Boa! Em 11 de junho de 2012 20:59, Moksha Tux <gova...@gmail.com> escreveu:
> Queridos Eden Caldas e Paulo Ricardo!!! > > Realmente os senhores estavam cobertos de razão, depois que adicionei a > rota estática, exemplificada pelo nobre Paulo Ricardo, o meu tão sonhado e > esperado script de fariwall e roteador está funcionando e bem rapidinho. Só > não estou gostando que a regra de retorno de pacote não está funcionando eu > tenho que liberar a conexão indo e vindo do firewall mas amanhã irei me > debruçar sobre isso para me aprofundar. Mil vezes obrigado a vcs pelo > carinho e atenção. Abraços, > > Moksha > > Em 8 de junho de 2012 10:57, Moksha Tux <gova...@gmail.com> escreveu: > > Ah! Sim, agora entendi. Que cabeçudo eu sou... Na segunda trago novidades >> a todos vcs. Abraços, >> >> Moksha >> >> Em 7 de junho de 2012 22:29, Eden Caldas <edencal...@gmail.com> escreveu: >> >> Do jeito que você colocou seria se fosse feito direto na linha de comando. >>> >>> >>> Em 7 de junho de 2012 21:51, Moksha Tux <gova...@gmail.com> escreveu: >>> >>> Do jeito que eu coloquei não funcionou mas na segunda irei testar da >>>> forma que o Paulo Ricardo aconselhou. >>>> >>>> Moksha >>>> >>>> Em 7 de junho de 2012 19:37, Eden Caldas <edencal...@gmail.com>escreveu: >>>> >>>> Moksha >>>>> >>>>> Quando eu li seu e-mail pensei exatamente o que Paulo Ricardo >>>>> respondeu. >>>>> >>>>> Colocando da forma que você colocou no interfaces, está funcionando? >>>>> >>>>> Verifica com o comando route -n >>>>> >>>>> >>>>> Em 7 de junho de 2012 12:47, Moksha Tux <gova...@gmail.com> escreveu: >>>>> >>>>> Prezado Paulo Ricardo! >>>>>> >>>>>> Muito obrigado pela sua resposta, esse comando eu coloquei realmente >>>>>> abaixo da interface onde gostaria adicionar esta rota mas pelo que vi no >>>>>> seu e-mail o comando não era adequado, o estranho é que esse comando que >>>>>> usei *( route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 )*eu >>>>>> pesquisei na internet e dos diversos exemplos que olhei, este mesmo >>>>>> comando se encontrava no arquivo interfaces e abaixo da interface >>>>>> desejada. >>>>>> Mas de qualquer forma muito obrigado pela sua valorosa ajuda. Abraços, >>>>>> >>>>>> Moksha >>>>>> >>>>>> Em 7 de junho de 2012 10:54, Paulo Ricardo Bruck < >>>>>> paulo...@contatogs.com.br> escreveu: >>>>>> >>>>>> Bom dia >>>>>>> >>>>>>> ----- Mensagem original ----- >>>>>>> > De: "Moksha Tux" <gova...@gmail.com> >>>>>>> > Para: "Eden Caldas" <edencal...@gmail.com> >>>>>>> > Cc: "Forum Debian" <debian-user-portuguese@lists.debian.org> >>>>>>> > Enviadas: Quarta-feira, 6 de Junho de 2012 22:49:50 >>>>>>> > Assunto: Re: Outras dúividas sobre iptables e roteamento >>>>>>> > Grande Eden! >>>>>>> > >>>>>>> > E mesmo se não tivesse, não precisaria do gateway padrão, apenas >>>>>>> uma >>>>>>> > nova rota. >>>>>>> > >>>>>>> > Então a linha que adicionei no arquivo "interfaces" que aparece >>>>>>> abaixo >>>>>>> > parece não estar adiantando e isso retirando o gateway da rede >>>>>>> 10.203 >>>>>>> > veja: >>>>>>> > >>>>>>> > route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 . >>>>>>> >>>>>>> ok eu não segui todo o histórico m as se vc quer adicionar rotas >>>>>>> estaticas no arquivo /etc/network/interfaces ao menos saiba como fazer >>>>>>> da >>>>>>> forma correta... man interfaces na parte IFACE OPTIONS >>>>>>> >>>>>>> >>>>>>> ok se vc não sabia ou não leu o man, a maneira correta é colocar >>>>>>> debaixo da interface que vc deseja: >>>>>>> >>>>>>> up route add -net 10.0.0.0 netmask 255.0.0.0 gw >>>>>>> 10.203.0.1 || true >>>>>>> >>>>>>> mas dê preferencia para o modelo de rotas do man iproute >>>>>>> >>>>>>> up iproute add 10.0.0.0/24 via 10.203.0.1 dev eth1 >>>>>>> || true >>>>>>> >>>>>>> ats >>>>>>> >>>>>>> >>>>>>> >>>>>>> >>>>>>> >>>>>>> > >>>>>>> > Note que estou adicionando o acesso a toda rede 10 mas mesmo assim >>>>>>> as >>>>>>> > outras VLANs não estão tendo acesso ao firewall mas somente a rede >>>>>>> > 10.203. Será que eu devo incluir rota estática para cada vlan? A >>>>>>> saber >>>>>>> > 10.10, 10.100, 10.200, etc... ? >>>>>>> > >>>>>>> > Moksha >>>>>>> > >>>>>>> > >>>>>>> > Em 6 de junho de 2012 14:15, Eden Caldas < edencal...@gmail.com > >>>>>>> > escreveu: >>>>>>> > >>>>>>> > >>>>>>> > >>>>>>> > "Mas se então se eu não puder declarar o gateway da rede 10.203 >>>>>>> como >>>>>>> > esta interface se comunicará com as redes das VLANs? " >>>>>>> > >>>>>>> > Ele não precisa de gateway pois já está com IP configurado nessa >>>>>>> > própria rede e conectado diretamente nela. >>>>>>> > >>>>>>> > E mesmo se não tivesse, não precisaria do gateway padrão, apenas >>>>>>> uma >>>>>>> > nova rota. O gateway padrão nada mais é do que uma rota que será >>>>>>> usada >>>>>>> > quando nenhuma das outras rotas der jeito. >>>>>>> > >>>>>>> > >>>>>>> > Em 6 de junho de 2012 10:18, Moksha Tux < gova...@gmail.com > >>>>>>> > escreveu: >>>>>>> > >>>>>>> > >>>>>>> > >>>>>>> > >>>>>>> > Meu querido Eden! >>>>>>> > >>>>>>> > Quanto tempo... rsrsrs estou amadurecendo cada vez mais no >>>>>>> conceito de >>>>>>> > iptables e chegou a hora de fazer o meu humilde script funcionar >>>>>>> mas >>>>>>> > estou deparando com uma outra barreira... o roteamento dos pacotes >>>>>>> das >>>>>>> > VLANs. eu possuo em minha rede um switch router com 13 VLANs >>>>>>> > leventadas neles e uma das VLANs é uma rede que tem somente uma >>>>>>> > interface do roteador plugada nela, a VLAN 10.203. Possuo alguns >>>>>>> IPs >>>>>>> > válidos aqui para trabalhar com serviços da internet e tudo que >>>>>>> estou >>>>>>> > fazendo aqui é baseado nas configurações dos antigos roteadores que >>>>>>> > estão em produção (PF com OpenBSD). Não estou sabendo como bolar as >>>>>>> > rotas das redes das VLANs para que saiam para a internet, abaixo >>>>>>> segue >>>>>>> > meu arquivo "interfaces" do Debian onde configuro toda a rede. >>>>>>> > >>>>>>> > >>>>>>> > allow-hotplug eth0 >>>>>>> > iface eth0 inet static >>>>>>> > address 200.20.116.50 >>>>>>> > netmask 255.255.255.192 >>>>>>> > network 200.20.116.0 >>>>>>> > broadcast 200.20.116.63 >>>>>>> > gateway 200.20.116.1 >>>>>>> > >>>>>>> > iface eth0:0 inet static >>>>>>> > address 200.20.116.52 >>>>>>> > netmask 255.255.255.192 >>>>>>> > >>>>>>> > iface eth0:1 inet static >>>>>>> > address 200.20.116.53 >>>>>>> > netmask 255.255.255.192 >>>>>>> > >>>>>>> > iface eth0:2 inet static >>>>>>> > address 200.20.116.54 >>>>>>> > netmask 255.255.255.192 >>>>>>> > >>>>>>> > >>>>>>> > allow-hotplug eth1 >>>>>>> > iface eth1 inet static >>>>>>> > address 10.203.0.2 >>>>>>> > netmask 255.255.0.0 >>>>>>> > network 10.203.0.0 >>>>>>> > broadcast 10.203.255.255 >>>>>>> > gateway 10.203.0.1 >>>>>>> > route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 >>>>>>> > >>>>>>> > allow-hotplug eth2 >>>>>>> > iface eth2 inet static >>>>>>> > address 172.16.0.1 >>>>>>> > netmask 255.255.0.0 >>>>>>> > network 172.16.0.0 >>>>>>> > broadcast 172.16.255.255 >>>>>>> > >>>>>>> > Devo dizer que no nosso switch route, o default gateway para onde >>>>>>> as >>>>>>> > VLANS saem para a internet é a rede 10.203.0.1 por isso que >>>>>>> declarei >>>>>>> > este endereço na eth1 e não o tradicional "10.0.0.1' pois essa >>>>>>> > configuração já estava assim desde o último administrador e está >>>>>>> > funcionando no atual roteador, eu estou desconfiando que o erro >>>>>>> está >>>>>>> > em declarar dois gateways mas como devo fazer com as VLANs da rede >>>>>>> 10? >>>>>>> > Desde já agradeço a ajuda e caso não possa me ajudar agradeço da >>>>>>> mesma >>>>>>> > forma. Abraços, >>>>>>> > >>>>>>> > Moksha >>>>>>> > >>>>>>> > >>>>>>> > >>>>>>> > >>>>>>> > >>>>>>> > Em 5 de junho de 2012 22:51, Eden Caldas < edencal...@gmail.com > >>>>>>> > escreveu: >>>>>>> > Sim você suspeitou corretamente. Não se pode ter dois gateways. >>>>>>> > >>>>>>> > Quando vocẽ seta um gateway no firewall, esse é o gateway DO >>>>>>> firewall, >>>>>>> > e não do resto da rapaziada. Assim o firewall tem dois gateways >>>>>>> para a >>>>>>> > internet, quando ele deveria ter um. >>>>>>> > >>>>>>> > Agora, o firewall deve ser o gateway das redes vlans, e para ele >>>>>>> ser >>>>>>> > isso, as redes precisam chegar nele de qualquer jeito, em qualquer >>>>>>> ip >>>>>>> > que ele tenha. >>>>>>> > >>>>>>> > Talvez isso já esteja acontecendo, e falta apenas fazer um SNAT / >>>>>>> > MASQUERADE para essas vlans todas e(ou) habilitar o roteamento com >>>>>>> > aquela linha echo 1 /proc/sys bla bla bla. >>>>>>> > >>>>>>> > Estou vendo que você mandou o e-mail diretamente para mim. Melhor >>>>>>> > mandar pra lista para todos poderem ajudar e(ou) aprender. >>>>>>> > >>>>>>> > Eden Caldas >>>>>>> > Consultor de TI >>>>>>> > e...@linuxfacil.srv.br >>>>>>> > (81) 9747 4444 >>>>>>> > (81) 9653 7220 >>>>>>> > LINUX FÁCIL – Consultoria e Serviços em TI >>>>>>> > >>>>>>> > >>>>>>> > >>>>>>> > ---------- Mensagem encaminhada ---------- >>>>>>> > De: Moksha Tux < gova...@gmail.com > >>>>>>> > Data: 6 de junho de 2012 10:07 >>>>>>> > Assunto: Re: Outras dúvidas sobre Iptables! >>>>>>> > Para: Eden Caldas < edencal...@gmail.com > >>>>>>> > >>>>>>> > >>>>>>> > Muito obrigado pela resposta! >>>>>>> > >>>>>>> > Me perdoe por ter escrito somente pro senhor, segue agora a minha >>>>>>> > resposta ao senhor para todo o forum. Eu fiz a regra no iptables >>>>>>> que o >>>>>>> > senhor menciona segue abaixo: >>>>>>> > >>>>>>> > >>>>>>> > wan="eth0" >>>>>>> > int="eth1" >>>>>>> > dmz="eth2" >>>>>>> > rede_int=" 10.0.0.0/8 " >>>>>>> > >>>>>>> > echo "1" > /proc/sys/net/ipv4/ip_forward >>>>>>> > >>>>>>> > e o compartilhamento de toda: >>>>>>> > >>>>>>> > iptables -t nat -A POSTROUTING -s $rede_int -o $wan -j SNAT >>>>>>> > --to-source 200.20.116.52 >>>>>>> > iptables -A FORWARD -i $int -s $rede_int -o $wan -j ACCEPT >>>>>>> > >>>>>>> > poxa, com certeza quando eu informo ao firewall 10.0.0.0/8 eu >>>>>>> estou >>>>>>> > informando toda a rede 10 não seria isso mesmo? Acredito que não >>>>>>> teria >>>>>>> > a obrigação de informar cada VLAN o senhor não concorda? Mas se >>>>>>> então >>>>>>> > se eu não puder declarar o gateway da rede 10.203 como esta >>>>>>> interface >>>>>>> > se comunicará com as redes das VLANs? Grande abraço, >>>>>>> > >>>>>>> > Moksha >>>>>>> >>>>>>> -- >>>>>>> Paulo Ricardo Bruck >>>>>>> Consultor Linux >>>>>>> cel 011 9235-4327 tel 011 3596-4881/4882 >>>>>>> http://www.contatogs.com.br >>>>>>> skype: suportecontatogs >>>>>>> >>>>>>> >>>>>>> -- >>>>>>> To UNSUBSCRIBE, email to >>>>>>> debian-user-portuguese-requ...@lists.debian.org >>>>>>> with a subject of "unsubscribe". Trouble? Contact >>>>>>> listmas...@lists.debian.org >>>>>>> Archive: >>>>>>> http://lists.debian.org/811145381.2.1339077292791.javamail.r...@mercurio.contatogs.com.br >>>>>>> >>>>>>> >>>>>> >>>>> >>>> >>> >> >