Redirecionamento dois servidores diferentes

[lanmenezes]

Pessoal,
Aqui na empresa tenho dois links em um servidor Debian e utilizo iproute para que determinadas aplicações (como serviços de terminal) saiam por um dois dois links. Funciona corretamente.
Tenho também um iptables que barra tudo e libera somente portas pré-definidas. O iptables também faz o redirecionamento de um determinado serviço para servidores na rede interna. Tenho por exemplo, um serviço de terminal em uma máquina interna. Também funciona corretamente.
O que eu preciso agora e não estou conseguindo fazer é que o tráfego que chegar na porta 3389 do link A seja redirecionado para a máquina X da rede interna e o tráfego que chega na mesma porta no link B seja redirecionado para a máquina Y da rede interna. Tem como fazer?

[terencerocha]

iptables -t nat -A PREROUTING -d A -p tcp --dport 3389 -j SNAT --to X:3389
iptables -t nat -A PREROUTING -d B -p tcp --dport 3389 -j SNAT --to Y:3389

[lanmenezes]

Obrigado,
Mas ainda não funcionou, pois o link 2 está recebendo, o servidor está direcionando corretamente para o endereço da rede interna, mas na hora de voltar, o servidor está mandando o pacote sair pelo link 1 (eth0) ao invés de responder ao link 2 (eth2). Tenho que adicionar algum tipo de rota, mas procurei por vários fóruns e não encontrei resposta que desse certo. Alguma idéia?

[darkwarrior]

Você pode criar uma regra no iptables para marcar os pacotes que sairem das máquinas X e Y que tiverem como source a porta 3389, e daí com o iproute utilizar essa marca para sairem pelo mesmo link.
Ex iproute:
Para máquina X
iproute add rule from all fwmark 1 lookup link1

Para máquina Y
iproute add rule from all fwmark 2 lookup link2

Isso depois de você ter criado no iptables para inserir essa marca nos pacotes necessários.

O que deve estar acontecendo é que entra por um link e está querendo sair pelo o outro.

Também o patch routes que pode ajudar em seu problema: Software, Patches and Docs

[lanmenezes]

Obrigado. É exatamente isso que está acontecendo a conexão entra pela eth2 e tenta sair pela eth0. Mas tentei fazer o que você me disse e devo estar fazendo algo errado.

Veja a parte do script:
#Define pacotes provenientes da lan com destino 3389 serão enviados p/ eth2
iptables -t mangle -A PREROUTING -i eth1 -p tcp --dport 1494 -j MARK --set-mark 1 #está saindo pelo link 2
iptables -t mangle -A PREROUTING -i eth1 -p tcp --dport 1604 -j MARK --set-mark 1 #está saindo pelo link 2
iptables -t mangle -A PREROUTING -i eth1 -p tcp --dport 3389 -j MARK --set-mark 1 #está saindo pelo link 2
iptables -t mangle -A PREROUTING -i eth1 -p tcp --dport 491 -j MARK --set-mark 1 #está saindo pelo link 2

iptables -t mangle -A PREROUTING -s 172.16.1.150 -p tcp --dport 3389 -j MARK --set-mark 2 #Essa que eu quero que saia no link 2 também.
Mas está voltando pela eth0.
#######
ip route add default dev eth2 via 2xx.1xx.1xx.x table intelig
ip rule add from all fwmark 2 lookup intelig #Acrescentei depois da dica.
ip rule add fwmark 1 lookup intelig
ip route flush cached
#######
Preciso muito disso funcionando. Se puder, me ajude.

[darkwarrior]

tem que ter uma regra no iptables pegando o ip do servidor(Term Service) interno marcando com a marca do link 2, por exemplo:

iptables -t mangle -A PREROUTING -i eth1 -s 192.168.0.1 -t tcp --sport 3389 -j MARK --set-mark 1

Isso considerando que sua eth1 é a rede interna, e 192.168.0.1 é o ip do servidor interno que você quer que saia pelo link 2.
Você colocou as regras, mas são para as portas de destino e destino está funcionando, o problema é na volta ou seja, o source que é seu servidor interno, por isso criar uma regra como sport.

[lanmenezes]

Obrigado pela resposta.
Meu script tá um pouco diferente do seu. Meu servidor do Terminal é o 172.16.1.150, já tinha a regra mas não citava a eth1. Vou testar sua dica e retorno.

[glaucioklipel]

eu tenho um esquema mais ou menos parecido na nossa empresa.

tenho 2 links adsl onde um é pra internet geral, o outro é pra conexão de um programa que roda a base em postgres.

a soluçao mais pratica que eu encontrei foi desviar todo o tráfego do servidor postgres para o link 2 da seguinte forma:

ip rule add from XXX.XXX.XXX.XXX lookup (TABELA DE ROTEAMENTO DO SEGUNDO LINK)

tentei de várias formas usar a marcação com a tabela mangle pelas portas, mas não funcionou pois a saída pega o segundo modem, mas entrada não, ainda não pesquisei por um jeito de fazer pacotes com destino a uma determinada porta serem aceitos com marcação na tabela mangle...

Boa sorte!

[lanmenezes]

Colegas,
Agradeço a todos que me ajudaram nessa questão. Realmente tentei com a tabela mangle, mas a solução que deu certo foi a de desviar todo o tráfego do servidor para o link2. No meu caso não vou ter problema com esse cenário.

[glaucioklipel]

É, eu até hoje não consegui fazer com que o tráfego de entrada do link 2 saísse pelo link 2 também, apesar de ter feito milhares de marcações. Estou numa batalha também com um FTP onde o tráfego da máquina que tem o FTP sai todo pelo link 2, mas preciso que entre e saia o tráfego da porta 21 somente pelo link 1. Consegui fazer a entrada da conexão, mas o computador manda os dados pelo link 2... Deve ter alguma forma até pelo próprio iproute2. Hoje eu estou tirando o dia todo pra isso, se eu conseguir algum avanço eu posto aqui.

No caso da área de trabalho remota, tenta trocar a porta do RDP, tive que fazer isso também com duas máquinas com RD.

Abraços!

[glaucioklipel]

Cara, consegui!

São algumas poucas e boas regras hehehe, o problema é que a gente não seguiu a lógica da conexão. A gente conseguia conexão com a porta, mas não obtia resposta pois conectávamos pelo link 2 mas os pacotes saíam pelo link 1.

Eu comentei sobre o servidor PostgreSQL. Eu preciso que este servidor receba conexões exclusivamente pelo link 2 que é dedicado ao serviço postgres. Tive que redirecionar todo o tráfego da máquina para o link 2 para que funcionasse o postgres. Para que só o tráfego do postgres fosse feito pelo link 2 e todo o restante pelo link 1, fiz da seguinte forma:

iptables -t mangle -A POSTROUTING -p tcp --sport 5432 -s 192.168.1.102/32 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p tcp --sport 5432 -s 192.168.1.102/32 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p tcp --dport 5432 -j MARK --set-mark 1
iptables -t mangle -A INPUT -p tcp --dport 5432 -j MARK --set-mark 1
iptables -t mangle -A OUTPUT -p tcp --sport 5432 -s 192.168.1.102/32 -j MARK --set-mark 1
iptables -t mangle -A FORWARD -p tcp --sport 5432 -s 192.168.1.102/32 -j MARK --set-mark 1
iptables -t mangle -A FORWARD -p tcp --dport 5432 -j MARK --set-mark 1
#
ip rule add fwmark 1 lookup <TABELA-DE-ROTEAMENTO-LINK2>


Agora, dessa forma está funcionando! Todo o tráfego sai pelo link 1, que é o geral da internet e o tráfego da porta 5432 entra e sai pelo link 2.

Tenta fazer e posta o resultado! Não esqueça que o postgres só faz conexão pela tcp, se a conexão que você quer fazer exigir conexão udp, duplica as linhas tcp e troca por udp na segunda hehehe.

Abraços!