Como crio uma rota entre placas de rede?

silasmg
(usa Debian)

Enviado em 04/04/2017 - 09:57h

Olá pessoal, preciso de um auxilio pois nunca configurei rotas, nem em roteadores, segue o cenário:

Rede A: 172.16.8.0/24
Rocket M5: 10.0.66.253/24
Server: 172.16.8.254/24

Rede B: 10.0.0.0/8
Rocket M5: 10.0.0.143/8
Server de arquivos e BD: 10.0.0.4/8 Porta: 2638 TCP

Atualmente estas duas redes estão interligadas pelos Rockets M5 em brigde, o que gera muitos problemas já que a rede A tem 50 computadores, e a rede B tem 200. A rede B é uma bagunça total, roteadores mal configurados, dhcp disparando para todos os lados, mascara errada e sabe lá quantas outras redes estão conectando junto, então a solução que encontrei foi adicionar uma placa de rede no server da Rede A (172.16.8.254), este server é o que gerencia a internet e o dhcp da rede A, gostaria de fazer o seguinte:

Todos os computadores da Rede A (172.16.8.0/24) conectem em apenas um computador da Rede B (10.0.0.4/8), e que a Rede B não me mande todo o broadcast da rede deles, preciso do compartilhamento de arquivos do Windows na máquina deles (10.0.0.4) e a porta do Sybase que é a TCP 2638, como posso criar essa rota no servidor da Rede A?

Rede A Server>
eth0 > Rede interna (172.16.8.0/24)
eth1 > PPPOECONF (discador da internet)
eth2 > Rocket M5


Segue firewall do server na Rede A:

#!/bin/sh

### BEGIN INIT INFO

# Provides:          firewall

# Required-Start:    $local_fs $remote_fs $network $syslog

# Required-Stop:     $local_fs $remote_fs $network $syslog

# Default-Start:     2 3 4 5

# Default-Stop:      0 1 6

# Short-Description: Start firewall at boot time

# Description:       Enable service provided by firewall.

### END INIT INFO



iniciar(){

# IP do servidor SQUID

SQUID_SERVER="172.16.8.254"

# Interface que se conecta com a internet

INTERNET="ppp0"

# Interface da rede local

LAN_IN="eth0"

# Porta do SQUID

SQUID_PORT="3128"



# NÃO MODIFIQUE AS LINHAS ABAIXO:

# LIMPAR FIREWALL

iptables -F

iptables -X

iptables -X -t filter

iptables -F -t filter

iptables -t nat -F

iptables -t nat -X

iptables -t mangle -F

iptables -t mangle -X



# CARREGAR MÓDULOS PARA NAT E SUPORTE PARA IP CONTRACK

modprobe ip_conntrack

modprobe ip_conntrack_ftp

modprobe iptable_nat

modprobe tun



# COMPARTILHAMENTO DE INTERNET.

echo 1 > /proc/sys/net/ipv4/ip_forward

echo 1 > /proc/sys/net/ipv4/tcp_syncookies



# DEFINIR POLITICAS DE ACESSO

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT



# ACESSO ILIMITADO AO LOOPBACK

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT



# LIBERAÇÃO DE PORTAS

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 1723 -j ACCEPT

iptables -A INPUT -p tcp --dport 3000 -j ACCEPT

iptables -A INPUT -p tcp --dport 3128 -j ACCEPT

iptables -A INPUT -p tcp --dport 5900 -j ACCEPT

iptables -A INPUT -p tcp --dport 5931 -j ACCEPT

iptables -A INPUT -p tcp --dport 1863 -j ACCEPT

iptables -A INPUT -p udp --dport 1863 -j ACCEPT

iptables -A INPUT -p udp --dport 27015 -j ACCEPT

iptables -A INPUT -p udp --dport 27000 -j ACCEPT

iptables -A INPUT -p tcp --dport 4661 -j ACCEPT

iptables -A INPUT -p udp --dport 4661 -j ACCEPT

iptables -A INPUT -p udp --dport 3306 -j ACCEPT

iptables -A INPUT -p tcp --dport 3306 -j ACCEPT



#bloqueando Ping

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP



# PERMITIR UDP, DNS E FTP PASSIVO

iptables -A INPUT -i $INTERNET -m state --state ESTABLISHED,RELATED -j ACCEPT



# DEFINIR ESTE SISTEMA COMO O ROTEADOR PADRÃO PARA O RESTO DA LAN

iptables --table nat --append POSTROUTING --out-interface $INTERNET -j MASQUERADE

iptables --append FORWARD --in-interface $LAN_IN -j ACCEPT



# ACESSO ILIMITADO PELA LAN

iptables -A INPUT -i $LAN_IN -j ACCEPT

iptables -A OUTPUT -o $LAN_IN -j ACCEPT



# NAT PARA A PORTA 80 SOLICITADA PELA LAN PARA A PORTA DO SQUID 3128 ($SQUID_PORT) PROXY TRANSPARENTE

iptables -t nat -I PREROUTING -p tcp -i $LAN_IN --dport 80 -j REDIRECT --to-port 3128



# REJEITAR O RESTO E CRIAR LOG

iptables -A INPUT -j LOG

iptables -A INPUT -j DROP



echo "Firewall Habilitado"

}

parar(){

iptables -F

iptables -X

iptables -X -t filter

iptables -F -t filter

iptables -t nat -F

iptables -t nat -X

iptables -t mangle -F

iptables -t mangle -X

echo "Firewall desabilidatado"

}

case "$1" in

"start") iniciar ;;

"stop") parar ;;

"restart") parar; iniciar ;;

*) echo "Use os parâmetros start, stop ou restart"

esac 

souzacarlos
(usa Outra)

Enviado em 04/04/2017 - 17:39h

Boa tarde
Existem algumas maneiras de fazer o que vc tá querendo, mas, a primeira pergunta é:
O quanto vc domina a tecnologia que vc está tentando implementar tudo isso? No seu caso Linux + Iptables.
Tudo que vc falou faz bastante sentido sobre broadcast, DHCP e outras coisas mais.

Para criação de rotas existe bastante material inclusive aqui no VOL, caso vc mesmo vá pôr a mão pra fazer recomendo entender como funcionam as métricas, gateway e interface de saída, com isso vc já consegue entender o básico sobre rotas.

Eu tenho recomendado para algumas empresas clientes soluções baseadas em Mikrotik, de forma simples ele tem as mesmas features que um Linux + Iptables te entrega, mais a interface é um pouco mais amigável para aprendizado.

Network Analyst - Consultor para empresas (Mikrotik and Server Linux)
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)

silasmg
(usa Debian)

Enviado em 06/04/2017 - 10:54h

Obrigado pela atenção souzacarlos, meu conhecimento é básico/intermediário, e fui eu mesmo que montei essa solução linux+iptables para a secretaria da saúde, a rede da prefeitura (rede b), eu não tenho permissão para organizar, por isso preciso fechar as coisas por aqui mesmo, como a compra de qualquer equipamento leva em média 5 meses, eu fui em busca de uma solução a curto prazo, a ponto de colocar uma placa de rede PCI-E em um slot 16x, e aparentemente está funcionando, então quero tirar o Rocket M5 que está direto no switch e passar para essa placa de rede, isolando a rede da prefeitura (10.0.0.0/8) e criar essa regra para liberar apenas um IP, aceito sugestões de artigos, em relação a rotas nunca consegui configurar uma rota decentemente, vou pesquisar sobre métricas e gateway para tentar entender o funcionamento, a forma como tenho aprendido aqui é pegar artigos ou scripts e adaptar para as minhas necessidades, já fui bem longe, tenho proxy, compartilhamento no samba, iptables, monitoramento de rede, o linux revolucionou a minha rede aqui, é uma pena que na prefeitura o pessoal "das antigas" não se interessa em aprender mais e melhorar o lado de lá.

souzacarlos
(usa Outra)

Enviado em 06/04/2017 - 16:03h

Boa tarde
Tranquilo, teu pensamento está correto em relação ao M5 na placa PCI-E. Tem meus contatos abaixo, precisando chama lá, mas dá uma pesquisada sobre o que falei sobre rotas.
Mas dá uma olhada nessa rota abaixo que vc vai entender perfeitamente

route add -net 192.168.100.0 netmask 255.255.255.224 dev tun0


Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)