+ Responder ao Tópico



  1. #1

    Padrão Firewall + Nat

    bom dia galera ...

    estou montando um projeto e me veio uma dívida ...

    a situação é a seguinte :

    Link Internet : 256/60 Kbps (Embratel ) 2 x 64 Ips ( dois blocos de ips )

    Firewall + Squid - Fedora C5 ( maquina A Celeron D 512 Mem )
    Emaill + DNS - Debian Sarge 3.0 ( Maquiba B P4 5120 Mem )

    quero que apenas o firewall fique na borda do link ...
    e redirecionar as portas para o segundo servidor ( email ... )

    Internet --------- WAN ------------ Firewall ------- SMTP --------- Pop3+Smtp

    Esse seria +- p escopo do proheto.

    Os endereços são fictícios

    Endereço Wan do firewall 200.200.200.200
    Endereço Lan do firewall 192.168.0.200
    Endereço lan do POP3 192.168.0.110 ------------------> 200.200.200.110
    Endereço lan do SMTP 192.168.0.25 ------------------> 200.200.200.25

    Esses servidores serão divulgados no registro.br
    para montar esses regras no firewall eu imaginei o seguinte ...

    Regra de Entrada
    /sbin/iptables -t nat -A PREROUTING -p tcp -s 200.200.200.110 --dport 110 -j DNAT --to 192.168.0.110:110
    /sbin/iptables -t nat -A PREROUTING -p tcp -s 200.200.200.25 --dport 25 -j DNAT --to 192.168.0.25:25

    Regra de saída
    /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.110 -o eth1 -j SNAT --to 200.200.200.110
    /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.25 -o eth1 -j SNAT --to 200.200.200.25

    O procedimento seria esse ... ??

    e no caso do DNS reversso ... ?
    como ficaria a regra ... ?

    Falow ...
    Última edição por rootmaster; 06-12-2006 às 12:00.

  2. #2
    wrochal
    Visitante

    Padrão

    Caro,

    Seria basicamente assim:

    $IPT -t nat -A PREROUTING -d 200.200.200.110 -p tcp --dport 110 -j DNAT --to-destination 192.168.0.110
    $IPT -t nat -A PREROUTING -d 200.200.200.25 -p tcp --dport 25 -j DNAT --to-destination 192.168.0.25
    $IPT -t nat -A PREROUTING -d 200.200.200.53 -p tcp --dport 53 -j DNAT --to-destination 192.168.0.53
    $IPT -t nat -A PREROUTING -d 200.200.200.53 -p udp --dport 53 -j DNAT --to-destination 192.168.0.53

    Abraços,

  3. #3

    Padrão

    Isso aí que o wrochal falou... você não vai ter que utilizar regras de SNAT.

  4. #4
    wrochal
    Visitante

    Padrão

    hum................

  5. #5

    Padrão

    Citação Postado originalmente por xstefanox Ver Post
    Isso aí que o wrochal falou... você não vai ter que utilizar regras de SNAT.
    Blz,
    só que é o seguinte, as regras do wrochal listou estão perfeitas ... são as que eu já utilizo a tempo ...
    o que quero fazer é o contário ...
    quando mascaro minha rede para o externo ( internet, outros serviços )
    toda minha rede sai com o ip da eth1 do firewall
    só que ... eu quero que o ip da minha máquina seja alterado para outro ip da minha wan.

    ex: minha eth1 - 200.167.200.10/26
    eth1:1 - 200.167.200.11/26
    quero que o ip de minha máquina sofra a alteração para o ip 200.167.200.11 ao invés de
    sair com o ip da minha eth1 - 200.167.200.10
    igualzinho ao STATC NAT que fazemos nos roteadores cisco, cyclades, etc ...
    sacou ... ???

    Falow ...
    Última edição por rootmaster; 13-12-2006 às 11:53.

  6. #6

    Padrão

    Opa, desculpe por te entender errado.

    Quando acontece isso, geralmente eu faço marcação nos pacotes e uso o iproute2 para fazer esse roteamento pela origem.