[MASOCH-L] Problemas estranho com rotas(SOLUÇÂO)

Julio Arruda jarruda-gter at jarruda.com
Thu Nov 16 12:35:31 -03 2006


silvio.cesar at unigranrio.edu.br wrote:
> Sim é verdade, o melhor caminho é mesmo por Firewall(NAT).
> 
> Antes tinhamos somente uma saída de internet pelo Firewall(NAT) num link
> de 2Mbps(Pela RedeRio de Computadores(FAPERJ)).
> 
> Logo surgiram as ADSLs de 1Mbps(Download), na qual me pediram para
> desviar todo tráfego de navegação dos nossos funcionários para a ADSL.
> 
> Como hospedamos nossos próprios serviços web, perdiamos muito em
> velocidade deixando o tráfego ter que sair da nossa rede pelo
> Firewall(ADSL), então fiz esta rota estática em Firewall(ADSL) apontando
> para Firewall(NAT), roteando assim nossos serviços por nossa LAN.
> 
> Obs.: Algumas máquinas Windows dão este problema, uma minoria não.
> 
> O que pensei seria colocar uma interface em Firewall(ADSL) diretamente
> na mesma faixa de ips do servidor, logo Firewall(ADSL) teria uma
> interface diretamente conectada na rede válida e eu não precisaria mais
> da rota estática nele.
> 
> Existiria outra solução ?

Se sua rota default e' uma, e a rota mais especifica e' outra, uma 
solucao poderia ser criar rotas especificas nas estacoes.
A outra, e' no Firewall(NAT), NAO enviar o ICMP redirect. Isto evitaria 
o problema eu creio, MAS, nao evitaria o fato de que Firewall ADSL tem 
que atuar como um 'router em um palito', roteando trafego da LAN para 
ela mesma quando vai trafego para a rede
Pelo que voce diz, voce nao se importa de entrar e sair pela mesma 
interface do firewall ADSL quando esta indo 'para' a rede remota atras 
do firewall NAT.

Quanto a 'descricao' de problemas, ideias e etc..
Nao entendi o colocar uma interface em firewall(adsl) diretamente.
Tente se colocar no lugar de quem esta 'vendo' o problema remotamente.
O que voce descreve, sem enderecos IPs, e etc, nao da informacao 
suficiente para fazer o troubleshooting. Imagine sempre que voce tem que 
dar suporte a mesma rede, sem saber zero, nada, zit, da mesma, que 
informacao voce precisa neste caso..
Um exemplo, me parece que os PCs windows, a interface 'interna' dos dois 
FW (ads l e nat), estao todos na mesma subnet, mas isto e' por que so 
assim faz sentido o ICMP redirect, isto e' verdadeiro ? Isto e' 'logico' 
baseado em como IP trabalha, mas e' deducao.


> 
> Qual a implicação de desativar o IMCP Redirect, uma vez que por exemplo
> o Slackware por default vem com ele disabilitado ?
> 
> Att,
> 
> Silvio Cesar L. dos Santos
> Analista de Redes Pleno
> DTI - Divisão de Tecnologia da Informação
> UNIGRANRIO - Universidade do Grande Rio
> +55 21 2672-7720
> silviocesar at unigranrio.edu.br
> scsantos at unigranrio.com.br
> http://www.unigranrio.br
> 
> 
> Julio Arruda escreveu:
>> Bom, eu nao ia sugerir isto, ja que na pratica, ICMP redirect, em redes 
>> planejadas corretamente, nao deveriam criar problema :-)
>>
>> O ICMP redirect AINDA esta sendo enviado, por que o seu FirewallADSL 
>> pensa que o caminho melhor para o destino e via o outro firewall.
>> Isto e' verdadeiro ?
>>
>> Qual o caminho que deveria ser tomado ?
>> Via Firewall ADSL para este destino, ou via Firewall NAT ?
>> Voce esta corrigindo o efeito colateral, nao o problema :-)
>>
>> silvio.cesar at unigranrio.edu.br wrote:
>>> Desabilitar o ICMP REDIRECT, e dá um reboot ;-)
>>>
>>> HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters
>>> - by setting the EnableICMPRedirect entry to 0 (in most cases it will
>>> set to active - 1 by default).
>>>
>>> O material que encontrei que está explanando um pouco sobre o ICMP
>>> Redirect foi o seguinte:
>>>
>>> http://www.xnews.ro/QWDisable_ICMP_Redirect.htm
>>>
>>> Inclusive me parece que resolveu o problema do HTTP também(mas ainda vou
>>> testar com mais calma).
>>>
>>> No Slackware(não sei nas outras distribuições) o ICMP redirect vem
>>> desabilitado por padrão.
>>>
>>> Att,
>>>
>>> Silvio Cesar L. dos Santos
>>> Analista de Redes Pleno
>>> DTI - Divisão de Tecnologia da Informação
>>> UNIGRANRIO - Universidade do Grande Rio
>>> +55 21 2672-7720
>>> silviocesar at unigranrio.edu.br
>>> scsantos at unigranrio.com.br
>>> http://www.unigranrio.br
>>>
>>>
>>> silvio.cesar at unigranrio.edu.br escreveu:
>>>> Vamos lá,
>>>>
>>>> Tenho duas saídas de internet
>>>>
>>>> - Uma por ADSL
>>>> - Outra pela Rede Rio de Computadores
>>>>
>>>> A saída padrão é pela ADSL para acesso à internet pelos clientes da rede
>>>> interna corporativa
>>>>
>>>> Cliente corporativo-(saída)->Firewall(ADSL)
>>>> |
>>>> |
>>>> Firewall(NAT)->DMZ
>>>> |
>>>> |-> Saída Rede Rio



More information about the masoch-l mailing list