[edsontoyokawa]

Desculpe a demora para postar.

Montei um server com o Endian 2.4.1 refiz todas as configurações testando uma por uma e sempre batendo os 20Mb do meu link de contingencia.

Quando eu fui colocar no Rack não passava de 10Mb novamente.

Descobri que era o cabo de rede que estava com problemas e estava limitando a rede para 10Mb.

As vezes esquecemos de testar as coisas mais simples para depois começar as mais complexas.

Obrigado pela ajuda!

[edsontoyokawa]

Muito obrigado pela dica! Ficou melhor do que eu queria.

Criei uma regra padrão para bloquear tudo que passa pela openvpn e em cima dela criei uma regra onde o meu usuário do openvpn só pode se conectar no ip da minha maquina pelo protocolo TCP/3389 para terminal service.

ORIGEM | DESTINO | SERVIÇO

(primeira regra):edson(usuário OpenVPN) –> IP da minha mauqina –> TCP/3389

(ultima regra):ALL(usuário OpenVPN) –> VERDE + OPENVPN –> <QUALQUER>

Por enquanto está tudo funcionando direitinho.

[edsontoyokawa]

Parabéns Marcelo, gostei muito do TUTORIAL.

Sou leigo em relação ao OPENVPN e gostaria de fazer uma pergunta. Existe a possibilidade de restringir o acesso do usuário a somente um IP? Ex: O funcionário precisa acessar remotamente o computador dele e eu não gostaria de deixar portas abertas no firewall.

Como eu não sei se o computador de onde o a pessoa está acessando é segura(possui vírus e etc) tenho medo dela poder enviar um vírus pela VPN e acabar infectando algum servidor ou computador(Acredito que isso seja possível).

[edsontoyokawa]

Só passando uma dica:

Percebi que quando eu rodava o a configuração de rede ou alterava alguma coisa da rede eu perdia a rota.

Como resolvi isso:

Ao invés de colcoar o código “. /etc/rc.d/init.d/rc.local” no arquivo fcron (dentro de /etc/rc.d/init.d) como eu descrevi acima eu inseri no arquivo uplinksdaemon (dentro de /etc/rc.d/init.d). Toda vez que os links são reiniciados a rota é recriada.

ATT

Edson Toyokawa

[edsontoyokawa]

aki0, bom dia.

Não tive êxito com a dica do Eduardo Jonck.

Após quebrar um pouco a cabeça verifiquei que existem outros processos que iniciam automaticamente no endian como o fcron.

Fiz da seguinte forma:

criei o arquivo rc.local na pasta /etc/rc.d/init.d/. Coloquei as regras dentro do arquivo da seguinte forma:

<codigo>

#!/bin/sh

route add -net z.z.z.z/28 dev br0

route add -net x.x.x.x/24 gw y.y.y.y dev br0

</codigo>

obs: onde x.x.x.x era a rede que eu gostaria de destino e o y.y.y.y era o gateway;

depois de criado passei ele para executável (acho que nem precisava mas fiz dessa forma) com o comando:

#chmod +x rc.local

Depois de criado o arquivo com regras só chamei ele dentro do arquivo fcron (dentro de /etc/rc.d/init.d)

<codigo>

#!/bin/sh

#

# chkconfig: 2345 40 60

# description: fcron is a scheduler especially useful for people

# who are not running their system all the time.

# processname: fcron

# pidfile: /var/run/fcron.pid

# config: /var/spool/fcron/*

# $Id: sysVinit-launcher,v 1.10 2006/01/11 00:54:44 thib Exp thib $

export PATH=”/sbin:/usr/sbin:/bin:/usr/bin”

# Source function library.

. /etc/rc.d/init.d/functions

. /etc/rc.d/init.d/rc.local

[ -f /usr/sbin/fcron ] || exit 0

[ -f /etc/fcron.conf ] || exit 0

.

.

.

</codigo>

obs: note que eu coloquei ele abaixo de uma regra que chamava o functions dentro da mesma pasta onde deixei o rc.local;

Não sei porque, mas fazendo esse procedimento no arquivo rc.ipad não estava dando certo e dessa forma funcionou.

ATT

Edson Toyokawa

[edsontoyokawa]

Muito Obrigado pela resposta juniorcba! Estou vendo que o Endian 2.5.1 tem um bug na criação de rotas por isso que eu não estava conseguindo.

Montei a rota via linha de comando abaixo e deu certo. Só preciso ver uma forma dessa regra ficar fixa para eu não ter que aplicar manualmente toda vez que o Endian reinicia.

Code:

route add -net 10.3.254.0/24 gw 172.31.4.165 dev br0

tente esse método abaixo, mas não deu certo… alguém sabe outra maneira de fazer isso?

http://endian.eth0.com.br/topic/comando-personalizado-no-boot

Obrigado!

[edsontoyokawa]

Desculpe a demora para responder o topico é que eu realmente não tive como fazer os testes aqui devido a um projeto de telefonia que tomou quase todo o meu tempo.

consegui aplicar a regra da seguinte forma:

route add -net 172.31.4.160/28 dev br0 – e as rotas ficaram ok, poré ainda não consigo utiliza o serviço.

Preciso montar uma regra de SNAT para poder ver uma rede 10.3.254.0/24 mas não sei se estou aplicando a regra corretamente.

-A POSTROUTING -d 10.3.254.0/255.255.255.0 -j SNAT –to-source 172.31.4.165

-A PREROUTING -i eth1 -p tcp -m tcp –dport 23 -j DNAT –to 10.3.254.1:23

Essas são as regras que eu tenho no antigo FW que estou aposentando. Como eu deveria colocar isso?

$iptables -t nat -A POSTROUTING -d 10.3.254.0/255.255.255.0 -j SNAT –to-source 172.31.4.165

$iptables -t nat -A PREROUTING -i ~~eth1 -p tcp -m tcp –dport 23 -j DNAT –to 10.3.254.1:23

Eu estou aplicando dessa forma, mas ainda não consigo nem dar um traceroute na rede 10.3.254.0/24

Quando eu dou um tracert da minha maquina pelo gateway do firewall antigo ele aparece assim:

C:UsersTI>tracert 10.3.254.1

Rastreando a rota para 10.3.254.1 com no máximo 30 saltos

1 <1 ms <1 ms <1 ms 192.168.0.254 (ip do meu fw antigo)

2 2 ms 2 ms 2 ms 192.168.0.114 (ip do roteador cisco 1000)

3 84 ms 84 ms 87 ms 192.168.102.1 (não tenho a menor ideia)

4 * 172.36.1.1 relatórios: Rede de destino inacessível.

Me ajudem por favor

[edsontoyokawa]

Segue a URL http://sdrv.ms/T4P5R7

[edsontoyokawa]

alguém pode me ajudar, por favor?

[edsontoyokawa]

Atualização 2: Estive olhando o arquivo rc.local do centOS e ele cria uma rota com o seguinte comando:

route add -net 10.3.254.0 netmask 255.255.255.0 gw 172.31.4.161

mas quando eu aplico isso no endian eu recebo:

#SIOCADDRT: No such process

Já tentei das seguintes maneiras, mas continuo recebendo esse mesmo erro:

#/sbin/route add -net 10.3.254.0/24 gw 172.31.4.161

#route add -net 10.3.254.0/24 gw 172.31.4.161

#route add -net 10.3.254.0/24 172.31.4.161

Grato.

[edsontoyokawa]

Atualizando: Eu achava que esse ip 172.31.4.165 era um ip externo, mas mesmo quando o centOS está sem o cabo da internet ele continua pingando esse ele e continua acessando o serviço da SERPRO.

Acho que eu esqueci de mencionar que esse serviço da SERPRO funciona da seguinte forma: Nós temos um X25 da Telefonica e um roteador cisco 1000 para esse serviço. Provavelmente deve ser uma VPN entre a empresa que eu trabalho e a SERPRO e esse roteador fica na rede 10.3.254.0/24.

Grato.

[edsontoyokawa]

Testei aqui e deu certo. Vlw pela ajuda!

[edsontoyokawa]

Vou testar aqui… muito obrigado!

[Autor]

Posts