Não consigo fazer redirecionamento com iptables

[Ganymede]

Já tentei de tudo e não consigo redirecionar uma porta do meu firewall para uma máquina interna. No final a conexão acaba caindo no próprio firewall. Nem do jeito mais simples funciona: deixei todas as políticas em ACCEPT e apliquei a regra:

iptables -t nat -A PREROUTING -d $IP_EXTERNO -p TCP --dport http -j DNAT --to 192.168.0.10

Se eu dou um telnet no ip externo a conexão é recusada(eu tô fazendo isso no próprio firewall... Algum problema nisso?)

Mudei a porta pra uma que está em listen no firewall, e vi que a conexão está sendo direcionada a ele...

Alguém pode me ajudar?

De uma olhada, parece que vc está destinando tudo na porta http do seu firewall DNAT 192......

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
On 2003-01-17 14:52, Ganymede wrote:
Já tentei de tudo e não consigo redirecionar uma porta do meu firewall para uma máquina interna. No final a conexão acaba caindo no próprio firewall. Nem do jeito mais simples funciona: deixei todas as políticas em ACCEPT e apliquei a regra:

iptables -t nat -A PREROUTING -d $IP_EXTERNO -p TCP --dport http -j DNAT --to 192.168.0.10

Se eu dou um telnet no ip externo a conexão é recusada(eu tô fazendo isso no próprio firewall... Algum problema nisso?)

Mudei a porta pra uma que está em listen no firewall, e vi que a conexão está sendo direcionada a ele...

Alguém pode me ajudar?

</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE> <IMG SRC="images/forum/icons/icon_confused.gif">

[1c3m4n]

defina o --dport com o numero da porta q eh mais confiavel e naum com o nome do serviço

[Ganymede]

Mais dados:

IP do meu firewall : 192.168.0.206 (na intranet)
200.xxx.x.xxx (ip válido)
IP da máquina com servidor web: 192.168.0.10

Segue o script que eu tô usando (Só coloquei o ip externo como 200.xxx.xxx.xxx por segurança. Aqui está preenchido de forma correta. Já tentei também com -i eth1 ao invés de -d 200.xxx.xxx.xxx)

#!/bin/sh

# vars
QUINTUM=192.168.0.10
ME_NET=200.xxx.xxx.xxx
ME_LAN=192.168.0.206

iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
iptables -Z
iptables -t nat -Z
iptables -t mangle -Z

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT

iptables -t nat -A PREROUTING -s $ME_NET -p TCP --dport 80 -j DNAT --to $QUINTUM

# Masquing outgoing and allowing
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

[1c3m4n]

me parecem estar certas as regras.....

o ip_forward ta ativo??

[Ganymede]

Sim,

o ip_forward está em 1.

eu estou testando isso diretamente do servidor proxy, dando um telnet no IP valido, porta 80. Se eu faço um telnet direto no 192.168.0.10:80, conecta...

já fiz outro teste: iniciei um daemon de echo no firewall e redirecionei a porta do echo (deveria dar erro, pq o 192.168.0.10 não tem echo)... Resultado: conecta...

já coloquei o IP da lan do firewall com

iptables -t nat -A PREROUTING -s $ME_LAN -p TCP --dport 80 -j DNAT --to $QUINTUM

e tentei me conectar no 192.168.0.206 (IP de lan do firewall), e nada... O IP Masquerade tá funcionando legal... Já tentei desabilitar isso tb (só ip_forwarding sem mascarar a saída e nada)...

tô nessa a 3 dias... fiz o mesmo teste na minha casa com o RedHat 8.0 que tenho lá e uma segunda máquina... Nada... (aqui tenho um RH 7.2)... Eu devo estar fazendo alguma coisa errada, pq na internet todo mundo consegue fazer isso funcionar...

Alguém aí não tem um script que funcione pra me passar?

[Ganymede]

Corrigindo:

a linha é

iptables -t nat -A PREROUTING -d $ME_NET -p TCP --dport 80 -j DNAT --to $QUINTUM

e não -s $ME_NET

o -s foi mais uma das minhas tentativas frustradas e sem querer copiei errado...

[Ganymede]

Consegui fazer o redirecionamento adicionando uma regra:

iptables -A POSTROUTING -t nat -d $QUINTUM -j SNAT --to $ME_LAN

Agora estou com problemas pra redirecionar uma aplicação tipo NetMeeting, mas vou iniciar um novo post sobre isso

Obrigado pela ajuda