Ajuda com estrutura de Rede

1. Ajuda com estrutura de Rede

Leonardo B. Castro
leo.linux

(usa Fedora)

Enviado em 11/09/2007 - 15:27h

Alguem pode me ajudar?

Atualmente tenho uma rede com um roteador CIsco e sem firewall na rede, neste roteador há um NAT onde também tenho uma faixa de 40 IPs cedido pela Embratel. Alguns IP desses uso para redirecionamento atravez de NAT no roteador para os serviços de rede (email, web, vpn). Assim sempre funcionou até hoje.
Agora acontece o seguinte, pretendo colocar um firewall(iptables) na rede ligado diretamente no roteador, e gostaria de saber como vou usar essa faixa de IPs da Embratel neste novo modo de rede. Deixarei como está no cisco? ou será que farei isso no iptables ?

IPs da Embratel: 200.182.xx.01 - 200.182.xx.40
IPs da Rede Local: 192.168.0.1 - 192.168.0.254



--[Roteador]----[Iptables]------[Rede e servicos de rede]


Algo assim que pretendo:

200.182.xx.20 é o IP fora da rede do servidor WEB

através deste IP e desta estrutura acima o trafego teria que chegar no servidor de WEB que está no IP 192.168.0.15(interno).


Desde de já agradeço a ajuda!


  


2. Re: Ajuda com estrutura de Rede

Alexandre Villas
alequimico

(usa Kali)

Enviado em 11/09/2007 - 15:33h

Acho que depende muito da tua máquina que será firewall e do tráfego de rede. Se o tráfego for intenso e tua máquina for pequena, seria interessante deixar como está, ou seja, deixe o roteador dar conta do NAT, deixando para o firewall apenas as regras de filtragem, mas se vc puder dividir essa tarefa com teu firewall, vc desafogará teu roteador pra ser aquilo pra que ele foi desenvolvido... ser roteador!!

[]'s


3. Re: Ajuda com estrutura de Rede

Elgio Schlemer
elgio

(usa OpenSuSE)

Enviado em 11/09/2007 - 15:37h

Olha, se tu suportar a tristeza de aposentar o CISCO, eu sugiro que tu deixes:

Internet ---> Iptables ---> rede interna

Os nats estáticos que tu faz no Cisco (Nat 1:1, 1 Ip público para cada um ip privado) tu faz também no iptables.

A razão é simples: porque por DOIS pontos de rota entre a Internet e as tuas máquinas???


4. Re: Ajuda com estrutura de Rede

Leonardo B. Castro
leo.linux

(usa Fedora)

Enviado em 11/09/2007 - 15:59h

Então, mas caso eu deixe como está o roteador fazendo os NAT, como no Iptables faria esse redirecionamento de serviço para as devidas maquinas?


5. Re: Ajuda com estrutura de Rede

Leonardo B. Castro
leo.linux

(usa Fedora)

Enviado em 11/09/2007 - 16:02h

Quanto sua sugestão Elgio, o Cisco é um 1751, o iptables é um P4 com 1Gb de Ram. Sendo que a rede tem 50 PC e 10 Servidores.
Não sei está maquina aguentaria o trafego de redee que tenho hoje.


6. Exemplo

Elgio Schlemer
elgio

(usa OpenSuSE)

Enviado em 11/09/2007 - 16:04h

Ip PUBLICO: 200.0.0.1
Ip privado que deve ser redirecionado: 192.168.0.1
Interface da Internet: eth0
Interface da Intranet: eth1

iptables -t nat -A PREROUTING -i eth0 -d 200.0.0.1 -j DNAT --to 192.168.0.1
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.1 -j SNAT --to 200.0.0.1



7. Aguenta sim

Elgio Schlemer
elgio

(usa OpenSuSE)

Enviado em 11/09/2007 - 16:06h

Cara, claro que aguenta!!!
Teu link é de quanto?
Se for de até 100Mbps aguenta sem sombra de dúvidas e ainda com filtragens mais elaboradas.


8. Re: Ajuda com estrutura de Rede

Elgio Schlemer
elgio

(usa OpenSuSE)

Enviado em 11/09/2007 - 16:19h

Sabe, sei que contrario interesses dos grandes fabricantes de roteadores, mas no mundo de sw livre, hoje em dia, NINGUEM MAIS precisa deles.

As vantagens de um roteador comercial vão a sua comodidade de instalação, tolerância a falhas. Somente os mais top, capazes de gerenciar links de 1G é que são "tecnicamente" necessários.

Uma máquina Linux com BEM MENOS poder de processamento que esta tua, sem tralhas instaladas (sim, não vai me instalar BD, Maq Virtuais, servidores...) consegue rotear dando risada uma rede ou mais de 100Mbps. Se implementar 802.1q nele então, vira palhaçada!!

Não estou pregando a morte aos roteadores comerciais, não mesmo. Eles tem o seu mercado por conta do suporte, hw dedicado e tolerante a falhas, etc. Mas em uma rede pequena (uma rede grande pra mim seria com milhares de máquinas e link de 1G) não se pode usar o argumento de que um roteador Máquina Linux não aguentaria...


9. Re: Ajuda com estrutura de Rede

Leonardo B. Castro
leo.linux

(usa Fedora)

Enviado em 11/09/2007 - 16:24h

Bom o link aqui é 512 Full.
Alias achei bem mais simples essa dica de retirar o Cisco da Rede, o qual não tenho muita ferramenta de analise de rede embutido.
Neste caso só preciso encontrar um cabo para converter v.35 para ethernet. V.35 é a saida do radio da Embratel.


10. Re: Ajuda com estrutura de Rede

Leonardo B. Castro
leo.linux

(usa Fedora)

Enviado em 11/09/2007 - 16:36h

Alguem já viu esse tipo de cabo? pq cansei de procurar no Google alguma forma de conectar direto do radio(v.35) para a Ethernet do computador e nada


11. Firewall em Bridge?

Elgio Schlemer
elgio

(usa OpenSuSE)

Enviado em 11/09/2007 - 16:38h

Olha, tem uma outra saida também, deveras interessante: configurar o linux para atuar em modo bridge, via bridge-utils.

Assim ele fica "transparente" na rede. Não precisa NEM TER NUMERO IP (vai ter pra tu poder te logar nele).

Ai tu mantém a mesma estrutura, com um Linux no meio so repassando, como toda a bridge faz, pacotes de uma porta para outra. OU Não, pois ai entram os drops...

A vantagem é que tu põe ele, funciona. Tu tira ele, funciona também!

hehehe
Bridge é o mesmo que switch. No caso tu transformaria tua máquina Linus em um Switch de duas portas (duas placas de rede) só para poder filtrar.


12. Re: Ajuda com estrutura de Rede

Elgio Schlemer
elgio

(usa OpenSuSE)

Enviado em 11/09/2007 - 16:48h

Hmmm

Por conta deste cabo, talvez o CISCO deva permanecer.

Nesta linha de raciocínio, poderias deixar o CISCO com as suas mesmas funções, e põe o iptables em modo bridge (para não ter MAIS UM PONTO DE ROTA) na rede interna, já filtrando apenas ips privados (que o CISCO já fez nat).

Por o linux em modo brigde requer instalar o pacote bridge-utils, criar uma interface bridge, adicionar as placas que tu quer nela e bingo. PRonto. Só cuidado que deve usar somente DROP no iptables e jamais REJECT, alem de por as regras no FORWARD.

Para criar a bridge:
ifconfig eth0 down
ifconfig eth2 up

brctl addbr br0

brctl addif br0 eth0
brctl addif br0 eth2
ifconfig eth0 0.0.0.0
ifconfig eth2 0.0.0.0

ifconfig br0 IP-PARA-GERENCIAMENTO

Pronto.
O Linux agora é um mini switch com duas portas e um IP de gerenciamento.



01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts