Servidor NAT depois do Roteador

Benber
(usa Linux Mint)

Enviado em 09/05/2012 - 18:11h

Boa tarde;
Meu servidor slack 10.1 que está fazendo NAT, pinga, mas não navega.
Vou descrever o cenário, isso vai facilitar...

Tenho um roteador comum da TP-Link que recebe minha banda larga via cabo. Autentico a banda larga via PPPOE. Ótimo. Tudo funciona perfeitamente.
O IP deste roteador é 192.168.1.1. Perfeito.

Preciso colocar um servidor agora pra fazer firewall, squid, etc... para filtrar o acesso para uma rede distinta, a 192.168.2.x.

* Estou acostumado a montar este tipo de server quando a banda larga entra direto em uma das placas de rede do servidor, e não no roteador. Aqui eu preciso ligar o servidor depois do roteador. POrtanto a banda lagar precisa necessariamente ser ligada no roteador primeiro.

Eu configurei o servidor devidamente e a regrinha do iptables para somente fazer NAT, por enquanto.
ETH0 ficou como 192.168.2.30 - aqui sai o cabo para a segunda rede.
ETH1 ficou como 192.168.1.31 - aqui entra o cabo que vem de uma porta do roteador TP-Link.

Consigo pingar em um IP válido na internet, inclusive com uma estação (192.168.2.2) windows.
Pinga que é uma beleza! Mas não navega nas páginas, e nem pinga no nome (www.algumacoisa.com).

/etc/resolv.conf está configurado assim:
nameserver 200.204.0.10
nameserver 200.187.175.1

/etc/rc.d/rc.inet1.conf, está assim:
primeiro IP = 192.168.2.30 - masc. 255.255.255.0
segundo IP = 192.168.1.31 - masc 255.255.255.0
e o gateway está = 192.168.1.1 (que é o IP do roteador)

os DNS's também estão configurados na placa de rede da estação, e também está configurado na seção de DHCP do roteador.

O que falta para navegar ?

Antecipadamente agradeço!

saitam
(usa Slackware)

Enviado em 09/05/2012 - 20:31h

liberou a porta 53 TCP e UDP no firewall ?

testou usando o DNS do Google(8.8.8.8/8.8.4.4) ?

andrecanhadas
(usa Debian)

Enviado em 09/05/2012 - 20:41h

Posta seu firewall para ver se tem algo faltando ou errado nele como habilitar o roteamento liberar o FORWARD MASQUERADE etc...

phrich
(usa Slackware)

Enviado em 09/05/2012 - 21:54h

Habilite o DMZ no seu roteador apontando para o Firewall, assim é como se fosse um link direto...

benber
(usa Linux Mint)

Enviado em 10/05/2012 - 09:51h

Obrigado pelas respostas;


No meu servidor slack ainda não estou implementando regras de firewal, só tem uma regrinha do iptables pra fazer NAT, somente isso.


Você diz no firewall do slack ou do roteador? Se for do slack, ainda não estou aplicando o firewall. Se for do roteador, eu não mexi em nada nas regras do roteador, está como padrão de fábrica.


Assim que chegar na empresa onde estou montando este serviço eu faço esse apontamento. Obrigado pela dica.
* Por curiosidade, o que seria o DMZ ?

Agradeço muito a todos pelo apoio!

benber
(usa Linux Mint)

Enviado em 10/05/2012 - 09:55h

A única regrinha que tenho com o iptables é essa:

echo Compartilhando [NAT]...
modprobe iptable_nat
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0/0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

benber
(usa Linux Mint)

Enviado em 10/05/2012 - 11:05h

Olá pessoal !
Habilitei o DMZ mas não deu certo.

Segui a dica do Saitam e deu certo!
Configurei o DNS do google na interface de rede do cliente e começou a navegar!
Obrigado a todos!

Agora posso criar um server DHCP com esse DNS para as estações da nova rede 192.168.2.x

Obs*
Sempre usei o DNS 200.204.0.10 da telefonica. Eu desconhecia o do google.Foi uma excelente dica.

Obrigado pessoal, pelas dicas!
Grande abraço.

* Detalhe:
Coloquei o dns do google no resolv.conf nas o servidor não pinga no nome (ex: www.uol.com.br), só pinga em numeros IP.

o resolv.conf ficou assim:
nameserver 8.8.8.8
nameserver 8.8.4.4