+ Responder ao Tópico



  1. #1
    rcamargo2000
    Visitante

    Padrão Uso do DNAT e SNAT

    Pessoal,


    "Tenho uma rede ligando Matriz e Filial e a matriz tem um acesso a internet onde uso um Servidor Linux como Proxy e Firewall na mesma maquina.
    Na matriz minha rede não valida é 192.168.0.0/24 e na filial é 192.168.1.0/24
    Todos na empresa ( matriz e filial ) acessam internet pelo proxy que tem duas placas de rede , a primeira aponta para a internet e tem endereço 200.x.y.z e a segunda placa de rede tem ip 192.168.0.253.
    Agora preciso que uma maquina da filial ( rede 192.168.1.0/24) possa acessar internet sem passar pelo Proxy e portanto fiz algumas regras usando DNAT e SNAT mas ainda não está funcionando.

    Resumo do Cenario

    Matriz ( Rede 192.168.0.x)

    Servidor com eth0 - 192.168.0.253
    eth1 - 200.x.y.z

    Estações com acesso a internet apenas pelo proxy.

    Filiais ( Rede 192.168.1.y)

    Todas tem acesso a internet apenas pelo Proxy.



    Aguardo retorno..

    att,

    R Camargo

  2. #2

    Padrão

    bom.. para que uma maquina apenas nao passe pelo proxy vc faz assim

    ANTES da regra do REDIRECT ou DNAT para o proxy faça isso:

    iptables -t nat -A PREROUTING -s 192.168.1.33 -p tcp --dport 80 -j ACCEPT
    iptables -t ..... (aqui eh a regra do redirect para o proxy)


    considerando tambem que vc faz NAT... o firewall bem simples ficaria assim:


    iptables -t nat -A PREROUTING -s 192.168.1.33 -p tcp --dport 80 -j ACCEPT
    iptables -t nat -A PREROUTING -s 192.168.0.0/23 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128
    iptables -t nat -A POSTROUTING -s 192.168.0.0/23 -o eth0 -j MASQUERADE


    essas 3 regras faze o que vc precisa (ou que eu entendi)

    usei a mascara /23 que o escopo dela sao 512 ips (entao 192.168.0.0 ateh 192.168.1.255)