Liberar trafego ponto a ponto

1. Liberar trafego ponto a ponto

myfeb
(usa Debian)

Enviado em 20/12/2010 - 18:11h

A telefonica instalou dois roteadores um em cada empresa ligando uma vpn ponto a ponto, e me passou o ip interno Rede 1(192.168.1.200) Rede 2 (192.168.0.200), na rede 1 eu tenho um gateway linux com iptables para internet (192.168.1.202), criei uma rota para a rede 2 , estou pingando os roteadores, mas quando eu pingo uma estação atrás do linux ele da erro o tempo de vida expirou em transito e traz o ip externo do roteador da telefonica. Do outro lado que não tenho linux ele pinga a estação porque apontei direto para o roteador 192.168.0.200. Att Edu

0 0

Quote

2. Re: Liberar trafego ponto a ponto

melphos
(usa Debian)

Enviado em 20/12/2010 - 18:22h

Amigo,

Para que possamos lhe dar alguma dica ou solução, você precisaria nos informar melhor. Por exemplo:

1. No gateway da rede 1 eu tenho 2 placas de rede, configuradas da seguinte maneira:
XXXXX
XXXXX
XXXXX

Obs: Configurei o repasse de pacotes e criei uma rota[1] para a rede 2
[1] route add XXXXX

2. No gateway 2 eu fiz XXXXXXXX.

3. Não tenho nenhuma regra de firewall (ou tenho)

E assim por diante, manjou ?

Pelo que informou, de bate e pronto eu falaria que é problema de permissão/regra no netfilter.

Abraços,
melphos

0 0

Quote

3. Liberar trafego ponto a ponto

myfeb
(usa Debian)

Enviado em 21/12/2010 - 09:41h

Tenho um switch onde está ligado as estações, o linux e o roteador ponto a ponto

REDE 1
A estação aponta para o Linux para navegar a internet.
Linux:
Placa eth0 201.x.x.x LIGADO NA INTERNET
Placa eth1 192.168.1.202 PLACA INTERNA
CRIEI UMA ROTA PARA A REDE 2
route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.1.200

3COM ponto a ponto
REDE 1 - IP 192.168.1.200 REDE 2 - 192.168.0.200

REDE 2
ESTAÇÃO APONTA PARA O 3COM GATEWAY E DNS porque é um pequeno escritório

FIREWALL IPTABLES SIMPLES

#!/bin/bash

###############################################################################
## Inicia o Forward de Pacotes / Variaveis
###############################################################################

echo 1 > /proc/sys/net/ipv4/ip_forward

mark=2
GREP=`which grep`
CUT=`which cut`
EXPR=`which expr`
TC=`which tc`

###############################################################################
## Carrega os Modulos do iptables
###############################################################################
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe ip_queue
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
modprobe ipt_REDIRECT
modprobe ipt_REJECT
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe ipt_MARK
modprobe ipip
modprobe ip_gre

###############################################################################
## Zera Regras e estabelece Policies
###############################################################################

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

###############################################################################
## Bloqueio de programas e portas
###############################################################################

# Rede Microsoft
iptables -A FORWARD -p udp --dport 135:139 -j DROP
iptables -A FORWARD -p tcp --dport 135:139 -j DROP
#PORTA23
iptables -A INPUT -p tcp --dport 23 -j DROP
iptables -A INPUT -p udp --dport 23 -j DROP
# PORTA 1900
iptables -A FORWARD -p TCP --dport 1900 -j DROP
iptables -A FORWARD -p UDP --dport 1900 -j DROP
#PORTA9
iptables -A INPUT -p tcp --dport 9 -j DROP
iptables -A INPUT -p udp --dport 9 -j DROP
#PORTA13
iptables -A INPUT -p tcp --dport 13 -j DROP
iptables -A INPUT -p udp --dport 13 -j DROP
#PORTA37
iptables -A INPUT -p tcp --dport 37 -j DROP
iptables -A INPUT -p udp --dport 37 -j DROP
#PORTA90
iptables -A INPUT -p tcp --dport 90 -j DROP
iptables -A INPUT -p udp --dport 90 -j DROP
#SUNRPC
iptables -A INPUT -p tcp --dport 111 -j DROP
iptables -A INPUT -p udp --dport 111 -j DROP
#Blaster e Sasser DOS
iptables -A FORWARD -p tcp --dport 444:445 -j DROP
iptables -A FORWARD -p udp --dport 444:445 -j DROP
# Rede Microsoft
iptables -A FORWARD -p udp --dport 135:139 -j DROP
iptables -A FORWARD -p tcp --dport 135:139 -j DROP
# MS-SQL Worm
iptables -A FORWARD -p tcp --dport 1434 -j DROP
iptables -A FORWARD -p udp --dport 1434 -j DROP
# Proteç contra Syn-flood:
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
# Port scanner suspeito:
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j DROP
# Ping da morte:
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# NETBUS
iptables -A INPUT -p udp --sport 12345 -j DROP
iptables -A INPUT -p udp --sport 12346 -j DROP
# BACK ORIFFICE
iptables -A INPUT -p udp --sport 31337 -j DROP
iptables -A INPUT -p tcp --sport 31337 -j DROP
# TRIN00
iptables -A INPUT -p tcp --sport 27665 -j DROP
iptables -A INPUT -p udp --sport 27444 -j DROP
iptables -A INPUT -p udp --sport 31335 -j DROP
# Stachelddrath
iptables -A INPUT -p tcp --sport 16660 -j DROP
iptables -A INPUT -p tcp --sport 65000 -j DROP
# GATOR
iptables -A FORWARD -d 64.152.73.0/24 -j DROP
iptables -A FORWARD -d 66.35.229.0/24 -j DROP
# KUANG2 Trojan
iptables -A FORWARD -p tcp --dport 17300 -j DROP
iptables -A FORWARD -p udp --dport 17300 -j DROP
# Tentativa de conexao para a porta 1080
iptables -A FORWARD -p tcp --dport 1080 -j DROP
iptables -A FORWARD -p udp --dport 1080 -j DROP

iptables -t nat -A POSTROUTING -p icmp -j MASQUERADE

PROBLEMA

O problema compartilhei uma pasta em um servidor windows na rede 1 , apontei para o linux gateway e dns está navegando, e agora está pingando a rede 2 depois que adicionei a rota no linux.
Agora na rede 2 não consigo pingar nem acessar a pasta compartilhada na rede 1, só consigo pingar até o Linux.
Se eu tirar o Linux e apontar computadores para o roteador 3com funciona mas ai fico sem a internet.

Att
Eduardo

0 0

Quote

4. Re: Liberar trafego ponto a ponto

removido
(usa Nenhuma)

Enviado em 21/12/2010 - 23:42h

Amigo há coisas contraditórias em seu script de firewall. Porque você esta bloqueando o acesso ao netbios de maquinas windows na cadeia forward, se voce precisa acessar os compartilhamentos windows?

# Rede Microsoft
iptables -A FORWARD -p udp --dport 135:139 -j DROP
iptables -A FORWARD -p tcp --dport 135:139 -j DROP

Para min esta regra e parte do problema !!Lembrando que tem que haver rota para as duas redes para que tudo funcione corretamente, ou seja a rede 1 tem que conhecer uma rota valida para rede 2 e vice versa. Eu tenho costume de trabalhar com o roteamento dinamico em alguns casos !! Tipo OSPF ou BGP para fica mais fáciul de gerenciar as rotas !!

Tiago Eduardo Zacarias

0 0

Quote

5. Re: Liberar trafego ponto a ponto

myfeb
(usa Debian)

Enviado em 22/12/2010 - 19:33h

Removi a linha que bloqueava aquelas portas,não tive sucesso.
Quando estou dentro da rede 1 que tem o linux dou o comando tracert para a rede 2 e tenho a resposta.
tracert 192.168.0.110
192.168.1.202 - é o linux
192.168.1.200 - Interno Ponto a Ponto 3COM rede 1
200.x.x.x - Externo Ponto a Ponto 3COM rede 1
187.x.x.x - Externo Ponto a Ponto 3COM rede 2
192.168.0.110 - Estação

Quando estou dentro da rede 2 que não tem linux dou tracert para rede 1
tracert 192.168.1.2
192.168.0.200 - Interno Ponto a Ponto 3COM rede 2
187.x.x.x - Externo Ponto a Ponto 3COM rede 2
200.x.x.x - Externo Ponto a Ponto 3COM rede 1
E fica parado aqui dando o endereço 200.x.x.x

Se dou tracert da rede 2 para um micro que não passa pelo linux na rede 1 :
tracert 192.168.1.201
192.168.0.200 - Interno Ponto a Ponto 3COM rede 2
187.x.x.x - Externo Ponto a Ponto 3COM rede 2
200.x.x.x - Externo Ponto a Ponto 3COM rede 1
192.168.1.201 - Estação

Tenho sucesso, então o linux não está conseguindo enviar os pacotes, como disse no linux só adicionei:
rota add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.1.200

Eduardo

0 0

Quote

6. Re: Liberar trafego ponto a ponto

removido
(usa Nenhuma)

Enviado em 23/12/2010 - 23:16h

Voce adicionou uma rota no router da rede sem linux para a rede com o linux ? Pelo que voce falou so adicionou a rota no servidor com o linux ! Então provavelmente não ha uma rota valida da rede sem linux para a rede atrás do linux. O pacote tem que ir e voltar entende? Ambas as redes tem de se conhecerem por meio de rotas estaticas ou dinamicas !!

ATT

Tiago Eduardo Zacarias

0 0

Quote

7. Liberar trafego ponto a ponto

myfeb
(usa Debian)

Enviado em 24/12/2010 - 12:28h

Do outro lado tem rota sim no xp, rede 2 para rede 1
route add 192.168.1.0 mask 255.255.255.0 192.168.0.200
O Problema está no linux que não consegue direcionar o trafego da rede , porque se eu tirar esse Linux e colocar outro micro no lugar dele e adicionar a rota da rede 1 para rede 2 eu acesso os dois lados
route add 192.168.0.0 mask 255.255.255.0 192.168.1.200
O linux não está conseguindo devolver os pacotes.
Eduardo

0 0

Quote