Oi Guilhermo: Se o Switch aceitar a configuração de vlans pode sim usar um switch só. Ainda mais se a vlan default estiver isolada.
Mas você tem razão. O maior problema em si é a falta de detalhes sobre a topologia e o objetivo da rede como um todo. temos que saber como vai funcionar a rede e para que vai funcionar a rede. Uma delas tem acesso a internet? a outra vai acessar a internet por ela? Como são os clientes? Os usuário tem acesso à configuração das máquinas clientes? Em nenhum momento a segurança foi levantada como requisito. A pergunta era se o ele iria precisar do NAT e do IPTABLES. A resposta é não. Ele vai precisar configurar o roteamento entre as redes. Se ele disser que precisa fazer isso com segurança, aí o IPTABLES entra como ferramenta, e talvez até o NAT. Mas pelo que o Harlei descreveu o NAT em si deve ser feito por outra máquina com acesso a Internet. > É possível, mas o que não é recomendável é a topologia da rede, não o > roteamento. Ter duas redes no mesmo switch não evita o trafico entre as > redes; qualquer usuário pode trocar seu endereço por um da outra rede e > automáticamente está nela; De qualquer forma seu alerta é importante e deve ser levado em conta. Se a segurançafor um item importante o que o Guilhermo falou é capital. Ainda mais se em vez de Switch suas redes rodarem com HUB's. Abraços, Artur. Em Segunda 19 Dezembro 2005 19:04, pmarc escreveu: > Creio que o Guillermo me enviou por engano... > Segue para a lista para alimentar a discussão. > > ---------- Forwarded message ---------- > From: Guillermo Pereyra Irujo <[EMAIL PROTECTED]> > Date: 19/12/2005 18:57 > Subject: Re: Iptables com 1 placa de rede > To: pmarc <[EMAIL PROTECTED]> > > pmarc wrote: > > > estes ips são gateways de suas respectivas redes, mas são a mesma placa > > > em um firewall... é possível fazer esse roteamento? > > > > Acho que possível até é, porém, não é recomendável. > > É possível, mas o que não é recomendável é a topologia da rede, não o > roteamento. Ter duas redes no mesmo switch não evita o trafico entre as > redes; qualquer usuário pode trocar seu endereço por um da outra rede e > automáticamente está nela; e se da á placa dois endereços, como faze > você com o router, está nas duas. Não é recomendável se você divide os > micros em duas redes para segurança, porque um usuário com um pouco de > conhecimento pode violar sua politica. Se você tem feito isso só pro > organização, não ha problema. > > O roteamento e lógicamente o mesmo que o roteamento entre distintas > redes, só que os modificadores -i e -o não sirvem pois só aceitam > interfaces reais, é dizer, só eth0 e não eth0:1. Tem que fazer as regras > com os endereços de origem e destino. Em lugar de, por exemplo, > > iptables -A FORWARD -i eth0 -o eth0:1 -p tcp --dport 445 -j ACCEPT > > tem que fazer > > iptables -A FORWARD -i eth0 -s 10.14.6.0/24 -o eth0 -d 192.168.1.0/24 \ > -p tcp --dport 445 -j ACCEPT > > Além disso, não é necessario fazer mais nada. > > Todavia, cada pacote entre una rede e outra, se convertirá em dois, um > da origem ao router e outro do router ao destino, ambos sobre a mesma > rede física. Pense em unificar as redes ou em comprar outro switch se a > carga na rede se torna excessiva. > > -- > Guillermo Pereyra Irujo > Tandil, Argentina > > > > -- > Paulo Marcondes > PU2PIX/PU1 > Debian GNU/Linux = http://rj.debianbrasil.org -- Artur F. Pimentel Analista de Suporte ------------------------------ www.suam.edu.br www.unisuam.edu.br