sem comunicação entre 2 redes [RESOLVIDO]

fazambuja
(usa CentOS)

Enviado em 09/11/2009 - 10:28h

De dentro do servidor pingo normal em todas as redes.
aqui estao as config da rede:

eth0 Link encap:Ethernet Endereço de HW 00:10:28:00:07:59
inet end.: 192.168.2.254 Bcast:192.168.255.255 Masc:255.255.0.0
endereço inet6: fe80::210:28ff:fe00:759/64 Escopo:Link
UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
RX packets:4263 errors:0 dropped:0 overruns:0 frame:0
TX packets:2506 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:1000
RX bytes:458930 (448.1 KiB) TX bytes:1232289 (1.1 MiB)
IRQ:17 Endereço de E/S:0xe400

eth1 Link encap:Ethernet Endereço de HW 00:c0:df:05:5a:cf
inet end.: 10.1.1.50 Bcast:10.255.255.255 Masc:255.0.0.0
endereço inet6: fe80::2c0:dfff:fe05:5acf/64 Escopo:Link
UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
RX packets:5004 errors:0 dropped:0 overruns:0 frame:0
TX packets:3937 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:1000
RX bytes:978067 (955.1 KiB) TX bytes:733657 (716.4 KiB)
IRQ:22 Endereço de E/S:0xb800

eth2 Link encap:Ethernet Endereço de HW 00:10:28:00:06:c7
inet end.: 192.168.0.50 Bcast:192.168.0.255 Masc:255.255.255.0
endereço inet6: fe80::210:28ff:fe00:6c7/64 Escopo:Link
UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
RX packets:6769 errors:0 dropped:0 overruns:1 frame:0
TX packets:675 errors:0 dropped:0 overruns:0 carrier:1
colisões:0 txqueuelen:1000
RX bytes:1143862 (1.0 MiB) TX bytes:104504 (102.0 KiB)
IRQ:19 Endereço de E/S:0x8800

Diede
(usa Debian)

Enviado em 09/11/2009 - 10:32h

Em cada uma das outras máquinas, o gateway está configurado para ser o ip do servidor?
Tente usar também as regras:
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth2 -j MASQUERADE

magnolinux
(usa Debian)

Enviado em 09/11/2009 - 12:07h

como nosso amigo falou acima, em todas as redes, o gateway tem que ser o ip do servidor. para que o mesmo possa encaminhar os pacotes as redes.

fazambuja
(usa CentOS)

Enviado em 09/11/2009 - 12:24h

na rede que esta na eth0 as maquinas estao com outro gateway, que é o 192.168.0.254 que é o servidor que eu preciso que as maquinas que estao na rede da eth0 acessem. Esse 192.168.0.254 tem 2 placas de rede, uma que conecta a WAN e outra a lan com faixa 192.168.0.0/24.
O servidor com 3 placas tem a eth2 conectada nessa rede, eu estou sendo o client dessa rede.
Eu teria que adicionar uma outra rota nesse 192.168.0.254?

tim_hunter
(usa Slackware)

Enviado em 09/11/2009 - 12:33h

O fio...! (filho)

o erro tá na máscara...
quando o pacote sai da rede 192.168.0.2 em direção a qualquer máquina da rede eth2 qualquer que seja, o pacote vai chegar, mas na volta a máquina da rede que está na eth2 vai procurar na sua tabela arp o endereço da máquina que está na rede eth0, e se não encontrar vai descartar o pacote!

seguinte... soluções:

1. vc diminui o mascaramento da eth2 (255.255.255.0) e muda o terceiro octeto do endereçamento para qualquer outro que não seja ZERO, tipo 192.168.1.X ou 192.168.2.X com máscara 255.255.255.0 ( /24 ) - que vc não quer fazer...

2. ou vc muda o range de endereçamento da rede eth0, por exemplo: 172.16.0.0 / 255.255.0.0

isso com certeza resolve, não é problema de linux, é problema de endereçamento de rede...
abraços!

George Silverio da Silva
IT Security and Network Specialist

Diede
(usa Debian)

Enviado em 09/11/2009 - 12:35h

Se eu entendi bem o que você passou, essa configuração só vai dar certo se a 192.168.0.254 tiver uma rota configurada que caia no servidor com 3 placas de rede, e se ela (192.168.0.254) tiver forward ligado.
Por que necessariamente as máquinas tem que usar o 192.168.0.254 como gateway? é ele quem compartilha a internet?
Para facilitar a configuração, você poderia passar outra placa de rede para o 192.168.0.254 e centralizar tudo nele...

fazambuja
(usa CentOS)

Enviado em 09/11/2009 - 12:41h

Eu tenho 2 redes separadas fisicamente, com 2 links independentes, na maquina que esta com 192.168.0.254 roda um site interno, e eu preciso que o pessoal do outro servidor acesse sem ter acesso a toda outra rede.

magnolinux
(usa Debian)

Enviado em 09/11/2009 - 12:49h

é realmente a sua infra ta meio bagunçada... vc tem trez redes que estao com mascaras separadas e vc quer q elas comuniquem.

Primeiramente esse servidor esta rodando quais serviços..????

fazambuja
(usa CentOS)

Enviado em 09/11/2009 - 12:57h

esse servidor 192.168.0.254 tem um apache.
Eu vou ver se consigo testar com a faixa 172 para ver se funciona.
Se alguem tiver alguma outra alternativa, me informe, obrigado a todos.

fazambuja
(usa CentOS)

Enviado em 09/11/2009 - 14:03h

Alterei a faixa de rede, a tabela de roteamento ficou :
route -n
Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
172.16.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth1
0.0.0.0 10.1.1.1 0.0.0.0 UG 0 0 0 eth1

e mesmo assim continuou sem pingar.

Diede
(usa Debian)

Enviado em 09/11/2009 - 14:51h

Cara, essa sua rede tá meio confusa... tipo, pode até funcionar, mas se der um problema, tú ficarás para sempre para arrumar... :-)

Bem... com os dados que você já forneceu, eu recomendaria fazer o seguinte:

No servidor de 3 placas de rede:
Ele será o gateway das 3 redes. Se você compartilha internet sem ser pelo squid (NAT, Masquerade), jogue o link de internet nele.
Ele terá um ip qualquer, digamos o primeiro de cada faixa.
na eth1 que vai no modem, você não mexe, afinal está tudo ok.
Na eth0, você muda para 192.168.0.1/24
Nat eth2, fica 192.168.1.1/24

Quanto as regras, você adiciona
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

Em todas as máquinas, você configura o gateway como sendo 192.168.0.1 (se for da rede ligada em eth0), ou como 192.168.1.1 (se estiver na eth2).
(PS: Você não precisa jogar o gateway como 192.168.0.254 só porque o pessoal tem que acessar apache nessa máquina)


Agora, quanto a sua restrição quanto acesso global:
É para as máquinas em eth0 acessarem eth2, mas o contrário certo?
Porque, você disse que o pessoal tem que acessar o site interno sem ter acesso a toda a rede...
Se for isto mesmo, você pode mudar a regra "iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE" para "iptables -t nat -A POSTROUTING -o eth0 -d 192.168.0.254 -j MASQUERADE"

fazambuja
(usa CentOS)

Enviado em 10/11/2009 - 15:24h

Pessoal, consegui resolver.
Como o que eu queria era acessar o servidor apache que estava na outra rede, utilizei as regras de firewall abaixo e funcionou:

#nao passar pelo proxy
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -d 192.168.0.254 -j ACCEPT

#liberar comunicacao entre duas redes
/sbin/iptables -t filter -A FORWARD -s 192.168.0.0/16 -d 192.168.0.0/24 -i eth0 -o eth2 -j ACCEPT

# redireciona nome para 192.168.0.254
/sbin/iptables -t nat -A PREROUTING -i eth0 -d nomedamaquina -p tcp --dport 80 -j DNAT --to 192.168.0.254


obrigado a todos pelas dicas.