ROTEAMENTO ESTATICO - IPTABLES

guilhermebarros
(usa Debian)

Enviado em 08/12/2017 - 19:05h

Olá pessoal, gostaria de uma força com o seguinte problema... Tenho um servidor com Ubuntu e regras iptables. Tenho 2 redes separadas fisicamente e gostaria que essas duas redes se comunicassem.

eth0: PROVEDOR
eth1: Lan_rede_1
eth1:1 Lan_rede_2

REDE_1: 192.168.0.0/24
GW: 192.168.0.250 - Firewall

REDE_2: 172.20.4.0/24
WAN: 192.168.0.246 - Router Cisco doméstico com DD-WRT, com ip fixo da rede_1
GW_REDE_2: 172.20.4.1

souzacarlos
(usa Outra)

Enviado em 11/12/2017 - 08:32h

Bom dia
Seguinte, vamos a algumas considerações

Se vc está com essas duas redes separadas em duas interfaces físicas nesse Firewall pq da necessidade de colocar + um router no caminho?
Agora caso vc queira manter esse router ai oq eu não recomendo, vc terá que criar um REDIRECT de tudo que chegar nesse router para a rede interna, o que vai acabar deixando esse router sem função do mesmo jeito. Pense no seguinte, pra que vc tá pondo mais uma barreira no caminho (Domínio de broadcast) se vc já tem um firewall fazendo esse trb?

Agora caso vc queira tirar esse cara do caminho vamos aos detalhes!
Por default o POLICE do iptables é ACCEPT, logo vc não terá problemas para essas duas redes se comunicarem, agora, caso vc queira definir um POLICE default como DENY para aumentar a segurança vc terá que focar na CHAIN FORWARD para resolver seu problema. Aqui no fórum vc vai encontrar vários artigos com políticas configuradas, é só fazer uma busca.
Abraço.

Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)

guilhermebarros
(usa Debian)

Enviado em 13/12/2017 - 00:46h

Obrigado pela ajuda Carlos.

Tentei desenhar o meu senário de como está hoje...

https://drive.google.com/file/d/1xL56VQgRhH7WsEqD5COmNJHk2DCyiu3B/view?usp=sharing

souzacarlos
(usa Outra)

Enviado em 13/12/2017 - 08:47h

Bom dia
Tem necessidade desse router esta ai no meio do caminho? Eu tiraria ele dai, se possível eu ligaria esse SW DA VINCI direto no Firewall, caso não seja possível, eu colocaria um SW fazendo a ponte entre essas redes e colocaria um IP extra na interface de rede que fala com esse pessoal. Agora se esses SW forem gerenciáveis dá pra fazer um projeto bem bacana com Vlans diferentes.


Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)

guilhermebarros
(usa Debian)

Enviado em 14/12/2017 - 22:13h

Esse é o problema, os SW são L2. Por isso fiz toda essa manobra, criando assim redes distintas para as ocasiões. Existe outra possibilidade ?

souzacarlos
(usa Outra)

Enviado em 15/12/2017 - 09:26h

Bom dia
Como falei pq vc não liga essa rede Da Vinci diretamente no Firewall?


Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)

guilhermebarros
(usa Debian)

Enviado em 15/12/2017 - 20:39h

O servidor que estou usando só tem 2 placas de rede, teria que ADD uma outra placa, mas a placa mãe da maquina não tem mais slot disponível. Mas teria como criar um dhcpd.conf com 2 ranges ? eth1 e eth2 ?