Por Favor... Roteamento com Ip Tables.

osvaldojr
(usa Ubuntu)

Enviado em 07/01/2008 - 18:16h

Boa tarde.

Tenho um servidor Ubuntu com 2 placas de rede, uma com ip valido 200.232.XXX.XXX e outra placa para a minha rede interna. 172.16.10.10, este servidor esta ligado a uma rede privada com 3 redes, 172.16.32.xxx, 172.16.10.xxx e 172.16.16.xx.

Coloquei ele como Gateway de rede.

a minha rede 172.16.10.xx esta otimo funciona tudo tudo, mas as outras duas não saem para a internet nem a pau.

No meu iptables quando me refira a rede eu coloco 172.16.0.0/16, não seria o caso dele liberar para todas as redes ???

Pelo amor de DEUS me ajudem, pois sei que aqui so tem feras, e ja me ajudaram demais, como devo proceder ?

Obrigado pela atenção.

FireBird
(usa Debian)

Enviado em 07/01/2008 - 18:25h

quais as regras de iptables que vc usou e vc sabe o que elas fazem?

se vc nao kiser responder, a gente coloca pra vc COMO FAZ e vc vai acabar na mesmasem saber o que ta fazendo, so que funfando) por isso to perguntando...

osvaldojr
(usa Ubuntu)

Enviado em 08/01/2008 - 09:14h

#!/bin/bash
##################################
# Comeco
##################################
IPREDE=172.16.0.0/16
DNS1=200.176.2.10
DNS2=200.204.0.138

iptables -A FORWARD -p TCP --dport 25 -i eth1 -j ACCEPT
iptables -A FORWARD -p UDP --dport 53 -i eth1 -j ACCEPT
iptables -A FORWARD -p TCP --dport 110 -i eth1 -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE

modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack
echo "Habilitando o roteamento a WEB ..."
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "Feito!"

#### Para funcionar os OutLook da vida...
iptables -A FORWARD -p udp -s $IPREDE -d $DNS1 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s $IPREDE -d $DNS2 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s $DNS1 --sport 53 -d $IPREDE -j ACCEPT
iptables -A FORWARD -p udp -s $DNS2 --sport 53 -d $IPREDE -j ACCEPT
#
echo " Feito!"
####

echo "Liberando o acesso ao SMTP e POP dos clientes de email ..."

iptables -A FORWARD -p TCP -s $IPREDE --dport 25 -j ACCEPT
iptables -A FORWARD -p TCP -s $IPREDE --dport 110 -j ACCEPT
iptables -A FORWARD -p TCP --sport 25 -j ACCEPT
iptables -A FORWARD -p TCP --sport 110 -j ACCEPT
echo " Feito!"

echo "PRONTO!"

#####
#EOF
####

clovesjr
(usa Slackware)

Enviado em 08/01/2008 - 09:36h

Olá...

O que provavelmente está acontecendo é que está faltando algumas rotas na sua tabela de roteamento.

Digite o comando "route -n" no seu terminal e envie a saída do comando...

Se realmente este servidor está configurado da forma que você escreveu acima, na sua tabela de roteamento deve estar faltando as entradas para as redes 172.16.32.xxx e 172.16.16.xxx. Para resolver isso, você deve adicionar um IP de cada rede na sua interface de rede da mesma forma que você fez para a rede 172.16.10.xxx.

[]s

elgio
(usa Debian)

Enviado em 08/01/2008 - 09:46h

E não estaria faltando rotas, pois pelo que entendi, todas as rotas são locais, certo?

Tem certeza que TODAS as máscaras da tua rede privada são mesmo /16 (255.255.0.0)?

Inclusive a interface do teu gateway Linux?
O Ip dela é mesmo 172.16.10.10 / 255.255.0.0?

Tem que ser, senão tá ai o teu problema.

osvaldojr
(usa Ubuntu)

Enviado em 08/01/2008 - 10:08h

Esta tudo configurado dentro da rede, todas as filiais estão na mesma mascara 255.255.0.0, o que eu acho estranho é que se eu configurar via proxy no Internet explorer das minhas maquinas, o pessoal consegue navegar na internet normal, mas não consegue baixar os email, se eu tiro o proxy e deixo apenas como gateway ai não rola nada, apenas na rede 172.16.10.

clovesjr
(usa Slackware)

Enviado em 08/01/2008 - 10:10h

Concordo...

A minha resposta foi presumindo que a máscara de rede fosse /24.

[]s

osvaldojr
(usa Ubuntu)

Enviado em 08/01/2008 - 10:13h

Seguem as rotas.

Destino - Roteador - Mascara
200.232.11.64 - 0.0.0.0 - 255.255.255.192 - U
172.16.0.0 - 0.0.0.0 - 255.255.0.0 - U
0.0.0.0 - 200.232.11.12 - 0.0.0.0 - UG

elgio
(usa Debian)

Enviado em 08/01/2008 - 10:17h

E eu não acredito em bruxaria...

Acho que precisas realizar mais testes...
Será que a tua rede não está funcionando bem, só não tem DNS? Quando tu ativa o proxy de forma não transparente, não precisas de dns!

Tente descobrir antes um IP qualquer e acesse no navegador direto pelo IP.

a) Se não funcionar, estamos na mesma.

b) se funcionar, NAT e roteamento estão 100%. Temos que ver o que está impedindo o acesso ao DNS...

osvaldojr
(usa Ubuntu)

Enviado em 08/01/2008 - 10:26h

3 redes.

172.16.10.xxx
172.16.32.xxx
172.16.16.xxx

todas /16.

O meu servidor esta na matriz, 172.16.10.10, neste local onde a rede é 10 tudo rola perfeito, coloco o ip do servidor em qq maquina como gateway e lindo, tudo perfeito.

Se eu estou na filial 172.16.16.xxx, pingo o meu srevidor 172.16.10.10 perfeito, se eu coloco ele como gateway não vai nada, não navega na internet e nem baixa email, mas se eu configuro o Internet explorer para sair via proxy e aponto o ip do servidor, ai vai, navega mas não baixa email.

Muito obrigado pela ajuda de vocês, estou quase louco para entender por que não funciona.

clovesjr
(usa Slackware)

Enviado em 08/01/2008 - 10:40h

Vamos tentar algumas alternativas:

1) Tem um comando duplicado no seu script que não é necessário pois existe outro mais completo logo abaixo (não sei se isto pode estar influenciando em alguma coisa). O comando é "iptables -t nat -A POSTROUTING -j MASQUERADE". É o primeiro "MASQUERADE" que aparece no script.

2) Outra coisa, é com relação ao roteamento. Concordo 100% com o Elgio que não é necessário colocar no seu Gateway os IPs das outras redes pois sua máscara é 255.255.0.0, mas você pode usar este recurso como alternativa para fazer com que funcione. Basta adicionar no seu Gateway, por exemplo, os IPs 172.16.32.10 e 172.16.16.10. Daí é só configurar as estações para usar o Gateway da sua própria rede. Se mesmo assim não funcionar, daí temos um problema bem mais sério...

[]s

osvaldojr
(usa Ubuntu)

Enviado em 08/01/2008 - 10:53h

Se eu colocar mais os dois ips no gateway, eu não teria que refazer todo script denovo para as outras redes tb ??

Obrigado