Prezado Paulo Ricardo! Muito obrigado pela sua resposta, esse comando eu coloquei realmente abaixo da interface onde gostaria adicionar esta rota mas pelo que vi no seu e-mail o comando não era adequado, o estranho é que esse comando que usei *( route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 )* eu pesquisei na internet e dos diversos exemplos que olhei, este mesmo comando se encontrava no arquivo interfaces e abaixo da interface desejada. Mas de qualquer forma muito obrigado pela sua valorosa ajuda. Abraços,
Moksha Em 7 de junho de 2012 10:54, Paulo Ricardo Bruck <paulo...@contatogs.com.br>escreveu: > Bom dia > > ----- Mensagem original ----- > > De: "Moksha Tux" <gova...@gmail.com> > > Para: "Eden Caldas" <edencal...@gmail.com> > > Cc: "Forum Debian" <debian-user-portuguese@lists.debian.org> > > Enviadas: Quarta-feira, 6 de Junho de 2012 22:49:50 > > Assunto: Re: Outras dúividas sobre iptables e roteamento > > Grande Eden! > > > > E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma > > nova rota. > > > > Então a linha que adicionei no arquivo "interfaces" que aparece abaixo > > parece não estar adiantando e isso retirando o gateway da rede 10.203 > > veja: > > > > route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 . > > ok eu não segui todo o histórico m as se vc quer adicionar rotas estaticas > no arquivo /etc/network/interfaces ao menos saiba como fazer da forma > correta... man interfaces na parte IFACE OPTIONS > > > ok se vc não sabia ou não leu o man, a maneira correta é colocar debaixo > da interface que vc deseja: > > up route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 > || true > > mas dê preferencia para o modelo de rotas do man iproute > > up iproute add 10.0.0.0/24 via 10.203.0.1 dev eth1 || true > > ats > > > > > > > > > Note que estou adicionando o acesso a toda rede 10 mas mesmo assim as > > outras VLANs não estão tendo acesso ao firewall mas somente a rede > > 10.203. Será que eu devo incluir rota estática para cada vlan? A saber > > 10.10, 10.100, 10.200, etc... ? > > > > Moksha > > > > > > Em 6 de junho de 2012 14:15, Eden Caldas < edencal...@gmail.com > > > escreveu: > > > > > > > > "Mas se então se eu não puder declarar o gateway da rede 10.203 como > > esta interface se comunicará com as redes das VLANs? " > > > > Ele não precisa de gateway pois já está com IP configurado nessa > > própria rede e conectado diretamente nela. > > > > E mesmo se não tivesse, não precisaria do gateway padrão, apenas uma > > nova rota. O gateway padrão nada mais é do que uma rota que será usada > > quando nenhuma das outras rotas der jeito. > > > > > > Em 6 de junho de 2012 10:18, Moksha Tux < gova...@gmail.com > > > escreveu: > > > > > > > > > > Meu querido Eden! > > > > Quanto tempo... rsrsrs estou amadurecendo cada vez mais no conceito de > > iptables e chegou a hora de fazer o meu humilde script funcionar mas > > estou deparando com uma outra barreira... o roteamento dos pacotes das > > VLANs. eu possuo em minha rede um switch router com 13 VLANs > > leventadas neles e uma das VLANs é uma rede que tem somente uma > > interface do roteador plugada nela, a VLAN 10.203. Possuo alguns IPs > > válidos aqui para trabalhar com serviços da internet e tudo que estou > > fazendo aqui é baseado nas configurações dos antigos roteadores que > > estão em produção (PF com OpenBSD). Não estou sabendo como bolar as > > rotas das redes das VLANs para que saiam para a internet, abaixo segue > > meu arquivo "interfaces" do Debian onde configuro toda a rede. > > > > > > allow-hotplug eth0 > > iface eth0 inet static > > address 200.20.116.50 > > netmask 255.255.255.192 > > network 200.20.116.0 > > broadcast 200.20.116.63 > > gateway 200.20.116.1 > > > > iface eth0:0 inet static > > address 200.20.116.52 > > netmask 255.255.255.192 > > > > iface eth0:1 inet static > > address 200.20.116.53 > > netmask 255.255.255.192 > > > > iface eth0:2 inet static > > address 200.20.116.54 > > netmask 255.255.255.192 > > > > > > allow-hotplug eth1 > > iface eth1 inet static > > address 10.203.0.2 > > netmask 255.255.0.0 > > network 10.203.0.0 > > broadcast 10.203.255.255 > > gateway 10.203.0.1 > > route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.203.0.1 > > > > allow-hotplug eth2 > > iface eth2 inet static > > address 172.16.0.1 > > netmask 255.255.0.0 > > network 172.16.0.0 > > broadcast 172.16.255.255 > > > > Devo dizer que no nosso switch route, o default gateway para onde as > > VLANS saem para a internet é a rede 10.203.0.1 por isso que declarei > > este endereço na eth1 e não o tradicional "10.0.0.1' pois essa > > configuração já estava assim desde o último administrador e está > > funcionando no atual roteador, eu estou desconfiando que o erro está > > em declarar dois gateways mas como devo fazer com as VLANs da rede 10? > > Desde já agradeço a ajuda e caso não possa me ajudar agradeço da mesma > > forma. Abraços, > > > > Moksha > > > > > > > > > > > > Em 5 de junho de 2012 22:51, Eden Caldas < edencal...@gmail.com > > > escreveu: > > Sim você suspeitou corretamente. Não se pode ter dois gateways. > > > > Quando vocẽ seta um gateway no firewall, esse é o gateway DO firewall, > > e não do resto da rapaziada. Assim o firewall tem dois gateways para a > > internet, quando ele deveria ter um. > > > > Agora, o firewall deve ser o gateway das redes vlans, e para ele ser > > isso, as redes precisam chegar nele de qualquer jeito, em qualquer ip > > que ele tenha. > > > > Talvez isso já esteja acontecendo, e falta apenas fazer um SNAT / > > MASQUERADE para essas vlans todas e(ou) habilitar o roteamento com > > aquela linha echo 1 /proc/sys bla bla bla. > > > > Estou vendo que você mandou o e-mail diretamente para mim. Melhor > > mandar pra lista para todos poderem ajudar e(ou) aprender. > > > > Eden Caldas > > Consultor de TI > > e...@linuxfacil.srv.br > > (81) 9747 4444 > > (81) 9653 7220 > > LINUX FÁCIL – Consultoria e Serviços em TI > > > > > > > > ---------- Mensagem encaminhada ---------- > > De: Moksha Tux < gova...@gmail.com > > > Data: 6 de junho de 2012 10:07 > > Assunto: Re: Outras dúvidas sobre Iptables! > > Para: Eden Caldas < edencal...@gmail.com > > > > > > > Muito obrigado pela resposta! > > > > Me perdoe por ter escrito somente pro senhor, segue agora a minha > > resposta ao senhor para todo o forum. Eu fiz a regra no iptables que o > > senhor menciona segue abaixo: > > > > > > wan="eth0" > > int="eth1" > > dmz="eth2" > > rede_int=" 10.0.0.0/8 " > > > > echo "1" > /proc/sys/net/ipv4/ip_forward > > > > e o compartilhamento de toda: > > > > iptables -t nat -A POSTROUTING -s $rede_int -o $wan -j SNAT > > --to-source 200.20.116.52 > > iptables -A FORWARD -i $int -s $rede_int -o $wan -j ACCEPT > > > > poxa, com certeza quando eu informo ao firewall 10.0.0.0/8 eu estou > > informando toda a rede 10 não seria isso mesmo? Acredito que não teria > > a obrigação de informar cada VLAN o senhor não concorda? Mas se então > > se eu não puder declarar o gateway da rede 10.203 como esta interface > > se comunicará com as redes das VLANs? Grande abraço, > > > > Moksha > > -- > Paulo Ricardo Bruck > Consultor Linux > cel 011 9235-4327 tel 011 3596-4881/4882 > http://www.contatogs.com.br > skype: suportecontatogs > > > -- > To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org > Archive: > http://lists.debian.org/811145381.2.1339077292791.javamail.r...@mercurio.contatogs.com.br > >
