Paulinho, Vou tentar ser mais claro, os endereços IPs são fictícios, mas ambas as classes que utilizamos são de IPs válidos, todos roteáveis, portanto represento meus exemplos fielmente a que usamos aqui, só usei uma subnet diferente, mas a classe é a mesma.
Ambas são /24 e cada uma pertencente a um domínio diferente, devidamente cadastrado no DNS. - Rede A: 143.100.100.0/24 (domínioA.com.br) - Rede B: 200.200.200.0/24 (domínioB.org.br) O servidor utilizamos para serviços Web (Apache) e Mail (Postfix), para ambos os domínios, é como tivesse meu servidor respondendo por www.debian.org e www.unicamp.br , sendo cada domínio com seu próprio IP válido, por isso configurei as placas de rede conforme segue: - Servidor: servidor.dominioA.com.br (IP: 143.100.100.132 eth0) - Domínio virtual: mail.dominioA.com.br (IP: 143.100.100.130 eth1) - Domínio virtual: mail.dominioB.org.br (IP: 200.200.200.9 eth1:1) Para simplificar o problema, vou usar só o Putty com exemplo, acessando direto pelo IP, assim descarto que seja problema de DNS. Quando estou em uma máquina com IP "Rede A" e acesso via Putty o servidor (IP 143.100.100.132) funciona perfeitamente, mas quando acesso de uma máquina com IP "Rede B" há certa lentidão, é solicitado o username, mas até aparecer à solicitação da senha leva uns 30 segundos. Se desativo o firewall fica perfeito. Segue abaixo novamente as configurações de rede e firewall: /etc/network/interfaces: =================== auto eth0 iface eth0 inet static address 143.100.100.132 netmask 255.255.255.0 network 143.100.100.0 broadcast 143.100.100.255 gateway 143.100.100.1 dns-nameservers 200.255.255.65 200.255.255.70 dns-search dominioA.com.br auto eth1 eth1:1 iface eth1 inet static address 143.100.100.130 netmask 255.255.255.0 network 143.100.100.0 broadcast 143.100.100.255 gateway 143.100.100.1 iface eth1:1 inet static address 200.200.200.9 netmask 255.255.255.0 network 200.200.200.0 broadcast 200.200.200.255 Configuração Iptables: ================ iptables -F iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP # Loopback iptables -A INPUT -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT # Libera acesso rede local iptables -A INPUT -s 143.100.100.0/24 -j ACCEPT iptables -A INPUT -s 200.200.200.0/24 -j ACCEPT # Estabelece relacao de confianca entre estacoes da rede local ja estabelecidas #iptables -A INPUT -s 143.100.100.0/24 -m state --state NEW -j ACCEPT #iptables -A INPUT -s 200.200.200.0/24 -m state --state NEW -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # Apache: HTTP/HTTPS iptables -A INPUT -d 143.100.100.132 -p tcp -m multiport --dport 80,443 -j ACCEPT iptables -A INPUT -d 143.100.100.130 -p tcp -m multiport --dport 80 -j ACCEPT iptables -A INPUT -d 200.200.200.9 -p tcp -m multiport --dport 80 -j ACCEPT # Mail iptables -A INPUT -d 143.100.100.130 -p tcp -m multiport --dport 25 -j ACCEPT iptables -A INPUT -d 143.100.100.132 -p tcp -m multiport --dport 25 -j ACCEPT iptables -A INPUT -d 200.200.200.9 -p tcp -m multiport --dport 25 -j ACCEPT Obrigado, Rogério Naressi. -----Mensagem original----- De: Paulino Kenji Sato [mailto:pks...@gmail.com] Enviada em: quarta-feira, 1 de junho de 2011 23:07 Para: debian-user-portuguese@lists.debian.org Assunto: Re: Conexão lenta em apenas um bloco de rede 2011/5/30 Rogério Oliveira Naressi <roge...@ipef.br>: > Caros, > > Em uma LAN utilizamos dois blocos de rede e temos um servidor Linux > Debian Etch com duas placas de rede ligadas na LAN. Segue > configurações com dados > fictícios: > - Rede A: 143.100.100.0/24 > - Rede B: 200.200.200.0/24 Esses são os ips reais da sua rede interna? Não use ips roteáveis em redes internas, a não ser que tenha concessão delas. Se foi somente para não mostrar os ips da rede interna, tbm não use ips roteáveis, isso confunde a gente que pretende te ajudar. Se a rede A e 192.168.0.0/24 use 192.168.1.0/24 como exemplo. E informar qual das redes reservadas usa na sua rede nem e problema grave de segurança, um "brute force" e sempre aplicado em casos de tentativas de penetração. > - Servidor: servidor.dominioA.com.br (IP: 143.100.100.132) > - Domínio virtual: mail.dominioA.com.br (IP: 143.100.100.130) > - Domínio virtual: mail.dominioB.org.br (IP: 200.200.200.9) Muito estranho... > Quando acesso o servidor de máquinas com IP "Rede A" funciona > perfeitamente, mas quando acesso de máquinas com IP "Rede B" há uma > certa lentidão, tanto em acessos via putty (ssh) ao endereço > 143.100.100.132 com também para navegar em páginas do servidor. Demora para fechar a conexão costuma de problema da falta de dns reverso e lentidão no servidor de dns em responder. Tenha um servidor dns interno respondendo pelo reverso das redes internas, nem precisa ter os hosts, basta que responda a consulta. > > Se desativo o firewall (iptables) a conexão fica rápida, mesmo depois > que volto a ativar o firewall, a conexão continua rápida. Mas se > reinicio o servidor volta a ficar lento novamente. Lembra que somente > ao acessar por máquinas da "Rede B". Isso comente mais em baixo. > Acho que o problema é a configuração do Iptables, alguma sugestão? > > Configurações rede e firewall: > > /etc/network/interfaces: > =================== > auto lo > iface lo inet loopback > > auto eth0 > iface eth0 inet static > address 143.100.100.132 > > auto eth1 eth1:1 > iface eth1 inet static > address 143.100.100.130 Heim? Mais coisa estranha... eth0 e eth1 possuem IPs da mesma rede? Estão no mesmo switch? Sabe que isso não funciona? (exceto em condições especiais, que não e o caso) > iface eth1:1 inet static > address 200.200.200.9 Se recomenda não usar ethertnet alias, isso esta obsoleto desde o kernel Linux 2.4. E já estamos no kernel Linux 3.0 (espero que tenham removido em definitivo). Desde então a interface suporta múltiplos IPs, tanto ipv4 como ipv6. Bom, mas a culpa principal e do ifconfig, que não sabe adicionar ips a interface. ip addr add 192.168.1.1/24 dev eth1 ip addr add 10.0.0.1/8 dev eth1 ip addr add 172.16.0.0/16 eth1 > > Configuração Iptables: > ================ > iptables -F > iptables -P FORWARD DROP A maquina em questão e um roteador (gateway)? > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT Se sim, não vi a regra que permite o estabelecimento da conexão a ser tratada por essa regra. > > # Apache: HTTP/HTTPS > iptables -A INPUT -d 143.100.100.132 -p tcp -m multiport --dport > 80,443 -j ACCEPT iptables -A INPUT -d 143.100.100.130 -p tcp -m > multiport --dport 80 -j > ACCEPT iptables -A INPUT -d 200.200.200.9 -p > tcp -m multiport --dport 80 -j ACCEPT > > # Mail > iptables -A INPUT -d 143.100.100.130 -p tcp -m multiport --dport 25 -j > ACCEPT iptables -A INPUT -d 143.100.100.132 -p tcp -m multiport > --dport 25 -j ACCEPT iptables -A INPUT -d 200.200.200.9 -p tcp -m > multiport --dport 25 -j ACCEPT Se já carregou o modulo multiport, porque não fez o uso dele? DICA: Estude o protocolo IPV4, ou seja leia a RFC 791. A falta desse conhecimento e uma das grandes fontes de consulta em listas e forums. > Obrigado, de Nada. -- Paulino Kenji Sato -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/banlktim5gprttdz6xquzpy4hnd08x57...@mail.gmail.com -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/000301cc211a$388ef120$a9acd360$@ipef.br