Home › Comunidade Brasileira Endian Firewall › Endian Firewall › Endian Firewall – Suporte › Migração de firewall
- Este tópico contém 10 respostas, 4 vozes e foi atualizado pela última vez 11 anos, 6 meses atrás por edsontoyokawa.
-
AutorPosts
-
-
junho 22, 2012 às 1:42 pm #1945edsontoyokawaParticipante
Bom dia,
Estou migrando o firewall da empresa centOS para o endian 2.5.1. Trabalho em uma empresa de Logística e temos um serviço da SERPRO que pelo o que eu entendi faz uma conexão com a SERPRO e eu preciso criar uma rota interna para poder acessar, pois o ip do serviço está na rede 10.3.254.0/24.
Quando eu aplico o comando #route -n no cent OS aparece da seguinte forma:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
200.194.xx.xx 0.0.0.0 255.255.255.252 U 0 0 0 eth1
200.194.xx.xx 0.0.0.0 255.255.255.252 U 0 0 0 eth1
172.31.4.160 0.0.0.0 255.255.255.240 U 0 0 0 eth0
10.3.254.0 172.31.4.161 255.255.255.0 UG 0 0 0 eth0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
0.0.0.0 200.194.xx.xx 0.0.0.0 UG 0 0 0 eth1
eu acredito que eu preciso criar essas duas linhas no meu endian para o serviço voltar:
172.31.4.160 0.0.0.0 255.255.255.240 U 0 0 0 eth0
10.3.254.0 172.31.4.161 255.255.255.0 UG 0 0 0 eth0
nas regras de IPTABLES existe uma SNAT que eu acredito que também vou precisar montar no Endian:
-A POSTROUTING -d 10.3.254.0/255.255.255.0 -j SNAT –to-source 172.31.4.165
Qual a melhor versão para montar essas regras? a 2.4.1 ou a 2.5.1? pois eu li que a versão 2.5.1 não possui o arquivo rc.local e realmente não estou encontrando ele.
Como eu crio essas regras no meu Endian?
Grato.
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-site
O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
-
junho 22, 2012 às 3:15 pm #11916edsontoyokawaParticipante
Atualizando: Eu achava que esse ip 172.31.4.165 era um ip externo, mas mesmo quando o centOS está sem o cabo da internet ele continua pingando esse ele e continua acessando o serviço da SERPRO.
Acho que eu esqueci de mencionar que esse serviço da SERPRO funciona da seguinte forma: Nós temos um X25 da Telefonica e um roteador cisco 1000 para esse serviço. Provavelmente deve ser uma VPN entre a empresa que eu trabalho e a SERPRO e esse roteador fica na rede 10.3.254.0/24.
Grato.
-
junho 22, 2012 às 6:21 pm #11917edsontoyokawaParticipante
Atualização 2: Estive olhando o arquivo rc.local do centOS e ele cria uma rota com o seguinte comando:
route add -net 10.3.254.0 netmask 255.255.255.0 gw 172.31.4.161
mas quando eu aplico isso no endian eu recebo:
#SIOCADDRT: No such process
Já tentei das seguintes maneiras, mas continuo recebendo esse mesmo erro:
#/sbin/route add -net 10.3.254.0/24 gw 172.31.4.161
#route add -net 10.3.254.0/24 gw 172.31.4.161
#route add -net 10.3.254.0/24 172.31.4.161
Grato.
-
junho 27, 2012 às 7:37 pm #11918edsontoyokawaParticipante
alguém pode me ajudar, por favor?
-
junho 28, 2012 às 2:34 am #11919Eduardo JonckParticipante
A versão 2.5.1 não tem rc.local, mas eu coloco minhas regras de inicialização no arquivo rc.ipac que fica dentro do /etc/rc.d.
Qualquer linha que vc queira que inicie com o Endian vc adiciona ai, beleza, quando reiniciar vai subir o comando junto.
Acho que se vc colocar essas mesmas linhas no Endian vai subir de boa o serviço, tenta ai e passa um retorno.
No aguardo!!!
-
outubro 3, 2012 às 2:20 am #11920edsontoyokawaParticipante
Desculpe a demora para responder o topico é que eu realmente não tive como fazer os testes aqui devido a um projeto de telefonia que tomou quase todo o meu tempo.
consegui aplicar a regra da seguinte forma:
route add -net 172.31.4.160/28 dev br0 – e as rotas ficaram ok, poré ainda não consigo utiliza o serviço.
Preciso montar uma regra de SNAT para poder ver uma rede 10.3.254.0/24 mas não sei se estou aplicando a regra corretamente.
-A POSTROUTING -d 10.3.254.0/255.255.255.0 -j SNAT –to-source 172.31.4.165
-A PREROUTING -i eth1 -p tcp -m tcp –dport 23 -j DNAT –to 10.3.254.1:23
Essas são as regras que eu tenho no antigo FW que estou aposentando. Como eu deveria colocar isso?
$iptables -t nat -A POSTROUTING -d 10.3.254.0/255.255.255.0 -j SNAT –to-source 172.31.4.165
$iptables -t nat -A PREROUTING -i ~~eth1 -p tcp -m tcp –dport 23 -j DNAT –to 10.3.254.1:23
Eu estou aplicando dessa forma, mas ainda não consigo nem dar um traceroute na rede 10.3.254.0/24
Quando eu dou um tracert da minha maquina pelo gateway do firewall antigo ele aparece assim:
C:UsersTI>tracert 10.3.254.1
Rastreando a rota para 10.3.254.1 com no máximo 30 saltos
1 <1 ms <1 ms <1 ms 192.168.0.254 (ip do meu fw antigo)
2 2 ms 2 ms 2 ms 192.168.0.114 (ip do roteador cisco 1000)
3 84 ms 84 ms 87 ms 192.168.102.1 (não tenho a menor ideia)
4 * 172.36.1.1 relatórios: Rede de destino inacessível.
Me ajudem por favor
-
outubro 3, 2012 às 4:13 pm #11921juniorcbaParticipante
Edson essas rotas voce pode fazer no firewall pela web em rede, roteamento. em rede de origem deixa em branco rede de destino coloca 10.3.254.0/24 e gateway estatico 172.31.4.165
-
outubro 5, 2012 às 2:47 pm #11922edsontoyokawaParticipante
Muito Obrigado pela resposta juniorcba! Estou vendo que o Endian 2.5.1 tem um bug na criação de rotas por isso que eu não estava conseguindo.
Montei a rota via linha de comando abaixo e deu certo. Só preciso ver uma forma dessa regra ficar fixa para eu não ter que aplicar manualmente toda vez que o Endian reinicia.
Code:route add -net 10.3.254.0/24 gw 172.31.4.165 dev br0tente esse método abaixo, mas não deu certo… alguém sabe outra maneira de fazer isso?
http://endian.eth0.com.br/topic/comando-personalizado-no-boot
Obrigado!
-
outubro 6, 2012 às 4:04 pm #11923aki0Participante
Edson, bom dia.
e a dica do Eduardo Jonck, teve algum êxito?
“
A versão 2.5.1 não tem rc.local, mas eu coloco minhas regras de inicialização no arquivo rc.ipac que fica dentro do /etc/rc.d.
Qualquer linha que vc queira que inicie com o Endian vc adiciona ai, beleza, quando reiniciar vai subir o comando junto.
Acho que se vc colocar essas mesmas linhas no Endian vai subir de boa o serviço, tenta ai e passa um retorno.
No aguardo!!! “
-
outubro 8, 2012 às 6:03 pm #11924edsontoyokawaParticipante
aki0, bom dia.
Não tive êxito com a dica do Eduardo Jonck.
Após quebrar um pouco a cabeça verifiquei que existem outros processos que iniciam automaticamente no endian como o fcron.
Fiz da seguinte forma:
criei o arquivo rc.local na pasta /etc/rc.d/init.d/. Coloquei as regras dentro do arquivo da seguinte forma:
<codigo>
#!/bin/sh
route add -net z.z.z.z/28 dev br0
route add -net x.x.x.x/24 gw y.y.y.y dev br0
</codigo>
obs: onde x.x.x.x era a rede que eu gostaria de destino e o y.y.y.y era o gateway;
depois de criado passei ele para executável (acho que nem precisava mas fiz dessa forma) com o comando:
#chmod +x rc.local
Depois de criado o arquivo com regras só chamei ele dentro do arquivo fcron (dentro de /etc/rc.d/init.d)
<codigo>
#!/bin/sh
#
# chkconfig: 2345 40 60
# description: fcron is a scheduler especially useful for people
# who are not running their system all the time.
# processname: fcron
# pidfile: /var/run/fcron.pid
# config: /var/spool/fcron/*
# $Id: sysVinit-launcher,v 1.10 2006/01/11 00:54:44 thib Exp thib $
export PATH=”/sbin:/usr/sbin:/bin:/usr/bin”
# Source function library.
. /etc/rc.d/init.d/functions
. /etc/rc.d/init.d/rc.local
[ -f /usr/sbin/fcron ] || exit 0
[ -f /etc/fcron.conf ] || exit 0
.
.
.
</codigo>
obs: note que eu coloquei ele abaixo de uma regra que chamava o functions dentro da mesma pasta onde deixei o rc.local;
Não sei porque, mas fazendo esse procedimento no arquivo rc.ipad não estava dando certo e dessa forma funcionou.
ATT
Edson Toyokawa
-
outubro 9, 2012 às 7:34 pm #11925edsontoyokawaParticipante
Só passando uma dica:
Percebi que quando eu rodava o a configuração de rede ou alterava alguma coisa da rede eu perdia a rota.
Como resolvi isso:
Ao invés de colcoar o código “. /etc/rc.d/init.d/rc.local” no arquivo fcron (dentro de /etc/rc.d/init.d) como eu descrevi acima eu inseri no arquivo uplinksdaemon (dentro de /etc/rc.d/init.d). Toda vez que os links são reiniciados a rota é recriada.
ATT
Edson Toyokawa
-
-
AutorPosts
- O tópico ‘Migração de firewall’ está fechado para novas respostas.