+ Responder ao Tópico



  1. #1
    marcosfs
    Visitante

    Padrão IP Válidos na rede Interna

    Internet ----------| GW | ----------------- rede interna 192.168.0.10-200

    IP 200.200.200.2
    Mask 255.255.255.192
    Gw 200.200.200.1
    64 IPs disponíveis

    Preciso colocar uma faixa de IP válido na rede interna.
    Já coloquei um IP válido em uma máquina (200.200.200.18/255.255.255.248)
    E um alias na placa da rede interna do gateway (200.200.200.17/255.255.255.248)

    Coloquei regras no firewall para repassar pacotes vindos desta rede.
    Até aí blz.

    Como faço para qdo os pacotes sairem no gateway ir com o IP válido da máquina 200.200.200.18?
    E como posso acessar de fora este IP válido?

  2. #2
    gmlinux
    Visitante

    Padrão IP Válidos na rede Interna

    Acho que não entendi seu problema, se seu gateway estiver fazendo forward, os pacotes que a maquina 200.200.200.18 enviar para a internet sairam com este endereço.
    Se isto não estiver ocorrendo, talvez seja algun nat habilitado.
    Basicamente, se apenas o ip_forward estiver habilitado, sem regras de bloqueio do iptables, vai funcionar...

  3. #3
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão IP Válidos na rede Interna

    para essa rede de ips validos vc nao precisa fazer nat nem nada... eh so atribuir os IPs nas maquinas e pronto... tem que fazer eh umas regrinhas de iptables pra nao ser sacaneado neh.

  4. #4
    gmlinux
    Visitante

    Padrão IP Válidos na rede Interna

    E ai marcofs, já rolou? Se tiver funcionado, agora sim, comece a fazer os filtros...
    Este tipo de trabalho é igual o do nosso amigo Jack, deve ser feito por partes...

  5. #5
    marcosfs
    Visitante

    Padrão IP Válidos na rede Interna

    rede Externa
    eth0: => 200.200.200.2/255.255.255.192
    gw 200.200.200.1

    rede Interna
    eth1: => 192.168.0.1/255.255.255.0
    gw 192.168.0.1

    eth1:1 => 200.200.200.17/255.255.255.248

    no firewall:
    NAT
    -A POSTROUTING -o eth0 -j SNAT --to-source 200.200.200.2

    FILTER
    -A FORWARD -m state -s 200.200.200.16/255.255.255.248 -i eth1 -o eth0 --state NEW,ESTABLISHED -j ACCEPT
    -A FORWARD -m state -d 200.200.200.16/255.255.255.248 -i eth0 -o eth1 --state NEW,ESTABLISHED -j ACCEPT


    Quando conecto da máquina 200.200.200.18 em uma máquina externa (200.200.150.10) via ssh e dou netstat, aparece a conexão do IP 200.200.200.2. Tudo bem o firewal está fazendo um SNAT.

    Como faço para chegar o IP 200.200.200.18 e não o 200.200.200.2.
    O que está faltando na minha configuração.
    Desde já agradeço.

  6. #6
    marcosfs
    Visitante

    Padrão IP Válidos na rede Interna

    Acho que meu problema está no roteamento.

    A rota do firewall é:

    Kernel IP routing table
    Destination Gateway Genmask Flags Metric Ref Use Iface
    200.200.200.16 * 255.255.255.252 U 0 0 0 eth1
    200.200.200.0 * 255.255.255.192 U 0 0 0 eth0
    169.254.0.0 * 255.255.0.0 U 0 0 0 eth1
    192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
    127.0.0.0 * 255.0.0.0 U 0 0 0 lo
    default 200.200.200.1 0.0.0.0 UG 0 0 0 eth0

    Qdo conecto na máquina 200.200.200.3 ela não conhece a rota para a rede 200.200.200.16.

    rota do IP 200.200.200.3.

    Kernel IP routing table
    Destination Gateway Genmask Flags Metric Ref Use Iface
    200.200.200.0 * 255.255.255.192 U 0 0 0 eth0
    169.254.0.0 * 255.255.0.0 U 0 0 0 eth0
    127.0.0.0 * 255.0.0.0 U 0 0 0 lo
    default 200.200.200.1 0.0.0.0 UG 0 0 0 eth0

  7. #7
    Visitante

    Padrão IP Válidos na rede Interna

    afff cara... vc ta complicando tudo!!!!
    primeiro, como funciona seu link?
    a) tem um roteador? cisco por exemplo.
    b) se sim, o roteador esta ligado via crossover com o firewall ou esta direto no switch?
    c) se esta no switch este switch esta isolado somente com o firewall ou esta toda rede nele independente da topologia!?

    segundo vc nao precisa mexer em rotas, pois vc nao vai fazer desse firewall um roteador mesmo... basicamente vc precisa fazer nat, mas o nat so funcionara caso seu router esteja configurado devidamente para isso, na verdade vc tem q primeiro DEFINIR como sera o funcionamento disso tudo ai, seguranca e um item muito importante na hora de definir ips validos na rede... cara sugiro a vc q estude como ira fazer a sua parte fisica antes de sair atribuindo ips na rede, principalmente se vc nao tem redes separadas...

    [email protected]

  8. #8
    marcosfs
    Visitante

    Padrão IP Válidos na rede Interna

    Desculpa se estou complicando.

    Vou tentar explicar tudo.

    Tenho um roteador da embratel que está ligado em um switch. Neste switch tenho três servidores. Um web com um DNS, outro de email e um firewall para uma rede interna.

    Atrás deste firewall tenho uma rede de IPs não válidos. Rede 192.168.0.1/255.255.255.0.

    O negócio é o seguinte: preciso disponibilizar uma faixa de IPs válidos para um cliente que está atrás do firewall.

    É um pequeno provedor.

    Será que consegui ser claro?

  9. #9
    Visitante

    Padrão IP Válidos na rede Interna

    sim, olha so pelo q eu entendi entao seus servidores q estao no mesmo switch tem ja ip valido certo?
    partindo desse ponto o seu router esta fazendo a maior parte do trabalho entao va no seu firewall eh defina o seguinte

    iptables -t nat -A PREROUTING -d IP_EXT -j DNAT --to IP_INT
    iptables -t nat -A FORWARD -s IP_INT -j ACCEPT
    iptables -t nat -A FORWARD -d IP_INT -j ACCEPT
    iptables -t nat -A POSTROUTING -s IP_INT -j SNAT --to IP_EXT

    onde
    IP_INT = maquina na rede interna
    IP_EXT = ip valido para maquina interna

    cuidado com regras de forward eh regras de masquerade podem invalidar essas regras, pra nao da problema defina essas regras antes de qualquer regra para efeito de teste caso funcione organize novamente suas regras adcionando essas regras, caso nao funcione poste novamente eh veremos oq fazer

    OBS: nao seria necessario o uso de DNAT caso seu firewall fosse o gateway q faria o router passivamente se tornar uma bridge, recomendo esse metodo.

  10. #10
    marcosfs
    Visitante

    Padrão IP Válidos na rede Interna

    Mas esse IP_INT teria que ser válido.

    Se for não válido consigo fazer sem problemas.

  11. #11
    Visitante

    Padrão IP Válidos na rede Interna

    pra fazer dessa forma vc teria que fazer diretamente no router, divindo uma faixa para seu firewall redistribuir para a rede seriam necessarios tbm outros coisas alem do iptables

  12. #12
    Visitante

    Padrão IP Válidos na rede Interna

    pra fazer dessa forma vc teria que fazer diretamente no router, divindo uma faixa para seu firewall redistribuir para a rede seriam necessarios tbm outros coisas alem do iptables
    mas o NAT ja resolve seu problema com certeza

  13. #13
    gmlinux
    Visitante

    Padrão IP Válidos na rede Interna

    Se você substituir sua regra de nat assim:
    -A POSTROUTING -s ! rede/mascara -o eth0 -j SNAT --to-source 200.200.200.2
    Seu mascaramento será executado exceto para esta rede rede/mascara

    Olha se funciona

  14. #14
    marcosfs
    Visitante

    Padrão IP Válidos na rede Interna

    Quais funcionalidades extras seriam necessárias.

    No caso da substituição do POSTROUTING, o pacote até sai com o IP mas qdo retornar não sabe para onde. Pois na interface externa não existe o IP.

  15. #15
    marcosfs
    Visitante

    Padrão IP Válidos na rede Interna

    Estou com esse problema pq nunca tive um cliente que precisasse de um IP válido na máquina dele, que está atrás do firewall. Sempre fiz com redirecionamento para IP não válido e aí blz.

    Se a embratel libera um roteador que aceita uma faixa de 128 IPs, como faço para poder disponibilizar uma pequena faixa destes para um cliente?

  16. #16
    Visitante

    Padrão IP Válidos na rede Interna

    galera eh o seguinte, fazendo um SNAT e um DNAT eh possivel trabalhar normalmente como se fosse um IP valido, ha a possibilidade de se fazer um roteamente mais complexo atribuindo uma classe de IP valido diretamente na interface de rede das maquinas, mas porem isso exige softwares especificos (freesco por exemplo) eh um bom conhecimente em protocolos como o RIP.
    Eu, particularmente, como nao sou especialista nesse em roteadores nao sinto seguranca em trabalhar somente com o roteador, por esse motivo toda vez q me encontro nessa situacao faco o seguinte:
    Ligo para o ISP eh digo pra q eles facam o Router "conversar" somente com o Firewall, entao eles seguindo o procedimento dizem q apartir desse ponto o Router nao ficara transparente eh o firewall sera o unico responsavel pelo trafego, eh necessario entao que seja feito um cabo do tipo Crossover que liga o Router diretamente ao firewall entao o ISP cria um rota no Router para que ele encaminhe todo o trafego para o IP do firewall eh na interface que esta ligado o Crossover eh definido um IP valido sendo q fica da seguinte forma:

    INTERNET|> <|ROUTER|200.X.Y.1|> <|200.X.Y.2|FIREWALL|192.168.0.254|> |CLIENTE|

    Qual eh a nossa seguranca nesse caso, imaginemos que teremos o seguinte senario.
    Uma empresa de desenvolvimento de Web Sites.
    Ha na empresa a parte Desenvolvimento, Administrativa e RH, sendo que nem o Administrativo nem o RH necessitam ter acesso aos computadores do Desenvolvimento
    sendo assim criarei 3 redes:

    Rede 1) Administrativo, RH e computadores moveis [notebooks] - 192.168.0.0/16
    Rede 2) Desenvolvimento - 192.168.10.0/16
    Rede 3) DMZ [Servidores] - 10.0.0.0/8

    Entao terei 3 ifaces no meu Firewall cada uma ligada a um Switch, sendo assim nenhuma rede acessa a outra sem passar pelo firewall, eh nenhuma rede acessa a internet sem passar pelo firewall e ninguem acessa nenhuma rede sem passar pelo firewall.

    Esse estrutura permite uma seguranca fisica excelente, nao permitindo que alteracoes de IP ou spoofing dentro da rede.

    felco