[GTER] ICMP Redirect Host

Rafael Petter rafapetter at gmail.com
Sat Jul 30 13:02:35 -03 2011


Vc possui um firewall com dois segmentos fisicos "interligados"
(bridge-group no mundo Cisco).

A rota default dos servidores dentro do AS apontam para 200.131.46.1
(segmento br0) e o seu firewall possui outra rota default para o ISP,
apontando para 186.211.134.17 (tambem um segmento br0). Logo, por se tratar
de um mesmo segmento onde encontram-se os servidores do AS, o seu firewall
informa que não é necessário apontarem para ele, mas sim para o gateway
final no segmento: 186.211.134.17. É isso que o icmp redirect faz, por se
tratar de um mesmo segmento, mesmo tendo subredes destintas.

O recomendado é utilizar esse firewall em modo roteador, com suas interfaces
fisicas independentes. (segmentos independentes, interno ao AS e outro
externo para o ISP).

Abraços.

-- 
Rafael Petter Santos Rocha
Analista de Redes e Segurança da Informação
CCNA - Cisco Certified Network Associate
CCNP - Cisco Certified Network Professional
Cisco IronPort Security Professional


2011/7/30 Thiago Vinhas <thiago at simpleweb.com.br>

> On 30-07-2011 06:21, Bruno L F Cabral wrote:
>
>> Em Sex, Julho 29, 2011 4:26 pm, Thiago Vinhas escreveu:
>>
>>> O cliente tem um servidor linux com duas interfaces de rede em bridge
>>> atuando como firewall e bgp na mesma máquina. Uma das interfaces vai
>>> para o switch onde estão ligados os demais servidores, e a outra é
>>> ligada diretamente no link fornecido pela Intelig.
>>>
>> Desculpa perguntar mas por que ele fez desse jeito? Wan é wan,
>> não tem que estar em bridge com lan
>>
>> Vai escapar um monte de tráfego interno em direção a wan com
>> essa configuração
>>
> Bruno, quando peguei o projeto já estava assim. Não sei porque fizeram
> dessa forma.
> Quais as vantagens teria em mudar esse modelo de bridge?
>
> Ficaria uma interface com o IP da rede do roteador do backbone, e a outra
> ligando ao switch do cliente, configurada com um IP do AS do cliente?
>
> Obrigado,
> Thiago
>
> --
> gter list    https://eng.registro.br/**mailman/listinfo/gter<https://eng.registro.br/mailman/listinfo/gter>
>



More information about the gter mailing list