Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Qual a possibilidade ?

    Boa noite galera, queria saber se é possivel configurar meus servidores com as seguintes setups:

    Primeiramente tenho um link ppp com a embratel, este link entra num router cisco que distribui um range de ips validos p/ mim, atras do cisco tenho meus servidores com ips validos agora vamos lá, tenho o server 1 e tenho o server 2 que tem como gateway o cisco, o server 1 roda dns, firewall e email e ainda é o default gateway da minha rede interna, ele faz o nat da rede. E tenho o servidor 2 que esta rodando apenas dns, no server 2 eu configurei o ftp e esta rodando perfeitamente e aceita conexões externas, porem meu chefe quer o seguinte setup. Como no servidor 1 temos um qos para controlar a banda eu preciso que as requisições de ftp entre pelo servidor 1 e pela rede interna jogar no servidor de ftp que esta no servidor 2 e o servidor 2 devolve pro servidor 1 a requisição do ftp, porem como o cisco é o default gateway do servidor 1 e do servidor 2 quando a requisição chega no server 1 ele passa pro servidor 2 porem meu server 2 não retorna para o servidor 1 ele passa para o cisco que é o default gw dele, como eu faria para o servidor 2 retornar para o server 1 a solicitação de ftp ou seja devolver a informação para a origem ? Grato.

  2. #2

    Padrão

    Citação Postado originalmente por GuE Ver Post
    Boa noite galera, queria saber se é possivel configurar meus servidores com as seguintes setups:

    Primeiramente tenho um link ppp com a embratel, este link entra num router cisco que distribui um range de ips validos p/ mim, atras do cisco tenho meus servidores com ips validos agora vamos lá, tenho o server 1 e tenho o server 2 que tem como gateway o cisco, o server 1 roda dns, firewall e email e ainda é o default gateway da minha rede interna, ele faz o nat da rede. E tenho o servidor 2 que esta rodando apenas dns, no server 2 eu configurei o ftp e esta rodando perfeitamente e aceita conexões externas, porem meu chefe quer o seguinte setup. Como no servidor 1 temos um qos para controlar a banda eu preciso que as requisições de ftp entre pelo servidor 1 e pela rede interna jogar no servidor de ftp que esta no servidor 2 e o servidor 2 devolve pro servidor 1 a requisição do ftp, porem como o cisco é o default gateway do servidor 1 e do servidor 2 quando a requisição chega no server 1 ele passa pro servidor 2 porem meu server 2 não retorna para o servidor 1 ele passa para o cisco que é o default gw dele, como eu faria para o servidor 2 retornar para o server 1 a solicitação de ftp ou seja devolver a informação para a origem ? Grato.

    Cara, seus server estão cada um ligado em uma interface do router ou estão ligados em um switch que está ligado no router?? Se todos estiverem no router ai é complicado pq o router sempre vai rotear! Ele não faz switching...

    Agora, se vc tiver eles ligados em um switch e ambos os server estiverem na mesma rede, tem algo errado!! Porque se vc faz nat, o servidor 2 vê as conexões como sendo originadas pelo server 1 e por consequencia ele devolve as respostas pro server 1 sem passar pelo router pois ambos os server são da mesma rede e estão diretamente conectados...

    Detalha mais um pouco ai...
    Até mais...

  3. #3

    Padrão

    Então, os server e o cisco estão no mesmo switch e cada interface do server estão na mesma rede ou seja, eth0 do server 1 e server 2 mesma rede do cisco e eth1 do server 1 e do server 2 estão na mesma rede 192.168.1 . . .

  4. #4

    Padrão

    Citação Postado originalmente por GuE Ver Post
    Então, os server e o cisco estão no mesmo switch e cada interface do server estão na mesma rede ou seja, eth0 do server 1 e server 2 mesma rede do cisco e eth1 do server 1 e do server 2 estão na mesma rede 192.168.1 . . .
    Ah, perai! O seu server2 também tem conexão com a rede interna! Por qual IP ou nome sua rede interna acessa o FTP?? Porque se ele acessa por um ip da rede interna, o server2 deveria devolver diretamente para os hosts da rede interna.

    Só pra confirmar a questão de roteamento, dá um traceroute do server1 pros 2 IPs do server2 e um tracert dos hosts pro endereço/nome do FTP pra confirmar por onde eles tão passando...

    Tenta detalhar ai, sua topologia, tabela de roteamento e IPs/mascaras...

    valeu...

  5. #5

    Padrão

    WAN
    Cisco 200.228.110.2
    Server 1 Eth0 200.228.110.1
    Server 2 Eth0 200.228.110.4

    Lan
    Server 1 Eth1 192.168.1.253
    Server 2 Eth1 192.168.1.250

    Server 1
    [root@waemea /]# route -n
    Kernel IP routing table
    Destination Gateway Genmask Flags Metric Ref Use Iface
    200.228.110.0 0.0.0.0 255.255.255.192 U 0 0 0 eth1
    192.168.2.0 192.168.1.251 255.255.255.0 UG 0 0 0 eth0
    192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
    169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
    0.0.0.0 200.228.110.2 0.0.0.0 UG 0 0 0 eth1

    Server 2
    bells:/# route -n
    Kernel IP routing table
    Destination Gateway Genmask Flags Metric Ref Use Iface
    200.228.110.0 0.0.0.0 255.255.255.192 U 0 0 0 eth0
    192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
    0.0.0.0 192.168.1.250 0.0.0.0 UG 0 0 0 eth1
    0.0.0.0 200.228.110.2 0.0.0.0 UG 0 0 0 eth0

  6. #6

    Padrão

    Cara muito simples,

    Você usa o server 2 (ftp) com um ip falso (rede lan) e pluga no switch da rede local, e faz o apontamento Dnat no firewall para ele, o firewall (nat) faria as requisições e controle de banda ao firewall.

    Ou vc pode colocar uma outra Ethernet e criar uma DMZ, e fazendo a mesma coisa, um Dnat.

    É isso que vc quer ???

    Foi +- o que entendi.


    Flw

  7. #7

    Padrão

    O FTP eles acessam via qual IP??

  8. #8

    Padrão

    Citação Postado originalmente por Magnun Ver Post
    O FTP eles acessam via qual IP??
    a pergunta é exatamente essa.

  9. #9

    Padrão

    A principio o ftp acessa no server 2 direto no 200.228.110.4 pela wan, mais preciso que entre pelo server 1 200.228.110.1 e pela lan o server 1 entrega no server 2, isso já contece mais o server 2 não devolve a requisição pro server 1 ele manda pro cisco 200.228.110.2 que é o gw dos 2 servers

  10. #10

    Padrão

    voce está tentando acessar o ftp da onde? de uma etação com ip 192.168. ou do outro servidor?

  11. #11

    Padrão

    Eu quero acessar de fora qualquer usuario da internet que passar login e senha vai digitar ftp.ripcurl.com.br, no dns a entrada é 200.228.110.1 ae quero fazer o esquema de jogar no server 2

  12. #12

    Padrão

    vamos lá, acho que agora entendi o que voce quer.
    voce quer rodar o serviço de ftp no server 2, mas escrever e ler dados que estao no server 1. correto?

    isso é simples, voce tem que fazer um compartilhamento no servidor 1 do diretorio que voce quer ler/escrever (pode ser via NFS ou samba por exemplo), depois de montado no servidor 2 é só dizer que o home do usuario x do ftp é o diretorio compartilhado =)

    bom, se for isso mesmo que voce quer fazer é assim que resolve.
    deu pra sacar?

    ahh sim, cuidado quando for fazer compartilhamento para ele nao ficar abertao para a internet.

  13. #13

    Padrão

    Não cara, eu quero fazer um redirect de portas, conectar ftp no server 1 foward pro server 2, só que o server 2 ta jogando no gw dele que é o cisco ao inves de devolver pro server 1, quer saber oque preciso fazer pro server 2 devolver os pacotes de ftp que entraram pelo server 1 apenas isso.

  14. #14

    Padrão

    Citação Postado originalmente por GuE Ver Post
    Não cara, eu quero fazer um redirect de portas, conectar ftp no server 1 foward pro server 2, só que o server 2 ta jogando no gw dele que é o cisco ao inves de devolver pro server 1, quer saber oque preciso fazer pro server 2 devolver os pacotes de ftp que entraram pelo server 1 apenas isso.
    voce vai ter que colocar o server 1 como gateway padrao do server 2.
    gambiarra nenhum pouco recomendada, mas funciona.

  15. #15

    Padrão

    Ah.... você ta conectando externamente?! Pensei que era da rede interna!! Então é por isso... Faz um Nat de origem no server1 que resolve...

    Dessa forma o server1 recebe e envia a requisição pro server2 como sendo ele quem requisitou. Então o server2 vai devolver pro server1...

    O único problema é que os logs do ftp vão ser sempre como sendo o server1 acessando....

    Testa ai...

  16. #16

    Padrão

    Galera seguinte, se eu rodo o ftp no firewall fica tudo certim, porem quem vai roda ftp é outra maquina interna, olha como fiz o firewall, no proftd dexei como passiveport de 60000 a 61000, eu presivo fazer um dnat nessas portas ou so na 21 e 20 ? pois não esta funcionando o prerouting, so lembrando que o gateway do ftp não é o meu firewall é o cisco citado acima.

    #Ativando Nat
    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    #Limpando configurações anteriores"
    iptables -F

    #Portas de INPUT Free
    #loopback
    iptables -A INPUT -i lo -j ACCEPT

    #LIBERA UOL
    iptables -t nat -I PREROUTING -i eth0 -m tcp -p tcp -d 200.221.0.0/16 --dport 80 -j ACCEPT

    #teste FTP
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -p tcp --dport 20 -j ACCEPT
    iptables -A INPUT -p tcp --dport 60000:61000 -j ACCEPT
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 21 -j DNAT --to 192.168.1.250:21
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 20 -j DNAT --to 192.168.1.250:20
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 60000:61000 -j DNAT --to 192.168.1.250:60000

    #SSH
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    #FTP
    #iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    #iptables -A INPUT -p tcp --dport 20 -j ACCEPT
    #iptables -A INPUT -p tcp --dport 60000:61000 -j ACCEPT
    #WWW
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT

    #Rede Local Free
    iptables -A INPUT -p tcp --syn -i eth0 -j ACCEPT
    iptables -A INPUT -p udp -i eth0 -j ACCEPT

    iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    #Fecha o resto
    iptables -A INPUT -p tcp --syn -j DROP

  17. #17

    Padrão

    Citação Postado originalmente por GuE Ver Post
    Galera seguinte, se eu rodo o ftp no firewall fica tudo certim, porem quem vai roda ftp é outra maquina interna, olha como fiz o firewall, no proftd dexei como passiveport de 60000 a 61000, eu presivo fazer um dnat nessas portas ou so na 21 e 20 ? pois não esta funcionando o prerouting, so lembrando que o gateway do ftp não é o meu firewall é o cisco citado acima.

    #Ativando Nat
    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    #Limpando configurações anteriores"
    iptables -F

    #Portas de INPUT Free
    #loopback
    iptables -A INPUT -i lo -j ACCEPT

    #LIBERA UOL
    iptables -t nat -I PREROUTING -i eth0 -m tcp -p tcp -d 200.221.0.0/16 --dport 80 -j ACCEPT

    #teste FTP
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -p tcp --dport 20 -j ACCEPT
    iptables -A INPUT -p tcp --dport 60000:61000 -j ACCEPT
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 21 -j DNAT --to 192.168.1.250:21
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 20 -j DNAT --to 192.168.1.250:20
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 60000:61000 -j DNAT --to 192.168.1.250:60000

    #SSH
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    #FTP
    #iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    #iptables -A INPUT -p tcp --dport 20 -j ACCEPT
    #iptables -A INPUT -p tcp --dport 60000:61000 -j ACCEPT
    #WWW
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT

    #Rede Local Free
    iptables -A INPUT -p tcp --syn -i eth0 -j ACCEPT
    iptables -A INPUT -p udp -i eth0 -j ACCEPT

    iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    #Fecha o resto
    iptables -A INPUT -p tcp --syn -j DROP
    Você vai ter que fazer um SNAT se não não vai funcionar...

  18. #18

    Padrão

    Eita nunca vi isso, tem como dar uma ideia ? Outra duvida, o prerouting fica antes ou depois do input ?

  19. #19

    Padrão

    Citação Postado originalmente por GuE Ver Post
    Eita nunca vi isso, tem como dar uma ideia ? Outra duvida, o prerouting fica antes ou depois do input ?
    A prerouting fica antes da INPUT. Aqui tem um esquema de todas as chains: http://focalinux.cipsga.org.br/guia/...w-iptables.htm
    Procura pelo item 10.7.9.

    Quanto ao SNAT, na mesma página no ítem 10.4.3. Pra esse eu consegui um link direto: Guia Foca GNU/Linux - Firewall iptables

    O SNAT é tranquilo, é um NAT de Origem (Source NAT).

    Qualquer dúvida posta ai...

  20. #20

    Padrão

    Magnum vc acha de devo trocar no input da rede local a inerface pela rede ? Grato.

    eth1 por 192.168.0.0/24 ?

    Outra coisa, vi alguns artigos que para fazer o redirect ele primeiro jogava o prerouting e depois input e outras usavam o foward qual a diferença ?

    #iptables -A FORWARD -j ACCEPT -p tcp --dport 80
    #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 10.0.80.32:80
    Última edição por GuE; 23-10-2008 às 14:05.