+ Responder ao Tópico



  1. #1

    Padrão Onde estou errando?

    Pessoal, estou colocando aqui, um server dhcp com firewall e squid, mas em deparo com o seguinte problema...
    Tenho um suse 10, com duas placas de rede, uma pra rede interna e a outra pra que vem do meu roteador.
    O dhcp faz a distribuição certinho do ip, dns e dhcp, mas o pc clinte, nao navega.Consigo pingar nas placas de rede, mas em endereço url nao.
    Abaixo vou colar as rehras que eu tenho do firewall e do meu dhcp para que vcs possam dar uma olhada a indentificar um possivel erro.
    Obrigado.

    echo
    echo " Iniciando Firewall "
    echo
    sleep 0.3

    echo " Definindo Variaveis "

    IPTABLES=" /usr/sbin/iptables"
    INT="10.0.0.0/255.0.0.0"
    EXT="192.168.0.166/24"
    REDEINT="10.0.0.1/255.0.0.0"
    REDEEXT="192.168.0.166/24"


    echo " Habilitando o forward entre interfaces "
    sleep 0.3
    modeprobe iptabes_nat
    echo "1" > /proc/sys/net/ipv4/ip_forward

    echo "Carregando os modulos necessarios"
    sleep 0.3

    /sbin/modprobe ip_conntrack
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_nat_ftp
    /sbin/modprobe ip_tables
    /sbin/modprobe ipt_multiport

    echo " Limpando as regras da tabela nat "
    sleep 0.3
    $IPTABLES -t nat -F
    $IPTABLES -t nat -X
    $IPTABLES -t nat -Z

    echo " Limpando as regras da tabela filter "
    sleep 0.3
    $IPTABLES -F
    $IPTABLES -X
    $IPTABLES -Z

    echo " Definindo as polices "
    sleep 0.3

    $IPTABLES -P INPUT DROP
    $IPTABLES -P FORWARD DROP

    echo " Permitindo conexoes loopback "
    sleep 0.3
    $IPTABLES -A INPUT -s 127.0.0.1 -j ACCEPT
    $IPTABLES -A INPUT -s $EXT -j ACCEPT
    $IPTABLES -A INPUT -s $INT -j ACCEPT

    echo " Permitindo acesso da internet para o firewall "
    sleep 0.3
    $IPTABLES -A INPUT -d $EXT -p udp --dport 53 -j ACCEPT
    $IPTABLES -A INPUT -d $EXT -p tcp --dport 53 -j ACCEPT
    $IPTABLES -A INPUT -d $EXT -p udp --dport 80 -j ACCEPT
    $IPTABLES -A INPUT -d $EXT -p udp --dport 443 -j ACCEPT

    echo " permitindo acesso da rede interna para o firewall "
    sleep 0.3
    $IPTABLES -A INPUT -d $INT -m mac --mac-source 00:16:CE:70:7F:37 -j ACCEPT
    $IPTABLES -A INPUT -d $INT -p udp --dport 53 -j ACCEPT
    $IPTABLES -A INPUT -d $INT -p tcp --dport 53 -j ACCEPT
    $IPTABLES -A INPUT -d $INT -p tcp --dport 80 -j ACCEPT
    $IPTABLES -A INPUT -d $INT -p tcp --dport 443 -j ACCEPT
    $IPTABLES -A INPUT -d $INT -p tcp --dport 8080 -j ACCEPT

    echo " Permitindo acesso da rede interna para internet "
    sleep 0.3
    $IPTABLES -A FORWARD -s $REDEINT -p icmp -j ACCEPT
    $IPTABLES -A FORWARD -s $REDEINT -p tcp --dport 80 -j ACCEPT
    $IPTABLES -A FORWARD -s $REDEINT -p tcp --dport 53 -j ACCEPT
    $IPTABLES -A FORWARD -s $REDEINT -p udp --dport 53 -j ACCEPT

    echo " habilitando o statefull"
    sleep 0.3
    $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    echo " habilitando o masquerade "
    sleep 0.3
    $IPTABLES -t nat -A POSTROUTING -s $REDEINT -j MASQUERADE

    echo " Permitindo acesso da internet para a rede interan "
    sleep 0.3
    $IPTABLES -A FORWARD -d $REDEINT -p tcp --dport 5900 -j ACCEPT

    echo " Protecao contra ping da morte "
    sleep 0.3
    $IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    #echo " Habilitando proxy transparent "
    #$IPTABLES -t nat -A PREROUTING -s $REDEINT -p tcp --dport 80 -j REDIRECT --to-port 3128
    ( Este esta comentado, pois ainda nao estou usando o squid.)

    Agora do dhcpd.conf

    option domain-name "XXXXX";
    option domain-name-servers 200.255.255.65, 200.255.255.70;
    option routers 192.168.0.166;
    max-lease-time 7200;
    ddns-update-style none;
    ddns-updates off;
    default-lease-time 1400;
    subnet 10.0.0.0 netmask 255.0.0.0 {
    option routers 192.168.0.166;
    range 10.0.0.10 10.0.0.150;
    default-lease-time 14400;
    max-lease-time 172800;

  2. #2

    Thumbs up tenta assim ..

    dns-update-style none;
    default-lease-time 600;
    max-lease-time 7200;
    authoritative;
    option wpad-url code 252 = text;
    ddns-domainname "dominio qualquer.";
    option domain-name "mesmo dominio acima .";

    subnet 192.168.0.0 netmask 255.255.255.0 {
    range 192.168.0.10 192.168.0.100;
    option routers 192.168.0.1;
    option domain-name-servers 192.168.0.1;
    option domain-name-servers XXX.XXX.XXX.XXX,XXX.XXX.XXX.XXX;
    option broadcast-address 192.168.0.255;

    eu faço assim e funciona normalmente .... verifica a configuração de rede dos usuarios pra ve se tem algum dns setado...
    verifica arquivos
    hosts(debian /etc/hosts)
    resov.conf (debian /etc/resolv.conf)
    eu uso debian né n sei como estao dispostos no suse os arquivos !! mas da uma pesquisda ae =)
    lembrando a interface no caso eu ultilizo ip 192.168.0.1 nessa placa que esta o dhcp apontado !
    Última edição por netscaper; 03-12-2008 às 11:59.



  3. #3

    Padrão

    Sim, até entendi, asm o problema 'q eu ja tenho uma rede aqui, onde um routeador da link faz o dhcp, na faixa 192.168.0.0/24, por isso que eu coloquei o 10.0.0.0
    se eu colocasse esta mesma subnet abaixo iria gerar comflito nao?


    Citação Postado originalmente por netscaper Ver Post
    dns-update-style none;
    default-lease-time 600;
    max-lease-time 7200;
    authoritative;
    option wpad-url code 252 = text;
    ddns-domainname "dominio qualquer.";
    option domain-name "mesmo dominio acima .";

    subnet 192.168.0.0 netmask 255.255.255.0 {
    range 192.168.0.10 192.168.0.100;
    option routers 192.168.0.1;
    option domain-name-servers 192.168.0.1;
    option domain-name-servers XXX.XXX.XXX.XXX,XXX.XXX.XXX.XXX;
    option broadcast-address 192.168.0.255;

    eu faço assim e funciona normalmente .... verifica a configuração de rede dos usuarios pra ve se tem algum dns setado...
    verifica arquivos
    hosts(debian /etc/hosts)
    resov.conf (debian /etc/resolv.conf)
    eu uso debian né n sei como estao dispostos no suse os arquivos !! mas da uma pesquisda ae =)
    lembrando a interface no caso eu ultilizo ip 192.168.0.1 nessa placa que esta o dhcp apontado !

  4. #4

    Padrão

    uaiii...
    quem na verdade ta fazendo o que ?!
    se o teu router ta fazendo serviço de dhcp pra que dhcp no lnx ?
    bom a arealidade que tenho aqui e a seguinte...
    ROUTER NET ACABO -> LNX -> REDE INTERNA

    dai o lnx ta fazendo todo o processo compartilhamento da rede !
    tem que por no dhcp o servidor dns entende.... pq se nao num vao navegar mesmo nao .. !!
    Última edição por netscaper; 03-12-2008 às 13:50.



  5. #5

    Padrão

    Assim, eu quero deixar tudo funcionando neste servidor antes de colocar ele definitivamente no ar.
    Por isso estou fazendo esta subnet, em cima da que eu ja tenho.depois de tudo pronto, dhcp,firewall, squid e samba, eu subo ele de uma vez.


    Citação Postado originalmente por netscaper Ver Post
    uaiii...
    quem na verdade ta fazendo o que ?!
    se o teu router ta fazendo serviço de dhcp pra que dhcp no lnx ?
    bom a arealidade que tenho aqui e a seguinte...
    ROUTER NET ACABO -> LNX -> REDE INTERNA

    dai o lnx ta fazendo todo o processo compartilhamento da rede !
    tem que por no dhcp o servidor dns entende.... pq se nao num vao navegar mesmo nao .. !!

  6. #6

    Thumbs up

    Citação Postado originalmente por fernandotrilha Ver Post
    Assim, eu quero deixar tudo funcionando neste servidor antes de colocar ele definitivamente no ar.
    Por isso estou fazendo esta subnet, em cima da que eu ja tenho.depois de tudo pronto, dhcp,firewall, squid e samba, eu subo ele de uma vez.
    a pode cre... tem um tudo que eu achei por ae que eu gostei bastante montei server aqui em casa usando ele... te passa o link
    Servidores Linux, Guia Prático: Capítulo 2: Compartilhamento, DHCP e Proxy
    eu fiz por ele e ta 100%
    ate limitação de banda por squid eu fiz .. !! mto bom show de bola !
    muito bom mesmo !



  7. #7

    Padrão

    Descobri uma coisa agora, eu pingo tudo, menos os endereçoes de dns da minha rede.

  8. #8

    Padrão

    acho que tem uma leve confusão nas suas rgras de input ( e também na output)

    echo " permitindo acesso da rede interna para o firewall "
    sleep 0.3
    $IPTABLES -A INPUT -d $INT -m mac --mac-source 00:16:CE:70:7F:37 -j ACCEPT
    $IPTABLES -A INPUT -d $INT -p udp --dport 53 -j ACCEPT
    $IPTABLES -A INPUT -d $INT -p tcp --dport 53 -j ACCEPT

    input PARA a rede interna? fica meio confuso, não?

    -d ---> DESTINO
    -s --> ORIGEM

    melhor revisar direito suas regras também no seguinte:

    colocar toda aquela tranqueira de módulos no /etc/syscfg.conf

    limpar tudo ANTES de qualquer outra coisa

    e definir melhor se faz regras por interface (input, output, forward) ou por ação (idem).