regra para separar duas redes

jeandias
(usa Debian)

Enviado em 22/01/2008 - 15:11h

iae galera..
e o seguinte: tenho um servidor aki com duas placa de rede,

eth0 192.168.0.0
eth1 192.168.1.0

na eth0 chega a internet velox. e tem umas maquians da area administrativa.

na eth1 e so para outros setores.

so que quando eu estou na rede da eth1 eu consigo acessar as maquinas da rede da eth0.. alguem sabe me dizer uma regra para bloquear nesse caso\;

valew...

cassimirinho
(usa Ubuntu)

Enviado em 22/01/2008 - 15:19h

Acredito que se você usar máscaras diferentes resolverá.
Por exemplo as redes do tipo "administrativos" com ip 10.1.1.x e máscara 255.0.0.0 para eth0 e as redes do tipo "almoxarifado" com ip 192.168.1.x e máscara 255.255.255.0 para eth1.

Não sei se era isso que você queria, e nem sei ao certo como estão configurados os computadores fisicamente.

jeandias
(usa Debian)

Enviado em 22/01/2008 - 17:27h

bixo. seria uma solucao mesmo. mas ai ao adicionar no meu dhcpd.conf deu o seguinte problema:

srvnet:~# dhcpd eth0
Internet Software Consortium DHCP Server 2.0pl5
Copyright 1995, 1996, 1997, 1998, 1999 The Internet Software Consortium.
All rights reserved.
Please contribute if you find this software useful.
For info, please visit http://www.isc.org/dhcp-contrib.html
Address range 10.1.1.0 to 10.1.1.20 not on net 10.1.1.0/255.0.0.0!
exiting.

srvnet:~# vi /etc/dhcpd.conf
default-lease-time 2592000;
max-lease-time 36000;
option domain-name "servidor.sindcom";
subnet 192.168.254.0 netmask 255.255.255.0 {
range 192.168.254.10 192.168.254.100;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.254.255;
option routers 192.168.254.44;
option domain-name-servers 200.165.132.147,200.165.132.155;
option netbios-name-servers 192.168.254.44;
}
subnet 10.1.1.0 netmask 255.0.0.0 {
range 10.1.1.1 10.1.1.20;
option subnet-mask 255.0.0.0;
option broadcast-address 10.1.1.255;
option routers 10.1.1.44;
option domain-name-servers 200.165.132.147,200.165.132.155;
option netbios-name-servers 10.1.1.44;
}

as interfaces:

eth0 192.168.254.0
mascara 255.255.255.0

eth1 10.1.1.0
mascara 255.0.0.0

removido
(usa Nenhuma)

Enviado em 22/01/2008 - 17:42h

192.168.0.0 e 192.168.1.0 já são redes diferentes, e não se enxergam, se estiverem com a máscara padrão...

cassimirinho
(usa Ubuntu)

Enviado em 22/01/2008 - 19:03h

Aí já não sei, foi só uma sugestão que poderia tentar.

jeandias
(usa Debian)

Enviado em 22/01/2008 - 19:26h

encherga sim rodrigo. eu fiz o teste aki. so nao sei te explicar o porque...

elgio
(usa OpenSuSE)

Enviado em 22/01/2008 - 19:44h

Veja se eu ENTENDI!

Vamos chamar a eth0: rede Velox
A eth1 rede Interna.
na rede Velox tem umas máquinas administrativas.

A maquina com duas placas de rede é gateway? Proxy? Das máquinas da rede Interna?

Então, se o cenário for este, tu quer que as máquinas da rede Interna continuem acessando a Internet, via máquina com 2 placas, mas que elas não tenham acesso às máquinas que estão na rede eth0. É isto?

Se for tudo se resume a regras de firewall.
Se a máquina com duas placas for GATEWAY, então basta colocar a seguinte regra:

iptables -A FORWARD -i eth1 -o eth0 -d IPSERV -j DROP

Por IPSERV coloque TODA a faixa de ips dos servidores, ou seja, toda a rede eth0. SE ELE FOR GATEWAY isto não vai impedir o acesso a Internet, mas se ele fizer NAT ai o cenário muda.

davirodrigues
(usa Debian)

Enviado em 23/01/2008 - 14:40h

Xiiii! quero ver essa solução...!

Bom, eu acho, que se podesse colocar um regra pra bloquear somente o acesso as máquinas da rede, bloquando os ip's, acho que resolveria.

não sei bem se daria certo assim, mais, vai a dica:

iptables -A FORWARD -s REDE_INTERNA -d REDE_VELOX -j DROP

jeandias
(usa Debian)

Enviado em 23/01/2008 - 15:55h

daviro. tinha tenta isso já, e funcionou. as redes ficaram distintas. so q ai internet nao funcionava nos clientes.

davirodrigues
(usa Debian)

Enviado em 23/01/2008 - 16:23h

Bom então...libera só a porta da internet

iptables -A FORWARD -p TCP --dport 80 -s REDE_INTERNA -j ACCEPT

marcosmiras
(usa CentOS)

Enviado em 23/01/2008 - 16:49h

Essa é boa...
Teoricamente se tenho uma rede 192.168.0.1/255.255.255.0 ela só irá enchergar as rede 192.168.0.0, mas como existe um fantasma aí, a dica do Davi ajuda...