Roteamento com IPTABLES

emferrari · 19-10-2004, 15:23

Olá Pessoal

Trocamos nosso firewall e server de mails para Linux recenetemente. Porém como os sites da empresa ainda estão em ASP, foi necessário colocar um servidor Micro$hit para rodar o II$ e servir os sites. Acontece que agora foi necessário fazer um FW com o IPTABLES para que qualquer pacote que venha na porta 80 seja redirecionado para a outra máquina. Até ai tudo bem. O problema é que o pessoal da rede interna agora não acessa mais os sites que estão hospedados na máquina do IIS.

De uma estação se damos ping www.site.com.br resolve o IP externo do Linux (200.103.159.xxx)

Os comandos do IPTABLES utilizados foram:

iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2
iptables -I FORWARD -d 192.168.0.2 -j ACCEPT

A placa eth0 é a externa e o IP 192.168.0.2 é do servidor Micro$hit Windows 2003 Server. A placa eth1 é a da rede interna (192.168.0.0/24).

Alguém tem alguma dica ?

Obrigado

Eduardo Ferrari

**1c3m4n** · 19-10-2004, 15:29

o problema ta na opcao -i eth0, com isso ele soh redireciona trafego externo, como a sua rede ta dentro da mesma q a maquina do IIS, os pacotes nao xegam a usar a interface externa... soh tira a -i eth0 q deve resolver

emferrari · 19-10-2004, 15:50

Opa!

Não funcionou, e o pessoal da rede interna não conseguiu acessar nenhum site depois que fiz isso.

Mais alguma dica ?

Eduardo Ferrari

**1c3m4n** · 19-10-2004, 15:52

hmmmmm entaum ele ta redirecionando qq requisicao na porta 80,
volta o -i eth0 e antes do --dport coloca -d IP_DOMINIO_IIS

emferrari · 19-10-2004, 16:12

Cara

Coloquei:

iptables -t nat -I PREROUTING -i eth0 -p tcp -d 192.168.0.2 --dport 80 -j DNAT --to-destination 192.168.0.2

E agora não funciona para acessar os sites a partir do link da internet.

Sds.

Eduardo Ferrari

**1c3m4n** · 19-10-2004, 16:21

opa nao eh -d 192.xxxx eh -d IP_EXTERNO
da um nslookup www.seudominio.com,br e coloca o ip q ele mostrar

emferrari · 19-10-2004, 16:27

Nada ainda.... the page cannot be displayed!

linux:/sbin # nslookup www..dominio.com.br
Note: nslookup is deprecated and may be removed from future releases.
Consider using the `dig' or `host' programs instead. Run nslookup with
the `-sil[ent]' option to prevent this message from appearing.
Server: 10.1.1.1
Address: 10.1.1.1#53

Non-authoritative answer:
www.dominio.com.br canonical name = linux.domino.com.br.
Name: linux.dominio.com.br
Address: 200.103.xxx.xxx

**1c3m4n** · 19-10-2004, 16:33

vc tem o iptraf ae?
se tiver abre ele e fica monitorando a conexao de algum cliente da rede interna na hora q tenta acessar o site, da uma olhada se nao ta dando reset na conexao

emferrari · 19-10-2004, 17:14

Não gerou log nenhum no IPTRAF....

emferrari · 19-10-2004, 17:25

No tcpdump -i eth1 | grep http consegui pegar isto:

Rosicler é o nome da máquina que estou usando lá na empresa para fazer testes:

17:24:33.321148 IP rosicler.1193 > artely.com.br.http: S 34937713:34937713(0) win 8192 <mss 1460,nop,nop,sackOK>
17:24:33.321634 IP artely.com.br.http > rosicler.1193: FR 0:0(0) ack 34937714 win 0
17:24:33.731529 IP rosicler.1193 > artely.com.br.http: S 34937713:34937713(0) win 8192 <mss 1460,nop,nop,sackOK>
17:24:33.731970 IP artely.com.br.http > rosicler.1193: FR 0:0(0) ack 1 win 0
17:24:34.241186 IP rosicler.1193 > artely.com.br.http: S 34937713:34937713(0) win 8192 <mss 1460,nop,nop,sackOK>
17:24:34.241625 IP artely.com.br.http > rosicler.1193: FR 0:0(0) ack 1 win 0
17:24:34.743187 IP rosicler.1193 > artely.com.br.http: S 34937713:34937713(0) win 8192 <mss 1460,nop,nop,sackOK>
17:24:34.743583 IP artely.com.br.http > rosicler.1193: FR 0:0(0) ack 1 win 0
17:24:52.671087 IP rosicler.1194 > artely.com.br.http: S 34956983:34956983(0) win 8192 <mss 1460,nop,nop,sackOK>
17:24:52.671580 IP artely.com.br.http > rosicler.1194: FR 0:0(0) ack 34956984 win 0
17:24:52.696551 IP rosicler.1195 > artely.com.br.http: S 34957008:34957008(0) win 8192 <mss 1460,nop,nop,sackOK>
17:24:52.696953 IP artely.com.br.http > rosicler.1195: FR 0:0(0) ack 34957009 win 0
17:24:53.091875 IP rosicler.1194 > artely.com.br.http: S 34956983:34956983(0) win 8192 <mss 1460,nop,nop,sackOK>
17:24:53.092292 IP artely.com.br.http > rosicler.1194: FR 0:0(0) ack 1 win 0
17:24:53.191843 IP rosicler.1195 > artely.com.br.http: S 34957008:34957008(0) win 8192 <mss 1460,nop,nop,sackOK>
17:24:53.192265 IP artely.com.br.http > rosicler.1195: FR 0:0(0) ack 1 win 0
17:24:53.591740 IP rosicler.1194 > artely.com.br.http: S 34956983:34956983(0) win 8192 <mss 1460,nop,nop,sackOK>
17:24:53.592162 IP artely.com.br.http > rosicler.1194: FR 0:0(0) ack 1 win 0
17:24:53.691684 IP rosicler.1195 > artely.com.br.http: S 34957008:34957008(0) win 8192 <mss 1460,nop,nop,sackOK>
17:24:53.692064 IP artely.com.br.http > rosicler.1195: FR 0:0(0) ack 1 win 0
17:24:54.091568 IP rosicler.1194 > artely.com.br.http: S 34956983:34956983(0) win 8192 <mss 1460,nop,nop,sackOK>
17:24:54.092014 IP artely.com.br.http > rosicler.1194: FR 0:0(0) ack 1 win 0
17:24:54.191678 IP rosicler.1195 > artely.com.br.http: S 34957008:34957008(0) win 8192 <mss 1460,nop,nop,sackOK>
17:24:54.192083 IP artely.com.br.http > rosicler.1195: FR 0:0(0) ack 1 win 0

Sds.

Eduardo

Roteamento com IPTABLES

Ferramentas de Tópicos