[MASOCH-L] Problemas estranho com rotas
Julio Arruda
jarruda-gter at jarruda.com
Tue Nov 14 17:11:32 BRST 2006
Novamente, tente colocar a tabela de roteamento das maquinas em questao,
e em caso do diagrama, coloque os enderecos para que todos falem a mesma
lingua.
Pelo que da para entender, voce tem uma rota (default)no "cliente
corporativo", para 0.0.0.0/0 via "firewall-adsl"
o Firewall-adsl tem uma rota estatica para 200.20.111.0/24 (endereco no
rio de janeiro ?) via Firewall NAT (interface na mesma rede do cliente
corporativo).
Quando voce manda algum trafico de "cliente corporativo" para alguem no
200.20.11.0/24, vai para o Firewall ADSL, e este roteia de volta
(enviando para firewall-nat), e envia um ICMP redirect para o 'cliente
corporativo'.
O ICMP redirect cria uma rota /32 no cliente, apontando para o
firewall-nat, esta e' a rota que QUANDO ESTA NO AR, da problema ?
silvio.cesar at unigranrio.edu.br wrote:
> Vamos lá,
>
> Tenho duas saídas de internet
>
> - Uma por ADSL
> - Outra pela Rede Rio de Computadores
>
> A saída padrão é pela ADSL para acesso à internet pelos clientes da rede
> interna corporativa
>
> Cliente corporativo-(saída)->Firewall(ADSL)
> |
> |
> Firewall(NAT)->DMZ
> |
> |-> Saída Rede Rio
>
> Porém quando a saída é para 200.20.111.0/24 eu tenho uma rota estática
> em Firewall(ADSL) para o FIREWALL(NAT) acima.
>
> Como o Firewall(NAT) tem uma interface diretamente conectada na rede
> corporativa, a volta não passa no Firewall(ADSL)
>
> O ICMP redirect realmente acontece e o windows 2000 aprende a rota que
> para chegar no servidor 200.20.111.1 ele deve passar no Firewall(NAT) o
> qual tem uma interface na mesma sub-rede.
>
> Quanto ao 3-way handshake aparentemente o cliente inicia o pedido para
> estabelecer a conexão e depois não responde mais(as vezes responde)
>
> Monitorando com o tcpdump, a interface da rede corporativa, a resposta
> do servidor está chegando na interface corretamente e outros serviços
> funcionam naquela DMZ.
>
> OBS: Como comentado anteriormente também tive este problema com HTTP e
> também resolvi com o proxy.
>
More information about the masoch-l
mailing list