Re: [GTER] Roteamento avançado: identificação de pacotes

Rubens Kuhl Jr. rubensk at gmail.com
Tue May 16 18:36:18 -03 2006


> Entendi. Mas então já fique sabendo, que nem a Brasil Telecom nem a
> Embratel configuraram proteção quanto a isso, pq meus pacotes se
> arrastam na internet dentro da rede de cada uma e a zica só ocorre
> quando ele atravessa um enlace de uma para outra. Ou seja, quando um
> pacote que saí pela rede da embratel com IP de origem da brasil
> telecom, chega lá na frente, no roteador dentro da rede da Brasil
> Telecom, ele da pau. Trava e não consegue seguir, pelo menos não
> consigo mais seguir com o tracert.

Se isso de fato estiver acontecendo, tanto Brasil Telecom quanto
Embratel estarão violando uma das recomendações mais básicas de
segurança em ISPs atualmente que é filtrar o tráfego de clientes com
rotas estáticas. O que você conta porém vai de acordo com outra
recomendação que é bloquear pacotes com IPs de origem do bloco da
operadora vindo de outros backbones.


> Agora um detalhe, se é possível fazer roteamento na origem com o
> iproute2, pq não consigo dizer que uma informação, marcada (através do
> iptables) deva seguir por um link com uma determinada origem? estou
> achando isso um erro muito elementar e por isso acho que deva haver um
> erro de configuração. Eu por acaso estou usando a mesma interface

Precisaríamos das regras de iptables (PREROUTING, FORWARD e
POSTROUTING) para ver onde você está colocando as regras de SNAT e
MASQUERADE e verificar o problema, mas uma coisa me chamou a atenção:
com apenas uma interface de saída, você precisaria fazer SNAT em
função das mesmas regras que usou para fazer o roteamento
diferenciado, forçando o bloco de IPs da operadora. Só que como você
usou weight, não dá para saber a priori para onde vai sair... assim,
você ou precisaria usar o ebtables para fazer SNAT em função do MAC do
destino (se é que isso é possível, mas o fato é que a única diferença
entre o pacote que vai para uma operadora ou outra é o MAC do
gateway), ou usar duas interfaces de saída. O que é uma solução bem
mais simples (e que já usei com sucesso).

Você reportou que a configuração com duas interfaces de saída teve
problemas com MASQUERADE; além de uma forte sugestão de usar SNAT ao
invés de MASQUERADE, que problemas exatamente ocorreram, e como eram
as regras de iptables nesse cenário ?


Rubens



More information about the gter mailing list