Dividir a rede uma pelo proxy e a outra nao.

waine pereira
(usa Ubuntu)

Enviado em 16/04/2013 - 23:46h

boa noite galera,

tenho um rede 192.168.200.0/24 e quero transformar ela para /25 sendo a metade dela passara para o proxy e a outra nao


tem como realizar isto??


minha rede esta assim

tenho servidor de TS

inicia 192.168.200.240

um servidor de banco de dados

192.168.200.252

um servidor de VPN

192.168.200.242

um servidor de Proxy
192.168.200.253

um servidor de backup

192.168.200.248

este eu quero que tenha acesso direto sem passar o proxy e firewall


iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 995 -j REDIRECT --to-port 3128

iptables -t nat -A POSTROUTING -s 192.168.200.0/255.255.255.129 -o eth1 -j MASQUERADE

Buckminster
(usa Debian)

Enviado em 17/04/2013 - 03:23h

São quantas máquinas no total na rede?
Você tem um servidor DHCP ou é o roteador quem distribui os IPs?
Teu proxy é autenticado ou transparente?
As máquinas estão conectadas em um switch gerenciável?

waine pereira
(usa Ubuntu)

Enviado em 17/04/2013 - 19:06h

meu proxy e transparente, meu servidor e dhcp, e meu switch e um layer 3

Buckminster
(usa Debian)

Enviado em 20/04/2013 - 00:55h

Desculpe a demora.
Vamos lá.

Subrede /25:
192.168.X.0 << Endereço da subrede
255.255.255.128 << Máscara da subrede
192.168.X.127 << Broadcast
192.168.X.1 - 192.168.X.126 << Faixa de hosts (IPs). Se teu servidor for o gateway da rede, ele terá o IP, por exemplo, 192.168.X.1.

Todas as máquinas da rede estão conectadas no mesmo switch e você quer que metade delas passe pelo proxy e a outra metade não?

Um switch layer 3, além de código MAC, tem a capacidade de roteamento. Trabalha com endereçamento lógico também, portanto, tem a capacidade de identificar redes e sub-redes (endereço IP e máscara). Geralmente estes switches possuem pelo menos uma porta WAN também.
Ele possui a capacidade de interconectar redes ou sub-redes. Muito usado para criação de VLANs.
Camada 3 do modelo OSI (camada de rede).

No caso de VLANs, estas são baseadas em endereçamento IP. Se você utiliza um switch layer 3, não necessitará de um roteador para que as suas VLANs possam se comunicar dentro de um mesmo switch (ou outro conectado a ele, se for o caso).

Se você pretende separar em VLANs, por exemplo, pode instalar duas placas de rede no servidor e cada qual conectadas a diferentes portas no switch. No switch, cada porta deve pertencer a diferentes VLans.

Ou seja, você pode configurar as Vlans no switch e conectar cada porta de cada Vlan nas placas do servidor.
Depois no Squid você libera para uma vlan e para outra não, através de ACLs.

http://www.dltec.com.br/blog/cisco/ccna/configurando-roteamento-entre-vlans-em-um-switch-layer-3-cis...

Existem outras maneiras de realizar isso, mas acredito que esta seria a mais acertada.

stefaniobrunhara
(usa CentOS)

Enviado em 20/04/2013 - 11:26h

Estou achando que você esta pegando o caminho mais difícil e complicado, para fazer o que você precisa é simples.

Antes da regra do "-j REDIRECT" você cria uma regra com -j ACCEPT com os ips que você quer fora do firewall.

iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.200.240 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.200.242 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.200.248 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.200.252 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.200.253 -j ACCEPT


iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 995 -j REDIRECT --to-port 3128

iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o eth1 -j MASQUERADE

Buckminster
(usa Debian)

Enviado em 20/04/2013 - 18:47h

E se a rede dele tiver 30 máquinas, 50 máquinas ou 100 máquinas?
E mesmo que crie ACLs no Squid liberando metade e bloqueando a outra metade como você vai saber se é a metade certa?
O DHCP distribui IPs uniformemente à medida que as máquinas vão sendo ligadas.

E ele não quer metade fora do firewall. Ele quer metade fora do proxy.

stefaniobrunhara
(usa CentOS)

Enviado em 20/04/2013 - 19:14h

Na pergunta incial não tem numero de maquinas e nem dhcp, não existe metade fora do iptables, todas as maquinas estarão usando o iptables, e o squid vai gerenciar somente as que teverem configuradas ou as que estiverem sendo redirencioando para a porta 3128. Minha resposta foi com base não pergunta.

Mas o rumo da solução depende é do nosso amigo, então dar mais uma opção para ele, é bom!

Buckminster
(usa Debian)

Enviado em 14/05/2013 - 02:43h

Ok. Nesse ponto você tem razão.