Falou rapaz!!!!
Estamos aí! ;) Em 10/04/07, andnovelli<[EMAIL PROTECTED]> escreveu:
Denis!! è isso ai mesmo amigo!! Brigadão cara, funcionou de cara, eu tava suspeitando de que seria uma rota, mas nao fazia a minima de como por pra rolar! Agora vou fazer um script organizado e comentado pra subir o firewall com a dmz, e compilar as dicas que voce e os amigos aqui da lista me passaram, assim posto aqui e vou postar tb no Vivaolinux. Brigadaooo!! On Monday 09 April 2007 17:42, Denis wrote: > nas máquinas que estão na DMZ: > > route add -net 0/0 gw ip_firewall_dmz. > > > Deve resolver. > > Abraço! > > Em 09/04/07, andnovelli<[EMAIL PROTECTED]> escreveu: > > Denis E amigos! > > > > Estou aqui para comentar sobre os progressos da minha curzada épica pra > > fazer funcionar uma DMZ decente!!!!! rsrsrs. > > > > Bom, > > > > Tenho iptables rodando, politica padrão é drop. > > > > adicionei as regras do iptables pra liberar o acesso da lan pra dmz e > > vice versa, adicionei as rotas necessarias, entao da maquina que ta na > > dmz eu pingo qualquer maquina da lan, e de qualquer maquina da lan eu > > pingo a maquina que ta na dmz. > > > > Até ai ta tudo beleza (graças às boas dicas do Denis e dos amigos aqui da > > lista). > > > > > > Acontece que a maquina da dmz precisa acessar a Internet tumein! > > A internet é uma placa de rede com ip dinamico (posso ver se dá pra > > fixar) eu habilitei o compartilhamento da net com o iptables conforme o > > script abaixo: > > > > echo "Subindo modulos" > > /sbin/modprobe ip_conntrack > > /sbin/modprobe ipt_MASQUERADE > > /sbin/modprobe ipt_LOG > > /sbin/modprobe iptable_nat > > /sbin/modprobe ipt_REDIRECT > > #habilitando Ip forward > > echo 1 > /proc/sys/net/ipv4/ip_forward > > echo "[OK]" > > > > > > echo "Inicializando as tabelas" > > $IPT -F > > $IPT -Z > > $IPT -t nat -F > > $IPT -P INPUT DROP > > $IPT -t filter -P FORWARD DROP > > $IPT -P OUTPUT ACCEPT > > echo "[ok]" > > > > ################################ > > ## COMPARTILHAMENTO DE CONEXAO # > > ################################ > > echo "Habilitando o compartilhamento da conexao de internet" > > $IPT -t nat -A POSTROUTING -o $NET_IFACE -j MASQUERADE > > echo "[OK]" > > > > ############################### > > ## Configurando interface DMZ # > > ############################### > > echo "Subindo interface DMZ" > > ifconfig $DMZ_IFACE $DMZ_IP_ADDR netmask 255.255.255.0 broadcast > > 10.100.100.255 > > route add -net $DMZ_NET netmask 255.255.255.0 dev $DMZ_IFACE > > > > #liberando trafego entre DMZ e LAN > > $IPT -I FORWARD -s 10.100.100.0/255.255.255.0 -i eth2 -d > > 10.0.4.0/255.255.255.0 -o eth1 -j ACCEPT > > $IPT -I FORWARD -s 10.0.4.0/255.255.255.0 -i eth1 -d > > 10.100.100.0/255.255.255.0 -o eth2 -j ACCEPT > > > > echo "[OK]" > > > > > > > > > > > > Acontece que mesmo se eu alterar a politica padrao pra ACCEPT eu nao > > consigo dar um ping pra nenhum site na internet, por exemplo o uol, pois > > tenho como retorno a mensagem dizendo que a rede é inacessivel network is > > unreachable > > > > ja tentei colocar as mesmas regras de liberação que estao para a DMZ > > (alterando os parametros de rede e interfaces, claro) mas nao tive > > sucesso! > > > > Alguma luz amigos? > > > > On Tuesday 03 April 2007 10:07, Denis wrote: > > > Se as políticas estão com odrop vc vai precisar de: > > > > > > iptables -I FORWARD -s 10.0.100.0/sua_mascara -i eth2 -d > > > 10.0.4.0/sua_mascara -o eth1 -j ACCEPT > > > > > > e > > > > > > iptables -I FORWARD -s 10.0.4.0/sua_mascara -i eth1 -d > > > 10.0.100.0/sua_mascara -o eth2 -j ACCEPT > > > > > > > > > Denis > > > > > > Em 03/04/07, andnovelli<[EMAIL PROTECTED]> escreveu: > > > > Opá denis! > > > > > > > > O iptables esta com as regras de firewall que existiam antes, vou dar > > > > um flush e colocar accept em tudo, e testar se pinga normal. > > > > > > > > On Tuesday 03 April 2007 09:54, you wrote: > > > > > Das máquinas da DMZ vc consegue pingar nas outras interfaces do > > > > > firewall? > > > > > > > > > > E na net? > > > > > > > > > > Seu iptables está sem nenhuma regra, e as politicas estão como > > > > > accept? > > > > > > > > > > iptables -L -n > > > > > > > > > > Para a máquina rotear, não é necessário colocar nenhuma regra no > > > > > iptables. > > > > > > > > > > > > > > > > > > > > Denis > > > > > > > > > > Em 03/04/07, andnovelli<[EMAIL PROTECTED]> escreveu: > > > > > > Opa denis! > > > > > > > > > > > > Esta sim, o acesso a net ja etsa sendo feito, eu ainda nao > > > > > > coloquei nehuma regra no iptables, to tentando fazer so um ping, > > > > > > sera que precisa meter algo no iptables? > > > > > > > > > > > > Valew a força! > > > > > > > > > > > > On Tuesday 03 April 2007 09:40, you wrote: > > > > > > > o ip forward está habilitado? > > > > > > > > > > > > > > echo 1 > /proc/sys/net/ipv4/ip_forward > > > > > > > > > > > > > > ? > > > > > > > > > > > > > > Em 03/04/07, andnovelli<[EMAIL PROTECTED]> escreveu: > > > > > > > > Opá! > > > > > > > > > > > > > > > > Sim esta! a maquina 10.0.100.90 tem gateway para 10.0.100.3 > > > > > > > > > > > > > > > > On Tuesday 03 April 2007 09:25, Denis wrote: > > > > > > > > > Suas máquinas da rede 10.0.100.0 têm que ter como gateway o > > > > > > > > > ip 10.9.100.3 > > > > > > > > > > > > > > > > > > > > > > > > > > > Isso tá Ok? > > > > > > > > > > > > > > > > > > > > > > > > > > > abraço. > > > > > > > > > > > > > > > > > > Em 03/04/07, andnovelli<[EMAIL PROTECTED]> escreveu: > > > > > > > > > > Pessoal, > > > > > > > > > > dando prosseguimento ao pepino que estou tentando > > > > > > > > > > resolver, parti pra solução que achei mais segura, que é > > > > > > > > > > montar uma DMZ ( 3° placa de rede no firewall ). > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > Espetei a dita placa de rede, configurei o IP da mesma, > > > > > > > > > > ficando assim: > > > > > > > > > > > > > > > > > > > > NET - 200.x.x.88 - ETH0 > > > > > > > > > > LAN - 10.0.4.3 - ETH1 > > > > > > > > > > DMZ - 10.0.100.3 - ETH2 > > > > > > > > > > > > > > > > > > > > O IP 10.0.4.3 é o gateway padrao da minha rede, todas as > > > > > > > > > > estações tem ele configurado. > > > > > > > > > > > > > > > > > > > > quando eu pingo o 10.0.100.3 de uma estação, vai tudo ok, > > > > > > > > > > mas quando eu pingo o ip de uma maquina, por exemplo > > > > > > > > > > 10.0.100.90 da mesma estação, o mesmo nao pinga! > > > > > > > > > > > > > > > > > > > > o que poderia ser ?? > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > -- > > > > > > > > > > Andre Novelli > > > > > > > > > > Depto de TI > > > > > > > > > > +55 11 5534.0017 > > > > > > > > > > [EMAIL PROTECTED] > > > > > > > > > > www.embalatec.com.br > > > > > > > > > > > > > > > > -- > > > > > > > > Andre Novelli > > > > > > > > Depto de TI > > > > > > > > +55 11 5534.0017 > > > > > > > > [EMAIL PROTECTED] > > > > > > > > www.embalatec.com.br > > > > > > > > > > > > -- > > > > > > Andre Novelli > > > > > > Depto de TI > > > > > > +55 11 5534.0017 > > > > > > [EMAIL PROTECTED] > > > > > > www.embalatec.com.br > > > > > > > > -- > > > > Andre Novelli > > > > Depto de TI > > > > +55 11 5534.0017 > > > > [EMAIL PROTECTED] > > > > www.embalatec.com.br > > > > -- > > Andre Novelli > > Depto de TI > > +55 11 5534.0017 > > [EMAIL PROTECTED] > > www.embalatec.com.br -- Andre Novelli Depto de TI +55 11 5534.0017 [EMAIL PROTECTED] www.embalatec.com.br