- Problemas com SNAT
+ Responder ao Tópico
-
Problemas com SNAT
Pessoal,
Estou tentando fazer uma coisa que, por minhas pesquisas, me pareceu bastante comum e simples.
Fazer um redirecionamento de portas com DNAT/SNAT.
Seguem as regras utilizadas:
$iptables -t nat -A PREROUTING -p tcp -d 200.180.X.X --dport 80 -j DNAT --to 192.168.200.251
$iptables -t nat -A POSTROUTING -p tcp -s 192.168.200.251 --sport 80 -j SNAT --to 200.180.X.X
Através de tcpdump eu verifiquei que a máquina destino (ip 251) está recebendo as requisições na porta 80, porem ela não retorna nada.
Com o tcpdump na máquina que faz o redirecionamento não consegui capturar nada voltando da máquina destino.
Em outras situações eu definia somente a regra de prerouting e definia a máquina que faz o redirecionamento como default gateway, fazendo este teste o funcionamento foi perfeito, porém sem a definição do default GW não obtive retorno.
Alguém tem alguma idéia? Existe algum módulo que deve ser utilizado para o fucionamento correto do SNAT ou estou fazendo alguma besteira nas regras?
Grato!
-
Re: Problemas com SNAT
O q vc tem instalado nessa maquina que vc ta tentando redirecionar essa do ip 251?
-
Problemas com SNAT
Rodando na máquina atualmente só o Apache com os modulos necessários para minhas aplicações.
Para testes removi todas as regras de firewall desta máquina, e em um teste já desesperado, ativei o ip_forward dela.
-
Problemas com SNAT
Faz um teste ai coloca essas regras que vou te passar:
# Abre algumas portas
iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 8080 -j ACCEPT
# Redireciona a porta
iptables -t nat -A PREROUTING -i etho -p tcp --dport 8080 -j DNAT --to-dest 192.168.0.251:80
iptables -A FORWARD -p tcp -i eth0 --dport 8080 -d 192.168.0.251 -j ACCEPT
# Compartilha a conexão
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
Depois posta o resultado!!!
-
Problemas com SNAT
Eu fiz o teste, de forma um pouco diferente pois não há nada bloqueando.
Eu loguei tudo que estava passando pelo postrouting e não consigo ver nenhuma tentativa de retorno do ip da máquina que roda o servidor web.
Isso me leva a ter alguma desconfiança de que devo habilitar ou colocar alguma coisa no seu servidor web.
Lembrando que atualmente ele não possui um default GW, nem nenhuma regra de firewall que possa bloquear isto.