[MASOCH-L] Problemas estranho com rotas

Julio Arruda jarruda-gter at jarruda.com
Tue Nov 14 17:11:32 -03 2006


Novamente, tente colocar a tabela de roteamento das maquinas em questao, 
e em caso do diagrama, coloque os enderecos para que todos falem a mesma 
lingua.

Pelo que da para entender, voce tem uma rota (default)no "cliente 
corporativo", para 0.0.0.0/0 via "firewall-adsl"
o Firewall-adsl tem uma rota estatica para 200.20.111.0/24 (endereco no 
rio de janeiro ?) via Firewall NAT (interface na mesma rede do cliente 
corporativo).

Quando voce manda algum trafico de "cliente corporativo" para alguem no 
200.20.11.0/24, vai para o Firewall ADSL, e este roteia de volta 
(enviando para firewall-nat), e envia um ICMP redirect para o 'cliente 
corporativo'.

O ICMP redirect cria uma rota /32 no cliente, apontando para o 
firewall-nat, esta e' a rota que QUANDO ESTA NO AR, da problema ?


silvio.cesar at unigranrio.edu.br wrote:
> Vamos lá,
> 
> Tenho duas saídas de internet
> 
> - Uma por ADSL
> - Outra pela Rede Rio de Computadores
> 
> A saída padrão é pela ADSL para acesso à internet pelos clientes da rede
> interna corporativa
> 
> Cliente corporativo-(saída)->Firewall(ADSL)
> |
> |
> Firewall(NAT)->DMZ
> |
> |-> Saída Rede Rio
> 
> Porém quando a saída é para 200.20.111.0/24 eu tenho uma rota estática
> em Firewall(ADSL) para o FIREWALL(NAT) acima.
> 
> Como o Firewall(NAT) tem uma interface diretamente conectada na rede
> corporativa, a volta não passa no Firewall(ADSL)
> 
> O ICMP redirect realmente acontece e o windows 2000 aprende a rota que
> para chegar no servidor 200.20.111.1 ele deve passar no Firewall(NAT) o
> qual tem uma interface na mesma sub-rede.
> 
> Quanto ao 3-way handshake aparentemente o cliente inicia o pedido para
> estabelecer a conexão e depois não responde mais(as vezes responde)
> 
> Monitorando com o tcpdump, a interface da rede corporativa, a resposta
> do servidor está chegando na interface corretamente e outros serviços
> funcionam naquela DMZ.
> 
> OBS: Como comentado anteriormente também tive este problema com HTTP e
> também resolvi com o proxy.
> 



More information about the masoch-l mailing list