Roteamento de Link [RESOLVIDO]

1. Roteamento de Link [RESOLVIDO]

Adailton Lopes
Djhony

(usa Debian)

Enviado em 24/06/2014 - 11:38h

Bom Dia,

Tenho um problema de roteamento de link, horas roteia pelo link dedicado configurado na eth1, horas roteia pelo modem da net, linkado num router linksys com ip fixo final 0.3,conectado no switch,não sei como ele faz esse roteamento, uso olink somente para vpns, agora ele começou a rotear para as maquinas da empresa, e o link da net acaba ficando sem uso, pois não sei se é alguma regra que tem o firewall Debian,minha máquina que se encontra na regra de acesso full, navega pela Net, agora as máquinas da empresa que estão no AD, sem chance, por favor me ajudem, obrigado.


  


2. Re: Roteamento de Link [RESOLVIDO]

Carlos Alberto de Souza Barbosa
souzacarlos

(usa Outra)

Enviado em 24/06/2014 - 14:17h

Boa tarde.

Tem como ajudar sim, primeiro teria como vc postar tuas regras de firewall? vamos tentar identificar as coisas a parti dai entendeu.

Obs: Você algum proxy para sair pra internet?

aguardo.


3. iptables

Adailton Lopes
Djhony

(usa Debian)

Enviado em 24/06/2014 - 15:48h

minhas regras estão assim, espero que ajude, outra coisa uso sim um proxy que é uma outra máquina separada, mas é virtual, se precisar de alguma outra coisa me avise Carlos.
fwmt:/etc# vim iptables.up.rules
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth2 -j MASQUERADE
-A PREROUTING -p tcp -m tcp -i eth1 --dport 3390 -j DNAT --to-destination 192.168.0.220:3389
-A PREROUTING -p tcp -m tcp -i eth1 --dport 3391 -j DNAT --to-destination 192.168.0.20:3389
-A PREROUTING -p tcp -m tcp -i eth1 --dport 3393 -j DNAT --to-destination 192.168.0.100:3389
-A PREROUTING -p tcp -m tcp -i eth1 --dport 3394 -j DNAT --to-destination 192.168.0.102:3389
-A PREROUTING -p tcp -m tcp -i eth1 --dport 3395 -j DNAT --to-destination 192.168.0.230:3389
-A PREROUTING -p tcp -m tcp -i eth2 --dport 3389 -j DNAT --to-destination 192.168.0.220:3389
-A PREROUTING -p tcp -m tcp -s 50.30.37.46 -i eth2 --dport 1433 -j DNAT --to-destination 192.168.0.253:1433
-A PREROUTING -p tcp -m tcp -s 50.30.37.46 -i eth2 --dport 1433 -j DNAT --to-destination 192.168.0.249:1433
-A PREROUTING -p tcp -m tcp -s 50.30.37.46 -i eth1 --dport 1433 -j DNAT --to-destination 192.168.0.253:1433
-A PREROUTING -p tcp -m tcp -s 50.30.37.46 -i eth1 --dport 1433 -j DNAT --to-destination 192.168.0.249:1433
-A PREROUTING -p tcp -m tcp -s 187.37.49.56 -i eth1 --dport 1433 -j DNAT --to-destination 192.168.0.253:1433
-A PREROUTING -p tcp -m tcp -s 191.183.41.149 -i eth1 --dport 1433 -j DNAT --to-destination 192.168.0.253:1433
COMMIT
# Completed on Fri Feb 10 09:52:39 2012
# Generated by iptables-save v1.4.8 on Fri Feb 10 09:52:39 2012
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -s 192.168.0.20 -j ACCEPT
-A PREROUTING -s 192.168.0.220 -j ACCEPT
-A PREROUTING -s 192.168.0.253 -j ACCEPT
-A PREROUTING -s 192.168.0.249 -j ACCEPT
-A PREROUTING -s 192.168.0.238 -j ACCEPT
-A PREROUTING -s 192.168.0.252 -j ACCEPT
-A PREROUTING -s 192.168.0.106 -j ACCEPT
-A PREROUTING -s 192.168.0.104 -j ACCEPT
-A PREROUTING -s 192.168.0.230 -j ACCEPT
-A PREROUTING -s 192.168.0.160 ! -d 192.168.0.0/16 -i eth0 -j MARK --set-xmark 0x1/0xffffffff
-A PREROUTING -s 192.168.0.253 ! -d 192.168.0.0/16 -i eth0 -j MARK --set-xmark 0x1/0xffffffff
-A PREROUTING -s 192.168.0.252 ! -d 192.168.0.0/16 -i eth0 -j MARK --set-xmark 0x1/0xffffffff
-A PREROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/16 -i eth0 -j MARK --set-xmark 0x1/0xffffffff
-A PREROUTING -s 192.168.0.249 ! -d 192.168.0.0/16 -i eth0 -j MARK --set-xmark 0x1/0xffffffff
-A PREROUTING -s 192.168.0.156 ! -d 192.168.0.0/16 -i eth0 -j MARK --set-xmark 0x1/0xffffffff
-A PREROUTING -s 192.168.0.100 ! -d 192.168.0.0/16 -i eth0 -j MARK --set-xmark 0x1/0xffffffff
COMMIT
# Completed on Fri Feb 10 09:52:39 2012
# Generated by iptables-save v1.4.8 on Fri Feb 10 09:52:39 2012
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -s 50.30.37.46 -j ACCEPT
-A FORWARD -s 192.168.0.20 -j ACCEPT
-A FORWARD -s 192.168.0.100 -j ACCEPT
-A FORWARD -s 192.168.0.101 -j ACCEPT
-A FORWARD -s 192.168.0.102 -j ACCEPT
-A FORWARD -s 192.168.0.105 -j ACCEPT
-A FORWARD -s 192.168.0.107 -j ACCEPT
-A FORWARD -s 192.168.0.108 -j ACCEPT
-A FORWARD -s 192.168.0.109 -j ACCEPT
-A FORWARD -s 192.168.0.200 -j ACCEPT
-A FORWARD -s 192.168.0.237 -j ACCEPT
-A INPUT -s 177.140.171.243 -j ACCEPT
-A FORWARD -s 192.168.0.247 -j ACCEPT
-A FORWARD -s 192.168.0.249 -j ACCEPT
-A FORWARD -s 192.168.0.252 -j ACCEPT
-A FORWARD -s 192.168.0.253 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 192.168.0.215 --sport 8080 -j ACCEPT
-A FORWARD -s 192.168.0.199 -j ACCEPT
-A FORWARD -s 189.120.183.239 -j ACCEPT
-A FORWARD -s 192.168.0.114 -j ACCEPT
-A FORWARD -s 192.168.0.118 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 192.168.0.230 --dport 80 -j DROP
-A FORWARD -p tcp -m tcp -s 192.168.0.240 --dport 80 -j DROP
-A FORWARD -p tcp -m tcp -s 192.168.0.241 --dport 80 -j DROP
-A FORWARD -p tcp -m tcp -s 192.168.0.243 --dport 80 -j DROP
-A OUTPUT -p tcp -m tcp -o eth1 --sport 10000 -j DROP
-A FORWARD -p tcp -m tcp -s 192.168.0.242 --dport 80 -j DROP
-A FORWARD -p tcp -m tcp -s 192.168.0.244 --dport 80 -j DROP
-A FORWARD -p tcp -m tcp -s 192.168.0.245 --dport 80 -j DROP
-A FORWARD -p tcp -m tcp -s 192.168.0.246 --dport 80 -j DROP
-A FORWARD -p tcp -m tcp -s 192.168.0.249 --dport 80 -j DROP
-A FORWARD -p tcp -m tcp --dport 80 -j DROP
COMMIT



4. Re: Roteamento de Link [RESOLVIDO]

Buckminster
Buckminster

(usa Debian)

Enviado em 24/06/2014 - 18:46h

Bom, de cara posso dizer que essas duas regras

-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth2 -j MASQUERADE

estão compartilhando tudo da eth1 com todas as outras placas no servidor e tudo da eth2 com todas as outras placas no servidor.
Se os dois links estão no mesmo switch isso pode causar essa confusão de conexões.

Se tu quer continuar com essa topologia então deve definir rotas específicas para cada link dentro de cada faixa de IP das placas de rede eth1 e eth2, que são por onde entram os links.


5. Re: Roteamento de Link [RESOLVIDO]

Carlos Alberto de Souza Barbosa
souzacarlos

(usa Outra)

Enviado em 25/06/2014 - 13:49h

Faz sentido...

Aguardamos vc definir melhor sua topologia, pq tem que ser neste formato, não poderia trb de outra forma?


6. Firewall Debian

Adailton Lopes
djhony

(usa Debian)

Enviado em 26/06/2014 - 09:08h

Bom Dia,
Desculpe minha falta de conhecimento, mas o que posso lhe dizer é que nesse firewall, eu tenho 3 placas de rede, 2 on board e uma off, sendo que a eth0 é meu gateway final 254 da rede, a eth1 é o link dedicado configurado com o ip fixo, tudo blz, a eth2 atualmente está sem uso, pois futuramente vai receber outro link com ip fixo, para ficar de backup desse link dedicado, eu só não sei como ele faz esse roteamento atual, pois a eht0 está ligado num switch e junto nesse mesmo switch o router linksys que por sua vez está ligado o modem da net. Não sei se era isso que vcs precisavam saber, mas é dessa maneira que se encontra hoje.


7. Re: Roteamento de Link [RESOLVIDO]

Buckminster
Buckminster

(usa Debian)

Enviado em 27/06/2014 - 03:46h

djhony escreveu:

Bom Dia,
Desculpe minha falta de conhecimento, mas o que posso lhe dizer é que nesse firewall, eu tenho 3 placas de rede, 2 on board e uma off, sendo que a eth0 é meu gateway final 254 da rede, a eth1 é o link dedicado configurado com o ip fixo, tudo blz, a eth2 atualmente está sem uso, pois futuramente vai receber outro link com ip fixo, para ficar de backup desse link dedicado, eu só não sei como ele faz esse roteamento atual, pois a eht0 está ligado num switch e junto nesse mesmo switch o router linksys que por sua vez está ligado o modem da net. Não sei se era isso que vcs precisavam saber, mas é dessa maneira que se encontra hoje.


Se a eth2 está sem uso, comente todas as regras nas quais ela é mencionada no teu script de firewall, reinicie o Iptables e teste.
Vamos começar daí.

E aqui:

"...horas roteia pelo link dedicado configurado na eth1, horas roteia pelo modem da net,..."

o que tu quer dizer com "roteia"?


8. Roteamento de Links

Adailton Lopes
djhony

(usa Debian)

Enviado em 27/06/2014 - 09:17h

Bom Dia, Buckminster!

O que eu quero dizer, é que tem horas me parece que o pessoal navega pela internet pela net outra hora pelo link dedicado, mas descobri o que está acontecendo é que todos que estão no proxy squid que é uma maquina(virtual) separada desse firewall que tem essas regras, estão navegando pelo link dedicado de apenas 2 mb, e a net de 30 mb está praticamente sem uso, pois só quem tem acesso full na regra do firewall está navegando pela net, se puder me ajudar agradeço, não consigo resolver isso, obrigado!


9. Re: Roteamento de Link [RESOLVIDO]

Buckminster
Buckminster

(usa Debian)

Enviado em 27/06/2014 - 18:17h

Bom, se a eth2 está sem uso (desconectada) e estão funcionando somente a eth0 (rede interna) e a eth1 (link dedicado), é lógico que irá funcionar somente o link dedicado.

Agora, se com estar "sem uso" você quer dizer que a eth2 está conectada, mas a banda não está sendo ocupada, então tu deve verificar as regras do proxy e tu deverá fazer o roteamento dos links e definir as rotas para cada link em sua placa de rede de acordo com o endereço de rede de cada link.


E aqui:
"pois a eht0 está ligado num switch e junto nesse mesmo switch o router linksys que por sua vez está ligado o modem da net. Não sei se era isso que vcs precisavam saber, mas é dessa maneira que se encontra hoje."

Veja bem, se tu tem 3 placas de rede no servidor e dois links de entrada, então tua topologia acredito que ficará melhor assim:

eth0 = rede interna --> conectada no switch;
eth1 = link dedicado --> conectada no modem/roteador do link dedicado e
eth2 = Net --> conectada no modem/roteador da Net.

Dessa forma os dois links entram um pela eth1 e outro pela eth2 e saem para a rede interna pela eth0.
No firewall tu faz o roteamento com marcação de pacotes definindo qual ou quais máquinas ou redes irão utilizar qual link.

Seguem links para te auxiliar, leia para entender a lógica da coisa e adapte para você:

http://marciojose.blogspot.com.br/2011/03/roteamento-de-dois-links-com-marcacao.html

http://blog.gustavohenrique.net/2008/12/roteamento-em-linux-com-2-links-de-internet/

http://www.vivaolinux.com.br/artigo/Firewall-Linux-Roteamento-avancado-usando-iproute2-e-iptables-(l...

Ou instala o Endian Firewall que vem com interface gráfica.


10. Roteamento de Links

Adailton Lopes
djhony

(usa Debian)

Enviado em 30/06/2014 - 09:27h

Bom Dia, Buckminster!

Desculpe pelas dúvidas, mas o motivo de estar usando o router junto como modem net, é porcausa do balance que posso alterar a qualquer momento pois caso a net pare posso usar um speedy que tenho na sobra, pois esse router tem entrada para 2 links, então quando um link para somente troco o roteamento pelo link que esta funcionando, via browser acesso o router linkys e troco de link, mas o que realmente gostaria de saber é por onde que está configurado, a saída do link pelo squid, pois todas as máquinas que estão no proxy,que é uma maquina virtual, estão saindo pelo link dedicado, sendo que o correto seria pela net através desse router linksys, estou enviando as confs, do arquivo rt_tables e do rc.local, com certeza deve ter algo errado, só lembrando que meu firewall tem ip final 254 maq fisica, e meu proxy squid final 252 maq virtual, por acaso tem alguma conf no squid que aponte por onde os usuários que estão configurados na regra dele navegue pela internet? onde fica configurado no squid por qual link ele navegara esses usuários, se puder me ajudar eu agradeço. Pois quem fez essas confs, não trabalha mais na empresa e também não quis passar nada sobre as confs, não sou nenhum expert no assunto, mas se tiver pelo menos um caminho para começar, consigo me virar, obrigado.

arquivo rt_tables no servidor 254
#
# reserved values
#
255 local
254 main
253 default
0 unspec


200 balance

#
# local
#
#1 inr.ruhep
~-------------------------------------------------------
arquivo rc.local no servidor 254


#route add -net 201.27.20.60 netmask 255.255.255.255 gw 189.109.26.185
#route add -net 201.27.12.129 netmask 255.255.255.255 gw 189.109.26.185
#route add -net 200.158.217.156 netmask 255.255.255.255 gw 189.109.26.185
#route add -net 186.215.149.61 netmask 255.255.255.255 gw 189.109.26.185


#IP VALIDOS
#ALPHA 200.168.151.69
#SANTOS 200.232/180.27
#CAMPINAS 177.43.213.2
#TABOAO 201.27.20.60
#VILA 201.27.12.129
#CHACARA 200.158.217.156
#ABCD 186.215.149.61



#rede Sto-Antonio
#route add -net 192.168.6.0/24 gw 10.0.6.2

#rede santos
#route add -net 192.168.4.0/24 gw 10.0.5.2

#rede Campinas
#route add -net 192.168.5.0/24 gw 10.0.4.2

#rede Alpha
#route add -net 192.168.3.0/24 gw 10.0.3.2

#rede taboao
#route add -net 192.168.7.0/24 gw 10.0.2.2

#rede Vila
#route add -net 192.168.2.0/24 gw 10.0.1.2

#rede ABCD
#route add -net 192.168.9.0/24 gw 10.0.0.2

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

exit 0




11. Re: Roteamento de Link [RESOLVIDO]

Buckminster
Buckminster

(usa Debian)

Enviado em 01/07/2014 - 06:18h

rquivo rc.local no servidor 254

#route add -net 201.27.20.60 netmask 255.255.255.255 gw 189.109.26.185
#route add -net 201.27.12.129 netmask 255.255.255.255 gw 189.109.26.185
#route add -net 200.158.217.156 netmask 255.255.255.255 gw 189.109.26.185
#route add -net 186.215.149.61 netmask 255.255.255.255 gw 189.109.26.185

#IP VALIDOS
#ALPHA 200.168.151.69
#SANTOS 200.232/180.27
#CAMPINAS 177.43.213.2
#TABOAO 201.27.20.60
#VILA 201.27.12.129
#CHACARA 200.158.217.156
#ABCD 186.215.149.61

#rede Sto-Antonio
#route add -net 192.168.6.0/24 gw 10.0.6.2

#rede santos
#route add -net 192.168.4.0/24 gw 10.0.5.2

#rede Campinas
#route add -net 192.168.5.0/24 gw 10.0.4.2

#rede Alpha
#route add -net 192.168.3.0/24 gw 10.0.3.2

#rede taboao
#route add -net 192.168.7.0/24 gw 10.0.2.2

#rede Vila
#route add -net 192.168.2.0/24 gw 10.0.1.2

#rede ABCD
#route add -net 192.168.9.0/24 gw 10.0.0.2

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

exit 0


Veja que as rotas aí em cima estão todas comentadas, ou seja, não tem rota nenhuma definida... mas até aí tudo bem. Não tem a ver com teu problema com a navegação do Squid.

Defina uma rota no arquivo acima, mais ou menos assim:

route add -net ip_do_proxy netmask mascara_da_rede_do_proxy gw ip_do_link_que_tu_quer

Mas antes fala, teu Squid é transparente ou autenticado?


12. Roteamento de Links

Adailton Lopes
djhony

(usa Debian)

Enviado em 02/07/2014 - 09:09h

Bom Dia,

Se for aquela autenticação na máquina do usuário com login e senha, é autenticado sim, isso resolveria meu problema com a rota do squid? Essa regra eu adiciono no meu firewall ip 254, nesse arquivo rc.local, no meu proxy squid final 252, eu não preciso alterar nada correto! Mais uma dúvida o meu router linksys tem um ip 192.168.0.3, e o modem da net como é roteavel o ip fica assim 192.168.0.11, e o gw 192.168.0.1, como ficaria essa regra no arquivo rc.local?

route add -net 192.168.0.252 netmask 255.255.255.0 gw 192.168.0.1
ip do proxy mask proxy gw modem net - pois o mesmo é roteavel

Desculpe quando copiei o arquivo rc.local não vi que tinha mais coisas nele, agora está completo, tem sim umas regras nele sim, espero que possa me ajudar a resolver esse problema, me desculpe pelas dúvidas.

arquivo rc.local
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

ip route show table balance

ip route add default dev eth0 via 192.168.0.3 table balance

ip rule add fwmark 1 lookup balance

ip route flush cached

#echo nameserver 201.6.2.153 > /etc/resolv.conf

#route add -net 8.8.4.4 netmask 255.255.255.0 gw 192.168.0.1


#route add -net 200.168.151.69 netmask 255.255.255.255 gw 189.109.26.185
#route add -net 200.232.180.27 netmask 255.255.255.255 gw 189.109.26.185
#route add -net 177.43.213.2 netmask 255.255.255.255 gw 189.109.26.185
#route add -net 201.27.20.60 netmask 255.255.255.255 gw 189.109.26.185
#route add -net 201.27.12.129 netmask 255.255.255.255 gw 189.109.26.185
#route add -net 200.158.217.156 netmask 255.255.255.255 gw 189.109.26.185
#route add -net 186.215.149.61 netmask 255.255.255.255 gw 189.109.26.185


#IP VALIDOS
#ALPHA 200.168.151.69
#SANTOS 200.232/180.27
#CAMPINAS 177.43.213.2
#TABOAO 201.27.20.60
#VILA 201.27.12.129

#rede Sto-Antonio
#route add -net 192.168.6.0/24 gw 10.0.6.2

#rede santos
#route add -net 192.168.4.0/24 gw 10.0.5.2

#rede Campinas
#route add -net 192.168.5.0/24 gw 10.0.4.2

#rede Alpha
#route add -net 192.168.3.0/24 gw 10.0.3.2

#rede taboao
#route add -net 192.168.7.0/24 gw 10.0.2.2

#rede Vila
#route add -net 192.168.2.0/24 gw 10.0.1.2

#rede ABCD
#route add -net 192.168.9.0/24 gw 10.0.0.2

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

exit 0




01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts