Roteamento no debian [RESOLVIDO]

betolinuxx
(usa Debian)

Enviado em 04/07/2011 - 13:39h

Olá Amigos , sou novo por aqui e gostaria da ajuda de vocês , montei um servidor debian com duas placas de rede eth0 e eth1 , então a eth0 recebe dhcp do modem roteador ( 10.1.1.1) , ficando com o ip 10.1.1.2 . minha outra placa de rede eth1( 192.168.1.1) distribui a rede para as estações locais ( configurei nesta placa o dhcpd.conf para distribuir os ips. pois bem, o meu problema é exatamente fazer esse roteamento , ou seja fazer com que as estações (que estão na rede 192.168.1.0) , acessem a internet pigando a rede 10 , eu habilitei o ip_forward no sysctl.conf e nada , também dei um echo 1 > /proc/sys/net/ipv4/ip_forward também nada , lembrando que eu nao tenho regras no iptables que fazem esse roteamento , meu firewall esta zerado sem regras , o que eu faço para resolver esse problema e fazer com que minha estações acessem a rede 10 e consequênyemente a net??

minha rede


[modem/roteador]--(rede)10.x.x.x--[servidor debian]---(rede)192.168.1.0 DHCP----[CORE]----(SWITCH SALAS]--------estações( rede 192.168.1.0)

eritonalmeida
(usa Debian)

Enviado em 04/07/2011 - 13:46h

roteamento é simples.
#Redirecionar pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward
#Mascarar pacotes(NAT)
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

betolinuxx
(usa Debian)

Enviado em 04/07/2011 - 13:59h

Então , como eu sou bastante acostumado a trabalhar com firewall proprietário , teria como me explicar cada detalhe da regra e o que ele esta fazendo , realmente é somente falta de prática e tempo para estudar essas regras do ipfilter ( uma falha minha confesso ). nao entendo o porque de nao funcionar apenas setando 1. enfim.

eritonalmeida
(usa Debian)

Enviado em 04/07/2011 - 14:22h

vc conhece NAT?

iptables: aplicativo que manipula regras do firewall netfilter

-t nat: indica a tabela nat

-A POSTROUTING: insere a regra no inicio da cadeia

-o eth0: saindo pela interface eth0

-j MASQUERADE: ação marcarar, ou seja mudar a origem do pacote para 10.1.1.2 e criar uma conexão com o destino

http://www.netfilter.org/documentation/HOWTO/pt/NAT-HOWTO.html

betolinuxx
(usa Debian)

Enviado em 04/07/2011 - 15:53h

Claro que conhece nat né? só preciso saber como ele funciona . então , ele funciona como um nat mesmo né? quando você coloca -t POSTROUTING ( no inicio ) significa a regra que vem aicma né? , quando vc especificou -o eth0 ( saindo) é a interface externa, ok??rede 10 e o outro comando -j MASQUERADE , como assim mudar a origem do pacote?? de onde sai?? se puder me sanar isso , acho que consigo resolver

eritonalmeida
(usa Debian)

Enviado em 04/07/2011 - 16:12h

Digamos que 192.168.1.10 pede uma pagina para o servidor do google.
Quando passar pelo modem ele troca o IP de origem para 200.1.2.3, como se ele que tivesse pedindo a pagina.
Quando vir a resposta ele repassa para 192.168.1.10.
Se o modem não fizesse isso o servidor do google nunca ia conseguir entregar a pagina para 192.168.1.10.

seu modem 10.1.1.1 não conhece a rede 192.168.1.0. Seu Debian (10.1.1.2) precisa mudar o IP dos pacotes quem vem da rede 192.168.1.0, senão o modem não consegue repassar as requisiçãoes.

entendeu?

betolinuxx
(usa Debian)

Enviado em 04/07/2011 - 17:14h

Perfeito cara , muito bom .se tiver algum tutorial legal do iptables me manda , ficaria agradecido.

até mais

jairovisks
(usa Debian)

Enviado em 04/07/2011 - 17:16h

Para entender como funciona o iptables e o que faz cada opção dá uma olhada aqui:

http://www.guiafoca.org/?page_id=14

ou pelo comando #man iptables

abs

betolinuxx
(usa Debian)

Enviado em 04/07/2011 - 17:17h

outra coisa , e ultima , srsr, eu tenho um arquivo .sh , script do firewall , ja esta preconfigurado , só falto olhar esse detalhes , vc sabe onde jogo ele para que toda vez que a maquina reinicializar suba o firewall , é dentro do init.d ou de algum rc.local???

abraços !

jairovisks
(usa Debian)

Enviado em 04/07/2011 - 17:32h

Na verdade os dois modos vão funcionar.
O rc.local é executado sempre que a máquina inicializa em todos os runlevels... caso queira criar um scrip separado você pode fazer de duas formas:

1º - coloca dentro do rc.local uma chamada para seu script (em diretório de sua escolha)
2º - cria um link simbólico dentro do diretório /etc/rcx.d/ com o padrão de nome Syy<nome>, onde:

- x = número do runlevel que deseja iniciar essas regras
- S = indica que o arquivo será iniciado
- yy = é a prioridade de inicialização durante o boot
- <nome> = nome do script que vc criou XD

por exemplo:
(saída do comando ls -l no diretório /etc/rc2.d/)
lrwxrwxrwx 1 root root 17 Abr 4 16:45 S19apache2 -> ../init.d/apache2

o link S19apache2 inicia o script /etc/init.d/apache2, com prioridade de inicialização 19.

Obs.: Eu particularmente gosto de colocar todas as regras do meu iptables dentro do arquivo rc.local (isso é questão de preferência.. XD)

Att,

eritonalmeida
(usa Debian)

Enviado em 04/07/2011 - 17:33h

coloca no diretorio /etc/init.d e dá o comando update-rc.d script.sh defaults

jairovisks
(usa Debian)

Enviado em 04/07/2011 - 17:36h

A dica do eritonalmeida faz de forma automática o segundo método que expliquei acima.

Lembrando que o update-rc.d é utilizado em distros debian like (no red hat também tem, mas não lembro o nome...rs)

abs