Redirecionamento Router+Iptables

[Diogo Roos]

Eu tenho duas redes:
192.168.1.0 (lan0 do router)
192.168.1.1 (firewall linux (eth0), entrada lan0 do router)
192.168.0.0 (rede interna)
192.168.0.1 (eth1 do meu firewall. saída para rede interna)

As máquinas estão configurada com 192.168.0.X/255.255.255.0, GW 192.168.1.1
e DNS's.

Basicamente a regra do meu firewall teria que receber tudo que entra pela eth0 (conectado a lan0 do router) e enviar para o destino através da eth1 (rede interna)

Por exemplo: um usuário de fora quer conectar pelo vnc (5900) em um servidor de BD da minha rede interna (192.168.0.2). A conexão entra pelo o router (200.xxx.xxx.250), o router tem que jogar para a eth0 do meu firewall (192.168.1.1) e o meu firewall jogar para o destino, através da eth1 (192.168.0.1) que seria para o servidor (192.168.0.2)

Eu preciso que tudo que vier de fora (entrar no router) passe para o meu
firewall e assim meu firewall passe para o destino.
O suporte me falou que eu não tenho que fazer nada de NAT, QoS ou firewall no router, e sim no meu firewall (servidor linux). Eu acho isso estranho porque o router tem que colocar uma rota de tudo que entrar para o meu firewall. O router tem firewall (iptables), nat, etc... daria para fazer tudo por ele, mas não sei se é vantagem deixar meu servidor linux de lado pra deixar somente o router.

Obs.: Eu utilizo somente iptables, sem squid.

Desde já eu agradeço por tu ter gastado tempo lendo isso aqui...

Diogo Roos

[srg38]

Cara,

seu vnc externo deverá procurar determinada porta no seu servidor com o firewall a partir daí vc faz o seguinte :

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport XXXX -j DNAT --to IP-DA-MAQ-DESTINO

Ok ??

Boa sorte.

[Diogo Roos]

seu vnc externo deverá procurar determinada porta no seu servidor com o firewall a partir daí vc faz o seguinte :

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport XXXX -j DNAT --to IP-DA-MAQ-DESTINO

Certo, essa regra faz o direcionamento de uma porta.

A dúvida maior é qual(is) regra(s) eu tenho que usar no iptables pra ele pegar tudo que entra no router (192.168.1.254) que est a conectado na ETH0 com a mesma classe) e mandar pra ETH1 (192.168.0.1), e da ETH1 distribuir.

Alguma coisa como:
iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o pvc0 -j MASQUERADE
(essa foi a "dica" que o pessoal do suporte falou, a única tbm).
Eu coloquei uma regras e de fora quando eu pinguei no ip do router ele foi parar no 192.168.0.2, só que sem resposta do servidor, talvez tivesse que fazer uma regra de volta, porque é tipo assim, tudo que entra no router ele tem que mandar pra eth0 do fire, a eth0 do fire tem que mandar pra eth1, a eth1 tem que mandar pro destino e o destino tem que mandar de volta a respota pra eth0 e a eth0 mandar a saída pro router. Acho que complicou né ? mas é isso.

E...
... claro...
Valeu pela ajuda.

[srg38]

Diogo,

vc precisa do DNAT ele vai fazer a chamada passar direto para o IP que vc colocar na regra.

Use uma porta qualquer entre 50000 e 65535 (substitua os XXXX) e coloque o ip destino (substitua o IP_DESTINO) no DNAT conforme o ex que eu te passei.

Sds.

Sérgio.

P.S.: iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 50001 -j DNAT --to 192.168.1.2 (por exemplo)

Qdo seu programa tentar chegar no porta 50001 do servidor pela rede 192.168.0.0/24 ele será redirecionado para o máquina 192.168.1.2 (por exemplo).