Rede com IPs válidos e inválidos: é possivel se enxergarem?

[flep]

Ola pessoal.

A estrutura da minha rede esta assim:

Router
|
Switch <-> HUB <-> all pcs
| |
Linux (eth0 e eth1)

Ou seja, meu linux debian ligado no switch com a eth0 com a rede valida e a eth1 com a rede invalida. Setando os gatways pro linux as duas redes navegam normalmente. Sei que não é este o modo mais correto, mas não da pra usar bridge, nao agora.

O que preciso é que as duas redes se enxerguem, por causa dos compartilhamentos/mapeamentos de maquinas da rede.

Como fazer isso? Forwarding no firewall? Sou leigo, então se mostrarem a linha de comando seria muito util =)

Obrigado!

[Jim]

Cara, se o ip_forward tá habilitado e vc nao trata o forward entre as interfaces internas no firewall, provavelmente vc consiga acessar as maquinas das duas redes entre si... nao pelo netbios (enxergar no ambiente de rede) mas pelo IP sim...

Tenta abrir um browser e digitar \\ip_da_outra_rede

[flep]

Já tentei, não rola.

Imagino que deve haver um FW no firewall, mas nao sei como fazer.
Eu so tenho FW da rede invalida (/24) pro IP valido do Linux, pra funcionar a net.

[]s
flep

[esamp]

tenta acrescentar aí:

Código :

route add -net ip_da_rede netmask mascara_da_rede gw ip_do_gateway

se vc tiver um gateway em cada rede, faça em cada um.
Aqui funcionou, mas logo em seguida eu montei um DMZ, eliminando ip_valido da rede interna.

[flep]

Não adiantou nada cara..
No meu comando "router" já tem as redes certinhas, so o gatway nao estava setado, mas isso nao muda nada, elas já estavam cada uma na sua placa de rede específica, funcionando a net.

So preciso que as redes se enxerguem.

[]s
flep

[Jim]

posta o firewall

[flep]

Falei com um amigo, ele resolveu de um modo simples: usando 2 Ips nas configurações TCP/IP do windows. Deixo o invalido como principal, coloco o gateway da rede valida e adiciono o IP valido nas configurações avançadas.
Assim eu saio pela internet com o IP valido e enxergo a rede interna =)

Segundo ele nao tem como fazer nada no linux pelo fato de que o linux esta ligado direto no switch junto com o router, e deste switch eh q vai pro hub da rede, ou seja, o cara pode usar a net ate sem passar pelo linux, se por no gatway o IP do router. Se fosse em modo bridge dava pra fazer no linux.

[]s
flep

[esamp]

rapaz, um dia eu quero ter uma máquina para decorar meu escritório igual esse seu firewal! :P

[Jim]

Falei com um amigo, ele resolveu de um modo simples: usando 2 Ips nas configurações TCP/IP do windows. Deixo o invalido como principal, coloco o gateway da rede valida e adiciono o IP valido nas configurações avançadas.
Assim eu saio pela internet com o IP valido e enxergo a rede interna =)

Segundo ele nao tem como fazer nada no linux pelo fato de que o linux esta ligado direto no switch junto com o router, e deste switch eh q vai pro hub da rede, ou seja, o cara pode usar a net ate sem passar pelo linux, se por no gatway o IP do router. Se fosse em modo bridge dava pra fazer no linux.

[]s
flep

Que gambiarra mais feiaaaaaa... por favor... entao pra que serve um firewall? pra que separa em duas redes? pq nao usar uma classe B? bah cara.. é por essas e outras que a profissão de "admin de redes" é vulgarizada e ainda paga mal... aff :@:

[flep]

Nao sou admin de rede, aqui nao tem admin, nao precisamos de admin pra um servidor interno q nunca precisa ser mudado nada.
So estamos mudando isso agora pelo fato de q mudamos o nosso fornecedor de link e veio 64 Ips

E se tem outra solução, posta ae.

So respondendo:
O firewall eh usado para fecharmos a rede, e em conjunto com o squid limitarmos acessos a MSN, orkut, etc etc etc. Duas redes estao sendo usadas para manter os funcionarios na rede interna dentro das limitações, e usarmos os IPs validos para maquinas q necessitam de acesso externo (VNC/FTP), e as dos chefes de setor.
Nao precisava mudar nada, só estamos colocando os IPs pois vieram com o pacote, e isso elimita a necessidade dos redirects q haviam no firewall para acessos externos.

[esamp]

já que vc tá esticando, seguinte, o seu link tinha que chegar no firewall e dele ir para o switch e restante da rede, e não ficar em paralelo (pelo menos é o que sua descrição nos deu a entender)

[nod3vic3]

So respondendo:
O firewall eh usado para fecharmos a rede, e em conjunto com o squid limitarmos acessos a MSN, orkut, etc etc etc. Duas redes estao sendo usadas para manter os funcionarios na rede interna dentro das limitações, e usarmos os IPs validos para maquinas q necessitam de acesso externo (VNC/FTP), e as dos chefes de setor.
Nao precisava mudar nada, só estamos colocando os IPs pois vieram com o pacote, e isso elimita a necessidade dos redirects q haviam no firewall para acessos externos.

E deixa as maquinas dando sopa pra galera mal intencionada....

[esamp]

ah! e os redirects e dnats são a solução recomendada de segurança, com os respectivos filtros para impedir invasões e o uso indevido do proxy.

[silmar]

olha ae o que saiu na seção dicas meu .. faz um teste


Atribuindo IP's Válidos aos clientes
Acredito que todos os administradores de rede já precisaram colocar um IP válido no seu cliente, certo?
O que ocorre é que nem sempre estamos dispostos a montar uma bridge em linux para isso, e geralmente
acabamos por usar iptables e criar regras re redirecionamento, etc.



Pois bem, a solução que proponho aqui é desconhecida por grande parte dos admins (mais um dos segredos do /proc)
e foi encotrada a um certo tempo aqui mesmo em nosso fórum. Esqueça regras de iptables, interface Bridge, tudo o que
vc tem a fazer é habilitar o proxy_arp para as interfaces envolvidas e criar uma rota para o IP válido, bastando setá-lo em
seu cliente, usando como gateway o roteador ao invés do servidor.

Habilitando o proxy_arp:

echo "1" > /proc/sys/net/ipv4/conf/eth0/proxy_arp
echo "1" > /proc/sys/net/ipv4/conf/eth1/proxy_arp

Criando a Rota:

route add -host 200.x.x.x dev eth1

Ex.:

roteador(200.x.x.1)<----->(eth0=200.x.x.2)Servidor(eth1=192.168.1.1)<----> clientes

Pois bem, vamos fornecer o IP valido 200.x.x.3 para um cliente conectado à eth1:

echo "1" > /proc/sys/net/ipv4/conf/eth0/proxy_arp
echo "1" > /proc/sys/net/ipv4/conf/eth1/proxy_arp
route add -host 200.x.x.3 dev eth1

Agora configuramos no cliente o IP 200.x.x.3 cp, gw 200.x.x.1, e pronto!

[silmar]

Nao sou admin de rede, aqui nao tem admin, nao precisamos de admin pra um servidor interno q nunca precisa ser mudado nada.
So estamos mudando isso agora pelo fato de q mudamos o nosso fornecedor de link e veio 64 Ips

E se tem outra solução, posta ae.

Essa foi de MATAR ... se awee nã tem um adm de rede, então porque não chamam um pra fazer o serviço.
São pessoas como VOCÊ que esta matando os Adm. de Rede, pois fazer essas

Que gambiarra mais feiaaaaaa... por favor... entao pra que serve um firewall? pra que separa em duas redes? pq nao usar uma classe B? bah cara.. é por essas e outras que a profissão de "admin de redes" é vulgarizada e ainda paga mal... aff Angry
.

que foi citado pelo jim ( ei a propósito foi ele que postou essa dica aee que eu mandei pra vc )

Continuando ... você pede ajuda a um amigo que é adm de rede aee ele por ser amigo lhe ajuda por conclusão a sua empresa jamais vai pagar um serviço para nós adm de rede e técnico e se um dia precisar ele não vai pagar o valor que cobramos irá pinchinchar tanto que um adm de rede que esteja aee na pior vai aceitar e fazer .. e aeeemeu ta feito a merda mais um empreendedor que não da a importancia a nossa area e nem na area de informatica dele e se não tem um pessoa de info aee então como anda a suade de tudo
ops: :clap: nossa ... E você deve ta fazendo a parte de um adm só pra ganhar um estatos com o chefe... sem ganhar nada .... são pessoas como vc .. que ajuda a piorar o nosso País.

ó gente desculpa aee eu estou envergonhado por ter visto isso e por nossa reputação estar sendo tão manchada .. não só por ele pois eu ja encontrei outros lugares assim em São Paulo onde moro ta lotado desse tipo..
Veja bem aee vc visintante que pediu a ajuda .. não to só decepcionado com o que v tc aqui mas com muitos que fazem o mesmo como vc ..

[silmar]

nossa eu fiquei tão irado que escrevi uns erros de português graves aee ..
mais uma vez peço desculpas