*"Mas se então se eu não puder declarar o gateway da rede 10.203 como esta interface se comunicará com as redes das VLANs? "*
Ele não precisa de gateway pois já está com IP configurado nessa própria rede e conectado diretamente nela. E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma nova rota. O gateway padrão nada mais é do que uma rota que será usada quando nenhuma das outras rotas der jeito. Em 6 de junho de 2012 10:18, Moksha Tux <gova...@gmail.com> escreveu: > Meu querido Eden! > > Quanto tempo... rsrsrs estou amadurecendo cada vez mais no conceito de > iptables e chegou a hora de fazer o meu humilde script funcionar mas estou > deparando com uma outra barreira... o roteamento dos pacotes das VLANs. eu > possuo em minha rede um switch router com 13 VLANs leventadas neles e uma > das VLANs é uma rede que tem somente uma interface do roteador plugada > nela, a VLAN 10.203. Possuo alguns IPs válidos aqui para trabalhar com > serviços da internet e tudo que estou fazendo aqui é baseado nas > configurações dos antigos roteadores que estão em produção (PF com > OpenBSD). Não estou sabendo como bolar as rotas das redes das VLANs para > que saiam para a internet, abaixo segue meu arquivo "interfaces" do Debian > onde configuro toda a rede. > > > * allow-hotplug eth0 > iface eth0 inet static > address 200.20.116.50 > netmask 255.255.255.192 > network 200.20.116.0 > broadcast 200.20.116.63 > gateway 200.20.116.1* > > * iface eth0:0 inet static* > * address **200.20.116.52* > * netmask 255.255.255.192* > * > **iface eth0:1 inet static* > * address **200.20.116.53* > * netmask 255.255.255.192 > > **iface eth0:2 inet static* > * address **200.20.116.54* > * netmask 255.255.255.192* > * > > allow-hotplug eth1 > iface eth1 inet static > address 10.203.0.2 > netmask 255.255.0.0 > network 10.203.0.0 > broadcast 10.203.255.255 > gateway 10.203.0.1 > route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1* > > *allow-hotplug eth2 > iface eth2 inet static > address 172.16.0.1 > netmask 255.255.0.0 > network 172.16.0.0 > broadcast 172.16.255.255* > > Devo dizer que no nosso switch route, o default gateway para onde as VLANS > saem para a internet é a rede 10.203.0.1 por isso que declarei este > endereço na eth1 e não o tradicional "10.0.0.1' pois essa configuração já > estava assim desde o último administrador e está funcionando no atual > roteador, eu estou desconfiando que o erro está em declarar dois gateways > mas como devo fazer com as VLANs da rede 10? Desde já agradeço a ajuda e > caso não possa me ajudar agradeço da mesma forma. Abraços, > > Moksha > > > > > > Em 5 de junho de 2012 22:51, Eden Caldas <edencal...@gmail.com> escreveu: > Sim você suspeitou corretamente. Não se pode ter dois gateways. > > Quando vocẽ seta um gateway no firewall, esse é o gateway DO firewall, e > não do resto da rapaziada. Assim o firewall tem dois gateways para a > internet, quando ele deveria ter um. > > Agora, o firewall deve ser o gateway das redes vlans, e para ele ser isso, > as redes precisam chegar nele de qualquer jeito, em qualquer ip que ele > tenha. > > Talvez isso já esteja acontecendo, e falta apenas fazer um SNAT / > MASQUERADE para essas vlans todas e(ou) habilitar o roteamento com aquela > linha echo 1 /proc/sys bla bla bla. > > Estou vendo que você mandou o e-mail diretamente para mim. Melhor mandar > pra lista para todos poderem ajudar e(ou) aprender. > > Eden Caldas > Consultor de TI > e...@linuxfacil.srv.br > (81) 9747 4444 > (81) 9653 7220 > LINUX FÁCIL – Consultoria e Serviços em TI > > > > ---------- Mensagem encaminhada ---------- > De: Moksha Tux <gova...@gmail.com> > Data: 6 de junho de 2012 10:07 > Assunto: Re: Outras dúvidas sobre Iptables! > Para: Eden Caldas <edencal...@gmail.com> > > > Muito obrigado pela resposta! > > Me perdoe por ter escrito somente pro senhor, segue agora a minha resposta > ao senhor para todo o forum. Eu fiz a regra no iptables que o senhor > menciona segue abaixo: > > wan="eth0" > int="eth1" > dmz="eth2" > rede_int="10.0.0.0/8" > > echo "1" > /proc/sys/net/ipv4/ip_forward > > e o compartilhamento de toda: > > iptables -t nat -A POSTROUTING -s $rede_int -o $wan -j SNAT --to-source > 200.20.116.52 > iptables -A FORWARD -i $int -s $rede_int -o $wan -j ACCEPT > > poxa, com certeza quando eu informo ao firewall 10.0.0.0/8 eu estou > informando toda a rede 10 não seria isso mesmo? Acredito que não teria a > obrigação de informar cada VLAN o senhor não concorda? Mas se então se eu > não puder declarar o gateway da rede 10.203 como esta interface se > comunicará com as redes das VLANs? Grande abraço, > > Moksha > >
