BFW Firewall & Router

[jersonmales]

Hola compañeros
Necesito de su ayuda

tengo corriendo argentoqos y argentobr en diferentes pc y tengo una red de 24clientes mi necesidad es esta:
Digamos deseo segmentar la red en 2 grupos de red

12pcs q pertenescan al grupo 192.168.10.0 y las otras
12 pcs q pertenescan al grupo 192.168.11.0

Empese asi:entre en el brasilqos y fui a configuracion de red y en direccion ip primaria coloque la direccion:192.168.10.1 y mascara de subred, luego fui a direccion ip secundaria y coloque 192.168.11.1 de ahi abri la pestana argentoqos y declare las dos redes asi:
clase_id 5 56 86 100 500 192.168.10.0/24
clase_id 6 56 86 100 500 192.168.11.0/24

luego entre en el argentobr(que esta en otra pc) y asigne permisos para las ips de las 2 redes ejm:
simple_clase_id 7 24 56 100 200 192.168.10.5 squid_yes
simple_clase_id 8 24 56 100 200 192.168.11.8 squid_yes

Pero hasta ahi llego no se como mas configurar el argentobr, la configiracion de internet , puerta de enlace y cual dns poner, espero haber sido claro y que me ayuden a solucionar este problema.

[jcmr79]

no estoy seguro del todo porque no he manejado subredes, pero creo que en argento bridge debes tenes las dos siguientes lineas en configuracion de squid o el mismo llamado squid.conf

Código: Selecionar todos

acl rede_interna src 192.168.10.0/24
acl rede_interna src 192.168.11.0/24

que alguien me corrija si estoy errado......

.

[jersonmales]

Pero en el argentobr en configuraciones de internet que ips pondria como lo haria y de igual forma en configuracion de red?

[nachazo]

primero trata de crear simple_class_id sin squid....

luego cuando veas que funcionan... dale a la red nativa del argentobr el squid_yes...

una ves logrado esto podes pasar a configurar squid y argentobr en conjunto para soportar multiple subredes....

Saludos.

[alenu6]

Hola jersonmales:
Yo ya he hecho redes con la dupla argento y funciona muy bien. Te cuento como se hace:
Primero, elimina la ip secundaria que habias agregado (es decir, deja todo como al principio)
En el ArgentoQOS tenes que agregar las siguientes lineas en /etc/coyote/firewall.local (desde webadmin en Configuracion avanzada de firewall ==> Editar Reglas de Firewall Personalizadas)

ip addr add 192.168.11.1/24 broadcast + dev eth0
iptables -t nat -I POSTROUTING -s 192.168.11.0/24 -o ppp0 -j MASQUERADE

Con estas lineas vas a agregar esa ip (ademas de la que tenias osea la 192.168.10.1) y le vas a dar internet a esa subred.

Luego en el script QOS podes poner como habias puesto mas arriba, o una sola clase que abarque ambas subredes, por ejemplo:
clase_id 5 56 86 100 500 192.168.10.0/23
Fijate que puse /23 en vez de /24 para que tome las 2 subredes. De cualquiera de las 2 formas esta bien.

En el ArgentoBR:
Tenes que agregar la siguiente linea en el rc.local (suponiendo que vas a asignale la ip 192.168.11.2 a tu ArgentoBR en la segunda subred):
ifconfig br0:1 192.168.11.2 up
Eso es todo. Ahora solo debes agregar las ips en el script QOS del ArgentoBridge, por ejemplo:

simple_clase_id 7 24 56 100 200 192.168.10.5 squid_yes
simple_clase_id 8 24 56 100 200 192.168.11.8 squid_yes

Tambien agrega la linea en squid.conf que dijo Juan mas arriba (yo no sabia que habia que agregarla, ahora la agregue. Gracias Juan )
En las pcs tenes que poner el gateway de la ip nueva, es decir 192.168.11.1 y de puerta de enlace podes poner las de tu ISP o si tenes bind funcionando la ip de tu argentobridge (en el ejemplo 192.168.11.2)

Bueno, espero que te sirva. Contanos si te funciono.

Saludos!!!

[jersonmales]

Hola jersonmales:

ip addr add 192.168.11.1/24 broadcast + dev eth0
iptables -t nat -I POSTROUTING -s 192.168.11.0/24 -o ppp0 -j MASQUERADE

Saludos!!!

Hola alenu6.

estas dos lineas incluyo en el firewall personalizado? o solo la iptables?
la ip addr add no deveria incluirla en el rc.local?

en esta linea
iptables -t nat -I POSTROUTING -s 192.168.11.0/24 -o ppp0 -j MASQUERADE

la parte que esta en rojo deveria ser A?

disculpa mi duda o mi equivocacion.

[njrs83]

Hola a todos queria saber si pudieron configurar sus argentos para manejar subredes, ya que me estan pidiendo lo mismo y no se como hacerlo...
Por favor si lo lograron podrian darme una mano...

Gracias mil gracias.

[Juanillo]

njrs83, en este mismo post tenes la respuesta, como lo explicó alenu6 está perfecto.

Saludos

Juan

[njrs83]

Ok gracias juan, solo lo decia por las dudas que le quedaron a jersonmales, las cuales posteo arriba y no recibio respuesta, voy a conseguir un pc de pruebas y vere como me va.

Mil gracias.

[gamba47]

en esta linea
iptables -t nat -I POSTROUTING -s 192.168.11.0/24 -o ppp0 -j MASQUERADE

la parte que esta en rojo deveria ser A?

Para mi es una A como dice Jersonmales, la "A" es de ADD (agregar), la "I" no se que es.....


Saludos. gamba47


PD. si jersonmales tienen razón corrijan el post donde quedó mal, así nadie mete la pata.....

[alenu6]

Perdon por la demora, no habia visto la pregunta . Yo lo tengo andando asi como explique, no he tenido problemas. Sinceramente no se que variará si cambia la -I por la -A. Habria que probar, pero con I tambien funciona, lo tengo funcionando desde hace mucho tiempo. He hecho varios servidores (con esa configuracion) con varias subredes y funciona. Si alguien prueba con -A, que comente los resultados.

Saludos!!!

[kainlite]

buenas gente :P apareci despues de mucho por aca, buenisimas las guias y cosas que hicieron en el tiempo que estube sin bfw, ya tengo un bfw 2.31.10 +SP1, con squid con zph y bind... bueno pero no es para desvirtuar que posteo :P

la diferencia de el -I <-i al -A, es que I es insert, osea que pone la regla en la primera linea de la tabla, y la A es append, osea que la agrega al final... deberia funcionar con las 2 agregar cualquier regla...

PD: iptables -t nat -I POSTROUTING -s 192.168.11.0/24 -o ppp0 -j MASQUERADE

esa regla es asi, iptables -t nat -A POSTROUTING -s 192.168.11.0/24 -o ppp0 -j MASQUERADE

o asi: iptables -t nat -I POSTROUTING -s 192.168.11.0/24 -o ppp0 -j MASQUERADE

por cierto con -I se le puede especificar en que linea se quiere insertar la regla... ejemplo

iptables -t nat -I POSTROUTING 5 -s 192.168.11.0/24 -o ppp0 -j MASQUERADE

explicacion, -t table (nat) -I o -A CHAIN, -s (source address), -o (interfaz de salida), -j (accion, enmascarar)

Saludos.
Gabriel.

[Lord]

al crear subredes de esta manera seria muy util para mantener por ejemplo 3 enlaces separados unos de otros... bastante interesante el asunto...

[gamba47]

Gracias Gabriel por la explicación !!


Al final volves a usar BrazilFW o te nos vas de nuevo ?


Abrazo. Emiliano

[pablino76]

hola tuve que mandar una subred sin poder reiniciar brazilfw y me ayudo lo que vi de pronto de alenu6
salvo que no daba con el masquerade en mi caso de iptables asi que cuando lo resolvi fue asi

ip addr add 192.168.15.1/30 broadcast + dev eth0
iptables -t nat -A POSTROUTING -s 192.168.15.0/30 -d 0.0.0.0/0 -j MASQUERADE

con eso pude crear una nueva subred con salida a la wan rapidamente
bueno ahora si, anda
el tema es las otras subredes enmascaradas

las veo con iptables -L -t nat en
Chain nat-masks (1 references)

y la nuevas enmascaradas me quedaron arriba en
Chain PREROUTING (policy ACCEPT)
¿como se supone que deberia haber echo el MASQUERADE para que me quedaran nuevas subredes en Chain nat-masks (1 references)?

[nachazo]

pablino mirate el archivo /etc/rc.d/rc.subnet


muy claro de como agragar subredes e vivo y en directo...

ademas en el sp1 de la 2.31 te agrega en el webmin un reload de las subredes por ende se puede hacer en vivo!

[pablino76]

Claro ahí esta era

iptables -t nat -I nat-masks -s 192.168.15.0/30 -d 0.0.0.0/0 -j MASQUERADE

El script ese que me paso nacho es este, esta interesante para tenerlo en cuenta por varias cosas.

Código: Selecionar todos

#!/bin/sh
# BrazilFW Subnetting Startup Script
# Author: Claudio Roberto Cussuol - 02/28/2006
# Changed to support subnet QOS in others LAN interfaces
# by BFW user "agsoliveira" - Revision by BFW user "marcos do vale" - 08/04/2008
# Call by /etc/rc.d/rc.M in line 94

. /etc/coyote/coyote.conf
. /tmp/netsubsys.state

IPTABLES="/usr/sbin/iptables"
ip="/usr/sbin/ip"

if [ "$INETTYPE" = "PPPOE" -o "$INETTYPE" = "PPP" ]; then
 IF_INET=ppp0
elif [ -z "$IF_INET" ]; then
 IF_INET=eth1
fi

find_lan() {
  case "$1" in
        LAN1)   LAN=$IF_LOCAL ;;
        LAN2)   LAN=$IF_LOCAL2 ;;
        LAN3)   LAN=$IF_LOCAL3 ;;
        LAN4)   LAN=$IF_LOCAL4 ;;
        WLAN)   LAN=$IF_WLAN ;;
        DMZ)    LAN=$IF_DMZ ;;
        *)      LAN=$IF_LOCAL ;;
  esac
}

subnet() {
if [ "$1" = "Y" -o "$1" = "y" ]; then
 ID=$2
 IP=$3
 MASK=$4
 find_lan $11
 [ -z $12 ] && LAN_ID=$ID || LAN_ID=$12
 $ip addr add $IP/$MASK brd + dev $LAN label $LAN:$LAN_ID
 echo -n "Create subnet $IP/$MASK"
 if [ "$DISABLE_NAT" != "YES" ]; then
  $IPTABLES -t nat -I subnets-masks -s $IP/$MASK -o $IF_INET -j MASQUERADE
  echo " - MASQUERADE via $IF_INET"
 fi
fi
}

if [ -e /etc/coyote/subnet.cfg ]; then
 echo "Starting Subnetting..."
 echo "Removing Subnet ..."
 $IPTABLES -t nat -F subnets-masks
 $ip -s -s addr flush label $IF_LOCAL:*
 [ ! -z $IF_LOCAL2 ] && $ip -s -s addr flush label $IF_LOCAL2:*
 [ ! -z $IF_LOCAL3 ] && $ip -s -s addr flush label $IF_LOCAL3:*
 [ ! -z $IF_LOCAL4 ] && $ip -s -s addr flush label $IF_LOCAL4:*
 [ ! -z $IF_WLAN ] && $ip -s -s addr flush label $IF_WLAN:*
 [ ! -z $IF_DMZ ] && $ip -s -s addr flush label $IF_DMZ:*
 . /etc/coyote/subnet.cfg
fi