Análise script Iptables sugestão.

olikolokos1
(usa Ubuntu)

Enviado em 26/05/2014 - 17:27h

Bom galera basicamente peguei este script aqui(http://www.vivaolinux.com.br/artigo/Dois-links-de-ADSL-em-um-mesmo-servidor)
e dei uma modificada por que preciso que os pacotes RDP PCoIP SMTP e POP passem pelo meu link de 40mb e o restante pelo link de 20
o meu
GW_LINKNET não está com o ip certo pois sou novo na empresa e estou apenas montando o firewall ainda, mas depois mudarei.
a minha dpuvida é:
Ok terei 3 placas de rede a Eth1 e a Eht2 vão ser a entrada e saida dos links e a minha eth0 será a entrada/saida da minha lan
a minha Eth2 vem de um router e a Eth1 será direto do cable modem e a minha eth0 de um switch, no meio de todas essas placas de rede e routers e switches estou com duvida em relação aos ips das placas de rede, se alguem puder me ajudar em relação a isto será ótimo :):):):)

=====================================================================================
Nuvem 40mb ----------Router--------\
fibra
**************************************"firewall" ------------ Switch --------- LAN

Nuvem 20mb--------------------------/


========================================================================
abaixo o script que colocarei no /etc/init.d/rotas



#!/bin/sh

# Interface da Intranet
IF_LAN='eth0'

# Interfaces ADSL
IF_LINKFLIN='eth1'
IF_LINKNET='eth2'

# Gateways dos ADSL (IPs dos roteadores)
GW_LINKNET='10.1.0.1'
GW_LINKFLIN='192.168.150.1'

# Mascarar saídas para os dois ADSL
------------------------------------------------------------
iptables -t nat -A POSTROUTING -o $IF_ADSL1 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $IF_ADSL2 -j MASQUERADE

# Marca com "2" os pacotes que saem pelas portas 25 (SMTP) e 110 (POP) RDP(3389) PCoIP(
------------------------------------------------------------
iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 25 -j MARK --set-mark 2 #Smtp
iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 3389 -j MARK --set-mark 2 #RDP TCP
iptables -t mangle -A PREROUTING -i $IF_LAN -p udp --dport 3389 -j MARK --set-mark 2 #RDP UDP
iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 110 -j MARK --set-mark 2 #POP TCP
iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 50002 -j MARK --set-mark 2 #PCoIP TCP
iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 4172 -j MARK --set-mark 2 #PcoIP TCP
iptables -t mangle -A PREROUTING -i $IF_LAN -p udp --dport 50002 -j MARK --set-mark 2 #PCoIP UDP
iptables -t mangle -A PREROUTING -i $IF_LAN -p udp --dport 4172 -j MARK --set-mark 2 #PCoIP UDP
iptables -t mangle -A OUTPUT -p tcp --dport 25 -j MARK --set-mark 2 #SMTP TCP
iptables -t mangle -A OUTPUT -p tcp --dport 3389 -j MARK --set-mark 2 #RDP TCP
iptables -t mangle -A OUTPUT -p tcp --dport 110 -j MARK --set-mark 2 #POP TCP
iptables -t mangle -A OUTPUT -p udp --dport 3389 -j MARK --set-mark 2 #RDP UDP
iptables -t mangle -A OUTPUT -p udp --dport 50002 -j MARK --set-mark 2 #PCoIP UDP
iptables -t mangle -A OUTPUT -p udp --dport 4172 -j MARK --set-mark 2 #PCoIP UDP
iptables -t mangle -A OUTPUT -p tcp --dport 50002 -j MARK --set-mark 2 #PcoIP tcp
iptables -t mangle -A OUTPUT -p tcp --dport 4172 -j MARK --set-mark 2 #PCoIP TCP

# Joga serviços de e-mail (pacotes marcados com 2) para o ADSL2
------------------------------------------------------------
ip rule add fwmark 2 table 20 prio 20
ip route add default via $GW_LINKFLIN dev $IF_ADSL2 table 20

# Atualiza tabela de roteamento
# ------------------------------------------------------------
ip route flush cache



e aqui vai o meu /etc/iproute2/rt_table



#
# reserved values
#
255 local
254 main
253 default
0 unspec
#
# local
#
#1 inr.ruhep

250 LINKFLIN
251 LINKNET

Buckminster
(usa Debian)

Enviado em 26/05/2014 - 19:44h

Nessas regras abaixo tu setou variáveis que não declarou:

iptables -t nat -A POSTROUTING -o $IF_ADSL1 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $IF_ADSL2 -j MASQUERADE

ip route add default via $GW_LINKFLIN dev $IF_ADSL2 table 20

Acredito que tu deva trocar por essas que tu declarou:

IF_LINKFLIN='eth1'
IF_LINKNET='eth2'

E qual é a tua duvida em relação aos ips das placas de rede?

olikolokos1
(usa Ubuntu)

Enviado em 26/05/2014 - 19:56h

realmente eu esqueci de mudar ali as duas variaveis para LINKFLIN e LINKNET.


Bom tenho quanto aos ips que serão setados para eth0 eth1 eth2, atualmente só estou usando o link de 40mb que está distribuindo o dhcp então minha lan o seguinte ip 192.168.150.xxx com o gateway 192.168.150.1 e mascara 255.255.255.0

a duvida é qual ip setar para eth0 que vai ficar de entrada e saida da lan.

qual ip setar para a placa(eth1) que vai ficar de entrada e saída do link de 40mb( que eu acho que será 192.168.150.xxx)

Qual ip setar para a placa de eth2 do link de 20mb?? ou elas pegarão ip automático e e depois eu coloco elas como estático?

e o rt_tables do iproute2 fica assim mesmo? LINKFLIN e LINKNET ou terei que colocar algum endereço ip ali?


hahaha quantas perguntas de um newbie :))


deade já agradeço buckminster.

Buckminster
(usa Debian)

Enviado em 26/05/2014 - 22:20h

"a duvida é qual ip setar para eth0 que vai ficar de entrada e saida da lan."

Na lan (rede interna) tu pode deixar a placa eth0 com o IP 192.168.1.1 na faixa de rede 192.168.1.0/24 e fazer o DHCP para tua rede interna nessa faixa de rede, ou outra de sua escolha.

"qual ip setar para a placa(eth1) que vai ficar de entrada e saída do link de 40mb( que eu acho que será 192.168.150.xxx)"

Nas placas eth1 e eth2 tu pode deixar com IP automático que elas irão "pegar" IP do DHCP dos roteadores de onde vêm os links. Mas se tu quiser fixar os IPs dessas duas placas, aconselho a amarrar pelo MAC de cada placa em cada roteador. O inconveniente é que se tiver que trocar uma dessas placas no futuro, tu deverá mudar o MAC no roteador. Mas no meu modo de ver pode deixar o IP autmomático em cada placa, pois acredito que terá somente elas conectadas em cada roteador.

Na eth0 o IP deve obrigatoriamente ser fixo, pois ela será o gateway da tua rede interna.

GW_LINKNET='10.1.0.1' <<aqui deve ir o IP do roteador do link de 20 megas.
GW_LINKFLIN='192.168.150.1' << aqui deve ir o IP do link de 40 megas.


Teu /etc/iproute/rt_table deixe assim

#
# reserved values
#
255 local
254 main
253 default
0 unspec
#
# local
#
#1 inr.ruhep
1 LINKFLIN


E aqui deixe assim

ip rule add fwmark 2 table LINKFLIN prio 20
ip route add default via $GW_LINKFLIN dev $IF_LINKFLIN table LINKFLIN

IF_LINKFLIN deve ser a eth1, link de 40 megas.

Dúvidas, posta aqui.