DNAT...

lrezende · 23-05-2003, 17:03

Oi pessoal...

Estou com uma pequena bronquinha com um DNAT...
Tenho um servidor linux que faz DNAT na interface externa(eth0) para máquinas dentro da rede...
Eu tentei fazer a mesma coisa na interface interna(eth1) e não funcionou... A diferença é que eu faço SNAT de todos os pacotes que saem da eth0 e na eth1 não faço SNAT algum...
Outra diferença é que o DNAT que estou tentando fazer na eth1 é pra uma máquina em outra rede...

Revisão geral...
meu linux 192.168.1.1/24
minha máquina 192.168.1.2/24
maquina remota 192.168.2.1/24

Se eu acesso da minha máquina direto pra máquina remota, funfa!
Se eu coloco as regras de DNAT(abaixo) no meu linux e tento acessar da minha máquina pro meu linux, não funfa...

Regras de DNAT:
1 - iptables -t nat -I PREROUTING -i eth1 -d 192.168.1.1 -p tcp --dport 22 -j DNAT --to 192.168.2.1:22
2 - iptables -I FORWARD -d 192.168.1.2 -p tcp --dport 22 -j ACCEPT

A segunda é pq a minha policy do FORWARD está DROP... Eu já tentei alterá-la pra ACCEPT mas também naum funfou!

Agradeço qq ajuda...

lrezende · 27-05-2003, 07:01

Cadê a galera?
Parece que o trabalho tá grande pro pessoal...

Danilo_Montagna · 27-05-2003, 10:45

vc nao ira conseguiur fazer um DNAT para um IP que o linux nao conversa..

o IP 192.168.2.1 nao é valido apra a maquina linux.. ou seja.. ela nao conversa diretamente com esse ip pois esta em outra range de IP..

lrezende · 29-05-2003, 09:46

essa eu não entedi...

eu não posso fazer um nat para uma máquina fora da minha rede?
no linux eu tenho a rota para a outra rede...

pelo que entendo de nat(talvez pouco), ele "simplesmente" muda o ip de destino e encaminha o pacote... só não é tão simples pq tem o lance do checksum dos pacotes... bom, isso é o que eu entendo!

então, na minha concepção deveria funfar... já que tenho uma rota para o meu ip de destino...

aguardo resposta...

Danilo_Montagna · 29-05-2003, 12:41

bom.. se vc tem rota.. ae a coisa muda...

eu falei que nao iria funciona pois achei que o roteamento para essa subrede nao passava pelo firewall.

lembre-se que para todo o pacote que é alterado o cabeçalho IP por NAT o mesmo precisa receber o retorno para que o firewall remonte o cabeçalho IP..

e que para isso aconteça.. o ip de destino alterado precisa ter como default gateway.. o ip do seu linux... e esse gateway precisa estar no mesmo segmento de rede do ip 192.168.2.1...

verifique tb se vc nao tem alguma regra de forward barrando a passagem de pacotes entre a maquina client e a de destino.. e verifique se tb nao existe regra barrando o retorno dos pacotes ..

blz?

wrochal · 29-05-2003, 13:06

Caro,

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-dest 192.168.0.2
iptables -A FORWARD -p tcp -i eth0 --dport 22 -d 192.168.0.2 -j ACCEPT

Leia o Artigo

falou,

lrezende · 29-05-2003, 23:05

seguinte... eu tenho uma máquina com win2k no ip 192.168.1.1, ou com o linux 192.168.1.2, um roteador cisco 192.168.1.254, e uma porrada de máquinas(umas 30) que acessa o terminal service disponibilizado pelo win2kcerto?

sendo que a minha máquina win2k(192.168.1.1) vai precisar parar... eu tenho uma outra rede que tem a mesma estrutura, inclusive com a base de dados replicada e tudo mais... com outra máquina win2k 192.168.2.1 com terminal service... esta outra rede é acessada com um link frame relay através do meu router 192.168.1.254...

ou seja, as duas redes são bastantes similares... todas as máquina pingam entre si, o que explica o lance do roteamento certo...

supondo que eu tenho um cliente 192.168.1.20... este cliente acessa a tanto a máquina 192.168.1.1 com TS quanto a 192.168.2.1 na outra rede, bastando para isso alterar a configuração do cliente TS...

sendo assim, a minha idéia era, no momento que eu desligasse a minha máquina TS 192.168.1.1, eu levantasse esse ip na interface internado linux 192.168.1.2(ficando este com 2 ip´s internos) e fizesse um nat para 192.168.2.1(na outra rede); ficando assim transparente para os clientes TS da rede 192.168.1.0/24...

eu ganharia assim, uma puta mão de obra pra alterar a configuração de cada cliente e depois retornar... pois o desigamento da máquina é temporário...

aguardo alguma ajuda...

wrochal · 29-05-2003, 23:38

Caro,

Entedi sua situação tente fazer isso:

iptables -t nat -A POSTROUTING -s 192.168.1.2/24 -o eth1 -j SNAT --to 192.168.2.1/24

falou,

Danilo_Montagna · 30-05-2003, 12:19

lrezende...

deixe jeito ae nao vai dar nao..

pois para um pacotes que se destina ao mesmo barramento de rede nunca vai ser encaminhado para o roteador.. muito menos para o firewall...

alegazo · 02-06-2003, 08:52

Blz!!!

Não sei se você já tentou... Na minha rede funciona, só que com faixas de Ips diferentes

iptables -A PREROUTING -t nat -p tcp -d 192.168.1.1 -j DNAT --to 192.168.2.1

23-05-2003, 17:03	#1 (permalink)
lrezende Registrado em: Jan 2003 Posts: 79 Agradeceu: 0 Agradecido 0 vez(es) em 0 Posts Reputação: 0	DNAT... Oi pessoal... Estou com uma pequena bronquinha com um DNAT... Tenho um servidor linux que faz DNAT na interface externa(eth0) para máquinas dentro da rede... Eu tentei fazer a mesma coisa na interface interna(eth1) e não funcionou... A diferença é que eu faço SNAT de todos os pacotes que saem da eth0 e na eth1 não faço SNAT algum... Outra diferença é que o DNAT que estou tentando fazer na eth1 é pra uma máquina em outra rede... Revisão geral... meu linux 192.168.1.1/24 minha máquina 192.168.1.2/24 maquina remota 192.168.2.1/24 Se eu acesso da minha máquina direto pra máquina remota, funfa! Se eu coloco as regras de DNAT(abaixo) no meu linux e tento acessar da minha máquina pro meu linux, não funfa... Regras de DNAT: 1 - iptables -t nat -I PREROUTING -i eth1 -d 192.168.1.1 -p tcp --dport 22 -j DNAT --to 192.168.2.1:22 2 - iptables -I FORWARD -d 192.168.1.2 -p tcp --dport 22 -j ACCEPT A segunda é pq a minha policy do FORWARD está DROP... Eu já tentei alterá-la pra ACCEPT mas também naum funfou! Agradeço qq ajuda...

27-05-2003, 07:01	#2 (permalink)
lrezende Registrado em: Jan 2003 Posts: 79 Agradeceu: 0 Agradecido 0 vez(es) em 0 Posts Reputação: 0	DNAT... Cadê a galera? Parece que o trabalho tá grande pro pessoal...

27-05-2003, 10:45	#3 (permalink)
Danilo_Montagna Registrado em: Jan 2003 Posts: 774 Agradeceu: 0 Agradecido 0 vez(es) em 0 Posts Reputação: 0	DNAT... vc nao ira conseguiur fazer um DNAT para um IP que o linux nao conversa.. o IP 192.168.2.1 nao é valido apra a maquina linux.. ou seja.. ela nao conversa diretamente com esse ip pois esta em outra range de IP.. __________________ ============================ <br />Danilo Montagna <br />Consultant / Network Security Engineer <br />Microsoft Certified Professional <br />http://www.networkbrazil.com.br <br />============================

29-05-2003, 09:46	#4 (permalink)
lrezende Registrado em: Jan 2003 Posts: 79 Agradeceu: 0 Agradecido 0 vez(es) em 0 Posts Reputação: 0	DNAT... essa eu não entedi... eu não posso fazer um nat para uma máquina fora da minha rede? no linux eu tenho a rota para a outra rede... pelo que entendo de nat(talvez pouco), ele "simplesmente" muda o ip de destino e encaminha o pacote... só não é tão simples pq tem o lance do checksum dos pacotes... bom, isso é o que eu entendo! então, na minha concepção deveria funfar... já que tenho uma rota para o meu ip de destino... aguardo resposta...

29-05-2003, 12:41	#5 (permalink)
Danilo_Montagna Registrado em: Jan 2003 Posts: 774 Agradeceu: 0 Agradecido 0 vez(es) em 0 Posts Reputação: 0	DNAT... bom.. se vc tem rota.. ae a coisa muda... eu falei que nao iria funciona pois achei que o roteamento para essa subrede nao passava pelo firewall. lembre-se que para todo o pacote que é alterado o cabeçalho IP por NAT o mesmo precisa receber o retorno para que o firewall remonte o cabeçalho IP.. e que para isso aconteça.. o ip de destino alterado precisa ter como default gateway.. o ip do seu linux... e esse gateway precisa estar no mesmo segmento de rede do ip 192.168.2.1... verifique tb se vc nao tem alguma regra de forward barrando a passagem de pacotes entre a maquina client e a de destino.. e verifique se tb nao existe regra barrando o retorno dos pacotes .. blz? __________________ ============================ <br />Danilo Montagna <br />Consultant / Network Security Engineer <br />Microsoft Certified Professional <br />http://www.networkbrazil.com.br <br />============================

29-05-2003, 13:06	#6 (permalink)
wrochal Registrado em: Oct 2002 Localização: São Paulo Idade: 25 Posts: 1,227 Agradeceu: 0 Agradecido 4 vez(es) em 4 Posts Reputação: 0	DNAT... Caro, iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-dest 192.168.0.2 iptables -A FORWARD -p tcp -i eth0 --dport 22 -d 192.168.0.2 -j ACCEPT Leia o Artigo falou, __________________ William da Rocha Lima - MCP wrochal(A)gmail.com www.linuxit.com.br

29-05-2003, 23:05	#7 (permalink)
lrezende Registrado em: Jan 2003 Posts: 79 Agradeceu: 0 Agradecido 0 vez(es) em 0 Posts Reputação: 0	DNAT... seguinte... eu tenho uma máquina com win2k no ip 192.168.1.1, ou com o linux 192.168.1.2, um roteador cisco 192.168.1.254, e uma porrada de máquinas(umas 30) que acessa o terminal service disponibilizado pelo win2kcerto? sendo que a minha máquina win2k(192.168.1.1) vai precisar parar... eu tenho uma outra rede que tem a mesma estrutura, inclusive com a base de dados replicada e tudo mais... com outra máquina win2k 192.168.2.1 com terminal service... esta outra rede é acessada com um link frame relay através do meu router 192.168.1.254... ou seja, as duas redes são bastantes similares... todas as máquina pingam entre si, o que explica o lance do roteamento certo... supondo que eu tenho um cliente 192.168.1.20... este cliente acessa a tanto a máquina 192.168.1.1 com TS quanto a 192.168.2.1 na outra rede, bastando para isso alterar a configuração do cliente TS... sendo assim, a minha idéia era, no momento que eu desligasse a minha máquina TS 192.168.1.1, eu levantasse esse ip na interface internado linux 192.168.1.2(ficando este com 2 ip´s internos) e fizesse um nat para 192.168.2.1(na outra rede); ficando assim transparente para os clientes TS da rede 192.168.1.0/24... eu ganharia assim, uma puta mão de obra pra alterar a configuração de cada cliente e depois retornar... pois o desigamento da máquina é temporário... aguardo alguma ajuda...

29-05-2003, 23:38	#8 (permalink)
wrochal Registrado em: Oct 2002 Localização: São Paulo Idade: 25 Posts: 1,227 Agradeceu: 0 Agradecido 4 vez(es) em 4 Posts Reputação: 0	DNAT... Caro, Entedi sua situação tente fazer isso: iptables -t nat -A POSTROUTING -s 192.168.1.2/24 -o eth1 -j SNAT --to 192.168.2.1/24 falou, __________________ William da Rocha Lima - MCP wrochal(A)gmail.com www.linuxit.com.br

30-05-2003, 12:19	#9 (permalink)
Danilo_Montagna Registrado em: Jan 2003 Posts: 774 Agradeceu: 0 Agradecido 0 vez(es) em 0 Posts Reputação: 0	DNAT... lrezende... deixe jeito ae nao vai dar nao.. pois para um pacotes que se destina ao mesmo barramento de rede nunca vai ser encaminhado para o roteador.. muito menos para o firewall... __________________ ============================ <br />Danilo Montagna <br />Consultant / Network Security Engineer <br />Microsoft Certified Professional <br />http://www.networkbrazil.com.br <br />============================

02-06-2003, 08:52	#10 (permalink)
alegazo Registrado em: Nov 2002 Posts: 88 Agradeceu: 0 Agradecido 0 vez(es) em 0 Posts Reputação: 0	DNAT... Blz!!! Não sei se você já tentou... Na minha rede funciona, só que com faixas de Ips diferentes iptables -A PREROUTING -t nat -p tcp -d 192.168.1.1 -j DNAT --to 192.168.2.1 __________________ . Alencar Gazola . . Administrador de Rede .

Ferramentas do Tópico
Exibir versão para impressão Enviar essa página por email

Tópicos Similares
Tópico	Tópico Iniciado Por	Fórum	Respostas	Última Mensagem
iptables + DNAT	diogoborsoi	Proxy/NAT/Firewall	6	06-09-2006 18:59
DNAT não funga	Sam_bass	Proxy/NAT/Firewall	6	02-08-2005 11:06
dnat	jedi2	Proxy/NAT/Firewall	10	21-06-2005 14:07
Squid e DNAT		Proxy/NAT/Firewall	1	14-03-2003 10:14
SNAT E DNAT	ediguedes	Proxy/NAT/Firewall	2	20-02-2003 07:05