > On Tuesday 03 April 2007 09:54, you wrote: > > > Das máquinas da DMZ vc consegue pingar nas outras interfaces do > > > firewall? > > > > > > E na net? > > > > > > Seu iptables está sem nenhuma regra, e as politicas estão como accept? > > > > > > iptables -L -n > > > > > > Para a máquina rotear, não é necessário colocar nenhuma regra no > > > iptables. > > > > > > > > > > > > Denis > > > > > > Em 03/04/07, andnovelli<[EMAIL PROTECTED]> escreveu: > > > > Opa denis! > > > > > > > > Esta sim, o acesso a net ja etsa sendo feito, eu ainda nao coloquei > > > > nehuma regra no iptables, to tentando fazer so um ping, sera que > > > > precisa meter algo no iptables? > > > > > > > > Valew a força! > > > > > > > > On Tuesday 03 April 2007 09:40, you wrote: > > > > > o ip forward está habilitado? > > > > > > > > > > echo 1 > /proc/sys/net/ipv4/ip_forward > > > > > > > > > > ? > > > > > > > > > > Em 03/04/07, andnovelli<[EMAIL PROTECTED]> escreveu: > > > > > > Opá! > > > > > > > > > > > > Sim esta! a maquina 10.0.100.90 tem gateway para 10.0.100.3 > > > > > > > > > > > > On Tuesday 03 April 2007 09:25, Denis wrote: > > > > > > > Suas máquinas da rede 10.0.100.0 têm que ter como gateway o ip > > > > > > > 10.9.100.3 > > > > > > > > > > > > > > > > > > > > > Isso tá Ok? > > > > > > > > > > > > > > > > > > > > > abraço. > > > > > > > > > > > > > > Em 03/04/07, andnovelli<[EMAIL PROTECTED]> escreveu: > > > > > > > > Pessoal, > > > > > > > > dando prosseguimento ao pepino que estou tentando resolver, > > > > > > > > parti pra solução que achei mais segura, que é montar uma DMZ > > > > > > > > ( 3° placa de rede no firewall ). > > > > > > > > > > > > > > > > > > > > > > > > Espetei a dita placa de rede, configurei o IP da mesma, > > > > > > > > ficando assim: > > > > > > > > > > > > > > > > NET - 200.x.x.88 - ETH0 > > > > > > > > LAN - 10.0.4.3 - ETH1 > > > > > > > > DMZ - 10.0.100.3 - ETH2 > > > > > > > > > > > > > > > > O IP 10.0.4.3 é o gateway padrao da minha rede, todas as > > > > > > > > estações tem ele configurado. > > > > > > > > > > > > > > > > quando eu pingo o 10.0.100.3 de uma estação, vai tudo ok, mas > > > > > > > > quando eu pingo o ip de uma maquina, por exemplo 10.0.100.90 > > > > > > > > da mesma estação, o mesmo nao pinga! > > > > > > > > > > > > > > > > o que poderia ser ?? > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > -- > > > > > > > > Andre Novelli > > > > > > > > Depto de TI > > > > > > > > +55 11 5534.0017 > > > > > > > > [EMAIL PROTECTED] > > > > > > > > www.embalatec.com.br > > > > > > > > > > > > -- > > > > > > Andre Novelli > > > > > > Depto de TI > > > > > > +55 11 5534.0017 > > > > > > [EMAIL PROTECTED] > > > > > > www.embalatec.com.br > > > > > > > > -- > > > > Andre Novelli > > > > Depto de TI > > > > +55 11 5534.0017 > > > > [EMAIL PROTECTED] > > > > www.embalatec.com.br > > > > -- > > Andre Novelli > > Depto de TI > > +55 11 5534.0017 > > [EMAIL PROTECTED] > > www.embalatec.com.br -- Andre Novelli Depto de TI +55 11 5534.0017 [EMAIL PROTECTED] www.embalatec.com.br