Versão Imprimível
ola, estou tendo problemas para configurar um servidor slackware.
Ele tem 2 placas de rede, fazendo roteamento e filtragem.
Preciso fazer que uma sala onde tem um roteador wireless fique sem proxy, mas q continue vendo os outros micros.
O servidor ja esta configurado e funcionando o proxy so tenho q adicionar uma soluçao para este problema.
Desde ja agradeço.
Bom dia.Citação:
Postado originalmente por KelPexxx
Se entendi certo, quando você diz "tem duas placas de rede", é uma WAN e outra LAN, correto? Ou seria uma WAN e duas LAN (três portanto)?
Enfim, considerando que sejam duas, uma WAN (eth0) e uma LAN (eth1), você pode fazer aliases de endereço na interface LAN (eth1), e no redirect do IPTables, somente capturar o que estiver na rede respectiva à rede interna "todo o resto", não fazendo redirecionamento da rede "sala do AP".
É algo como esboçado no diagrama abaixo:
Código :. . [Operadora] . | . | . | . | . (200.0.0.2/30) . | . |eth0 | . [Slackware]--eth1:0(10.11.11.1/24)-----------------[AP] ("Sala do AP") . | | | | | . | (Estações 10.11.11.0/24) . eth1:1 . (10.12.12.1/24) . | . | . | . | . | . | . | . | . | . -------------------------------------------------[SWITCH] ("Todo o resto") . | | | | . (Estações 10.12.12.0/24) . . .
Mas caso você tenha duas placas de rede voltadas para a rede interna (uma para "todo o resto" e outra para "sala do AP"), faça o redirect por interface.
Como provavelmente à um drop para saída 80 TCP, você precisará criar uma regra de permissão para a rede "sala do AP".
Espero ter ajudado.
Saudações,
Trober
-
-
-
-
-
Obrigado vlw mesmo!!
Entendi mais ou menos so nao compreendi isso
<[AP] ("Sala do AP") | | | | (Estações 10.11.11.0/24)>
ela vai tambem pro swicht.
eu posso ate colocar mais uma placa de rede... mas nao sei mecher muito com iptables.
Boa tarde.Citação:
Postado originalmente por KelPexxx
Pode ser mais simples ainda. Eu me equivoquei em ter falado em aliases de endereço IP. Se você tem um access point, é só fazer com que este dispositivo funcione como roteador (não NAT), e atribuir uma rota dentro do seu Slackware. Bem mais simples :)
Vou diagramar abaixo:
Código :
Pronto!
Dentro do Slackware, você vai informar que para alcançar a rede 172.16.0.0/24, você terá como gateway o roteador 10.1.1.2.
Se o Slackware seguir a mesma sintaxe do Ubuntu para adição de rotas, o comando será:
Código :
Espero ter desfeito a confusão.
Saudações,
Trober
-
-
-
-
-
Obrigado novamente.
Entendi agora... mas tem um problema, estes computadores irao continuar sendo vizualizados pelos outros e eles veem os outros?
Vou testar e posto o resultado.
obg, Vlw.
(Testei não funcionou... olhei no script do firewall e axei isto sobre o proxy
REDIRECIONANDO TRAFEGO WEB P/ O SQUID
$IPTABLES -t nat -A PREROUTING -i $INT_LAN1 -p tcp --dport 80 -j REDIRECT --to-port 3128
echo "Redirecionando o trafego Web p/ o Squid...................[ OK ]"
....
Bom dia.Citação:
Postado originalmente por KelPexxx
Sim, os computadores continuarão se "vendo" pela rede, mesmo sendo roteada. Não aconteceria se o AP funcionasse com NAT.
Lembrando que anúncios (broadcast) de NETBIOS são restritos ao segmento da rede, e os computadores não serão "vistos entre si" desta forma, mas eles estão lá :) Se quiser imprimir, mapear unidade, acessar por RDP, enfim, o roteador fará o encaminhamento e tudo funcionará. O que não vai acontecer é você clicar em "Meus locais de rede", no Windows, e visualizar os computadores na lista de enumeração.
Se ainda assim quiser que os computadores "se encontrem" por nomes NETBIOS, e sejam exibidos em "Meus Locais de Rede", em segmentos diferentes de rede, você pode anunciar, via DHCP, o parâmetro option netbios-name-servers, que será seu sempre eleito master no semáforo do NETBIOS (seja Active Directory, seja Samba).
Resumindo, funciona :)
Quanto à sua regra de firewall, você está redirecionado com base na interface (variável $INT_LAN1). Voce deve fazer isso baseado na rede, não na interface.Citação:
Postado originalmente por KelPexxx
A rede geral (a quem dei o nome de "todo o resto") será redirecionada para o Squid. A rede "sala do AP", não :)
Testa lá e nos avisa :)
Saudações,
Trober
-
-
-
-
-
Cara vlw
resolvi de outra forma...
adicionei somente os ips dos 2 computadores q serao conectados ao AP
##### ADICIONANDO IPS LIBERADOS DO PROXY $IPTABLES -t nat -I PREROUTING -s 192.168.13.88 -j ACCEPT $IPTABLES -t nat -I POSROUTING -s 192.168.13.88 -o $INT_WAN1 -j MASQUERADE $IPTABLES -i FORWARD -s 192.168.13.88 -J ACCEPT
$IPTABLES -t nat -I PREROUTING -s 192.168.13.89 -j ACCEPT $IPTABLES -t nat -I POSROUTING -s 192.168.13.89 -o $INT_WAN1 -j MASQUERADE $IPTABLES -i FORWARD -s 192.168.13.89 -J ACCEPT echo "Adicionando ips liberados do proxy........................[ OK ]"
e funcionou perfeitamente!
muito obrigado pela ajuda!
Caso pressisem de ajuda estou aqui para auxiliar tambem!
vlw!