+ Responder ao Tópico



  1. Colega,
    Tenho um firewall, funcionando com eth0 (192.168.0.0) rede local, e a eth1 internet, estou querendo colocar mais uma placa de rede eth2 rede local (10.101.0.0), mais gostaria de saber como que eu faço para que a eth0 e a eth2 acesse a internet na eth1, utilizo iptables e squid:

    Iptables:
    # Generated by iptables-save v1.3.5 on Sat Jul 11 14:45:48 2009
    *nat
    :PREROUTING ACCEPT [247:25323]
    :POSTROUTING ACCEPT [7:415]
    :OUTPUT ACCEPT [7:415]
    -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
    # Bloqueio de MSN
    -j DROP
    -A PREROUTING -p tcp -m tcp --dport 1863 -m mac --mac-source 00:1B:77:A5:1E:0E -j DROP
    -A PREROUTING -p tcp -m tcp --dport 1863 -m mac --mac-source 00:19:7E:36:26:33 -j DROP
    -A POSTROUTING -o eth1 -j MASQUERADE
    COMMIT
    # Completed on Sat Jul 11 14:45:48 2009
    # Generated by iptables-save v1.3.5 on Sat Jul 11 14:45:48 2009
    *filter
    :INPUT DROP [3:287]
    :FORWARD DROP [216:10833]
    :OUTPUT DROP [14:1170]
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -i lo -j ACCEPT
    -A INPUT -i eth0 -j ACCEPT
    -A INPUT -i eth1 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
    -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
    -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    # Liberacao de Internet e Sistema
    -A FORWARD -p tcp -m tcp --dport 1863 -j ACCEPT
    -A FORWARD -p tcp -m tcp --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp --dport 8080 -j ACCEPT
    -A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT
    -A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT
    # Liberacao de Envio e Recebimento de E-mail
    -A FORWARD -p tcp -m tcp --dport 110 -j ACCEPT
    -A FORWARD -p tcp -m tcp --dport 465 -j ACCEPT
    -A FORWARD -p tcp -m tcp --dport 25 -j ACCEPT
    # Liberacao Conexao Remota (Teminal Server, VNC e Puty)
    -A FORWARD -p tcp -m tcp --dport 3389 -j ACCEPT
    -A FORWARD -d 192.168.0.110 -j ACCEPT
    -A FORWARD -p tcp -m tcp --dport 4901 -j ACCEPT
    -A FORWARD -p tcp -m tcp --dport 22 -j ACCEPT
    -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A OUTPUT -o lo -j ACCEPT
    -A OUTPUT -o eth0 -j ACCEPT
    -A OUTPUT -o eth1 -j ACCEPT
    -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

    COMMIT
    # Completed on Sat Jul 11 14:45:48 2009
    Squid
    http_port 3128 transparent
    visible_hostname Firewall-Lauro
    cache_mem 376 MB
    maximum_object_size_in_memory 128 KB
    maximum_object_size 4096 KB
    minimum_object_size 0 KB
    cache_swap_low 90
    cache_swap_high 95
    cache_dir ufs /var/spool/squid 12288 16 256
    cache_access_log /var/log/squid/access.log
    cache_log /var/log/squid/cache.log
    cache_store_log /var/log/squid/store.log
    acl all src 0.0.0.0/0.0.0.0
    acl localhost src 127.0.0.1
    acl Libera_IP src "/etc/squid/Libera_IP.txt"
    acl IP_Liberado src "/etc/squid/IP_Liberado.txt"
    acl Sites_Liberados url_regex -i "/etc/squid/Sites_Liberados.txt"
    always_direct allow all
    http_access deny Libera_IP
    http_access allow IP_Liberado
    http_access allow Sites_Liberados
    http_access deny all

  2. #2
    dsoft Net
    É só cologar o gateway da internet na nova placa de rede



  3. Não é só alterar o gateway não... você tem que adicionar algumas configurações no iptable e squid.

    Algumas coisas que me lembro no momento (As adições estão em negrito):

    # Generated by iptables-save v1.3.5 on Sat Jul 11 14:45:48 2009
    *nat
    :PREROUTING ACCEPT [247:25323]
    :POSTROUTING ACCEPT [7:415]
    :OUTPUT ACCEPT [7:415]
    -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
    -A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
    # Bloqueio de MSN
    -j DROP
    -A PREROUTING -p tcp -m tcp --dport 1863 -m mac --mac-source 00:1B:77:A5:1E:0E -j DROP
    -A PREROUTING -p tcp -m tcp --dport 1863 -m mac --mac-source 00:19:7E:36:26:33 -j DROP
    -A POSTROUTING -o eth1 -j MASQUERADE
    COMMIT
    # Completed on Sat Jul 11 14:45:48 2009
    # Generated by iptables-save v1.3.5 on Sat Jul 11 14:45:48 2009
    *filter
    :INPUT DROP [3:287]
    :FORWARD DROP [216:10833]
    :OUTPUT DROP [14:1170]
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -i lo -j ACCEPT
    -A INPUT -i eth0 -j ACCEPT
    -A INPUT -i eth1 -j ACCEPT
    -A INPUT -i eth2 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
    -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
    -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    # Liberacao de Internet e Sistema
    -A FORWARD -p tcp -m tcp --dport 1863 -j ACCEPT
    -A FORWARD -p tcp -m tcp --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp --dport 8080 -j ACCEPT
    -A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT
    -A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT
    # Liberacao de Envio e Recebimento de E-mail
    -A FORWARD -p tcp -m tcp --dport 110 -j ACCEPT
    -A FORWARD -p tcp -m tcp --dport 465 -j ACCEPT
    -A FORWARD -p tcp -m tcp --dport 25 -j ACCEPT
    # Liberacao Conexao Remota (Teminal Server, VNC e Puty)
    -A FORWARD -p tcp -m tcp --dport 3389 -j ACCEPT
    -A FORWARD -d 192.168.0.110 -j ACCEPT
    -A FORWARD -p tcp -m tcp --dport 4901 -j ACCEPT
    -A FORWARD -p tcp -m tcp --dport 22 -j ACCEPT
    -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A OUTPUT -o lo -j ACCEPT
    -A OUTPUT -o eth0 -j ACCEPT
    -A OUTPUT -o eth1 -j ACCEPT
    -A OUTPUT -o eth2 -j ACCEPT
    -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

    COMMIT
    # Completed on Sat Jul 11 14:45:48 2009


    No squid....

    • Adicionar os IPs da nova rede que serão bloqueados na acl Libera_IP ("/etc/squid/Libera_IP.txt")
    • Adicionar os IPs da nova rede que serão permitidos na acl IP_Liberado ("/etc/squid/IP_Liberado.txt")


    Não esquecer de apontar o gateway da nova rede pro IP da interface eth2.

    Acho que basicamente é isso...

  4. as mesmas configuracoes que vc fez para 1 das placas da rede interna.. vc faz para a outra...

    se vc liberou porta 80 para 1 placa
    entao libere a porta 80 para a outra placa.

    se vc liberou o acesso squid para tal rede
    libere para a outra tbm



  5. basta colocar o getway liberado em uma placa que as duas acessarão normalmente. Caso queira algo mais complexo pode trabalhar com nowbalance disponível para iptables.
    ok..






Tópicos Similares

  1. Ajuda - CentOS com 4 Placas de Rede e 2 Link de Internet.
    Por rsalgado no fórum Assuntos não relacionados
    Respostas: 4
    Último Post: 20-05-2012, 16:00
  2. Respostas: 5
    Último Post: 23-08-2011, 23:42
  3. Mesmo link de internet pra 2 redes
    Por dmgamer no fórum Servidores de Rede
    Respostas: 3
    Último Post: 10-07-2007, 02:18
  4. 2 links de internet num mesmo linux
    Por lfss232 no fórum Servidores de Rede
    Respostas: 4
    Último Post: 22-09-2006, 14:05
  5. 2 Links de Internet em um mesmo servidor linux (lan house)
    Por phphack no fórum Servidores de Rede
    Respostas: 2
    Último Post: 23-07-2006, 23:31

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L