[FUG-BR] Gateway

Ricardo Ferreira ricardo.ferreira em sotechdatacenter.com.br
Quarta Julho 13 12:10:54 BRT 2011


On 07/13/2011 11:57 AM, Marcelo Gondim wrote:
> Em 13/07/2011 11:43, Valter Junior escreveu:
>> Marcelo,
>>
>> Segue a saída do comando netstat -rn
>>
>>    Internet:
>>
>> Destination Gateway Flags Refs Use Netif Expire
>>
>> default 189.17.xxx.xxx UGS 0 3237 sk0
>>
>> localhost link#6 UH 0 0 lo0
>>
>> 189.17.xxx.zzz/28 link#1 U 1 1472 sk0
>>
>> tux link#1 UHS 0 0 lo0
>>
>> 192.168.0.0 link#3 U 0 250 sis0
>>
>> tux link#3 UHS 0 0 lo0
>>
>> 192.168.1.0 link#2 U 1 5139 re0
>>
>> tux link#2 UHS 0 0 lo0
>>
>>
>>    Internet6:
>>
>> Destination Gateway Flags Netif Expire
>>
>> localhost localhost UH lo0
>>
>> fe80::%lo0 link#6 U lo0
>>
>> fe80::1%lo0 link#6 UHS lo0
>>
>> ff01:6:: fe80::1%lo0 U lo0
>>
>> ff02::%lo0 fe80::1%lo0 U lo0
> Faltou o /etc/rc.conf  e manda também a saída desse comando: sysctl
> -a|grep forward
>
>
>> Em 13 de julho de 2011 11:36, Marcelo Gondim<gondim em linuxinfo.com.br>escreveu:
>>
>>> Em 13/07/2011 11:28, Valter Junior escreveu:
>>>> Marcelo,
>>>>
>>>> eu citei o uso do linux, apenas como referencia, mas meu gateway é
>>> freebsd
>>>> 8.2. Agradeço a explicação sobre o PF, mas não cheguei nele ainda, estou
>>>> tentando descobrir por que o gateway não funciona, repetindo meu cenário.
>>>>
>>>> estação A ip 192.168.0.2/24 default gw 192.168.0.10
>>>>
>>>> servidor B ips: 192.168.0.10/24 lan
>>>>                          192.168.1.10/24 servidores
>>>>                          189.17.xxx.xxx/28 internet default gw
>>>> 189.17.xxx.yyy/28
>>>>
>>>> o que acontece:
>>>>
>>>> de A pingo para B somente pelo endereço da lan ou seja:
>>>> de 192.168.0.2 pingo para 192.168.0.10 reponde
>>>> de 192.168.0.2.pingo para 192.168.1.10 rede desconhecida
>>>> de 192.168.0.2.pingo para 189.17.xxx.xxx rede desconhecida
>>>>
>>>> quero saber onde estou errando? por que de A eu não pingo os outros 2
>>>> endereços ip de B?
>>>>
>>>> Em 13 de julho de 2011 11:16, Marcelo Gondim<gondim em linuxinfo.com.br
>>>> escreveu:
>>> Faz o seguinte cola aqui o seu /etc/rc.conf e a saída do comando:
>>> netstat -rn
>>> Pode ofuscar os IPs públicos para segurança, é só para eu ter uma idéia
>>> de como está o sistema.
>>>
>>>
>>>>> HaHaHahAh puts agora to zuou a cabeça do Valter Alessandro HaHahahahah
>>>>>
>>>>> Valter você tá usando Linux ou FreeBSD como Gateway/Firewall?
>>>>>
>>>>> Porque vi que você tá falando em Linux.
>>>>>
>>>>> Em 13/07/2011 11:09, Alessandro de Souza Rocha escreveu:
>>>>>> linhas de nat e rdr para o squid.
>>>>>> # Redirecionamento de trafego conectiviade social
>>>>>> nat on $ext_if1 from $int_if:network to any ->     ($ext_if1)
>>>>>> rdr on $int_if proto tcp from any to any port 80 ->     200.0.0.253 port
>>>>>> 3128 round-robin
>>>>>> rdr on $int_if proto tcp from any to any port 80 ->     192.168.1.100
>>> port
>>>>>> 3128 round-robin
>>>>>>
>>>>>>
>>>>>> alessandro em proxy:/etc# pfctl -sn
>>>>>> nat on re1 inet from 200.0.0.0/24 to any ->     (re1) round-robin
>>>>>> nat on re1 inet from 192.168.1.0/24 to any ->     (re1) round-robin
>>>>>> rdr on re0 inet proto tcp from any to any port = http ->     200.0.0.253
>>>>>> port 3128 round-robin
>>>>>> rdr on re0 inet proto tcp from any to any port = http ->
>>> 192.168.1.100
>>>>>> port 3128 round-robin
>>>>>>
>>>>>> Em 13 de julho de 2011 10:57, Valter Junior<valter.jr em gmail.com>
>>>>>     escreveu:
>>>>>>> Marclo e Paulo,
>>>>>>>
>>>>>>> Obrigado pela ajuda, e já estou lendo o material sugerido inclusive a
>>> um
>>>>> bom
>>>>>>> tempo, porém a necesside faz o homem,e por este motivo, tive que
>>> assumir
>>>>>>> esta tarefa, devido a saida do rapaz responsável pelos serviços, estou
>>>>>>> também comendo os manuais com farinha, porem estou tendo certa
>>>>> dificuldade,
>>>>>>> uso o linux como usuário, e não como administrador, e ja peguei as
>>>>> algumas
>>>>>>> "manhas", porem meu cenário é este:
>>>>>>>
>>>>>>> estação A ->     192.168.0.2/24
>>>>>>>
>>>>>>> servidor B ->     192.168.0.10/24
>>>>>>>                       192.168.1.10/24
>>>>>>>                       189.17.xxx.xxx/28
>>>>>>> da estação  A eu pingo o ip do servidor 192.168.0.10, mas não consigo
>>>>> pingar
>>>>>>> 192.168.1.10 e 189.17.xxx.xxx, o servidor como gateway, eu não deveria
>>>>>>> pingar os 3 ip's?
>>>>>>>
>>>>>>> Válter
>>>>>>>
>>>>>>> Em 13 de julho de 2011 10:43, Marcelo Gondim<gondim em linuxinfo.com.br
>>>>>> escreveu:
>>>>>>>> Olá Valter,
>>>>>>>>
>>>>>>>> A leitura influencia muito no aprendizado e foi por ela que muitos
>>> aqui
>>>>>>>> começaram. Na minha época, 1996, não haviam cursos de Linux e muito
>>>>>>>> menos sobre FreeBSD então a gente tinha que comer "man" no café da
>>>>>>>> manhã, "howto" no almoço e "RFCs" no jantar hehehe.
>>>>>>>> Como você tá começando e a área de Firewall exige um bom conhecimento
>>>>> de
>>>>>>>> tcp/ip, do SO e o Firewall em si... seria interessante você começar
>>>>> pelo
>>>>>>>> básico do SO, conhecer o FreeBSD, aprender à administrar e configurar
>>> a
>>>>>>>> rede nele. Quando falamos num servidor como esse que você quer montar
>>>>>>>> falamos até do conceito de NAT (Network Address  Translation) e a
>>>>>>>> RFC1918. Provavelmente você deve estar usando IPs não públicos na lan
>>> e
>>>>>>>> na rede de servidores. Para você acessar a Internet vai precisar
>>> fazer
>>>>> o
>>>>>>>> NAT na saída da Interface A. Quanto não acessar as máquinas na rede
>>> dos
>>>>>>>> servidores cheque se nos servidores se existe o gateway default
>>>>>>>> apontando para o seu FreeBSD, pois os pacotes podem estar chegando
>>>>> neles
>>>>>>>> mas eles não devem estar sabendo responder à eles.
>>>>>>>>
>>>>>>>> Se você conseguir ler em inglês aqui vão algumas literaturas muito
>>>>> boas:
>>>>>>>> The Book of PF 2th edition (final de 2010, recente). Podes comprar na
>>>>>>>> Amazon ou procurar o pdf no 4shared que você acha.
>>>>>>>> BSD Magazine - Revista mensal de excelente conteúdo técnico para você
>>>>> ir
>>>>>>>> acompanhando as novidades.
>>>>>>>> HandBook documentação mais completa sobre o sistema que existe -
>>>>>>>> http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/
>>>>>>>>
>>>>>>>> Em português tem um livro muito bom do Denis - O poder dos Servidores
>>>>> em
>>>>>>>> suas mãos -  http://www.novatec.com.br/livros/freebsd/
>>>>>>>>
>>>>>>>> Fora isso tem os cursos da FreeBSD Brasil que são excelentes também,
>>>>> tem
>>>>>>>> o Hacks, SSA e SEE por exemplo. Os outros são mais específicos.
>>>>>>>> http://www.freebsdbrasil.com.br
>>>>>>>>
>>>>>>>> A lista aqui tem um excelente histórico e a documentação do FreeBSD é
>>>>> de
>>>>>>>> primeira linha. :D
>>>>>>>>
>>>>>>>> Creio que você vai gostar muito do Sistema e seja muito bem vindo à
>>>>>>>> lista.  :)
>>>>>>>>
>>>>>>>> Em 13/07/2011 10:11, Valter Junior escreveu:
>>>>>>>>> Boa Galera,
>>>>>>>>>
>>>>>>>>> Sou iniciante no mundo linux/unix, e gostaria de montar um
>>>>>>>> gateway/firewall,
>>>>>>>>> usando freebsd mais o pf. Bem estou configurando o servidor por
>>>>> etapas,
>>>>>>>>> primeiro estou configurando o gateway, sem muito sucesso, o meu
>>>>> servidor
>>>>>>>> tem
>>>>>>>>> 3 interfaces de rede:
>>>>>>>>>
>>>>>>>>> iface A - internet
>>>>>>>>> iface B - lan
>>>>>>>>> iface C - servidores
>>>>>>>>>
>>>>>>>>> o que acontece, é que só consigo pingar da lan para iface B (lan),
>>> não
>>>>>>>>> consigo pingar da lan para a internet nem a rede dos servidores?, o
>>>>> que
>>>>>>>>> posso está fazendo de errado?
>>>>>>>>>
>>>>>>>>> no meu /ett/rc.conf tenho gateway_enable="YES" e no meu
>>>>> /etc/sysctl.conf
>>>>>>>>> tenho, net.inet.ip.forwarding=1
>>>>>>>>>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Verifica se a sysctl abaixo está setada: Se não estiver coloque o valor 
1 para habilitar o roteamento entre as placas de rede de seu servidor

net.inet.ip.forwarding

Verifique assim:
sysctl net.inet.ip.forwarding
se a resposta for:
net.inet.ip.forwarding: 0

coloque o valor em 1:
sysctl net.inet.ip.forwarding=1

depois vá em /etc/sysctl.conf
e coloque a linha:
net.inet.ip.forwarding=1
Assim ao reiniciar o server a sysctl já estará setada....



-- 
Cordialmente,

Ricardo Ferreira
Telecom, Tecnologia e Segurança da Informação
CCDP, CCNP, CCDA, CCNA, MCSE, MCP
-------------------------------------------------------------------
Sotech Soluções Tecnologicas
Rua da Alfazema, 761, 1o. andar - 102/103
41820-710 - Caminho das Árvores - Salvador-BA - Brasil
Tel : 55 71 3472.9400 Cel : 55 71 9138 4630

Email:ricardo.ferreira em sotechdatacenter.com.br
Site: www.sotechdatacenter.com.br


Esta mensagem é dirigida apenas ao seu destinatário e pode conter
informações confidenciais, não passíveis de divulgação nos termos da
legislação em vigor. Caso tenha recebido esta mensagem por engano,
solicitamos notificar a Sotech Soluções Tecnológicas e excluí-la de sua
caixa postal.

This message, including its attachments, may contain confidential
information. If you have improperly received this message, please delete
it from your system and notify immediately the sender. Any form of
utilization, reproduction, forward, alteration, distribution and/or
disclosure of this content in whole or in part, without the prior written
authorization of the sender, is strictly prohibited. Thanks for your
cooperation.

-------------- Próxima Parte ----------
Um anexo não texto foi limpo...
Nome  : ricardo_ferreira.vcf
Tipo  : text/x-vcard
Tam   : 463 bytes
Descr.: não disponível
Url   : http://www.fug.com.br/historico/html/freebsd/attachments/20110713/c6334bfe/attachment.vcf 


Mais detalhes sobre a lista de discussão freebsd