+ Responder ao Tópico



  1. #1

    Exclamation Problema na DMZ...

    Olá!

    Acredito que os companheiros possam me ajudar.

    Tenho a seguinte estrutura:

    servidor com 3 eth's
    eth0 = ip valido ligado ao router
    eth1 = ip valido ligado ao switch da dmz
    eth2 = ip frio (rede interna)

    na dmz tenho uma maquina com a eth0 com ip valido.

    Internamente consigo ter acesso a página hospedada neste servidor, no entanto, externamente não consigo acesso a ele... nem um ping eu consigo...

    O que posso fazer??

    Testei vários redirecionamentos... embolei minha tabela, refiz e nada....

    Estarei no aguardo!

    Muito obrigado!

  2. #2

    Padrão

    fala melhor como é a sua estrutura...

    está liberado no firewall o acesso externo?
    o seu router tem rota apontando esse ip para sua maquina linux? voce fez sub-redes?

  3. #3

    Padrão sim

    Ok.

    Modem => router => firewall.

    Firewall bloqueando tudo.

    As rotas todas estão por conta do firewall.

    ip router xxx.yyy.zzz.17
    eth0 do firewall xxx.yyy.zzz.18
    eth1 do firewall xxx.yyy.zzz.19 (DMZ ligada a um switch)

    servidor apache que fica na dmz tem uma eth0 ip xxx.yyy.zzz.21

    não tenho dns interno.
    fiz a rota para acesso interno a página... mas não consigo acesso de fora..

    route add -host xxx.yyy.zzz.21 gw xxx.yyy.zzz.19.

  4. #4

    Padrão

    ok.
    a sua rede é /24?

    voce poderia colocar 1 rede /25 na eth0 e uma rede /25 na eth1 do seu firewall.
    ae no seu router voce coloca uma rota para a rede da eth1 apontando para o ip da eth0.

    assim funciona com certeza.
    pq se o ip 21 está na mesma rede do router ele vai procurar o host no barramento local e nao vai rotear para seu firewall.

    voce tb pode colocar uma rota no seu router igual fez no firewall...
    se for cisco faz assim:
    Código :
    ip route xxx.yyy.zzz.21 255.255.255.255 xxx.yyy.zzz.18

    deu pra entender? hehehehee

    qualquer duvida posta aí.
    Última edição por Patrick; 04-11-2008 às 15:24.

  5. #5

    Padrão Compreendo

    Sim, compreendo....

    Mas eu disponho de uma rede /29 de ip's validos e me pediram para deixar o server apache com um dos ip's validos.

    tenho na eth0 e eth1 do firewall ips da rede /29

    e na eth2 tenho uma rede /21...

    tenho muita maquina aqui... =/

    mas o problema não é a rede interna... é o acesso de fora... o pessoal tem que enxergar essa maquina com ip quente...


    EDIT...

    Rotas necessárias a intranet estão ok...
    O problema é com a rota externa... arumar uma maneira de fazer o ip xxx.yyy.zzz.21 que fica atraz da eth1 do firewall ser "visto" externamente
    Última edição por macaco; 04-11-2008 às 15:28.

  6. #6

    Padrão

    da uma olhada na msg de cima, é que eu editei na mesma hora que voce respondeu =)

    coloca aí a tabela de rotas do seu router caso voce nao tenha entendido.

  7. #7

    Padrão

    nesse caso não seria

    Código :
    ip route xxx.yyy.zzz.21 255.255.255.255 xxx.yyy.zzz.18
    Seria
    Código :
    ip route xxx.yyy.zzz.21 255.255.255.255 xxx.yyy.zzz.19
    19 é o ip que ta ligado a eth da dmz...


    mas temos um problema... se for necessário ajuste no router mesmo sabendo, não posso fazer porque a coordenação proibi isso, já que a Oi (telemar) é que cuida disso... ou seja, terei que abrir um chamado.

  8. #8

    Padrão

    nao, a rota é realmente no ip 18 (que é da sua eth0 ligada ao router. correto?)

    pelo que estou vendo voce realmente vai ter que adicionar uma rota no router, ou entao da uma procurada no google sobre proxy-arp + linux.
    nao sei se isso resolve o seu problema, mas se nao me engano resolvi uma coisa parecida com isso com proxy-arp.

  9. #9

    Padrão

    Ok, mas no caso o acesso ao router e a configuração adequada, seria a melhora das opções, correto?

    vou tentar o proxy-arp, em caso de sucesso posto aqui, se não der certo vou abrir um chamado e aproveitar para solicitar o acesso ao router, já que podem surgir outras necessidades.


    Muitíssimo obrigado!!!


    Abraço!!

  10. #10

    Padrão

    Citação Postado originalmente por macaco Ver Post
    Ok, mas no caso o acesso ao router e a configuração adequada, seria a melhora das opções, correto?
    sim, colocar a rota é a melhor opção. nao gosto muito de usar proxy arp devido a problemas de segurança, nao que seja critico, mas quanto mais evitar melhor neh...

    em caso de sucesso ou nao posta aí =)

  11. #11

    Padrão

    AÊEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE


    inseri apenas duas linhas a um script que tenho...

    echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp
    echo 1 > /proc/sys/net/ipv4/conf/eth1/proxy_arp



    Patrick! Cara... obrigado viu!

    FAlou!!!