[+/- OT] Roteamento
Bom dia pessoal, gostaria de tirar uma dúvida. Tenho um Servidor Debian Etch servindo como Firewall (Shorewall) da minha rede e ele está ligado em um link da Diveo. Além deste link, tenho um outro link de um serviço que rodamos aqui na empresa. Todas as máquinas apontam o gateway para o Debian. Logicamente a estrutura está assim: Rede Interna: 125.110.0.0/255.255.252.0 Gateway: 125.110.0.2 Rede Externa: 200.99.X.X/255.255.255.X Rede de Serviço: 125.255.0.0/255.255.0.0 Gateway: 125.110.0.1 Bom, a minha dúvida é a seguinte: Tenho algum servidores que dependem de serviços que rodam neste link adicional de serviços (Rede 125.255.0.0), ou seja, preciso fazer a rota para essa rede. Atualmente estou fazendo as rotas estáticas nos servidores Windows 2003 (route add 125.255.0.0 MASK 255.255.0.0 125.110.0.1). É possível que essa rota seja feita pelo próprio servidor Debian? Caso positivo, como ficaria as regras de firewall, visto que minha regra padrão para todos os lados é DROP. Eu teria que fazer uma regra parecida com: ACCEPT locloc:125.255.0.0/255.255.0.0 ? Grato pela atenção. Keny Hayakawa Schmeling
Re: [+/- OT] Roteamento
On Nov 27, 2007 10:35 AM, Keny Schmeling - TI Slw [EMAIL PROTECTED] wrote: Tenho algum servidores que dependem de serviços que rodam neste link adicional de serviços (Rede 125.255.0.0), ou seja, preciso fazer a rota para essa rede. Atualmente estou fazendo as rotas estáticas nos servidores Windows 2003 (route add 125.255.0.0 MASK 255.255.0.0 125.110.0.1). É possível que essa rota seja feita pelo próprio servidor Debian? Caso positivo, como ficaria as regras de firewall, visto que minha regra padrão para todos os lados é DROP. Caro, gostaria de lembrá-lo que a faixa 125 é de IPs não privados, não deveria ser usada para sua rede interna. Use IPs na faixa 10.0.0.0/8, 172.16.0.0/12 ou 192.168.0.0/16 (RFC 1918). Usando 125.x.x.x você está cortando acesso a qualquer site na internet que use endereços dentro daquela faixa. Quanto a sua dúvida, não é no IPTables nem no shorewall que você deve incluir estas rotas e sim usando o comando route ou se deseja um controle mais sofisticado, use o iproute2. Se usasse o route, o comando seria algo do tipo route add -net 125.255.0.0 netmask 255.255.0.0 gw 125.110.0.1 Mas novamente, corrija imediatamente o endereçamento da sua rede privada, pois surgirão problemas de acesso a internet dificilmente contornados com seu esquema de endereçamento IP. Japa
RES: [+/- OT] Roteamento
Eu não posso mudar essa faixa porque é uma exigência da Bovespa. Somos obrigado a utilizar essa faixa de IP por causa dos serviços deles. No caso do route era exatamente isso que estava pensando, mas fiquei meio preocupado como as regras do IPTABLES iriam tratar os pacotes que passasem pelo firewall. Pelo que entendi, não iria precisar fazer nenhuma regra, mesmo utilizando regra padrão DROP. Correto? Grato... -Mensagem original- De: Marcos Japa Umino [mailto:[EMAIL PROTECTED] Enviada em: terça-feira, 27 de novembro de 2007 09:56 Para: Debian Assunto: Re: [+/- OT] Roteamento On Nov 27, 2007 10:35 AM, Keny Schmeling - TI Slw [EMAIL PROTECTED] wrote: Tenho algum servidores que dependem de serviços que rodam neste link adicional de serviços (Rede 125.255.0.0), ou seja, preciso fazer a rota para essa rede. Atualmente estou fazendo as rotas estáticas nos servidores Windows 2003 (route add 125.255.0.0 MASK 255.255.0.0 125.110.0.1). É possível que essa rota seja feita pelo próprio servidor Debian? Caso positivo, como ficaria as regras de firewall, visto que minha regra padrão para todos os lados é DROP. Caro, gostaria de lembrá-lo que a faixa 125 é de IPs não privados, não deveria ser usada para sua rede interna. Use IPs na faixa 10.0.0.0/8, 172.16.0.0/12 ou 192.168.0.0/16 (RFC 1918). Usando 125.x.x.x você está cortando acesso a qualquer site na internet que use endereços dentro daquela faixa. Quanto a sua dúvida, não é no IPTables nem no shorewall que você deve incluir estas rotas e sim usando o comando route ou se deseja um controle mais sofisticado, use o iproute2. Se usasse o route, o comando seria algo do tipo route add -net 125.255.0.0 netmask 255.255.0.0 gw 125.110.0.1 Mas novamente, corrija imediatamente o endereçamento da sua rede privada, pois surgirão problemas de acesso a internet dificilmente contornados com seu esquema de endereçamento IP. Japa
Re: [+/- OT] Roteamento
e hoje os pacotes ja conseguem passar pelo firewall com as rotas nos proprios servidores, então vão continuar passando normalmente com a rota no gateway. Exigencia estranha da Bovespa, hein? Só por curiosidade eles te deram alguma explicação do pq disso? Vc poderia verificar e compartilhar com a gente esta curiosidade? Abraço! Denis Anjos. Em 27/11/07, Keny Schmeling - TI Slw[EMAIL PROTECTED] escreveu: Eu não posso mudar essa faixa porque é uma exigência da Bovespa. Somos obrigado a utilizar essa faixa de IP por causa dos serviços deles. No caso do route era exatamente isso que estava pensando, mas fiquei meio preocupado como as regras do IPTABLES iriam tratar os pacotes que passasem pelo firewall. Pelo que entendi, não iria precisar fazer nenhuma regra, mesmo utilizando regra padrão DROP. Correto? Grato... -Mensagem original- De: Marcos Japa Umino [mailto:[EMAIL PROTECTED] Enviada em: terça-feira, 27 de novembro de 2007 09:56 Para: Debian Assunto: Re: [+/- OT] Roteamento On Nov 27, 2007 10:35 AM, Keny Schmeling - TI Slw [EMAIL PROTECTED] wrote: Tenho algum servidores que dependem de serviços que rodam neste link adicional de serviços (Rede 125.255.0.0), ou seja, preciso fazer a rota para essa rede. Atualmente estou fazendo as rotas estáticas nos servidores Windows 2003 (route add 125.255.0.0 MASK 255.255.0.0 125.110.0.1). É possível que essa rota seja feita pelo próprio servidor Debian? Caso positivo, como ficaria as regras de firewall, visto que minha regra padrão para todos os lados é DROP. Caro, gostaria de lembrá-lo que a faixa 125 é de IPs não privados, não deveria ser usada para sua rede interna. Use IPs na faixa 10.0.0.0/8, 172.16.0.0/12 ou 192.168.0.0/16 (RFC 1918). Usando 125.x.x.x você está cortando acesso a qualquer site na internet que use endereços dentro daquela faixa. Quanto a sua dúvida, não é no IPTables nem no shorewall que você deve incluir estas rotas e sim usando o comando route ou se deseja um controle mais sofisticado, use o iproute2. Se usasse o route, o comando seria algo do tipo route add -net 125.255.0.0 netmask 255.255.0.0 gw 125.110.0.1 Mas novamente, corrija imediatamente o endereçamento da sua rede privada, pois surgirão problemas de acesso a internet dificilmente contornados com seu esquema de endereçamento IP. Japa
Fwd: [+/- OT] Roteamento
Valeu, Keny! -- Forwarded message -- From: Keny Schmeling - TI Slw [EMAIL PROTECTED] Date: 27/11/2007 15:56 Subject: RES: [+/- OT] Roteamento To: Denis [EMAIL PROTECTED] Vou me informar melhor, mas é alguma coisa relacionada a segurança de transação. Por exemplo, para um sistema nosso funcionar, precisamos configurar geralmente de 3 a 4 ips por servidor que fará a negociação com a bovespa. Em cada ip, uma determinada porta é liberada lá no servidor deles. É um rolo que não tem tamanho. A parte mais técnica da coisa vou pegar com o pessoal e compartilho com vocês. Uma observação. Temos uma filial no rio que o ip disponibilizado para eles foi 124.110.0.0/255.255.252.0. Vou fazer os testes com a rota e informo a lista. Abraços! -Mensagem original- De: Denis [mailto:[EMAIL PROTECTED] Enviada em: terça-feira, 27 de novembro de 2007 11:44 Para: lists.dup Assunto: Re: [+/- OT] Roteamento e hoje os pacotes ja conseguem passar pelo firewall com as rotas nos proprios servidores, então vão continuar passando normalmente com a rota no gateway. Exigencia estranha da Bovespa, hein? Só por curiosidade eles te deram alguma explicação do pq disso? Vc poderia verificar e compartilhar com a gente esta curiosidade? Abraço! Denis Anjos. Em 27/11/07, Keny Schmeling - TI Slw[EMAIL PROTECTED] escreveu: Eu não posso mudar essa faixa porque é uma exigência da Bovespa. Somos obrigado a utilizar essa faixa de IP por causa dos serviços deles. No caso do route era exatamente isso que estava pensando, mas fiquei meio preocupado como as regras do IPTABLES iriam tratar os pacotes que passasem pelo firewall. Pelo que entendi, não iria precisar fazer nenhuma regra, mesmo utilizando regra padrão DROP. Correto? Grato... -Mensagem original- De: Marcos Japa Umino [mailto:[EMAIL PROTECTED] Enviada em: terça-feira, 27 de novembro de 2007 09:56 Para: Debian Assunto: Re: [+/- OT] Roteamento On Nov 27, 2007 10:35 AM, Keny Schmeling - TI Slw [EMAIL PROTECTED] wrote: Tenho algum servidores que dependem de serviços que rodam neste link adicional de serviços (Rede 125.255.0.0), ou seja, preciso fazer a rota para essa rede. Atualmente estou fazendo as rotas estáticas nos servidores Windows 2003 (route add 125.255.0.0 MASK 255.255.0.0 125.110.0.1). É possível que essa rota seja feita pelo próprio servidor Debian? Caso positivo, como ficaria as regras de firewall, visto que minha regra padrão para todos os lados é DROP. Caro, gostaria de lembrá-lo que a faixa 125 é de IPs não privados, não deveria ser usada para sua rede interna. Use IPs na faixa 10.0.0.0/8, 172.16.0.0/12 ou 192.168.0.0/16 (RFC 1918). Usando 125.x.x.x você está cortando acesso a qualquer site na internet que use endereços dentro daquela faixa. Quanto a sua dúvida, não é no IPTables nem no shorewall que você deve incluir estas rotas e sim usando o comando route ou se deseja um controle mais sofisticado, use o iproute2. Se usasse o route, o comando seria algo do tipo route add -net 125.255.0.0 netmask 255.255.0.0 gw 125.110.0.1 Mas novamente, corrija imediatamente o endereçamento da sua rede privada, pois surgirão problemas de acesso a internet dificilmente contornados com seu esquema de endereçamento IP. Japa