Denuncie   Favoritos   Indicar  

Como interligar redes diferentes, limitando tráfego [RESOLVIDO]

1. Como interligar redes diferentes, limitando tráfego [RESOLVIDO]

Silas Matos
silasmg
(usa Debian)

Enviado em 18/01/2018 - 11:13h

[UPDATE1] Fiz uma pesquisa mais minuciosa e consegui fazer se enxergar com a seguinte regra:

iptables -A FORWARD -s 172.16.8.0/24 -d 192.168.100.0/24 -j ACCEPT

iptables -A FORWARD -d 172.16.8.0/24 -s 192.168.100.0/24 -j ACCEPT

iptables -A FORWARD -s 192.168.100.0/24 -d 172.16.8.0/24 -j ACCEPT

iptables -A FORWARD -d 192.168.100.0/24 -s 172.16.8.0/24 -j ACCEPT


Então agora vamos ao que mais me interessa, bloquear o tráfego de DHCP e demais protocolos, preciso apenas acessar uma estação nessa rede da eth2, junto com a porta 2638 tcp desta estação, como faço as regras neste caso?




###############################Resolvido
Pessoal, preciso de uma ajuda, faz tempo que estou quebrando a cabeça com isso:
Preciso que os PCs da eth0 enxerguem os da eth2, depois preciso limitar algumas coisas, mas primeiro eu quero apenas que se enxerguem.

Segue minha rede num debian wheezy que funciona como proxy e internet. No meu servidor eu consigo acessar as 2 redes, mas nas estações ainda não.:

eth0: 172.16.8.254/24

eth1: 10.0.0.0/8 > ppp1 (internet)

eth2: 192.168.100.247/24


Tentei criar uma rota entre as redes.

route add -net 192.168.100.0 netmask 255.255.255.0 dev eth0

route add -net 172.16.8.0 netmask 255.255.255.0 dev eth2


No iptables tentei:

iptables -I FORWARD -i eth0 -o eth1 -j ACCEPT

iptables -I FORWARD -i eth1 -o eth0 -j ACCEPT


Esse também tentei, mas como travou toda minha rede e caiu a internet eu desfiz: 

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE


Tentei isto também:
iptables -I FORWARD -s 172.16.8.0 -d 192.168.100.0 -j ACCEPT

iptables -I FORWARD -s 192.168.100.0 -d 172.16.8.0 -j ACCEPT

iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT



Finalmente, segue minha configuração de firewall:

#!/bin/sh

#



### BEGIN INIT INFO

# Provides:          firewall

# Required-Start:    $local_fs $remote_fs $network $syslog

# Required-Stop:     $local_fs $remote_fs $network $syslog

# Default-Start:     2 3 4 5

# Default-Stop:      0 1 6

# Short-Description: Start firewall at boot time

# Description:       Enable service provided by firewall.

### END INIT INFO



iniciar(){



# IP do servidor SQUID

SQUID_SERVER="172.16.8.254"

# Interface que se conecta com a internet

INTERNET="ppp0"

# Interface da rede local

LAN_IN="eth0"

# Interface da rede Rocket M5

ROCKET="eth2"

# Porta do SQUID

SQUID_PORT="3128"



# LIMPAR FIREWALL

iptables -F

iptables -X

iptables -X -t filter

iptables -F -t filter

iptables -t nat -F

iptables -t nat -X

iptables -t mangle -F

iptables -t mangle -X



# CARREGAR MÓDULOS PARA NAT E SUPORTE PARA IP CONTRACK

modprobe ip_conntrack

modprobe ip_conntrack_ftp

modprobe iptable_nat

modprobe tun

modprobe ipt_string



# COMPARTILHAMENTO DE INTERNET.

echo 1 > /proc/sys/net/ipv4/ip_forward

echo 1 > /proc/sys/net/ipv4/tcp_syncookies



# DEFINIR POLITICAS DE ACESSO

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT



# ACESSO ILIMITADO AO LOOPBACK

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT



# LIBERAÇÃO DE PORTAS

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 1723 -j ACCEPT

iptables -A INPUT -p tcp --dport 3000 -j ACCEPT

iptables -A INPUT -p tcp --dport 3128 -j ACCEPT



# PERMITIR UDP, DNS E FTP PASSIVO

iptables -A INPUT -i $INTERNET -m state --state ESTABLISHED,RELATED -j ACCEPT



# DEFINIR ESTE SISTEMA COMO O ROTEADOR PADRÃO PARA O RESTO DA LAN

iptables --table nat --append POSTROUTING --out-interface $INTERNET -j MASQUERADE

iptables --append FORWARD --in-interface $LAN_IN -j ACCEPT



# ACESSO ILIMITADO PELA LAN

iptables -A INPUT -i $LAN_IN -j ACCEPT

iptables -A OUTPUT -o $LAN_IN -j ACCEPT



# NAT PARA A PORTA 80 SOLICITADA PELA LAN PARA A PORTA DO SQUID 3128 ($SQUID_PORT) PROXY TRANSPARENTE

iptables -t nat -I PREROUTING -p tcp -i $LAN_IN --dport 80 -j REDIRECT --to-port 3128



# REJEITAR O RESTO E CRIAR LOG

iptables -A INPUT -j LOG

iptables -A INPUT -j DROP



echo "Firewall Habilitado"

}

parar(){

iptables -F

iptables -X

iptables -X -t filter

iptables -F -t filter

iptables -t nat -F

iptables -t nat -X

iptables -t mangle -F

iptables -t mangle -X

echo "Firewall desabilidatado"

}

case "$1" in

"start") iniciar ;;

"stop") parar ;;

"restart") parar; iniciar ;;

*) echo "Use os parâmetros start, stop ou restart"

esac


Este firewall ainda não contém nenhuma regra para a eth2.

Espero que tenham entendido, e espero que possam me ajudar.

0 0
  • Quote

    •   


    2. MELHOR RESPOSTA

    Carlos Alberto de Souza Barbosa
    souzacarlos
    (usa Outra)

    Enviado em 18/01/2018 - 11:48h

    Bom dia.
    Vamos dividir as explicações para ver se melhora teu conceito em alguns assuntos.

    01 - NAT
    Pra que vc tá fazendo NAT do conteúdo que tá saindo de ETH0? Você só precisa fazer NAT do conteúdo que vai pra Internet via ETH1 pq ai sim vc vai precisar de tradução de endereços.
    ex: iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

    02 - ROTAS
    Você não precisa criar rotas entre redes diretamente conectadas ao teu Router/Firewall, ele sabe como chegar nas duas.
    ex: route add -net 172.16.8.0 netmask 255.255.255.0 dev eth2

    03 - POLICE DEFAULT
    O police default define como teu firewall irá se comportar caso vc não defina regras para algumas das chains envolvidas. Por default o police com iptables é ACCEPT, logo caso eu não crie uma regra bloqueando algum conteúdo ele irá deixar tudo passar.

    ex: iptables -P INPUT DROP (ok vc definiu DROP para INPUT)
    ex: iptables -P OUTPUT ACCEPT (no problem de indicar ACCEPT aqui mas...)
    ex: iptables -A OUTPUT -o $LAN_IN -j ACCEPT (pra q criar uma regra onde vc permite alguma coisa se o default é aceitar, isso só aumenta a complexidade na administração.)
    ex: iptables --append FORWARD --in-interface $LAN_IN -j ACCEPT (vc não definiu mas o police default para a chain FORWARD tbm é ACCEPT, logo essa regra tbm não faz sentido estar aqui)

    Resumindo, minha dica é: remove tudo que vc tem de regras, se possível testa apenas com o police default ativado e ve como vai se comportar, agora a espero que as configurações de rede local de cada rede estejam ok, como IP - MASK - GATEWAY, isso é o básico para que a comunicação entre redes remotas funcionem.

    Sobre serviços estarem funcionando entre redes é outra jornada, vamos tratar aqui somente o básico da comunicação "ICMP" depois vai passa para a comunicação de aplicações, que neste caso vai envolver a configuração de NAT.

    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)
    1 0
  • Quote

    • 3. Re: Como interligar redes diferentes, limitando tráfego [RESOLVIDO]

    Silas Matos
    silasmg
    (usa Debian)

    Enviado em 18/01/2018 - 13:29h

    Na verdade, alguns destes comandos eu tentei aplicar mesmo sem saber para que exatamente funcionaria, como foi o caso do:
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    O firewall agora está assim:
    #!/bin/sh
    
#
    

    
### BEGIN INIT INFO
    
# Provides:          firewall
    
# Required-Start:    $local_fs $remote_fs $network $syslog
    
# Required-Stop:     $local_fs $remote_fs $network $syslog
    
# Default-Start:     2 3 4 5
    
# Default-Stop:      0 1 6
    
# Short-Description: Start firewall at boot time
    
# Description:       Enable service provided by firewall.
    
### END INIT INFO
    

    
iniciar(){
    
# IP do servidor SQUID
    
SQUID_SERVER="172.16.8.254"
    
# Interface que se conecta com a internet
    
INTERNET="ppp0"
    
# Interface da rede local
    
LAN_IN="eth0"
    
# Interface da rede Rocket M5
    
ROCKET="eth2"
    
# Porta do SQUID
    
SQUID_PORT="3128"
    

    

    
# NÃO MODIFIQUE AS LINHAS ABAIXO:
    
# LIMPAR FIREWALL
    
iptables -F
    
iptables -X
    
iptables -X -t filter
    
iptables -F -t filter
    
iptables -t nat -F
    
iptables -t nat -X
    
iptables -t mangle -F
    
iptables -t mangle -X
    

    
# CARREGAR MÓDULOS PARA NAT E SUPORTE PARA IP CONTRACK
    
modprobe ip_conntrack
    
modprobe ip_conntrack_ftp
    
modprobe iptable_nat
    
modprobe tun
    
modprobe ipt_string
    

    
# COMPARTILHAMENTO DE INTERNET.
    
echo 1 > /proc/sys/net/ipv4/ip_forward
    
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
    

    
# DEFINIR POLITICAS DE ACESSO
    
iptables -P INPUT DROP
    

    
# LIBERAÇÃO DE PORTAS
    
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
    
iptables -A INPUT -p tcp --dport 3000 -j ACCEPT
    
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
    

    
# REGRAS PARA QUE AS REDES SE ENXERGUEM
    
iptables -A FORWARD -s 172.16.8.0/24 -d 192.168.100.0/24 -j ACCEPT
    
iptables -A FORWARD -d 172.16.8.0/24 -s 192.168.100.0/24 -j ACCEPT
    
iptables -A FORWARD -s 192.168.100.0/24 -d 172.16.8.0/24 -j ACCEPT
    
iptables -A FORWARD -d 192.168.100.0/24 -s 172.16.8.0/24 -j ACCEPT
    

    
# PERMITIR UDP, DNS E FTP PASSIVO
    
iptables -A INPUT -i $INTERNET -m state --state ESTABLISHED,RELATED -j ACCEPT
    

    
# DEFINIR ESTE SISTEMA COMO O ROTEADOR PADRÃO PARA O RESTO DA LAN
    
iptables --table nat --append POSTROUTING --out-interface $INTERNET -j MASQUERADE
    

    
# ACESSO ILIMITADO PELA LAN
    
iptables -A INPUT -i $LAN_IN -j ACCEPT
    
iptables -A INPUT -i $ROCKET -j ACCEPT
    

    
# NAT PARA A PORTA 80 SOLICITADA PELA LAN PARA A PORTA DO SQUID 3128 ($SQUID_PORT) PROXY TRANSPARENTE
    
iptables -t nat -I PREROUTING -p tcp -i $LAN_IN --dport 80 -j REDIRECT --to-port 3128
    

    
# REJEITAR O RESTO E CRIAR LOG
    
iptables -A INPUT -j LOG
    
iptables -A INPUT -j DROP
    

    
echo "Firewall Habilitado"
    
}
    
parar(){
    
iptables -F
    
iptables -X
    
iptables -X -t filter
    
iptables -F -t filter
    
iptables -t nat -F
    
iptables -t nat -X
    
iptables -t mangle -F
    
iptables -t mangle -X
    
echo "Firewall desabilidatado"
    
}
    
case "$1" in
    
"start") iniciar ;;
    
"stop") parar ;;
    
"restart") parar; iniciar ;;
    
*) echo "Use os parâmetros start, stop ou restart"
    
esac

    Dando um route -n, tenho isso:
    Tabela de Roteamento IP do Kernel
    
Destino         Roteador        MáscaraGen.    Opções Métrica Ref   Uso Iface
    
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0
    
10.0.0.0        0.0.0.0         255.0.0.0       U     0      0        0 eth1
    
172.16.8.0      0.0.0.0         255.255.255.0   U     0      0        0 eth0
    
192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth2
    
201.41.2.254    0.0.0.0         255.255.255.255 UH    0      0        0 ppp0

    No ifconfig:
    eth0      Link encap:Ethernet  Endereço de HW 30:b5:c2:00:f6:fa  
    
          inet end.: 172.16.8.254  Bcast:172.16.8.255  Masc:255.255.255.0
    
          endereço inet6: fe80::32b5:c2ff:fe00:f6fa/64 Escopo:Link
    
          UP BROADCASTRUNNING MULTICAST  MTU:1500  Métrica:1
    
          RX packets:3061805 errors:0 dropped:1 overruns:0 frame:0
    
          TX packets:2231619 errors:0 dropped:0 overruns:0 carrier:0
    
          colisões:0 txqueuelen:1000 
    
          RX bytes:428703781 (408.8 MiB)  TX bytes:2376359528 (2.2 GiB)
    
          IRQ:41 Endereço de E/S:0x4000 
    

    
eth1      Link encap:Ethernet  Endereço de HW 64:1c:67:63:5b:2b  
    
          inet end.: 10.1.1.2  Bcast:10.255.255.255  Masc:255.0.0.0
    
          endereço inet6: fe80::661c:67ff:fe63:5b2b/64 Escopo:Link
    
          UP BROADCASTRUNNING MULTICAST  MTU:1500  Métrica:1
    
          RX packets:2129311 errors:0 dropped:0 overruns:0 frame:0
    
          TX packets:2194693 errors:0 dropped:0 overruns:0 carrier:0
    
          colisões:0 txqueuelen:1000 
    
          RX bytes:2335232387 (2.1 GiB)  TX bytes:393863809 (375.6 MiB)
    
          IRQ:20 Memória:f7e00000-f7e20000 
    

    
eth2      Link encap:Ethernet  Endereço de HW ec:08:6b:05:58:c8  
    
          inet end.: 192.168.100.247  Bcast:192.168.100.255  Masc:255.255.255.0
    
          endereço inet6: fe80::ee08:6bff:fe05:58c8/64 Escopo:Link
    
          UP BROADCASTRUNNING MULTICAST  MTU:1500  Métrica:1
    
          RX packets:17116 errors:0 dropped:0 overruns:0 frame:0
    
          TX packets:2649 errors:0 dropped:0 overruns:0 carrier:0
    
          colisões:0 txqueuelen:1000 
    
          RX bytes:1967057 (1.8 MiB)  TX bytes:382761 (373.7 KiB)
    
          IRQ:42 Endereço de E/S:0x6000 
    

    
lo        Link encap:Loopback Local  
    
          inet end.: 127.0.0.1  Masc:255.0.0.0
    
          endereço inet6: ::1/128 Escopo:Máquina
    
          UP LOOPBACKRUNNING  MTU:16436  Métrica:1
    
          RX packets:10108 errors:0 dropped:0 overruns:0 frame:0
    
          TX packets:10108 errors:0 dropped:0 overruns:0 carrier:0
    
          colisões:0 txqueuelen:0 
    
          RX bytes:1661014 (1.5 MiB)  TX bytes:1661014 (1.5 MiB)
    

    
ppp0      Link encap:Protocolo Ponto-a-Ponto  
    
          inet end.: xxx.xx.xxx.xx  P-a-P:201.41.2.254  Masc:255.255.255.255
    
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Métrica:1
    
          RX packets:154299 errors:0 dropped:0 overruns:0 frame:0
    
          TX packets:149158 errors:0 dropped:0 overruns:0 carrier:0
    
          colisões:0 txqueuelen:3 
    
          RX bytes:185593546 (176.9 MiB)  TX bytes:20371915 (19.4 MiB)


    Do jeito que está, minha rede da eth0 está funcionando com a internet da eth1 normalmente, proxy ok, mas as redes não se enxergam mais nas estações, no caso tenho umas estação 172.16.8.100 (eth0) que não enxerga o rádio que está na estação 192.168.100.2 (eth2).

    0 0
  • Quote

    • 4. Re: Como interligar redes diferentes, limitando tráfego [RESOLVIDO]

    Carlos Alberto de Souza Barbosa
    souzacarlos
    (usa Outra)

    Enviado em 18/01/2018 - 13:41h

    Defina não enxergar: Pinga ao menos?

    silasmg escreveu:

    Na verdade, alguns destes comandos eu tentei aplicar mesmo sem saber para que exatamente funcionaria, como foi o caso do:
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    O firewall agora está assim:
    #!/bin/sh
    
#
    

    
### BEGIN INIT INFO
    
# Provides:          firewall
    
# Required-Start:    $local_fs $remote_fs $network $syslog
    
# Required-Stop:     $local_fs $remote_fs $network $syslog
    
# Default-Start:     2 3 4 5
    
# Default-Stop:      0 1 6
    
# Short-Description: Start firewall at boot time
    
# Description:       Enable service provided by firewall.
    
### END INIT INFO
    

    
iniciar(){
    
# IP do servidor SQUID
    
SQUID_SERVER="172.16.8.254"
    
# Interface que se conecta com a internet
    
INTERNET="ppp0"
    
# Interface da rede local
    
LAN_IN="eth0"
    
# Interface da rede Rocket M5
    
ROCKET="eth2"
    
# Porta do SQUID
    
SQUID_PORT="3128"
    

    

    
# NÃO MODIFIQUE AS LINHAS ABAIXO:
    
# LIMPAR FIREWALL
    
iptables -F
    
iptables -X
    
iptables -X -t filter
    
iptables -F -t filter
    
iptables -t nat -F
    
iptables -t nat -X
    
iptables -t mangle -F
    
iptables -t mangle -X
    

    
# CARREGAR MÓDULOS PARA NAT E SUPORTE PARA IP CONTRACK
    
modprobe ip_conntrack
    
modprobe ip_conntrack_ftp
    
modprobe iptable_nat
    
modprobe tun
    
modprobe ipt_string
    

    
# COMPARTILHAMENTO DE INTERNET.
    
echo 1 > /proc/sys/net/ipv4/ip_forward
    
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
    

    
# DEFINIR POLITICAS DE ACESSO
    
iptables -P INPUT DROP
    

    
# LIBERAÇÃO DE PORTAS
    
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
    
iptables -A INPUT -p tcp --dport 3000 -j ACCEPT
    
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
    

    
# REGRAS PARA QUE AS REDES SE ENXERGUEM
    
iptables -A FORWARD -s 172.16.8.0/24 -d 192.168.100.0/24 -j ACCEPT
    
iptables -A FORWARD -d 172.16.8.0/24 -s 192.168.100.0/24 -j ACCEPT
    
iptables -A FORWARD -s 192.168.100.0/24 -d 172.16.8.0/24 -j ACCEPT
    
iptables -A FORWARD -d 192.168.100.0/24 -s 172.16.8.0/24 -j ACCEPT
    

    
# PERMITIR UDP, DNS E FTP PASSIVO
    
iptables -A INPUT -i $INTERNET -m state --state ESTABLISHED,RELATED -j ACCEPT
    

    
# DEFINIR ESTE SISTEMA COMO O ROTEADOR PADRÃO PARA O RESTO DA LAN
    
iptables --table nat --append POSTROUTING --out-interface $INTERNET -j MASQUERADE
    

    
# ACESSO ILIMITADO PELA LAN
    
iptables -A INPUT -i $LAN_IN -j ACCEPT
    
iptables -A INPUT -i $ROCKET -j ACCEPT
    

    
# NAT PARA A PORTA 80 SOLICITADA PELA LAN PARA A PORTA DO SQUID 3128 ($SQUID_PORT) PROXY TRANSPARENTE
    
iptables -t nat -I PREROUTING -p tcp -i $LAN_IN --dport 80 -j REDIRECT --to-port 3128
    

    
# REJEITAR O RESTO E CRIAR LOG
    
iptables -A INPUT -j LOG
    
iptables -A INPUT -j DROP
    

    
echo "Firewall Habilitado"
    
}
    
parar(){
    
iptables -F
    
iptables -X
    
iptables -X -t filter
    
iptables -F -t filter
    
iptables -t nat -F
    
iptables -t nat -X
    
iptables -t mangle -F
    
iptables -t mangle -X
    
echo "Firewall desabilidatado"
    
}
    
case "$1" in
    
"start") iniciar ;;
    
"stop") parar ;;
    
"restart") parar; iniciar ;;
    
*) echo "Use os parâmetros start, stop ou restart"
    
esac

    Dando um route -n, tenho isso:
    Tabela de Roteamento IP do Kernel
    
Destino         Roteador        MáscaraGen.    Opções Métrica Ref   Uso Iface
    
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0
    
10.0.0.0        0.0.0.0         255.0.0.0       U     0      0        0 eth1
    
172.16.8.0      0.0.0.0         255.255.255.0   U     0      0        0 eth0
    
192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth2
    
201.41.2.254    0.0.0.0         255.255.255.255 UH    0      0        0 ppp0

    No ifconfig:
    eth0      Link encap:Ethernet  Endereço de HW 30:b5:c2:00:f6:fa  
    
          inet end.: 172.16.8.254  Bcast:172.16.8.255  Masc:255.255.255.0
    
          endereço inet6: fe80::32b5:c2ff:fe00:f6fa/64 Escopo:Link
    
          UP BROADCASTRUNNING MULTICAST  MTU:1500  Métrica:1
    
          RX packets:3061805 errors:0 dropped:1 overruns:0 frame:0
    
          TX packets:2231619 errors:0 dropped:0 overruns:0 carrier:0
    
          colisões:0 txqueuelen:1000 
    
          RX bytes:428703781 (408.8 MiB)  TX bytes:2376359528 (2.2 GiB)
    
          IRQ:41 Endereço de E/S:0x4000 
    

    
eth1      Link encap:Ethernet  Endereço de HW 64:1c:67:63:5b:2b  
    
          inet end.: 10.1.1.2  Bcast:10.255.255.255  Masc:255.0.0.0
    
          endereço inet6: fe80::661c:67ff:fe63:5b2b/64 Escopo:Link
    
          UP BROADCASTRUNNING MULTICAST  MTU:1500  Métrica:1
    
          RX packets:2129311 errors:0 dropped:0 overruns:0 frame:0
    
          TX packets:2194693 errors:0 dropped:0 overruns:0 carrier:0
    
          colisões:0 txqueuelen:1000 
    
          RX bytes:2335232387 (2.1 GiB)  TX bytes:393863809 (375.6 MiB)
    
          IRQ:20 Memória:f7e00000-f7e20000 
    

    
eth2      Link encap:Ethernet  Endereço de HW ec:08:6b:05:58:c8  
    
          inet end.: 192.168.100.247  Bcast:192.168.100.255  Masc:255.255.255.0
    
          endereço inet6: fe80::ee08:6bff:fe05:58c8/64 Escopo:Link
    
          UP BROADCASTRUNNING MULTICAST  MTU:1500  Métrica:1
    
          RX packets:17116 errors:0 dropped:0 overruns:0 frame:0
    
          TX packets:2649 errors:0 dropped:0 overruns:0 carrier:0
    
          colisões:0 txqueuelen:1000 
    
          RX bytes:1967057 (1.8 MiB)  TX bytes:382761 (373.7 KiB)
    
          IRQ:42 Endereço de E/S:0x6000 
    

    
lo        Link encap:Loopback Local  
    
          inet end.: 127.0.0.1  Masc:255.0.0.0
    
          endereço inet6: ::1/128 Escopo:Máquina
    
          UP LOOPBACKRUNNING  MTU:16436  Métrica:1
    
          RX packets:10108 errors:0 dropped:0 overruns:0 frame:0
    
          TX packets:10108 errors:0 dropped:0 overruns:0 carrier:0
    
          colisões:0 txqueuelen:0 
    
          RX bytes:1661014 (1.5 MiB)  TX bytes:1661014 (1.5 MiB)
    

    
ppp0      Link encap:Protocolo Ponto-a-Ponto  
    
          inet end.: xxx.xx.xxx.xx  P-a-P:201.41.2.254  Masc:255.255.255.255
    
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Métrica:1
    
          RX packets:154299 errors:0 dropped:0 overruns:0 frame:0
    
          TX packets:149158 errors:0 dropped:0 overruns:0 carrier:0
    
          colisões:0 txqueuelen:3 
    
          RX bytes:185593546 (176.9 MiB)  TX bytes:20371915 (19.4 MiB)


    Do jeito que está, minha rede da eth0 está funcionando com a internet da eth1 normalmente, proxy ok, mas as redes não se enxergam mais nas estações, no caso tenho umas estação 172.16.8.100 (eth0) que não enxerga o rádio que está na estação 192.168.100.2 (eth2).




    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)

    0 0
  • Quote

    • 5. Re: Como interligar redes diferentes, limitando tráfego [RESOLVIDO]

    Silas Matos
    silasmg
    (usa Debian)

    Enviado em 18/01/2018 - 14:03h

    As estações da eth0 não pingam as estações da eth2 (ex: 192.168.100.2 - radio rocket M5)

    Mas as estações da eth0 (172.16.8.100) pingam o endereço da eth2 (192.168.100.247).

    0 0
  • Quote

    • 6. Re: Como interligar redes diferentes, limitando tráfego

    Carlos Alberto de Souza Barbosa
    souzacarlos
    (usa Outra)

    Enviado em 18/01/2018 - 14:10h

    Agora estamos chegando a algum lugar!
    Seguinte a comunicação ente redes remota esta ok, oq não funciona adequadamente é o aos Rádios. Pergunta: O Gateway esta configurado corretamente nesses rádios?


    silasmg escreveu:

    As estações da eth0 não pingam as estações da eth2 (ex: 192.168.100.2 - radio rocket M5)

    Mas as estações da eth0 (172.16.8.100) pingam o endereço da eth2 (192.168.100.247).




    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)

    0 0
  • Quote

    • 7. Re: Como interligar redes diferentes, limitando tráfego [RESOLVIDO]

    Silas Matos
    silasmg
    (usa Debian)

    Enviado em 18/01/2018 - 14:22h

    Entendi, realmente faltou configurar o radio, mas vou explicar detalhadamente:

    Meu servidor está em 172.16.8.254, na eth0 está toda minha rede com umas 50 máquinas, na eth2 deste servidor esta conectado um radio rocket m5 com ip 172.16.8.253/24 (aqui está o erro, se a eth2 está com ip 192.168.100.247, o radio deveria estar nessa mesma faixa mas está errado e ainda com gateway 172.16.8.254), na outra ponta deste rádio, está outro rocket m5 com ip 192.168.100.2/24 com gateway 192.168.100.254, a rede do outro lado é administrada por outra equipe (que configurou este gateway 192.168.100.254), nela tem mais de 200 estações.

    0 0
  • Quote

    • 8. Re: Como interligar redes diferentes, limitando tráfego

    Silas Matos
    silasmg
    (usa Debian)

    Enviado em 18/01/2018 - 14:35h

    Mudei o ip do radio que está na minha ponta, coloquei assim:

    IP: 192.168.100.246
    NETMASK: 255.255.255.0
    Gateway: 192.168.100.247 (eth2)

    Agora, pelas estações da eth0 eu consigo ver esse rádio conectado na eth2, acho que era isso, mas pior que não é só isso kkkk
    Agora preciso resolver esse detalhe para que eu alcance a rede deles, no caso eu enxergo o radio da minha ponta, mas não enxergo o radio na outra ponta, que está com ip 192.168.100.2 e com o gateway deles (192.168.100.254), preciso de uma luz para isso também :/

    E depois de chegar até o outro rádio, eu tenho que torcer para que o gateway deles resolva tudo para que eu consiga chegar no 10.0.0.4, que é o servidor de arquivos deles, é uma confusão sem fim, dai não sei se configuro por aqui, ou se estando tudo correto no gateway deles isso irá se resolver sozinho.

    0 0
  • Quote

    • 9. Re: Como interligar redes diferentes, limitando tráfego [RESOLVIDO]

    Silas Matos
    silasmg
    (usa Debian)

    Enviado em 22/01/2018 - 10:23h

    Obrigado pela atenção souzacarlos, consegui a conexão por aqui, e vou contar como foi.

    Não sei se adiantou alguma coisa, mas acho que essa regra fez uma certa diferença no meu script de firewall iptables:
    iptables -A FORWARD -s 172.16.8.0/24 -d 192.168.100.0/24 -j ACCEPT
    
iptables -A FORWARD -d 172.16.8.0/24 -s 192.168.100.0/24 -j ACCEPT
    
iptables -A FORWARD -s 192.168.100.0/24 -d 172.16.8.0/24 -j ACCEPT
    
iptables -A FORWARD -d 192.168.100.0/24 -s 172.16.8.0/24 -j ACCEPT


    E para as rotas eu usei o seguinte:
    route add -net 10.0.0.0 netmask 255.0.0.0 gw 192.168.100.254


    Então a rede ficou assim:
    eth0: 172.16.8.254/24
    
eth1: ppp0 - discador
    
eth2: 192.168.100.6


    A antena na minha ponta ficou com ip 192.168.100.5 e a antena na outra ponta ficou com ip 192.168.100.2, como do outro lado tinha um gateway 192.168.100.254 (pronto para fazer as rotas), e as antenas estando em bridge, era só eu adicionar a rota dizendo que o 10.0.0.0 estava atras do gateway 192.168.100.254.

    Mais uma vez obrigado pela atenção, foi bom ter uma noção maior destes conceitos de iptables.

    0 0
  • Quote

    • 10. Re: Como interligar redes diferentes, limitando tráfego [RESOLVIDO]

    Silas Matos
    silasmg
    (usa Debian)

    Enviado em 22/01/2018 - 10:25h

    Antes a rede não era dividida em subredes, era tudo direto no 10.0.0.0/8, agora como adicionaram gateways e subredes, não vai mais ser preciso limitar o dhcp que vinha de outra rede, mesmo assim vou procurar algumas regras de bloqueio para determinados protocolos de rede, e fazer uns testes, se tiver sugestões, fique a vontade para me dizer :)

    0 0
  • Quote

    • 11. Re: Como interligar redes diferentes, limitando tráfego [RESOLVIDO]

    Carlos Alberto de Souza Barbosa
    souzacarlos
    (usa Outra)

    Enviado em 22/01/2018 - 14:44h

    Boa tarde.
    Fico feliz em poder ajudar, as vezes estamos tão focado em algo que coisas simples acabam passando desapercebidas. Sobre limitar REQUEST or RESPONSE é simples, basta entender que o DHCP opera em um conjunto de portas TCP/UDP com exemplo o DHCP Server espera tratar tráfego que tenha como destino a porta 67, com isso basta botar a cabeça pra funcionar!

    Obs: Não esquecer de marcar como melhor resposta por favor, ajuda a divulgar meus Posts e meu trabalho extra fórum como consultor.
    Abs

    silasmg escreveu:

    Antes a rede não era dividida em subredes, era tudo direto no 10.0.0.0/8, agora como adicionaram gateways e subredes, não vai mais ser preciso limitar o dhcp que vinha de outra rede, mesmo assim vou procurar algumas regras de bloqueio para determinados protocolos de rede, e fazer uns testes, se tiver sugestões, fique a vontade para me dizer :)




    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)

    0 0
  • Quote


    •   



    Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Compartilhando a tela do Computador no Celular via Deskreen

    Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    O mínimo que você precisa saber sobre o terminal (parte 2)

    O mínimo que você precisa saber sobre o terminal (parte 1)

    Dicas

    Como renomear arquivos de letras maiúsculas para minúsculas

    Imprimindo no formato livreto no Linux

    Vim - incrementando números em substituição

    Efeito "livro" em arquivos PDF

    Como resolver o erro no CUPS: Unable to get list of printer drivers

    Tópicos

    Não to conseguindo resolver este problemas ao instalar o playonelinux (1)

    Excluir banco de dados no xampp (1)

    phpmyadmin não abre no xampp (2)

    Ubuntu não sai som (0)

    KeepOS Não consigo usar o comando sudo. (4)

    Top 10 do mês

    Scripts

    [Python] Automação de scan de vulnerabilidades

    [Python] Script para analise de superficie de ataque

    [Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

    [Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

    [Shell Script] Script para adicionar bordas às imagens de uma pasta

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: