Re: [GTER] Roteamento avançado: identificação de pacotes
César Augusto Santiago
csantiagobr at gmail.com
Wed May 17 18:10:47 -03 2006
Rubens e "ouvintes",
Certo... já que você está disposto mesmo a colaborar, o que agradeço
imensamente, vou detalhar minha infra-estrutura para ver se facilita
seu apoio. Vamos lá.
Como disse tenho dois Links com as seguintes caratecterísticas:
- Vou colocar as mascaras para facilitar na hora de compreender as
regras de firewall e roteamento:
=> EMBRATEL (6Mbps):
REDE_EBT: 200.241.189.128 / 255.255.255.192 (26)
Esta rede foi segmentada para a criação de uma DMZ com endereços
válidos. A DMZ está conectada a este servidor que faz o balanceamento.
REDE_DMZ_EBT: 200.241.189.160 / 255.255.255.224 (27)
=> BRASIL TELECOM (4Mbps):
REDE_BRT: 200.199.217.64 / 255.255.255.224 (27)
Esta rede também foi segmentada para a criação de uma DMZ com
endereços válidos. A DMZ está conectada a este servidor que faz o
balanceamento.
REDE_DMZ_BRT = 200.199.217.80 / 255.255.255.240 (28)
-------------------------------------------------------------
Meu Firewall (vou me referir a ele como NS2) possui 4 interfaces de
rede, sendo elas conforme segue:
.: Interfaces conectadas aos Roteadores através de Switch :.
eth0 => inet end.: 200.241.189.130 Bcast:200.241.189.191
Masc:255.255.255.192
eth0:0 => inet end.: 200.199.217.66 Bcast:200.199.217.95 Masc:255.255.255.224
.: Interfaces conectadas a DMZ através de Switch :.
eth1 => inet end.: 200.241.189.169 Bcast:200.241.189.191
Masc:255.255.255.224
eth1:0 => inet end.: 200.199.217.81 Bcast:200.199.217.95 Masc:255.255.255.240
.: Interfaces conectadas por cabo cros, cada uma a um firewall diferente. :.
eth2 => inet end.: 10.2.1.1 Bcast:10.2.1.255 Masc:255.255.255.0
eth3 => inet end.: 10.2.2.1 Bcast:10.2.2.255 Masc:255.255.255.0
*** Estes firewalls que estão conectados a estas interfaces atendem
nossa rede Administrativa e Rede Acadêmica. Eles estão tratando o
acesso na camada de Forward e cada um deles gerencia diversas redes
diferentes. Por este motivo tive que alimentar a tabela de roteamento
do servidor de balanceamento com rotas estáticas para as redes que
estão atras dos dois firewalls. Como poderá ser visto lá na frente.
.: Endereços dos meus roteadores :.
Router Embratel: 200.241.189.129/26
Router Brasil Telecom: 200.199.217.65/26
Vou colocar os valores das tabelas de roteamento e do rules:
-------------------------- TABELA MAIN ---------------------------
[root at ns2 fwconf]# ip route show table main
200.199.217.65 dev eth0 scope link src 200.199.217.66
200.241.189.129 dev eth0 scope link src 200.241.189.130
200.199.217.112/29 dev eth4 proto kernel scope link src 200.199.217.115
200.199.217.80/28 dev eth1 proto kernel scope link src 200.199.217.81
200.199.217.64/27 dev eth0 proto kernel scope link src 200.199.217.66
200.241.189.160/27 dev eth1 proto kernel scope link src 200.241.189.169
200.241.189.128/26 dev eth0 proto kernel scope link src 200.241.189.130
10.1.12.0/24 via 10.2.1.2 dev eth2
10.1.44.0/24 via 10.2.2.2 dev eth3
10.1.13.0/24 via 10.2.1.2 dev eth2
10.1.77.0/24 via 10.2.2.2 dev eth3
10.101.1.0/24 via 10.2.1.2 dev eth2
10.1.8.0/24 via 10.2.1.2 dev eth2
10.1.41.0/24 via 10.2.1.2 dev eth2
10.2.1.0/24 dev eth2 proto kernel scope link src 10.2.1.1
10.1.88.0/24 via 10.2.2.2 dev eth3
10.101.3.0/24 via 10.2.1.2 dev eth2
10.2.2.0/24 dev eth3 proto kernel scope link src 10.2.2.1
10.101.2.0/24 via 10.2.1.2 dev eth2
10.1.11.0/24 via 10.2.1.2 dev eth2
10.1.4.0/24 via 10.2.1.2 dev eth2
10.1.5.0/24 via 10.2.1.2 dev eth2
10.1.22.0/24 via 10.2.2.2 dev eth3
10.1.55.0/24 via 10.2.2.2 dev eth3
10.1.6.0/24 via 10.2.1.2 dev eth2
10.1.33.0/24 via 10.2.2.2 dev eth3
10.1.66.0/24 via 10.2.2.2 dev eth3
10.1.99.0/24 via 10.2.2.2 dev eth3
10.102.1.0/24 via 10.2.1.2 dev eth2
10.100.1.0/24 via 10.2.1.2 dev eth2
10.1.1.0/24 via 10.2.1.2 dev eth2
10.102.3.0/24 via 10.2.1.2 dev eth2
10.100.3.0/24 via 10.2.1.2 dev eth2
10.102.2.0/24 via 10.2.1.2 dev eth2
10.100.2.0/24 via 10.2.1.2 dev eth2
10.1.2.0/23 via 10.2.2.2 dev eth3
172.16.0.0/16 via 10.2.2.2 dev eth3
169.254.0.0/16 dev eth4 scope link
192.168.0.0/16 via 10.2.1.2 dev eth2
default via 200.241.189.129 dev eth0
------------------------ TABELA PRINCIPAL --------------------------
200.241.189.130 via 200.241.189.129 dev eth0
200.199.217.112/29 dev eth4 proto kernel scope link src 200.199.217.115
200.199.217.80/28 dev eth1 proto kernel scope link src 200.199.217.81
200.199.217.64/27 dev eth0 proto kernel scope link src 200.199.217.66
200.241.189.160/27 dev eth1 proto kernel scope link src 200.241.189.169
200.241.189.128/26 dev eth0 proto kernel scope link src 200.241.189.130
10.1.12.0/24 via 10.2.1.2 dev eth2
10.1.44.0/24 via 10.2.2.2 dev eth3
10.1.13.0/24 via 10.2.1.2 dev eth2
10.1.77.0/24 via 10.2.2.2 dev eth3
10.101.1.0/24 via 10.2.1.2 dev eth2
10.1.8.0/24 via 10.2.1.2 dev eth2
10.1.41.0/24 via 10.2.1.2 dev eth2
10.2.1.0/24 dev eth2 proto kernel scope link src 10.2.1.1
10.1.88.0/24 via 10.2.2.2 dev eth3
10.101.3.0/24 via 10.2.1.2 dev eth2
10.2.2.0/24 dev eth3 proto kernel scope link src 10.2.2.1
10.101.2.0/24 via 10.2.1.2 dev eth2
10.1.11.0/24 via 10.2.1.2 dev eth2
10.1.4.0/24 via 10.2.1.2 dev eth2
10.1.5.0/24 via 10.2.1.2 dev eth2
10.1.22.0/24 via 10.2.2.2 dev eth3
10.1.55.0/24 via 10.2.2.2 dev eth3
10.1.6.0/24 via 10.2.1.2 dev eth2
10.1.33.0/24 via 10.2.2.2 dev eth3
10.1.66.0/24 via 10.2.2.2 dev eth3
10.1.99.0/24 via 10.2.2.2 dev eth3
10.102.1.0/24 via 10.2.1.2 dev eth2
10.100.1.0/24 via 10.2.1.2 dev eth2
10.1.1.0/24 via 10.2.1.2 dev eth2
10.102.3.0/24 via 10.2.1.2 dev eth2
10.100.3.0/24 via 10.2.1.2 dev eth2
10.102.2.0/24 via 10.2.1.2 dev eth2
10.100.2.0/24 via 10.2.1.2 dev eth2
10.1.2.0/23 via 10.2.2.2 dev eth3
172.16.0.0/16 via 10.2.2.2 dev eth3
192.168.0.0/16 via 10.2.1.2 dev eth2
-------------------------- TABELA EMBRATEL ---------------------------
[root at ns2 fwconf]# ip route show table ebt
200.241.189.129 dev eth0 scope link src 200.241.189.130
200.241.189.128/26 dev eth0 scope link src 200.241.189.130
127.0.0.0/8 dev lo scope link
default via 200.241.189.129 dev eth0
-------------------------- TABELA BRASIL TELECOM ---------------------------
[root at ns2 fwconf]# ip route show table brt
200.199.217.65 dev eth0 scope link src 200.199.217.66
200.199.217.64/27 dev eth0 scope link src 200.199.217.66
127.0.0.0/8 dev lo scope link
default via 200.199.217.65 dev eth0
--------------------------- TABELA LOAD -----------------------
200.241.189.129 dev eth0 scope link src 200.241.189.130
200.199.217.65 dev eth0 scope link src 200.199.217.66
default
nexthop via 200.241.189.129 dev eth0 weight 1
nexthop via 200.199.217.65 dev eth0 weight 1
--------------------------- RULES ------------------------
0: from all lookup local
14: from all lookup principal
16: from 200.199.217.66 lookup brt
17: from 200.241.189.130 lookup ebt
30: from all fwmark 0x3 lookup load
32766: from all lookup main
32767: from all lookup default
########### FIREWALL ###########33
Vou colocar a regra apenas para uma das redes atras dos firewalls,
pois elas são identicas para as demais redes.
=> Tabela mangle
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
MARK all -- 192.168.1.37 0.0.0.0/0 MARK set 0x3
MARK all -- 0.0.0.0/0 200.241.189.160/27 MARK set 0x1
MARK all -- 0.0.0.0/0 200.199.217.80/28 MARK set 0x2
MARK all -- 0.0.0.0/0 0.0.0.0/0 MARK set 0x3
=> Tabela nat
---> Chain PREROUTING (policy ACCEPT)
---> Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
lab-net all -- 172.16.0.0/16 0.0.0.0/0
MASQUERADE tcp -- 10.2.1.2 0.0.0.0/0 tcp dpt:80
MASQUERADE tcp -- 10.2.1.2 0.0.0.0/0 tcp dpt:53
MASQUERADE udp -- 10.2.1.2 0.0.0.0/0 udp dpt:53
rede_adm_ci_iii-net all -- 192.168.0.0/16 0.0.0.0/0
Chain rede_adm_ci_iii-net (1 references)
target prot opt source destination
MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0
---> Chain FORWARD (policy DROP)
target prot opt source destination
rede_adm_ci_iii-dmz all -- 192.168.0.0/16 200.199.217.80/28
rede_adm_ci_iii-dmz all -- 192.168.0.0/16 200.241.189.160/27
dmz-rede_adm_ci_iii all -- 200.199.217.80/28 192.168.0.0/16
dmz-rede_adm_ci_iii all -- 200.241.189.160/27 192.168.0.0/16
rede_adm_ci_iii-net all -- 192.168.0.0/16 0.0.0.0/0
net-dmz all -- 0.0.0.0/0 200.241.189.160/27
net-dmz all -- 0.0.0.0/0 200.199.217.80/28
dmz-net all -- 200.241.189.160/27 0.0.0.0/0
dmz-net all -- 200.199.217.80/28 0.0.0.0/0
Chain dmz-rede_adm_ci_iii (2 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain net-rede_adm_ci_iii (2 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED
Chain rede_adm_ci_iii-dmz (2 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain rede_adm_ci_iii-net (1 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain net-dmz (2 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 200.241.189.170 tcp dpt:80
Chain dmz-net (2 references)
target prot opt source destination
ACCEPT tcp -- 200.241.189.170 0.0.0.0/0 tcp
spt:80 flags:!0x16/0x02
-----------------------------------------
Veja que o firewall simplesmente autoriza tudo. Acontece que toda
regra de segurança é realizada pelos outros 2 firewalls antes deste.
Com exceção é claro da relacão Internet<-> dmz.
Neste cenário enfrentamos o problema que coloquei, de sair pelo router
da embratel com IP da Brasil Telecom. Vou copiar aqui o resultado do
Tarcert para um site hospedado na Brasil Telecom. Estou dando este
tracert a partir do firewall anterior ao do balanceamento.
]# traceroute www.detran.ms.gov.br
traceroute to www.detran.ms.gov.br (200.181.116.5), 30 hops max, 38 byte packets
1 10.2.1.1 (10.2.1.1) 0.133 ms 0.121 ms 0.119 ms
2 200.241.189.129 (200.241.189.129) 43.265 ms 56.630 ms 48.878 ms
3 embratel-S4-0-acc03.cpe.embratel.net.br (200.242.182.37) 49.425
ms 40.184 ms 44.160 ms
4 ebt-G0-2-dist03.cpe.embratel.net.br (200.230.159.149) 39.353 ms
46.958 ms 46.553 ms
MPLS Label=331 CoS=5 TTL=1 S=0
5 ebt-A5-2-2-core01.spo.embratel.net.br (200.230.0.74) 52.481 ms
38.932 ms 43.322 ms
MPLS Label=303 CoS=5 TTL=1 S=0
6 ebt-P4-0-dist04.bsa.embratel.net.br (200.244.40.33) 46.004 ms
49.455 ms 54.115 ms
MPLS Label=579 CoS=5 TTL=1 S=0
7 ebt-G6-0-gacc02.bsa.embratel.net.br (200.244.165.2) 49.451 ms
49.122 ms 64.007 ms
8 * *
9 * * *
E assim vai.. Este endereço 200.244.165.2 é um roteador de borda.
Segundo a Embratel um GigaLAN deles coma Brasil Telecom.
Se você ou alguém teve paciência de analisar tudo isso até aqui já
saiba que sou eternamente grato. Espero que possam me ajudar.
Abraços,
César Augusto Santiago
More information about the gter
mailing list