dúvida no NAT

[stumm]

É o seguinte galera:

Tenho uma máquina com 2 placas de rede, uma conectada na internet(eth0) e outra repassando pacotes para a rede interna(eth1). Minha rede interna usa os ips do tipo 192.168.192.0... até aí tudo bem... mas meu problema é o seguinte, alguns serviços(equipamentos) q rodam depois(atrás) do Firewall precisam usar IP's reais(200.xxx.xxx.xxx)... não estou conseguindo fazer com q ips reais fiquem atrás do firewall.

o firewall tah assim:

eth0: 200.xxx.xxx.xxx
eth1: 192.168.192.1

então usando ips reais atrás do fw, o gateway deles teria q ser a eth1 do fw... coisa q não é possível fazer... alguém tem alguma idéia de como fazer isso??? teria q usar uma terceira placa de rede???

obrigado.

[1c3m4n]

ve se isso resolve

iptables -t nat -A POSTROUTING -s IP_EQUIP -d 0/0 -j SNAT --to IP_NET

[stumm]

blz cara, mas o q eu coloco como gateway dos equipamentos? tipo, o equipamento vai ter um ip verdadeiro, mas o gateway teria q ser a eth1 do firewall, que eh 192.168.192.1... isso é possível?

valeu.

[1c3m4n]

hmmm perae, tipo, os equipamentos precisam de ip verdadeiro pra vc acessar eles externamente eh isso?

se for vc pode fazer o seguinte:
bota ip frio neles
ai no gw vc faz o redirecionamento dos pacotes nas portas q eles precisam
fica assim:

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport PORTA -j DNAT --to IP_INTERNO

ai pra deixar eles com ip valido coloca a outra regra q passei antes

[1c3m4n]

ou ainda vc pode pegar os ips deles e setar todos eles na tua placa externa do gw e fazer o redirecionamento assim:

ifconfig eth0:0 IP_EXTERNO1
ifconfig eth0:1 IP_EXTERNO2
ifconfig eth0:2 IP_EXTERNO3

iptables -t nat -A PREROUTING -d IP_EXTERNO1 -j DNAT --to IP_INTERNO1
iptables -t nat -A POSTROUTING -s IP_INTERNO1 -j SNAT --to IP_EXTERNO1

[stumm]

ne verdade eu preciso de ips verdadeiros pq os equipamentos não podem parar e somente a empresa que instalou os aparelhos pode mudá-los, então, para causar menos transtornos, seria mais fácil deixar com os ips atuais e fazer as mudanças necessaria no firewall...

valeu.

[1c3m4n]

eh ai acho q o + facil e melhor seria uma terceira placa pra fazer o gw deles

[stumm]

pois eh, tava pensando nisso tbm... coloco uma terceira placa e deixo como gw dos equipamentos... para isso devo somente criar regras para redirecionar para a terceira placa de rede os pacotes destinados àquela rede neh???

desculpe as perguntas óbvias q faço, eh q to com essa tarefa pra realizar e não tenho muita noção de como fazer isso... :toim:

obrigadao pela ajuda cara...

[1c3m4n]

se vc colocar a terceira placa nao vai precisar criar regra nenhuma de redirecionamento, eh soh colocar o ip dela como sendo o do gw dos equipamentos e mais nada. (a nao ser eh logico alguns filtos caso vc queria colocar)

[stumm]

soh isso??? blz cara, fica mto mais fácil...

valeu pela ajuda!!!

[stumm]

ou ainda vc pode pegar os ips deles e setar todos eles na tua placa externa do gw e fazer o redirecionamento assim:

ifconfig eth0:0 IP_EXTERNO1
ifconfig eth0:1 IP_EXTERNO2
ifconfig eth0:2 IP_EXTERNO3

iptables -t nat -A PREROUTING -d IP_EXTERNO1 -j DNAT --to IP_INTERNO1
iptables -t nat -A POSTROUTING -s IP_INTERNO1 -j SNAT --to IP_EXTERNO1

cara, desculpa incomodar de novo... mas fazendo isso acima, um pacote destinado a "IP_EXTERNO1" seria encaminhado pelo firewall direto pra essa máquina? a eth0 q encaminharia? minha eth0 eh a placa ligada a internet.

Valeu.