Moksha Quando eu li seu e-mail pensei exatamente o que Paulo Ricardo respondeu.
Colocando da forma que você colocou no interfaces, está funcionando? Verifica com o comando route -n Em 7 de junho de 2012 12:47, Moksha Tux <gova...@gmail.com> escreveu: > Prezado Paulo Ricardo! > > Muito obrigado pela sua resposta, esse comando eu coloquei realmente > abaixo da interface onde gostaria adicionar esta rota mas pelo que vi no > seu e-mail o comando não era adequado, o estranho é que esse comando que > usei *( route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 )* eu > pesquisei na internet e dos diversos exemplos que olhei, este mesmo comando > se encontrava no arquivo interfaces e abaixo da interface desejada. Mas de > qualquer forma muito obrigado pela sua valorosa ajuda. Abraços, > > Moksha > > Em 7 de junho de 2012 10:54, Paulo Ricardo Bruck < > paulo...@contatogs.com.br> escreveu: > > Bom dia >> >> ----- Mensagem original ----- >> > De: "Moksha Tux" <gova...@gmail.com> >> > Para: "Eden Caldas" <edencal...@gmail.com> >> > Cc: "Forum Debian" <debian-user-portuguese@lists.debian.org> >> > Enviadas: Quarta-feira, 6 de Junho de 2012 22:49:50 >> > Assunto: Re: Outras dúividas sobre iptables e roteamento >> > Grande Eden! >> > >> > E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma >> > nova rota. >> > >> > Então a linha que adicionei no arquivo "interfaces" que aparece abaixo >> > parece não estar adiantando e isso retirando o gateway da rede 10.203 >> > veja: >> > >> > route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 . >> >> ok eu não segui todo o histórico m as se vc quer adicionar rotas >> estaticas no arquivo /etc/network/interfaces ao menos saiba como fazer da >> forma correta... man interfaces na parte IFACE OPTIONS >> >> >> ok se vc não sabia ou não leu o man, a maneira correta é colocar debaixo >> da interface que vc deseja: >> >> up route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 >> || true >> >> mas dê preferencia para o modelo de rotas do man iproute >> >> up iproute add 10.0.0.0/24 via 10.203.0.1 dev eth1 || >> true >> >> ats >> >> >> >> >> >> > >> > Note que estou adicionando o acesso a toda rede 10 mas mesmo assim as >> > outras VLANs não estão tendo acesso ao firewall mas somente a rede >> > 10.203. Será que eu devo incluir rota estática para cada vlan? A saber >> > 10.10, 10.100, 10.200, etc... ? >> > >> > Moksha >> > >> > >> > Em 6 de junho de 2012 14:15, Eden Caldas < edencal...@gmail.com > >> > escreveu: >> > >> > >> > >> > "Mas se então se eu não puder declarar o gateway da rede 10.203 como >> > esta interface se comunicará com as redes das VLANs? " >> > >> > Ele não precisa de gateway pois já está com IP configurado nessa >> > própria rede e conectado diretamente nela. >> > >> > E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma >> > nova rota. O gateway padrão nada mais é do que uma rota que será usada >> > quando nenhuma das outras rotas der jeito. >> > >> > >> > Em 6 de junho de 2012 10:18, Moksha Tux < gova...@gmail.com > >> > escreveu: >> > >> > >> > >> > >> > Meu querido Eden! >> > >> > Quanto tempo... rsrsrs estou amadurecendo cada vez mais no conceito de >> > iptables e chegou a hora de fazer o meu humilde script funcionar mas >> > estou deparando com uma outra barreira... o roteamento dos pacotes das >> > VLANs. eu possuo em minha rede um switch router com 13 VLANs >> > leventadas neles e uma das VLANs é uma rede que tem somente uma >> > interface do roteador plugada nela, a VLAN 10.203. Possuo alguns IPs >> > válidos aqui para trabalhar com serviços da internet e tudo que estou >> > fazendo aqui é baseado nas configurações dos antigos roteadores que >> > estão em produção (PF com OpenBSD). Não estou sabendo como bolar as >> > rotas das redes das VLANs para que saiam para a internet, abaixo segue >> > meu arquivo "interfaces" do Debian onde configuro toda a rede. >> > >> > >> > allow-hotplug eth0 >> > iface eth0 inet static >> > address 200.20.116.50 >> > netmask 255.255.255.192 >> > network 200.20.116.0 >> > broadcast 200.20.116.63 >> > gateway 200.20.116.1 >> > >> > iface eth0:0 inet static >> > address 200.20.116.52 >> > netmask 255.255.255.192 >> > >> > iface eth0:1 inet static >> > address 200.20.116.53 >> > netmask 255.255.255.192 >> > >> > iface eth0:2 inet static >> > address 200.20.116.54 >> > netmask 255.255.255.192 >> > >> > >> > allow-hotplug eth1 >> > iface eth1 inet static >> > address 10.203.0.2 >> > netmask 255.255.0.0 >> > network 10.203.0.0 >> > broadcast 10.203.255.255 >> > gateway 10.203.0.1 >> > route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 >> > >> > allow-hotplug eth2 >> > iface eth2 inet static >> > address 172.16.0.1 >> > netmask 255.255.0.0 >> > network 172.16.0.0 >> > broadcast 172.16.255.255 >> > >> > Devo dizer que no nosso switch route, o default gateway para onde as >> > VLANS saem para a internet é a rede 10.203.0.1 por isso que declarei >> > este endereço na eth1 e não o tradicional "10.0.0.1' pois essa >> > configuração já estava assim desde o último administrador e está >> > funcionando no atual roteador, eu estou desconfiando que o erro está >> > em declarar dois gateways mas como devo fazer com as VLANs da rede 10? >> > Desde já agradeço a ajuda e caso não possa me ajudar agradeço da mesma >> > forma. Abraços, >> > >> > Moksha >> > >> > >> > >> > >> > >> > Em 5 de junho de 2012 22:51, Eden Caldas < edencal...@gmail.com > >> > escreveu: >> > Sim você suspeitou corretamente. Não se pode ter dois gateways. >> > >> > Quando vocẽ seta um gateway no firewall, esse é o gateway DO firewall, >> > e não do resto da rapaziada. Assim o firewall tem dois gateways para a >> > internet, quando ele deveria ter um. >> > >> > Agora, o firewall deve ser o gateway das redes vlans, e para ele ser >> > isso, as redes precisam chegar nele de qualquer jeito, em qualquer ip >> > que ele tenha. >> > >> > Talvez isso já esteja acontecendo, e falta apenas fazer um SNAT / >> > MASQUERADE para essas vlans todas e(ou) habilitar o roteamento com >> > aquela linha echo 1 /proc/sys bla bla bla. >> > >> > Estou vendo que você mandou o e-mail diretamente para mim. Melhor >> > mandar pra lista para todos poderem ajudar e(ou) aprender. >> > >> > Eden Caldas >> > Consultor de TI >> > e...@linuxfacil.srv.br >> > (81) 9747 4444 >> > (81) 9653 7220 >> > LINUX FÁCIL – Consultoria e Serviços em TI >> > >> > >> > >> > ---------- Mensagem encaminhada ---------- >> > De: Moksha Tux < gova...@gmail.com > >> > Data: 6 de junho de 2012 10:07 >> > Assunto: Re: Outras dúvidas sobre Iptables! >> > Para: Eden Caldas < edencal...@gmail.com > >> > >> > >> > Muito obrigado pela resposta! >> > >> > Me perdoe por ter escrito somente pro senhor, segue agora a minha >> > resposta ao senhor para todo o forum. Eu fiz a regra no iptables que o >> > senhor menciona segue abaixo: >> > >> > >> > wan="eth0" >> > int="eth1" >> > dmz="eth2" >> > rede_int=" 10.0.0.0/8 " >> > >> > echo "1" > /proc/sys/net/ipv4/ip_forward >> > >> > e o compartilhamento de toda: >> > >> > iptables -t nat -A POSTROUTING -s $rede_int -o $wan -j SNAT >> > --to-source 200.20.116.52 >> > iptables -A FORWARD -i $int -s $rede_int -o $wan -j ACCEPT >> > >> > poxa, com certeza quando eu informo ao firewall 10.0.0.0/8 eu estou >> > informando toda a rede 10 não seria isso mesmo? Acredito que não teria >> > a obrigação de informar cada VLAN o senhor não concorda? Mas se então >> > se eu não puder declarar o gateway da rede 10.203 como esta interface >> > se comunicará com as redes das VLANs? Grande abraço, >> > >> > Moksha >> >> -- >> Paulo Ricardo Bruck >> Consultor Linux >> cel 011 9235-4327 tel 011 3596-4881/4882 >> http://www.contatogs.com.br >> skype: suportecontatogs >> >> >> -- >> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org >> with a subject of "unsubscribe". Trouble? Contact >> listmas...@lists.debian.org >> Archive: >> http://lists.debian.org/811145381.2.1339077292791.javamail.r...@mercurio.contatogs.com.br >> >> >