- DNAT...
+ Responder ao Tópico
-
DNAT...
Oi pessoal...
Estou com uma pequena bronquinha com um DNAT...
Tenho um servidor linux que faz DNAT na interface externa(eth0) para máquinas dentro da rede...
Eu tentei fazer a mesma coisa na interface interna(eth1) e não funcionou... A diferença é que eu faço SNAT de todos os pacotes que saem da eth0 e na eth1 não faço SNAT algum...
Outra diferença é que o DNAT que estou tentando fazer na eth1 é pra uma máquina em outra rede...
Revisão geral...
meu linux 192.168.1.1/24
minha máquina 192.168.1.2/24
maquina remota 192.168.2.1/24
Se eu acesso da minha máquina direto pra máquina remota, funfa!
Se eu coloco as regras de DNAT(abaixo) no meu linux e tento acessar da minha máquina pro meu linux, não funfa...
Regras de DNAT:
1 - iptables -t nat -I PREROUTING -i eth1 -d 192.168.1.1 -p tcp --dport 22 -j DNAT --to 192.168.2.1:22
2 - iptables -I FORWARD -d 192.168.1.2 -p tcp --dport 22 -j ACCEPT
A segunda é pq a minha policy do FORWARD está DROP... Eu já tentei alterá-la pra ACCEPT mas também naum funfou!
Agradeço qq ajuda...
-
DNAT...
Cadê a galera?
Parece que o trabalho tá grande pro pessoal...
-
Danilo_Montagna
Visitante
DNAT...
vc nao ira conseguiur fazer um DNAT para um IP que o linux nao conversa..
o IP 192.168.2.1 nao é valido apra a maquina linux.. ou seja.. ela nao conversa diretamente com esse ip pois esta em outra range de IP..
-
DNAT...
essa eu não entedi...
eu não posso fazer um nat para uma máquina fora da minha rede?
no linux eu tenho a rota para a outra rede...
pelo que entendo de nat(talvez pouco), ele "simplesmente" muda o ip de destino e encaminha o pacote... só não é tão simples pq tem o lance do checksum dos pacotes... bom, isso é o que eu entendo!
então, na minha concepção deveria funfar... já que tenho uma rota para o meu ip de destino...
aguardo resposta...
-
Danilo_Montagna
Visitante
DNAT...
bom.. se vc tem rota.. ae a coisa muda...
eu falei que nao iria funciona pois achei que o roteamento para essa subrede nao passava pelo firewall.
lembre-se que para todo o pacote que é alterado o cabeçalho IP por NAT o mesmo precisa receber o retorno para que o firewall remonte o cabeçalho IP..
e que para isso aconteça.. o ip de destino alterado precisa ter como default gateway.. o ip do seu linux... e esse gateway precisa estar no mesmo segmento de rede do ip 192.168.2.1...
verifique tb se vc nao tem alguma regra de forward barrando a passagem de pacotes entre a maquina client e a de destino.. e verifique se tb nao existe regra barrando o retorno dos pacotes ..
blz?
-
DNAT...
Caro,
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-dest 192.168.0.2
iptables -A FORWARD -p tcp -i eth0 --dport 22 -d 192.168.0.2 -j ACCEPT
Leia o Artigo
falou,
-
DNAT...
seguinte... eu tenho uma máquina com win2k no ip 192.168.1.1, ou com o linux 192.168.1.2, um roteador cisco 192.168.1.254, e uma porrada de máquinas(umas 30) que acessa o terminal service disponibilizado pelo win2kcerto?
sendo que a minha máquina win2k(192.168.1.1) vai precisar parar... eu tenho uma outra rede que tem a mesma estrutura, inclusive com a base de dados replicada e tudo mais... com outra máquina win2k 192.168.2.1 com terminal service... esta outra rede é acessada com um link frame relay através do meu router 192.168.1.254...
ou seja, as duas redes são bastantes similares... todas as máquina pingam entre si, o que explica o lance do roteamento certo...
supondo que eu tenho um cliente 192.168.1.20... este cliente acessa a tanto a máquina 192.168.1.1 com TS quanto a 192.168.2.1 na outra rede, bastando para isso alterar a configuração do cliente TS...
sendo assim, a minha idéia era, no momento que eu desligasse a minha máquina TS 192.168.1.1, eu levantasse esse ip na interface internado linux 192.168.1.2(ficando este com 2 ip´s internos) e fizesse um nat para 192.168.2.1(na outra rede); ficando assim transparente para os clientes TS da rede 192.168.1.0/24...
eu ganharia assim, uma puta mão de obra pra alterar a configuração de cada cliente e depois retornar... pois o desigamento da máquina é temporário...
aguardo alguma ajuda...
-
DNAT...
Caro,
Entedi sua situação tente fazer isso:
iptables -t nat -A POSTROUTING -s 192.168.1.2/24 -o eth1 -j SNAT --to 192.168.2.1/24
falou,
-
Danilo_Montagna
Visitante
DNAT...
lrezende...
deixe jeito ae nao vai dar nao..
pois para um pacotes que se destina ao mesmo barramento de rede nunca vai ser encaminhado para o roteador.. muito menos para o firewall...
-
DNAT...
Blz!!!
Não sei se você já tentou... Na minha rede funciona, só que com faixas de Ips diferentes
iptables -A PREROUTING -t nat -p tcp -d 192.168.1.1 -j DNAT --to 192.168.2.1