NAT com iptables

[stumm]

Bom dia pessoal. To iniciando no NAT e to com muitas dúvidas. Uma delas é como fazer para que pacotes que chegam da internet pela "eth0" sejam redirecionados para a "eth1":

eth0 = 10.0.0.5
eth1 = 192.168.192.2

Gostaria de saber como fazer isso com iptables.
Obrigado.

[gatoseco]

Cara com isso vc consegue abrir portas,redireciona-las,compartilhar a internet,abrir para sua rede local e negar tudo o que nao for necessario!!

Valeu meu jovem espero ter ajudado!!! Qualquer coisa posta ai!!!

# Carrega os modulos
modprobe iptables
modprobe iptable_nat

# Abre algumas portas (opcional)
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT

# Redireciona algumas portas(opcional)
iptables -t nat -A PREROUTING -i etho -p tcp --dport 22 -j DNAT --to-dest 192.168.0.2
iptables -A FORWARD -p tcp -i eth0 --dport 22 -d 192.168.0.2 -j ACCEPT

# Compartilha a conexão
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

# Abre para a rede local
iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT

# Fecha o resto
iptables -A INPUT -p tcp --syn -j DROP

[stumm]

obrigado cara, mas precisava saber como fazer isso pra conexão com ip fixo. pelo que li o MASQUERADING eh somente para conexões com ip dinâmico.

Valeu.

[Jim]

Bom dia pessoal. To iniciando no NAT e to com muitas dúvidas. Uma delas é como fazer para que pacotes que chegam da internet pela "eth0" sejam redirecionados para a "eth1":

eth0 = 10.0.0.5
eth1 = 192.168.192.2

Gostaria de saber como fazer isso com iptables.
Obrigado.

Use estas duas regrinhas:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

basta colocá-las no seu /etc/rc.local

onde a primeira compartilha a eth0 que no seu caso équem acessa a internet, e a segunda habilita o forward no seu servidor.

[stumm]

Desculpem a minha ignorância, mas a coisa ainda tá meio nebulosa pra mim.
Eu não teria que especificar para onde(eth1) deverão ser reencaminhados os pacotes?

[gatoseco]

Cara seu ip fixo ta na eth0 certo,entao vc ta compartilhando a interface eth0 que e onde chega a internet meu, vc nao precisa colocar uma regra que diz mascare pra mim 200.0.0.0.0/0, mas se ainda assim quiser tentar:

Tem um monte de maneiras na net, e so dar uma procurada!!!!


Valeu mano ate mais!!!

[Jim]

Desculpem a minha ignorância, mas a coisa ainda tá meio nebulosa pra mim.
Eu não teria que especificar para onde(eth1) deverão ser reencaminhados os pacotes?

Neste caso mais simples não! Por enquanto estamos apenas compartilhando uma placa que possui acesso à internet, ou seja, se vc tivesse várias redes, bastaria essa egra para que todas acessassem, muito embora acho que vc deva começar usando essas regras que te passei, vc pode aprimorá-las...

[stumm]

Tá bom galera!
Valeu mesmo pela ajuda!

Vou fazer uns testes e tentar entender bem o funcionamento do NAT.

Não é tão complicado. Pense num envelope colocado dentro de outro, o nat pega um pacote, lê o envelope de origem, coloca dentro de outro envelope com outro ip e manda embora. Quando isso volta, ele faz o trabalho contrário: lê o envelope, abre, e manda de volta para quem o solicitou com o ip original. (Não é nem de longe tão simples, mas explica um pouco como funciona...).

Fui,

[stumm]

aqui to eu de novo enchendo o saco de vcs... hehehe.

assim ó:
to tentando pingar o 192.168.192.2(eth1) de uma máquina da rede 10.0.0.0 e não dá resposta. Com a eth0 ta td normal, mas na eth1 não consigo pingar.

Alguém sabe o porquê disso?(com certeza sim neh)

Ah, e aalguém pode me dizer uns testes que eu posso fazer pra ver se ta td blz?

Valeu galera!

[stumm]

Alguém poderia me ajudar aí galera?

[Danilo_Montagna]

aqui to eu de novo enchendo o saco de vcs... hehehe.

assim ó:
to tentando pingar o 192.168.192.2(eth1) de uma máquina da rede 10.0.0.0 e não dá resposta. Com a eth0 ta td normal, mas na eth1 não consigo pingar.

Alguém sabe o porquê disso?(com certeza sim neh)

Ah, e aalguém pode me dizer uns testes que eu posso fazer pra ver se ta td blz?

Valeu galera!

provavelmente vc deve ter algum script de firewall bloqueando pacotes ICMP na interface eth1

[felco]

aqui to eu de novo enchendo o saco de vcs... hehehe.

assim ó:
to tentando pingar o 192.168.192.2(eth1) de uma máquina da rede 10.0.0.0 e não dá resposta. Com a eth0 ta td normal, mas na eth1 não consigo pingar.

Alguém sabe o porquê disso?(com certeza sim neh)

Ah, e aalguém pode me dizer uns testes que eu posso fazer pra ver se ta td blz?

Valeu galera!

pelo que vi ai vc ta querendo fazer uma rede enxergar a outra rede
pra isso vc deve habilitar o ip_forward
echo 1 > /proc/sys/net/ipv4/ip_forward

eh o FORWARD
iptables -P FORWARD ACCEPT
ou ainda

iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

[stumm]

iptables -t nat -A POSTROUTING -s 192.168.192.0/22 -o eth0 -j SNAT --to 200.xxx.xx.xx

Usando a regra acima, os pacotes vindo da rede 192... terão seus endereços trocados para 200... e aí vão para a internet... Até aí td bem...

Mas e na volta dos pacotes? Será feita a operação inversa automaticamente ou eu terei que incluir alguma regra específica para a chegada de pacotes com o DNAT???

[stumm]

alguém sabe???

[demiurgo]

vc naum precisa criar regra nenhuma

kra... d uma lida nesse doc aque, vc vai tirar mtas das suas duvidas...

http://iptables.under-linux.org/

[]'s!!

[stumm]

valeu...

[stumm]

como assim não preciso criar regra nenhuma?

como faço então para redirecionar os pacotes para a outra sub-rede?

ainda to muito confuso.

obrigado.

[stumm]

bah galera, não to conseguindo fazer funcionar d jeito algum...

teoricamente os comandos abaixo deveriam compartilhar minha conexão neh?
eth0 eh a iface ligada na internet, eu gostaria de passar a conexão pela eth1 para um sub-rede, mas não estou conseguindo...

modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

se alguém souber, por favor, me ajude...

[stumm]

talvez meu erro esteja na configuração dos clientes da sub-rede...

o ip d qual interface eu devo colocar com gaetway dos clientes??? eth0 ou eth1???

valeu.