[Eduardo Silva]

Camarada, o Endian não envia nada para a internet sem mais nem menos, você pode usar o ntop que já vem instalado com o endian para tentar identificar o que está trafegando, se você se sentir a vontade com o bash, pode usar o iftop para ver em tempo real o consumo de rede (precisa instalar). tcpdump também pode ajudar.

[Eduardo Silva]

Dando uma melhoradinha no script citado e combinando com as informações de regras personalizadas do endian:

#!/bin/bash
hosts="riverraid.eth0.com.br enduro.eth0.com.br"
proto=tcp
port=3389

#ip do endian na interface RED
efw_ip=192.168.123.123
internal_ip=192.16.1.10

IPT=/sbin/iptables

# Limpa regras custom (se tiver outras regras inseridas nestas cadeias elas vao desaparecer!)
$IPT -t nat -F CUSTOMPREROUTING
$IPT -t filter -F CUSTOMFORWARD
for ddns in $hosts
do
    $IPT -t nat -A CUSTOMPREROUTING -s $ddns -d $efw_ip -p $proto --dport $port -j DNAT --to-dest ${internal_ip}:${port}
    $IPT -A CUSTOMFORWARD -s $ddns -d $internal_ip -p $proto --dport $port
done

observar que:

• Escrevi rapidamente o script acima e não testei o código!! a princípio deveria funcionar
• Funciona de uma forma simples e ineficiente, seria interessante implementar uma rotina para verificar se o ip aplicado mudou, evitando reaplicar regras desnecessariamente
• Basta colocar este script no cron com as suas alterações para executar a cada 10 minutos

Uma maneira mais simples de jogar o ip do host em uma variável seria:
ip=$( host enduro.eth0.com.br |grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}')

Observação importante:
A melhor forma de liberar acesso externo para um consultor, seria usando o serviço de VPN. Com o firewall do endian você ainda poderia definir de uma forma bem flexível, quais recursos que o consultor teria acesso.

[]’s

[Eduardo Silva]

Observar que o script de testes do shellshocker.net também pode ser usado em praticamente qualquer sistema que use bash

[Eduardo Silva]

Vinícius,

Nas configurações de rede do endian, ele sempre mostra o macaddress de cada placa. Se você souber os respectivos macs, fica fácil.

Outra forma interessante para identificar as placas de rede, é através de ssh ou via terminal mesmo, usar o aplicativo mii-tool.

O parâmetro -w fica monitorando as interfaces de rede, basta desconectar ou conectar um cabo de rede, que ele vai mostrar na tela qual placa que foi alterada.

ficaria: “mii-tool -w”

[]’s

[Eduardo Silva]

dá uma olhada em /var/log/messages e veja se encontra alguma mensagem que possa indicar algum problema

[]’s

[Eduardo Silva]

Bruno,

Se você estiver usando o proxy para bloquear o facebook, você pode editar manualmente as páginas de bloqueio do proxy, para redirecionar automaticamente para o dominio do pudim.

Você também pode editar a página de bloqueio do proxy para que ela pareça com o pudim 😛

[Eduardo Silva]

Williams,

Você precisa configurar o seu modem gvt para redirecionar as portas usadas pelo openvpn para o endian.
Provavelmente é isso que está faltando.

[]’s

[Eduardo Silva]

hyggorh,

Isso é algo que você vai precisar garimpar por baixo com bastante atenção.

Dá para fazer, mas verificar todos os detalhes consome bastante tempo.

[]’s

[Eduardo Silva]

Thiago,

Uso Endian + Asterisk a anos sem problemas. Ambos funcionam muito bem juntos.

Para tirar as suas dúvidas faça o seguinte:

Logue no endian via ssh e como root digite:

iptables -I FORWARD -s <ip_do_servidor_asterisk> -j ACCEPT

depois veja se o seu asterisk registra e funciona como deveria.

Se funcionar: o problema está em algum lugar nas suas regras de firewall
Se não funcionar: o problema está na configuração do seu asterisk e/ou servidor remoto.

[]’s

[Eduardo Silva]

OpenVPN funciona também, você pode converter os certificados do pfsense para .pem

[Eduardo Silva]

2 placas vermelhas para 2 uplinks distintos correto? Sim, é suportado

2 placas na rede verde? Qual seria o objetivo? Dividir redes locais? Sim é possível, a forma mais adequada seria uma “cor” para cada placa. Ex: uma verde e uma azul.

[]’s

[Eduardo Silva]

Opa,

Não entendi bem o que você está tentando fazer, mas pelo que eu percebi, você quer usar os mesmos certificados para a matriz e filiais para que os usuários possam conectar em qualquer unidade. seria isso?

Essa não me parece ser uma ideia muito boa. Porque não manter cada unidade com a sua respectiva chave?

[]’s

[Eduardo Silva]

Você vai precisar colocar o seu endian “no caminho” para poder realizar a filtragem. Pelo que eu entendi, o tráfego da sua rede não passa pelo endian. Eu tentaria reorganizar a rede.

A forma mais simples que eu vejo, seria separando o seu acesso a internet do router mpls. Mas isso iria exigir reconfiguração do roteador mpls.

Com o acesso a internet separado da rede mpls, eu faria da seguinte forma:

Internet ligando na RED do endian.
router MPLS ligando na rede GREEN do endian. Observar que a rede green seria apenas uma rede de interligação. Exemplos: endian – 10.10.10.10/30 roteador mpls 10.10.10.9/30

No roteador mpls, faria a configuração de gateway padrão apontando para o ip do endian (10.10.10.10), com o source nat/masquerade desativado (assim o endian veria os ips originais das estações).

No endian criaria rotas estáticas para as redes 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24 apontando para o ip 10.10.10.9

[]’s

[Eduardo Silva]

Se você for usar um roteador para gerenciar múltiplas redes, você pode criar as rotas para subnets na web interface em Network \ Routing

[]’s

[Eduardo Silva]

Lucas, o proxy transparente realmente traz alguns problemas, prefiro sempre proxy não transparente mesmo que não use autenticação.

O que eu quis dizer no post anterior, é que provavelmente o computador que recebe dhcp está funcionando, porquê ele recebe a configuração de proxy via dhcp, e o navegador deve estar configurado para “detectar proxy automaticamente”.

Quando configurar a máquina manualmente, experimente ir no navegador e definir as configurações de proxy de forma manual.

[]’s

[Autor]

Posts