- Roteamento com IPTABLES
+ Responder ao Tópico
-
Roteamento com IPTABLES
Olá Pessoal
Trocamos nosso firewall e server de mails para Linux recenetemente. Porém como os sites da empresa ainda estão em ASP, foi necessário colocar um servidor Micro$hit para rodar o II$ e servir os sites. Acontece que agora foi necessário fazer um FW com o IPTABLES para que qualquer pacote que venha na porta 80 seja redirecionado para a outra máquina. Até ai tudo bem. O problema é que o pessoal da rede interna agora não acessa mais os sites que estão hospedados na máquina do IIS.
De uma estação se damos ping www.site.com.br resolve o IP externo do Linux (200.103.159.xxx)
Os comandos do IPTABLES utilizados foram:
iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2
iptables -I FORWARD -d 192.168.0.2 -j ACCEPT
A placa eth0 é a externa e o IP 192.168.0.2 é do servidor Micro$hit Windows 2003 Server. A placa eth1 é a da rede interna (192.168.0.0/24).
Alguém tem alguma dica ?
Obrigado
Eduardo Ferrari
-
Roteamento com IPTABLES
o problema ta na opcao -i eth0, com isso ele soh redireciona trafego externo, como a sua rede ta dentro da mesma q a maquina do IIS, os pacotes nao xegam a usar a interface externa... soh tira a -i eth0 q deve resolver
-
Roteamento com IPTABLES
Opa!
Não funcionou, e o pessoal da rede interna não conseguiu acessar nenhum site depois que fiz isso.
Mais alguma dica ?
Eduardo Ferrari
-
Roteamento com IPTABLES
hmmmmm entaum ele ta redirecionando qq requisicao na porta 80,
volta o -i eth0 e antes do --dport coloca -d IP_DOMINIO_IIS
-
Roteamento com IPTABLES
Cara
Coloquei:
iptables -t nat -I PREROUTING -i eth0 -p tcp -d 192.168.0.2 --dport 80 -j DNAT --to-destination 192.168.0.2
E agora não funciona para acessar os sites a partir do link da internet.
Sds.
Eduardo Ferrari
-
Roteamento com IPTABLES
opa nao eh -d 192.xxxx eh -d IP_EXTERNO
da um nslookup www.seudominio.com,br e coloca o ip q ele mostrar
-
Roteamento com IPTABLES
Nada ainda.... the page cannot be displayed!
linux:/sbin # nslookup www..dominio.com.br
Note: nslookup is deprecated and may be removed from future releases.
Consider using the `dig' or `host' programs instead. Run nslookup with
the `-sil[ent]' option to prevent this message from appearing.
Server: 10.1.1.1
Address: 10.1.1.1#53
Non-authoritative answer:
www.dominio.com.br canonical name = linux.domino.com.br.
Name: linux.dominio.com.br
Address: 200.103.xxx.xxx
-
Roteamento com IPTABLES
vc tem o iptraf ae?
se tiver abre ele e fica monitorando a conexao de algum cliente da rede interna na hora q tenta acessar o site, da uma olhada se nao ta dando reset na conexao
-
Nada....
Não gerou log nenhum no IPTRAF....
-
Informações
No tcpdump -i eth1 | grep http consegui pegar isto:
Rosicler é o nome da máquina que estou usando lá na empresa para fazer testes:
17:24:33.321148 IP rosicler.1193 > artely.com.br.http: S 34937713:34937713(0) win 8192 <mss 1460,nop,nop,sackOK>
17:24:33.321634 IP artely.com.br.http > rosicler.1193: FR 0:0(0) ack 34937714 win 0
17:24:33.731529 IP rosicler.1193 > artely.com.br.http: S 34937713:34937713(0) win 8192 <mss 1460,nop,nop,sackOK>
17:24:33.731970 IP artely.com.br.http > rosicler.1193: FR 0:0(0) ack 1 win 0
17:24:34.241186 IP rosicler.1193 > artely.com.br.http: S 34937713:34937713(0) win 8192 <mss 1460,nop,nop,sackOK>
17:24:34.241625 IP artely.com.br.http > rosicler.1193: FR 0:0(0) ack 1 win 0
17:24:34.743187 IP rosicler.1193 > artely.com.br.http: S 34937713:34937713(0) win 8192 <mss 1460,nop,nop,sackOK>
17:24:34.743583 IP artely.com.br.http > rosicler.1193: FR 0:0(0) ack 1 win 0
17:24:52.671087 IP rosicler.1194 > artely.com.br.http: S 34956983:34956983(0) win 8192 <mss 1460,nop,nop,sackOK>
17:24:52.671580 IP artely.com.br.http > rosicler.1194: FR 0:0(0) ack 34956984 win 0
17:24:52.696551 IP rosicler.1195 > artely.com.br.http: S 34957008:34957008(0) win 8192 <mss 1460,nop,nop,sackOK>
17:24:52.696953 IP artely.com.br.http > rosicler.1195: FR 0:0(0) ack 34957009 win 0
17:24:53.091875 IP rosicler.1194 > artely.com.br.http: S 34956983:34956983(0) win 8192 <mss 1460,nop,nop,sackOK>
17:24:53.092292 IP artely.com.br.http > rosicler.1194: FR 0:0(0) ack 1 win 0
17:24:53.191843 IP rosicler.1195 > artely.com.br.http: S 34957008:34957008(0) win 8192 <mss 1460,nop,nop,sackOK>
17:24:53.192265 IP artely.com.br.http > rosicler.1195: FR 0:0(0) ack 1 win 0
17:24:53.591740 IP rosicler.1194 > artely.com.br.http: S 34956983:34956983(0) win 8192 <mss 1460,nop,nop,sackOK>
17:24:53.592162 IP artely.com.br.http > rosicler.1194: FR 0:0(0) ack 1 win 0
17:24:53.691684 IP rosicler.1195 > artely.com.br.http: S 34957008:34957008(0) win 8192 <mss 1460,nop,nop,sackOK>
17:24:53.692064 IP artely.com.br.http > rosicler.1195: FR 0:0(0) ack 1 win 0
17:24:54.091568 IP rosicler.1194 > artely.com.br.http: S 34956983:34956983(0) win 8192 <mss 1460,nop,nop,sackOK>
17:24:54.092014 IP artely.com.br.http > rosicler.1194: FR 0:0(0) ack 1 win 0
17:24:54.191678 IP rosicler.1195 > artely.com.br.http: S 34957008:34957008(0) win 8192 <mss 1460,nop,nop,sackOK>
17:24:54.192083 IP artely.com.br.http > rosicler.1195: FR 0:0(0) ack 1 win 0
Sds.
Eduardo