[FUGSPBR] Gateway com Firewall que não ta qurendo funcionar
Cristian Thiago Moecke
moecke em lmp.ufsc.br
Seg Abr 1 17:13:22 BRT 2002
Pessoal... seman passada coloquei a descricao completa do que eu estaria
tentando fazer essa semana quanto a questão do isolamento de uma rede
aqui e não deu certo... Alguem pode me ajudar a achar o problema...
Vejam bem, eu nunca fiz isso antes, então posso estar fazendo alguma
coisa errada... Segue abaixo a situação e uma descricao detalhada do que
eu fiz... POr favor, alguem ai se tiver um tempo analisa e me diz se
isso vai funcionar.
Ambiente: Duas Redes (rede1, rede2), um Servidor NT (gerencia
Logins nos computadores da rede1), e Um servidor FreeBSD (Servidor DNS
das redes,
e servidor de emails da rede1). São laboratorios separados aqui da UFSC.
O laboratorio que tem a rede1 é o que eu administro a rede, e a rede 2 é
outro laboratorio, que apenas utiliza o mesmo link com a internet. O
link com a internet é um equipamento que não sei o nome exatamente
(hehehe) mas deve ser roteador ou algo do tipo, é um equipamento que é
ligado no hub, e todos os pcs são ligados no mesmo hub, e todos os pcs
são configurados para usar o ip do "roteador" como gateway. Um outro hub
esta ligado em cascata ao hub e neste outro hub, que esta no outro
laboratorio, esta interligada a rede 2 que usa a nossa internet.
Problema: A rede2, que somente precisa somente ter acesso a internet
atraves do link com a Internet, tem usuarios que vivem tentando logar
como administrador na rede NT. alem disso, a rede2 esta consumindo muito
a banda da rede1.
O que eu quero fazer: Isolar a rede2 da minha rede NT. Não quero que
eles encherguem a rede NT. A unica coisa que eles devem conseguir fazer
é usar nosso link com a internet, e com uma limitacao de banda de eu
estava pensando 64Kbit/s
Solução que imaginei: Colocar um FreeBSD no caminho dessa rede2
(duas placas de rede: fxp0 para a rede1, fxp1 para a rede2), com um
gateway e limitacao de banda por ipfw. Parecia muito simples, mas não
quer funcionar, já tentei de tudo, não fucniona. Devo estar fazendo algo
errado, quem entende do assunto podia ver ai onde esta o erro? Tentei
explicar com o maximo de detalhes.
O que eu fiz: Peguei um PC que estava aqui sem uso que tinha FreeBSD
instalado e UMA placa de rede, que estava configurada para usar gateway
IP.DO.GATEWAY e estava ligada ao nosso HUB. Estava configurada tb para
usar o nameserver IP.DO.NAMESERVER, que é nosso servidor DNS. O ip da
placa IP.DA.PLACA.FXP0 estava o ip consfigurado no nameserver, um ip
VALIDO. Bom, esta placa funciona direito, funciona ping, ssh, tudo
blz... O Computador acessa a internet tranquilamente.
Tudo certo ateh ai... : Entao Fui colocar uma segunda placa de rede,
igual a primeira (Intel EtherExpress Pro/100B PCI Fast Eternet Card).
Coloquei ela, rodei o /stand/sysonfig, la em
Configuration/Networking/Interfaces, e configurei a nova placa, fxp1, da
seguinte maneira (ai deve ter algum erro....):
host = Igual ao da placa fxp0 (MAQUINA.lmp.ufsc.br)
domain = lmp.ufsc.br
Gateway = Coloquei o IP.DO.GATEWAY principal, aquele que todos os pcs
estao configurados para usar, é o ip do "roteador" (link com a
internet). É o mesmo gateway que esta configurada a placa de rede fxp0.
Name Server = Coloquei o mesmo ip que estava configurado na placa fxp0,
IP.DO.NAMESERVER
IP address = Coloquei um ip invalido (192.168.0.1) (Alguem tem alguma
sugestao melhor?)
Netmask = 255.255.255.0
Extra options nao botei nenhuma (ai tinha q ter alguma coisa?)
Bom, dai notei que tinha que recompilar o kernel p/ usar ipfw, nat,
dummynet, etc... Fiz isso e ta tudo habilitado pelo kernel.
O Proximo passo foi editar o /etc/rc.conf, colocando a seuinte
configuracao, baseada no que eu entendi das dicas da lista... Devo ter
entendido errado, se entendi errado me avisem!!!
#INICIO
tcp_extensions="NO" #Isso ai ja tava ai e não
tirei"
ifconfig_fxp0="inet IP.DO.GATEWAY netmask 255.255.255.0"
ifconfig_fxp1="inet 192.168.0.1 netmask 255.255.255.0"
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
firewall_type="OPEN"
natd_program="/sbin/natd"
natd_enable="YES"
natd_interface="fxp0"
natd_flags="-s -m -redirect_address 192.168.0.1 IP.DO.GATEWAY"
gateway_enable="YES"
hostname="MAQUINA.lmp.ufsc.br" #Isso ai ja tava la e não tirei
#FIM
Bom, ai quase com certeza deve ter erro... Porque tentei entender o que
fiz, e não sei como isso ai poderia funcionar...
Mas continuei mesmo assim...
Fui pras regras de ipfw, com a criacao de pipes para limistar a banda...
devem estar errados tb as regras que criei...
> ipfw pipe 10 config bw 64Kbit/s
> ipfw pipe 20 config bw 64Kbit/s
> ipfw 400 add pipe 10 all from any to any out via fxp1
> ipfw 400 add pipe 20 all from any to any in via fxp1
Coloquei isso num script carregado na inicializacao.
E foi ai q achei q tava pronto... E deixei assim semana passada e fui
aproveitar a pascoa... Mas hoje a vida continua, e fiz o seguinte
teste... Peguei este p aqui q stou usano, que na verdade faz parte da
rede1, tirei o cabo de rede dele do HUB e liguei na placa de rede fxp1
do FreeBSD. Configurei o computador para usar como gateway 192.168.0.1,
e quando fui tentar... Nada feito... =/
FUi dar uma olhada na placa de rede, as luzes estavam todas apagadas. No
FreeBSD tb... Achei estranho, e soh por (in)experiencia não sei o que me
deu e fui no FreeBSD e botei o cabo q estava na placa fxp0 para a placa
fxp1, e as luzes se acenderam!!! =) Quando tirei o cabo da fxp1 e botei
de volta na fxp0, e botei o cabo q vinha do computador cliente na fxp1,
a luz 100/TX cotninuo ligada mas as outras apagaram...FIquei pensando
meia hora, e qdo estava escrevendo esse meial me veio a brilhante
lembranca q cabo de hub nao e entrelacado, se eu queisesse ligar os dois
pcs direto como estava fazendo teria q usar cabo entrelacado..
Bom, descobri como sou inexperiente com essa, mas vivendo e aprendendo,
liguei os dois pcs no hub. O teste esta portando meio limitado, porque
ele continua usando o nosso hub e portanto encehrgaria toda a rede, mas
dava pra testar a parte do gateway.. O pc estava configurado para usar
192.168.0.1 como gateway, mas não funcionou... Primeiro que nem ping
consigo dar em 192.168.0.1, e depois o FreeBSD ainda fica imprimindo
mensages do tipo
Apr 1 HH:mm:ss maquina /kernel: arp: algum.ip.da.rede
is on fxp0 but got reply from AA:BB:CC:DD:EE:FF on fxp1
(AA:BB:CC:DD:EE:FF é um monte de numeros ou cobinacoes de letra... deve
ser o endereco de rede, certo?)
Acho q eh pq as duas placas esta ligadas no mesmo hub... Mas não tenho
outro pra testar...
Alguem pode, por favor, me ajudar?????
Agradeco qq indicacao de erro na minha configuracao, ou sugestao de
outra solucao mais facil... Alias, ate estou com duvida se, mesmo
funcionando, esta solucao vai fazer o que eu queria inicialmente (Isolar
a rede2 da minha rede NT. Não quero que eles encherguem a rede NT. A
unica coisa que eles devem conseguir fazer é usar nosso link com a
internet, e com uma limitacao de banda de eu estava pensando 64Kbit/s)
Me ajudem a sair dessa!!!! Por favor!!!
[]'s Cristian
---------------------------------------
Cristian Thiago Moecke
CPD - LMP - UFSC
moecke em lmp.ufsc.br
---------------------------------------
----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.
Mais detalhes sobre a lista de discussão freebsd