+ Responder ao Tópico



  1. #1
    Dom751
    Visitante

    Padrão roteamento

    Pessoal,

    O meu problema é o seguinte, tenho um firewall linux com 4 placas de rede, eth0 (link internet E1), eth1 (Speedy ADSL), eth2 (DMZ), eth3 (Rede interna), preciso que a rede interna converse com a DMZ sem usar mascaramento de IP, mascaramento apenas para sair para a web.
    No caso dos links, o ADSL sera apenas para navegacao, o link E1 para mail, www, ftp e downloads.
    Como faco esse roteamento? Preciso disso URGENTE!!!

    Att.

    DOM

  2. #2
    whinston
    Visitante

    Padrão SNAT

    ao invés de usar MASQUERADE então, use SNAT e coloque o IP "original".. ae cada máquina acessa a DMZ com o seu próprio IP e não com o IP do gateway

  3. #3
    Dom751
    Visitante

    Padrão roteamento

    Pode me ajudar no comando?

  4. #4
    whinston
    Visitante

    Padrão tentae

    tentae:

    /sbin/iptables -t nat -A POSTROUTING -o eth2 -s 192.168.0.2/32 -j SNAT --to-source 192.168.0.2

  5. #5
    Dom751
    Visitante

    Padrão roteamento

    Caro whinston,

    Coloquei estas regras no fw.sh:

    $IPTABLES -t nat -A POSTROUTING -o $DMZIF -s $DMZIP/25 -j SNAT --to-source $DMZIP
    $IPTABLES -t nat -A POSTROUTING -o $LANIF -s $LANIP/24 -j SNAT --to-source $LANIP

    Da lan, eu consigo pingar a dmz, porem da dmz nao consigo pingar a lan, onde estou errando?

    DOM

  6. #6

    Padrão roteamento

    err... :roll:

    se entendo bem, vc está tentando ELIMINAR a razão fundamental de uma DMZ, ou seja, a segurança desta.

    Se vc permite sinal da DMZ pra sua lan, se houver uma invasão nela - seja por que meios fôr - o invasor.. tá dentro. Então, pra quê DMZ? deixa tudo dentro da sua LAN mesmo e pronto. Facilita logo, já que quer facilitar, arromba tudo, deixa pronto pra uma "festa do caqui".

    Já o acessar indiscriminadamente da LAN pra DMZ é inconveniente.. normalmente permite-se a ALGUMAS máquinas acessarem ALGUNS serviços/servidores.


    Mas enfim.. foi apenas opinião pessoal. Arrombe tudo e divirta-se :twisted:

  7. #7
    Dom751
    Visitante

    Padrão roteamento

    POis, mas tenho exchnage nessa dmz, por exemplo, como faze-lo conectar com meu exchange da rede interna?
    site acessando banco de dados sql tb!!!


    Dom

  8. #8
    Visitante

    Padrão roteamento

    sem querer me meter, no tópico mas já se metendo... Qual a vantagem de usar uma DMZ ?

  9. #9

    Padrão roteamento

    Citação Postado originalmente por Dom751
    POis, mas tenho exchnage nessa dmz, por exemplo, como faze-lo conectar com meu exchange da rede interna?
    site acessando banco de dados sql tb!!!


    Dom
    putz, mano.. o que vc tem que fazer, então, é permitir que ÊSTE servidor acesse a porta 25 do servidor interno. O problema aqui é.. não faço a menor idéia de como funciona o err.. isso aí, da Miko$hit. Aliás, nem uso nada da Miko$shit.

    No meu caso, especialmente, certa ocasião fiz diferente: em montei um Postfix (na DMZ) que funcionava como proxy para um servidor interno (um maldito Novell Groupwise).

    sinto, mas daqui pra frente vc está sózinho. Eu ACHO (e é um PU** dum acho grandão) que o err.. isso aí da Miko$hit deve ter um re-orientador qualquer - embora a média dos produtos vindos lá de Redmond sejam completamente desorientados e não sigam norma alguma.
    :twisted:

  10. #10

    Padrão roteamento

    Citação Postado originalmente por Anonymous
    sem querer me meter, no tópico mas já se metendo... Qual a vantagem de usar uma DMZ ?
    mantém o isolamento de sua rede interna (inacessibilidade) a partir do ambiente externo, ou seja, caso aconteça de um (ou mais) servidores serem dominados/invadidos, haverá dificuldade adicional para se penetrar na rede interna, onde (possívelmente) existam servidores com dados mais "sensíveis"

    uma pequena explicação adicional aqui:
    http://wiki.linuxquestions.org/wiki/DMZ

    :twisted: