+ Responder ao Tópico



  1. #1
    Diogo Roos
    Visitante

    Padrão Redirecionamento Router+Iptables

    Eu tenho duas redes:
    192.168.1.0 (lan0 do router)
    192.168.1.1 (firewall linux (eth0), entrada lan0 do router)
    192.168.0.0 (rede interna)
    192.168.0.1 (eth1 do meu firewall. saída para rede interna)

    As máquinas estão configurada com 192.168.0.X/255.255.255.0, GW 192.168.1.1
    e DNS's.

    Basicamente a regra do meu firewall teria que receber tudo que entra pela eth0 (conectado a lan0 do router) e enviar para o destino através da eth1 (rede interna)

    Por exemplo: um usuário de fora quer conectar pelo vnc (5900) em um servidor de BD da minha rede interna (192.168.0.2). A conexão entra pelo o router (200.xxx.xxx.250), o router tem que jogar para a eth0 do meu firewall (192.168.1.1) e o meu firewall jogar para o destino, através da eth1 (192.168.0.1) que seria para o servidor (192.168.0.2)

    Eu preciso que tudo que vier de fora (entrar no router) passe para o meu
    firewall e assim meu firewall passe para o destino.
    O suporte me falou que eu não tenho que fazer nada de NAT, QoS ou firewall no router, e sim no meu firewall (servidor linux). Eu acho isso estranho porque o router tem que colocar uma rota de tudo que entrar para o meu firewall. O router tem firewall (iptables), nat, etc... daria para fazer tudo por ele, mas não sei se é vantagem deixar meu servidor linux de lado pra deixar somente o router.

    Obs.: Eu utilizo somente iptables, sem squid.

    Desde já eu agradeço por tu ter gastado tempo lendo isso aqui...

    Diogo Roos

  2. #2

    Padrão Redirecionamento Router+Iptables

    Cara,

    seu vnc externo deverá procurar determinada porta no seu servidor com o firewall a partir daí vc faz o seguinte :

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport XXXX -j DNAT --to IP-DA-MAQ-DESTINO

    Ok ??

    Boa sorte.



  3. #3
    Diogo Roos
    Visitante

    Padrão Iptables

    seu vnc externo deverá procurar determinada porta no seu servidor com o firewall a partir daí vc faz o seguinte :

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport XXXX -j DNAT --to IP-DA-MAQ-DESTINO

    Certo, essa regra faz o direcionamento de uma porta.

    A dúvida maior é qual(is) regra(s) eu tenho que usar no iptables pra ele pegar tudo que entra no router (192.168.1.254) que est a conectado na ETH0 com a mesma classe) e mandar pra ETH1 (192.168.0.1), e da ETH1 distribuir.

    Alguma coisa como:
    iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o pvc0 -j MASQUERADE
    (essa foi a "dica" que o pessoal do suporte falou, a única tbm).
    Eu coloquei uma regras e de fora quando eu pinguei no ip do router ele foi parar no 192.168.0.2, só que sem resposta do servidor, talvez tivesse que fazer uma regra de volta, porque é tipo assim, tudo que entra no router ele tem que mandar pra eth0 do fire, a eth0 do fire tem que mandar pra eth1, a eth1 tem que mandar pro destino e o destino tem que mandar de volta a respota pra eth0 e a eth0 mandar a saída pro router. Acho que complicou né ? mas é isso.

    E...
    ... claro...
    Valeu pela ajuda.

  4. #4

    Padrão Redirecionamento Router+Iptables

    Diogo,

    vc precisa do DNAT ele vai fazer a chamada passar direto para o IP que vc colocar na regra.

    Use uma porta qualquer entre 50000 e 65535 (substitua os XXXX) e coloque o ip destino (substitua o IP_DESTINO) no DNAT conforme o ex que eu te passei.

    Sds.

    Sérgio.

    P.S.: iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 50001 -j DNAT --to 192.168.1.2 (por exemplo)

    Qdo seu programa tentar chegar no porta 50001 do servidor pela rede 192.168.0.0/24 ele será redirecionado para o máquina 192.168.1.2 (por exemplo).