+ Responder ao Tópico



  1. #1
    lrezende
    Visitante

    Padrão DNAT...

    Oi pessoal...

    Estou com uma pequena bronquinha com um DNAT...
    Tenho um servidor linux que faz DNAT na interface externa(eth0) para máquinas dentro da rede...
    Eu tentei fazer a mesma coisa na interface interna(eth1) e não funcionou... A diferença é que eu faço SNAT de todos os pacotes que saem da eth0 e na eth1 não faço SNAT algum...
    Outra diferença é que o DNAT que estou tentando fazer na eth1 é pra uma máquina em outra rede...

    Revisão geral...
    meu linux 192.168.1.1/24
    minha máquina 192.168.1.2/24
    maquina remota 192.168.2.1/24

    Se eu acesso da minha máquina direto pra máquina remota, funfa!
    Se eu coloco as regras de DNAT(abaixo) no meu linux e tento acessar da minha máquina pro meu linux, não funfa...

    Regras de DNAT:
    1 - iptables -t nat -I PREROUTING -i eth1 -d 192.168.1.1 -p tcp --dport 22 -j DNAT --to 192.168.2.1:22
    2 - iptables -I FORWARD -d 192.168.1.2 -p tcp --dport 22 -j ACCEPT

    A segunda é pq a minha policy do FORWARD está DROP... Eu já tentei alterá-la pra ACCEPT mas também naum funfou!

    Agradeço qq ajuda...

  2. #2
    lrezende
    Visitante

    Padrão DNAT...

    Cadê a galera?
    Parece que o trabalho tá grande pro pessoal...



  3. #3
    Danilo_Montagna
    Visitante

    Padrão DNAT...

    vc nao ira conseguiur fazer um DNAT para um IP que o linux nao conversa..

    o IP 192.168.2.1 nao é valido apra a maquina linux.. ou seja.. ela nao conversa diretamente com esse ip pois esta em outra range de IP..

  4. #4
    lrezende
    Visitante

    Padrão DNAT...

    essa eu não entedi...

    eu não posso fazer um nat para uma máquina fora da minha rede?
    no linux eu tenho a rota para a outra rede...

    pelo que entendo de nat(talvez pouco), ele "simplesmente" muda o ip de destino e encaminha o pacote... só não é tão simples pq tem o lance do checksum dos pacotes... bom, isso é o que eu entendo!

    então, na minha concepção deveria funfar... já que tenho uma rota para o meu ip de destino...

    aguardo resposta...



  5. #5
    Danilo_Montagna
    Visitante

    Padrão DNAT...

    bom.. se vc tem rota.. ae a coisa muda...

    eu falei que nao iria funciona pois achei que o roteamento para essa subrede nao passava pelo firewall.

    lembre-se que para todo o pacote que é alterado o cabeçalho IP por NAT o mesmo precisa receber o retorno para que o firewall remonte o cabeçalho IP..

    e que para isso aconteça.. o ip de destino alterado precisa ter como default gateway.. o ip do seu linux... e esse gateway precisa estar no mesmo segmento de rede do ip 192.168.2.1...

    verifique tb se vc nao tem alguma regra de forward barrando a passagem de pacotes entre a maquina client e a de destino.. e verifique se tb nao existe regra barrando o retorno dos pacotes ..

    blz?

  6. #6
    wrochal
    Visitante

    Padrão DNAT...

    Caro,

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-dest 192.168.0.2
    iptables -A FORWARD -p tcp -i eth0 --dport 22 -d 192.168.0.2 -j ACCEPT

    Leia o Artigo

    falou,



  7. #7
    lrezende
    Visitante

    Padrão DNAT...

    seguinte... eu tenho uma máquina com win2k no ip 192.168.1.1, ou com o linux 192.168.1.2, um roteador cisco 192.168.1.254, e uma porrada de máquinas(umas 30) que acessa o terminal service disponibilizado pelo win2kcerto?

    sendo que a minha máquina win2k(192.168.1.1) vai precisar parar... eu tenho uma outra rede que tem a mesma estrutura, inclusive com a base de dados replicada e tudo mais... com outra máquina win2k 192.168.2.1 com terminal service... esta outra rede é acessada com um link frame relay através do meu router 192.168.1.254...

    ou seja, as duas redes são bastantes similares... todas as máquina pingam entre si, o que explica o lance do roteamento certo...

    supondo que eu tenho um cliente 192.168.1.20... este cliente acessa a tanto a máquina 192.168.1.1 com TS quanto a 192.168.2.1 na outra rede, bastando para isso alterar a configuração do cliente TS...

    sendo assim, a minha idéia era, no momento que eu desligasse a minha máquina TS 192.168.1.1, eu levantasse esse ip na interface internado linux 192.168.1.2(ficando este com 2 ip´s internos) e fizesse um nat para 192.168.2.1(na outra rede); ficando assim transparente para os clientes TS da rede 192.168.1.0/24...

    eu ganharia assim, uma puta mão de obra pra alterar a configuração de cada cliente e depois retornar... pois o desigamento da máquina é temporário...

    aguardo alguma ajuda...

  8. #8
    wrochal
    Visitante

    Padrão DNAT...

    Caro,

    Entedi sua situação tente fazer isso:

    iptables -t nat -A POSTROUTING -s 192.168.1.2/24 -o eth1 -j SNAT --to 192.168.2.1/24

    falou,



  9. #9
    Danilo_Montagna
    Visitante

    Padrão DNAT...

    lrezende...

    deixe jeito ae nao vai dar nao..

    pois para um pacotes que se destina ao mesmo barramento de rede nunca vai ser encaminhado para o roteador.. muito menos para o firewall...

  10. #10

    Padrão DNAT...

    Blz!!!

    Não sei se você já tentou... Na minha rede funciona, só que com faixas de Ips diferentes

    iptables -A PREROUTING -t nat -p tcp -d 192.168.1.1 -j DNAT --to 192.168.2.1