usa o iptables do Linux para encaminhar o tráfego de lan para ignorar um dispositivo de gateway quebrado?

1

O lan do meu cliente inclui dois roteadores soho, um dos quais é um Cisco RV042 e o outro acabou de morrer. Cada um desses roteadores foi conectado a um roteador fornecido pelo ISP (série Cisco IAD) que é apresentado ao T1 da empresa.

A maioria das estações de trabalho usa o RV042 para um gateway. Algumas máquinas apontam para o roteador soho, agora com falha.

Eu realmente não quero substituir o antigo roteador soho e preferiria que todas as máquinas usassem o mesmo roteador soho como um gateway para a Internet.

O problema é que as máquinas que apontam para o roteador soho quebrado fazem parte de um domínio do Windows Server que agora não tem servidor para lidar com a autenticação. É impossível obter privilégios de administrador nessas máquinas. Os programas do kit de ferramentas do técnico que manipulam o sam ou o que for para lidar com senhas administrativas perdidas só funcionam em máquinas que não são de domínio.

Eu tenho várias caixas de linux nesta lan e parece que não deve ser muito difícil configurar uma dessas caixas para usar o iptables para mascarar como o dispositivo de gateway quebrado e encaminhar os pacotes para o único gateway restante. Essa seria uma medida temporária até que eu pudesse me livrar das estações de trabalho do Windows para sempre.

Esta é uma rede legada que estou convertendo para servidores e estações de trabalho linux puros.

Alguém aí pode lançar alguma luz sobre como isso pode ser feito?

Rede pública:

xxx.xxx.xxx.37.16/255.255.255.248

Lan privada:

192.168.0.0/255.255.255.0

SOHO ROUTER - NÃO QUEBRADO

wan: xxx.xxx.37.17  
lan: 192.168.0.1

Roteador SOHO - BROKEN

wan: xxx.xxx.37.18  
lan: 192.168.0.2
    
por rufus 01.12.2011 / 22:54

2 respostas

2

Claro.

Não está totalmente claro se você está falando sobre algum tipo de roteamento em camadas, ou se você quer apenas o acesso NAT geral para todas as suas máquinas na LAN; Eu vou assumir que é o último (o caso mais genérico e útil), então você precisa:

  • configurar um IP (alias?) para o roteador quebrado em sua caixa * nix recém-criada

Sua melhor aposta (e para manter as coisas longe de "quebrar") é simplesmente aliasar o NIC interno na caixa linux que aponta para a LAN. Isso é fácil:

ifconfig eth0:0 192.168.0.2 netmask 255.255.255.0 

... que ligará o endereço IP à caixa linux. Se estiver demorando o tempo todo e você não se importar com a volta do roteador quebrado, basta atribuir o endereço imediatamente:

ifconfig eth0 192.168.0.2 netmask 255.255.255.0

Note que este é um arranjo temporário, ele não sobreviverá a uma reinicialização, porque tudo que você fez é reconfigurar a interface de rede na memória. Você precisará descobrir como sua distro específica salva as alterações e fazer isso para garantir que ela apareça em cada reinicialização.

  • configurar o iptables para manipular os pacotes usando o DNAT

Um pouco mais complicado. Isso leva a forma geral:

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d ${destination-network} -j SNAT --to-source xxx.xxx.xxx.37.16

... embora certamente possa ser ajustado. Esta linha única dá acesso total à Internet NAT, muito parecido com um roteador doméstico. Não estou totalmente claro se você está querendo isso, ou querendo outra coisa, então essa parecia ser a resposta mais genérica (aplicável). Se você está querendo "NAT simples", então é assim:

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source xxx.xxx.xxx.37.16

Você também precisará salvar isso em um arquivo porque a configuração também está na memória e não sobreviverá a uma reinicialização.

  • certifique-se de que seu firewall não consuma seu novo roteamento

Parece bobo, mas em alguns casos, você pode ter um firewall ativado por padrão, então é melhor prevenir do que remediar:

iptables -I INPUT 1 -s 192.168.0.0/24 -j ACCEPT
iptables -I FORWARD 1 -s 192.168.0.0/24 -j ACCEPT

Isso também precisa ser salvo como a regra de firewall anterior.

  • certifique-se de que o encaminhamento de IP esteja ativado

Sem o encaminhamento de IP habilitado, você obterá o jack-diddly no departamento de movimentação de pacotes.

sysctl -w net.ipv4.ip_forwarding = 1

Isso é transitório e não sobreviverá a uma reinicialização, não se esqueça de salvá-lo ou ele vai comer gatinhos, etc.

    
por 02.12.2011 / 04:18
-1

Technician toolkit programs that wack the sam or whatever to handle lost administrative passwords only work on non-domain machines.

Eu percebo que minha resposta não é tecnicamente relevante para sua pergunta geral, mas eu queria esclarecer / fazer um comentário - Você deve ser capaz de bater o SAM para redefinir a senha do Administrador local na máquina, então faça o login como dito Administrador local e desassociado do domínio. A separação de um domínio NÃO requer um controlador de domínio ativo. Você deve conseguir desligar a máquina, a menos que não exista, literalmente, nenhuma conta de Administrador local nessas máquinas.

    
por 01.12.2011 / 23:03