Rede com IPs válidos e inválidos: é possivel se enxergarem?

So respondendo:
O firewall eh usado para fecharmos a rede, e em conjunto com o squid limitarmos acessos a MSN, orkut, etc etc etc. Duas redes estao sendo usadas para manter os funcionarios na rede interna dentro das limitações, e usarmos os IPs validos para maquinas q necessitam de acesso externo (VNC/FTP), e as dos chefes de setor.
Nao precisava mudar nada, só estamos colocando os IPs pois vieram com o pacote, e isso elimita a necessidade dos redirects q haviam no firewall para acessos externos.

já que vc tá esticando, seguinte, o seu link tinha que chegar no firewall e dele ir para o switch e restante da rede, e não ficar em paralelo (pelo menos é o que sua descrição nos deu a entender)

Citação:

---

Postado originalmente por Anonymous

So respondendo:
O firewall eh usado para fecharmos a rede, e em conjunto com o squid limitarmos acessos a MSN, orkut, etc etc etc. Duas redes estao sendo usadas para manter os funcionarios na rede interna dentro das limitações, e usarmos os IPs validos para maquinas q necessitam de acesso externo (VNC/FTP), e as dos chefes de setor.
Nao precisava mudar nada, só estamos colocando os IPs pois vieram com o pacote, e isso elimita a necessidade dos redirects q haviam no firewall para acessos externos.

---

E deixa as maquinas dando sopa pra galera mal intencionada....

ah! e os redirects e dnats são a solução recomendada de segurança, com os respectivos filtros para impedir invasões e o uso indevido do proxy.

olha ae o que saiu na seção dicas meu .. faz um teste


Atribuindo IP's Válidos aos clientes
Acredito que todos os administradores de rede já precisaram colocar um IP válido no seu cliente, certo?
O que ocorre é que nem sempre estamos dispostos a montar uma bridge em linux para isso, e geralmente
acabamos por usar iptables e criar regras re redirecionamento, etc.



Pois bem, a solução que proponho aqui é desconhecida por grande parte dos admins (mais um dos segredos do /proc)
e foi encotrada a um certo tempo aqui mesmo em nosso fórum. Esqueça regras de iptables, interface Bridge, tudo o que
vc tem a fazer é habilitar o proxy_arp para as interfaces envolvidas e criar uma rota para o IP válido, bastando setá-lo em
seu cliente, usando como gateway o roteador ao invés do servidor.

Habilitando o proxy_arp:

echo "1" > /proc/sys/net/ipv4/conf/eth0/proxy_arp
echo "1" > /proc/sys/net/ipv4/conf/eth1/proxy_arp

Criando a Rota:

route add -host 200.x.x.x dev eth1

Ex.:

roteador(200.x.x.1)<----->(eth0=200.x.x.2)Servidor(eth1=192.168.1.1)<----> clientes

Pois bem, vamos fornecer o IP valido 200.x.x.3 para um cliente conectado à eth1:

echo "1" > /proc/sys/net/ipv4/conf/eth0/proxy_arp
echo "1" > /proc/sys/net/ipv4/conf/eth1/proxy_arp
route add -host 200.x.x.3 dev eth1

Agora configuramos no cliente o IP 200.x.x.3 cp, gw 200.x.x.1, e pronto!