Bug Firewall

[juliocm]

Pessoal, boa noite... seguinte...Seguinte estrutura...

Internet ---roteador(192.168.0.200) ---redelocal

Estou colocando um firewall entre o roteador e redelocal, ok?

Eu não estou entendendo o seguinte:
Eu estou configurando o firewall( iptables, usando o fedora), da seguinte forma:

Internet ---roteador ---firewall---redelocal

eth0(interna) 192.168.0.77, netmask 255.255.255.0 gateway (192.168.0.200) dns 192.168.0.22/0.5/0.4.
eth1(internet) 200.23.15.20 netmask 255.255.254.23 gateway (192.168.0.200) dns 200.145.0.23.
Pra Rede local eu consigo pingar normalmente, só q pra fora eu não consigo pigar. O que pode ser?
Ao invés de colocar o ip externo se colocar o ip interno eu consigo fazer funcionar?
obs1: Quando eu faço o seguinte /etc/init.d/network restart ele fala que uma máquina já esta usando o ip 200.23.15.20, como? Se esses ip's estão reservado pra mim...e só tenho apenas o roteador configurado com o ip válido?
Obs2: Estou fazendo o roteamento...
echo 1 >/proc/sys/net/ipv4/ip_forward

[zenun]

Então cara,

Algumas coisas que você precisa prestar atenção nessa sua topologia!
Você esta permitindo o trafego da rede local para a rede do roteador?
Esses pacotes estao permitidos a voltar?
Seu roteador tem rota (seu roteador conhece a rede local?) para a sua rede local?
Você realmente precisa de mais um roteador na sua rede ou ele poderia ser uma bridge?

E sobre o IP válido ele só pode estar configurado em um computador/roteador!
Se ele já esta em seu roteador ele não pode estar no firewall!

Como você habilitou o roteamento esta correto, porém é necessário que tome em conta
esses detalhes do iptables (se os trafegos estao permitidos) e se seu roteador tem rota para a sua rede local, porque se você não disse para o roteador que sua rede local é acessivel atravez do firewall ele vai tentar entregar os pacotes para o default gateway dele!

Verifique essas coisas na sua rede!
Falows!!

André

[Bruno]

amigo nesta parta aki
eth1(internet) 200.23.15.20 netmask 255.255.254.23 gateway (192.168.0.200) dns 200.145.0.23. o gw tem que ser outro
vc naum pode ter 2 gw default

[Bruno]

outra pergunta quem é o ip 192.168.0.200 que vc aponta como gw

[juliocm]

esse ip é o roteador.... nele tenho o ip externo e esse 192.168.0.200 é o ip da rede interna...

[juliocm]

Seu roteador tem rota (seu roteador conhece a rede local?) para a sua rede local?
R: Eu acho q tem que reconhecer naum? Como os pacotes vão sair?

Esses pacotes estao permitidos a voltar?
R: Não entendi...

Você realmente precisa de mais um roteador na sua rede ou ele poderia ser uma bridge?
R: Eu quero colocar um firewall e ter acesso nele externo....

E sobre o IP válido ele só pode estar configurado em um computador/roteador!
Se ele já esta em seu roteador ele não pode estar no firewall!

R: Tenho dois blocos de 64 ip's...

Então cara,

Algumas coisas que você precisa prestar atenção nessa sua topologia!
Você esta permitindo o trafego da rede local para a rede do roteador?
Esses pacotes estao permitidos a voltar?
Seu roteador tem rota (seu roteador conhece a rede local?) para a sua rede local?
Você realmente precisa de mais um roteador na sua rede ou ele poderia ser uma bridge?

E sobre o IP válido ele só pode estar configurado em um computador/roteador!
Se ele já esta em seu roteador ele não pode estar no firewall!

Como você habilitou o roteamento esta correto, porém é necessário que tome em conta
esses detalhes do iptables (se os trafegos estao permitidos) e se seu roteador tem rota para a sua rede local, porque se você não disse para o roteador que sua rede local é acessivel atravez do firewall ele vai tentar entregar os pacotes para o default gateway dele!

Verifique essas coisas na sua rede!
Falows!!

André

[Bruno]

amigo explica uma coisa

no seu servidor quais são os ips das internfaçe eth0 e eth1 ??

[juliocm]

Só uso uma interface eth0 = 192.168.0.1(servidor de dominio/dns/dhcp) e um outro servidor 192.168.0.2(servidor de arquivos)...e existes outros em uma subrede...que não precisa entrar aqui....

[zenun]

Então amigo...

Esse seu firewall usa duas interfaces de rede ou voce tem uma só?

Quando eu disse que se os seus pacotes estao permitidos voltar é que se você
cria regras de iptables (imagino que voce esta usando iptables) você tem que permitir
que o trafego saia da sua lan para a internet e os pacotes possam regrassar (established,related).

Se voce esta tendo uma saida que o IP 200.23.15.20 esta sendo usado, é porque ele
provavelmente ja esta configurado em alguma outra maquina, e você disse que tem 64 ips
disponiveis, se tudo nao estiver bem documentado voce vai se perder com tantos IPs!

Para voce fazer filtro para sua lan não é necessario que tenha o linux seja roteador!
Ele pode ser um bridge e fazer filtro da mesma forma!

Código :

eth0(interna) 192.168.0.77, netmask 255.255.255.0 gateway (192.168.0.200) dns 192.168.0.22/0.5/0.4.
eth1(internet) 200.23.15.20 netmask 255.255.254.23 gateway (192.168.0.200) dns 200.145.0.23.
Pra Rede local eu consigo pingar normalmente, só q pra fora eu não consigo pigar. O que pode ser?
Ao invés de colocar o ip externo se colocar o ip interno eu consigo fazer funcionar?

Provavelmente isso ta acontecendo porque você nao colocou o seu firewall em uma rede onde a faixa de IP 200 esta sendo roteada. Por isso que quando voce volta a colocar o ip da sua rede reservada 192.168.0.x funciona!

Não é só colocar o ip 200 na interface eth0 do seu firewall que tudo vai sair funcionando!
Explique melhor como esta a disposição da sua rede, falta muitos detalhes para que possamos de ajudar de uma forma mais efetiva. Nao consigo saber como esses dispositivos estão conectados, como eles estao se comunicando, que tipo de interface voce usa (se esta usando alias nas interfaces ou se esta usando vlans ou se tem varias placas de redes).