Servidor + 8 Placas de rede + Compartilhamento internet = Dor de cabeça

markitobc
(usa Fedora)

Enviado em 11/08/2009 - 17:52h

Boa Tarde!
Estou com um problema digamos grande, sou iniciante em linux e de cara peguei um servidor proxy/firewall para montar, já li muita coisa na internet, já consegui até faze-lo rodar, mais surgiu um problema, estou tentando compartilhar a internet com os seguintes comandos (Uso fedora 11):
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth8 -j MASQUERADE "eth8 esta ligada ao modem roteado"
configuro a placa eth0 com o seguinte comando:
ifconfig eth0 192.168.1.1 netmask 255.255.255.0
vou na maquina cliente que esta com o windows server 2003 e configuro da seguinte maneira:
Ip 192.168.1.10
mas 255.255.255.0
Gateway 192.168.1.1
dns os da brasil telecom SC
até ai funciona, quando tento configurar a eth1 seguindo a mesma linha de raciocinio, claro mudando os ips não funciona mais nada.... peço ajuda dos amigos com esse problemão... obrigdo

allanbarcelos
(usa Debian)

Enviado em 12/08/2009 - 07:38h

Da uma olhada neste artigo: http://www.gdhpress.com.br/servidores/leia/index.php?p=cap2-1

Mas o legal é configurar as placas de rede interna depois a externa(internet) e por fim o compartilhamento, da certinho!!! mas da uma olhada neste artigo ele é ótimo!

gesousa
(usa Ubuntu)

Enviado em 12/08/2009 - 10:11h

Só uma pergunta, as 8 placas de rede serão usadas para dividir a rede em sub redes com regras diferetentes ou todas elas usarão o mesma faixa de ip?

E qual a sua distribuição??

markitobc
(usa Fedora)

Enviado em 12/08/2009 - 11:42h

Obrigado pela ajuda primeiramente, vou responder os dois usuarios que me deram inforamação:
Allanarab --> eu li esse artigo é muito bom mesmo, estou até pensando em comprar este livro, em relação a configurarar a interface eth0 primeiro já tentei acontece a mesma coisa... estou usando o fedora core 11, estou pensando que pode ser algo dessa distribuição e estou querendo mudar para o ubuntu, o que vc acha?
Gesousa --> a distribuição que uso é Fedora, em relação as placas de rede vou usar a mesma faixa de ip só que fazer controle de sites liberados com squid e liberar quase tudo para os gerentes.... mais a faixa de ip sera a mesma.... estou usando eth0 192.168.1.1 eth1 192.168.1.2 eth2 192.168.1.3 e a eth8 que tem a conexão internet esta pegando ip do modem dhcp.....

gesousa
(usa Ubuntu)

Enviado em 12/08/2009 - 12:51h

No seu caso acho mais facil criar então uma bridge entre as interfaces eth0 .... eth7 assim vc só precisa configurar a br0 com o ip ...

yum -install bridge* -y

depois digita:

brctl addbr br0
brctl addif br0 eth0
brctl addif br0 eth1
brctl addif br0 eth2
brctl addif br0 eth3
brctl addif br0 eth4
brctl addif br0 eth5
brctl addif br0 eth6
brctl addif br0 eth7
ip link set br0 up

fconfig br0 192.168.1.1 netmask 255.255.255.0

isso basicamente fará que todas as placas sejam reconhecidas pelo ip 192.168.1.1

lembre-se as placas devem está configurada com o ip 0.0.0.0

ifconfig eth0 0.0.0.0

markitobc
(usa Fedora)

Enviado em 12/08/2009 - 14:46h

Gesousa --> ta digamos que eu faça isso, não vai influenciar nas regras do squid neh? pq dai bloqueio por ip de usuario certo? e no caso digamos que na eth0 tenha um servidor Banco de dados com winserver2003 e na eth3 um maquina cliente que tanha que acessar o banco de dados, tb não vai influenciar né?
Obrigado

gesousa
(usa Ubuntu)

Enviado em 12/08/2009 - 15:11h

Não irá influenciar o bridge (ponte) nada mais faz do que ligar diretamente todas as interfaces, ou seja o trafego entre elas seria direto de forma transparente como no caso de um switch ... o que vc está fazendo é criar um interface virtual que distribui para todas as placas de rede fora a eth8 ...

ex:

eth8 -> gateway -> br0 -> rede interna (eth0...eth7)

no seu caso eu até acho mais pratico em vez de 8 placas de rede utilizar um switch,o que ocorre é que o seu uso será especifico apenas para usar o squid de forma que as placas nada mais farão do que conectar aos computadores da rede como se este funciona-se como um roteador pelo que eu entendi... portanto a solução mais pratica seria a utilização de bridge, no caso vc pode ainda adicionar o eth8 criando assim uma unica interface a qual o squid ouviria, mas ai vc perde a opção de firewall por isso e que não coloquei tal opção...

normalmente vc usa placa de rede quando quer criar regras de firewall especificas, assim por exemplo dá para blindar o servidor de qualquer acesso externo bastanto criar uma regra basica como ...

iptables -A INPUT -i eth8 -o eth0 -j DROP

Muitos também preferem utilizar placas de redes no servidor para dividir a rede em subredes, criando para cada uma regra e grupo específicos assim vc tem um maior controle...

markitobc
(usa Fedora)

Enviado em 12/08/2009 - 17:16h

Gesousa, é eu até agora nao estou entendendo muito bem oq os caras que vão instalar os programas estão querendo, eles pediram um servidor firewall com 8 ethernet, nessas oito vou te explicar oq vão ligadas:
eth0= Servidor Banco de Dados
eth1= Servidor Processamento
eth2= Servidor Web (Bilhetagem)
eth3= Servidor SCM-SAM (Crédito)
eth4= Micro Recebedoria (que se conecta com Banco de Dados)
eth5= Micro V3LAN (micro onde ira ligados os dois AP's para captar os relatorios dos onibus)
eth6= Switch para os outros micros da rede
eth7= livre
eth8= Internet

Pelo que entendo disso, todos vao ter acesso a todos, a não ser que eles queiram fazer regras bem especificas certo? cara é um rolo..... to ficando maluco já...

gesousa
(usa Ubuntu)

Enviado em 12/08/2009 - 17:57h

è no seu cenário.

eth0= Servidor Banco de Dados
eth1= Servidor Processamento
eth2= Servidor Web (Bilhetagem)
eth3= Servidor SCM-SAM (Crédito)
eth4= Micro Recebedoria (que se conecta com Banco de Dados)
eth5= Micro V3LAN (micro onde ira ligados os dois AP's para captar os relatorios dos onibus)
eth6= Switch para os outros micros da rede
eth7= livre
eth8= Internet

A solução de bridge não é aplicável, pois pelo que estou vendo é um projeto complexo de um servidor de produção, com certeza a requisição de 8 placas de rede foi para aplicar regras bem especificas de firewall, pois so pelo que eu vi o unicas placas que terao acesso total a internet deve ser eth2 (DMZ), eth6 devem ser filtrado pelo (squid), eth0 deve ser liberado somente para eth4...

O Aconselhável no seu caso é antes mesmo de começar a criar qualquer coisa, é criar no papel o que pode e não pode cada interface da rede acessar... criando um orgonograma para que a partir dele vc consiga criar as regras de firewall depois ...

Seu projeto é complexo, e vai requerer um bom planejamento, pois se trata de um serviço de produção portanto, deverá ter uma atenção especial na questão segurança.

markitobc
(usa Fedora)

Enviado em 12/08/2009 - 18:07h

pois é, e como estou começando agora no linux é um desafio e tanto neh.... mais tem um porém ai no que você falou.... as maquinas clientes tb vão acessar o banco de dados.... o problema é que a empresa que vai instalar o softwares não da muita informação, esse esta sendo meu maior problema.... obrigado

markitobc
(usa Fedora)

Enviado em 17/08/2009 - 10:46h

em relação a conexão com a internet, estou tentando fazer com que todas as ethernet tenham acesso a internet, dai configurei o arquivo /etc/network/interfaces com a seguinte configuração:
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet dhcp

auto eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0

auto eth2
iface eth2 inet static
address 192.168.1.2
netmask 255.255.255.0

auto eth3
iface eth3 inet static
address 192.168.1.3
netmask 255.255.255.0

auto eth4
iface eth4 inet static
address 192.168.1.4
netmask 255.255.255.0

dai tb configurei o arquivo /etc/rc.local, coloque os seguintes comandos

#!/bin/sh -e
# rc.local

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

feito isso resetei a maquina e teste as conexoes, a eth1 funcionou normalmente a internet, agora as eth2, eth3 e eth4 nem pingam o server.... alguém sabes me dizer onde está o erro? Obrigado

robsonap
(usa Ubuntu)

Enviado em 26/08/2009 - 19:16h

cara a prodata é louca 8 placas de rede. Sou respossável pelo SBE de uma empresa ak de sampa. vi vc dizendo que os caras não deram muita informação. Bom a configuração varia de cada projeto mas ak a onde trabalho a rede da bilhetagem é isolada - não se junta com a rede da empresa - O escopo do meu sys e esse:
firewall com fedora 3 - ( tá no ar desde 2006 :) ) e 5 placas de rede
1 placa recebe meu link de dados
2 recebe a conexão com o banco de dados - ligação direta
3 recebe a conexão das antenas que passam pelo firewall
4 recebe a conexão do v3lan
5 recebe a conexõa de um switch

no meu caso concentro os pos e o collecor no switch e ele manda para o firewall - o papel do firewall no meu caso e liberar todos os acessos ao banco de dados e as conexões que chegam no link de dados (ip conhecido aceita ip estranho recusa)

como te falei varia de projeto pra projeto, no meu caso pequei o bonde andando e at onde sei quem montou o firewall pra gente foi a prodata - pelo que vi estão querendo colocar sua rede interna na bilhetagem - ai a coisa complica. E pelo jeito seu gerenciamento de crédito vai ser via web - ai o firewal tem que ser ligeiro pois o webserver é windows.

se vc quiser posso te mandar o escript que usaram - pro teu caso não vai servir muito mas pode ser que refresque a memória e ilumene seus pensamentos.