[MASOCH-L] Problemas estranho com rotas(SOLUÇÂO)

silvio.cesar at unigranrio.edu.br silvio.cesar at unigranrio.edu.br
Thu Nov 16 07:48:48 -03 2006


Sim é verdade, o melhor caminho é mesmo por Firewall(NAT).

Antes tinhamos somente uma saída de internet pelo Firewall(NAT) num link
de 2Mbps(Pela RedeRio de Computadores(FAPERJ)).

Logo surgiram as ADSLs de 1Mbps(Download), na qual me pediram para
desviar todo tráfego de navegação dos nossos funcionários para a ADSL.

Como hospedamos nossos próprios serviços web, perdiamos muito em
velocidade deixando o tráfego ter que sair da nossa rede pelo
Firewall(ADSL), então fiz esta rota estática em Firewall(ADSL) apontando
para Firewall(NAT), roteando assim nossos serviços por nossa LAN.

Obs.: Algumas máquinas Windows dão este problema, uma minoria não.

O que pensei seria colocar uma interface em Firewall(ADSL) diretamente
na mesma faixa de ips do servidor, logo Firewall(ADSL) teria uma
interface diretamente conectada na rede válida e eu não precisaria mais
da rota estática nele.

Existiria outra solução ?

Qual a implicação de desativar o IMCP Redirect, uma vez que por exemplo
o Slackware por default vem com ele disabilitado ?

Att,

Silvio Cesar L. dos Santos
Analista de Redes Pleno
DTI - Divisão de Tecnologia da Informação
UNIGRANRIO - Universidade do Grande Rio
+55 21 2672-7720
silviocesar at unigranrio.edu.br
scsantos at unigranrio.com.br
http://www.unigranrio.br


Julio Arruda escreveu:
> Bom, eu nao ia sugerir isto, ja que na pratica, ICMP redirect, em redes 
> planejadas corretamente, nao deveriam criar problema :-)
> 
> O ICMP redirect AINDA esta sendo enviado, por que o seu FirewallADSL 
> pensa que o caminho melhor para o destino e via o outro firewall.
> Isto e' verdadeiro ?
> 
> Qual o caminho que deveria ser tomado ?
> Via Firewall ADSL para este destino, ou via Firewall NAT ?
> Voce esta corrigindo o efeito colateral, nao o problema :-)
> 
> silvio.cesar at unigranrio.edu.br wrote:
>> Desabilitar o ICMP REDIRECT, e dá um reboot ;-)
>>
>> HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters
>> - by setting the EnableICMPRedirect entry to 0 (in most cases it will
>> set to active - 1 by default).
>>
>> O material que encontrei que está explanando um pouco sobre o ICMP
>> Redirect foi o seguinte:
>>
>> http://www.xnews.ro/QWDisable_ICMP_Redirect.htm
>>
>> Inclusive me parece que resolveu o problema do HTTP também(mas ainda vou
>> testar com mais calma).
>>
>> No Slackware(não sei nas outras distribuições) o ICMP redirect vem
>> desabilitado por padrão.
>>
>> Att,
>>
>> Silvio Cesar L. dos Santos
>> Analista de Redes Pleno
>> DTI - Divisão de Tecnologia da Informação
>> UNIGRANRIO - Universidade do Grande Rio
>> +55 21 2672-7720
>> silviocesar at unigranrio.edu.br
>> scsantos at unigranrio.com.br
>> http://www.unigranrio.br
>>
>>
>> silvio.cesar at unigranrio.edu.br escreveu:
>>> Vamos lá,
>>>
>>> Tenho duas saídas de internet
>>>
>>> - Uma por ADSL
>>> - Outra pela Rede Rio de Computadores
>>>
>>> A saída padrão é pela ADSL para acesso à internet pelos clientes da rede
>>> interna corporativa
>>>
>>> Cliente corporativo-(saída)->Firewall(ADSL)
>>> |
>>> |
>>> Firewall(NAT)->DMZ
>>> |
>>> |-> Saída Rede Rio
>>>
>>> Porém quando a saída é para 200.20.111.0/24 eu tenho uma rota estática
>>> em Firewall(ADSL) para o FIREWALL(NAT) acima.
>>>
>>> Como o Firewall(NAT) tem uma interface diretamente conectada na rede
>>> corporativa, a volta não passa no Firewall(ADSL)
>>>
>>> O ICMP redirect realmente acontece e o windows 2000 aprende a rota que
>>> para chegar no servidor 200.20.111.1 ele deve passar no Firewall(NAT) o
>>> qual tem uma interface na mesma sub-rede.
>>>
>>> Quanto ao 3-way handshake aparentemente o cliente inicia o pedido para
>>> estabelecer a conexão e depois não responde mais(as vezes responde)
>>>
>>> Monitorando com o tcpdump, a interface da rede corporativa, a resposta
>>> do servidor está chegando na interface corretamente e outros serviços
>>> funcionam naquela DMZ.
>>>
>>> OBS: Como comentado anteriormente também tive este problema com HTTP e
>>> também resolvi com o proxy.
>>>
>>>
>>> Att,
>>>
>>> Silvio Cesar L. dos Santos
>>> Analista de Redes Pleno
>>> DTI - Divisão de Tecnologia da Informação
>>> UNIGRANRIO - Universidade do Grande Rio
>>> +55 21 2672-7720
>>> silviocesar at unigranrio.edu.br
>>> scsantos at unigranrio.com.br
>>> http://www.unigranrio.br
>>>
>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
> 
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l



More information about the masoch-l mailing list