8:13 a.m.
Alguém já utilizou o iptables para fazer um DNAT para uma máquina na
mesma rede? Vou tentar explicar o cenário:
Máquina 1: IP_A
Máquina 2: IP_B
Máquina 3: IP_C
Máquina 1
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport <porta X> -j
DNAT --to-destination <IP_B>:<porta Y>
Máquina 2 - Ela está aceitando todas as conexões na '<porta Y>'.
Máquina 3
# telnet <IP_A> <porta X>
Sendo que não retorna o telnet. Coloquei para logar tudo e vi que ele
recebe a conexão e faz um FORWARD (liberei o forward) para o <IP_B> na
<porta Y>. Depois ele faz um POSTROUTING de <IP_C> para <IP_B> na
<porta
Y>. Alguém já precisou fazer algo parecido? Agradeço a todos.
Abraços,
Aldrey
8:20 a.m.
Veja isso:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport
80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -s rede.interna/16 -o
eth0 -j SNAT --to ip.rede.externa
peguei de um manual sobre iptables que fiz a um tempo
atrás, se quiser dê uma olhada:
http://rodrigomenezes.v10.com.br/firewall.html
Att,
Rodrigo Menezes
--- Aldrey Galindo <aldrey(a)recife.pe.gov.br> escreveu:
_______________________________________________________
Yahoo! doce lar. Faça do Yahoo! sua homepage.
http://br.yahoo.com/homepageset.html
Alguém já utilizou o iptables para fazer um DNAT
para uma máquina na
mesma rede? Vou tentar explicar o cenário:
Máquina 1: IP_A
Máquina 2: IP_B
Máquina 3: IP_C
Máquina 1
# iptables -t nat -A PREROUTING -i eth0 -p tcp
--dport <porta X> -j
DNAT --to-destination <IP_B>:<porta Y>
Máquina 2 - Ela está aceitando todas as conexões
na '<porta Y>'.
Máquina 3
# telnet <IP_A> <porta X>
Sendo que não retorna o telnet. Coloquei para
logar tudo e vi que ele
recebe a conexão e faz um FORWARD (liberei o
forward) para o <IP_B> na
<porta Y>. Depois ele faz um POSTROUTING de <IP_C>
para <IP_B> na <porta
Y>. Alguém já precisou fazer algo parecido? Agradeço
a todos.
Abraços,
Aldrey
> begin:vcard
fn:Aldrey Galindo
n:Galindo;Aldrey
org;quoted-printable:Emprel;DIRC - Divis=C3=A3o de
Internet e Rede Cidad=C3=A3o
adr:;;Rua Vinte e Um de Abril,
3370;Recife;Pernambuco;50761350;Brasil
title;quoted-printable:Emprel - Empresa Municipal de
Inform=C3=A1tica
x-mozilla-html:FALSE
version:2.1
end:vcard
> --
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
8:25 a.m.
Rodrigo,
Estou querendo fazer um redirecionamento na mesma rede, não há rede
interna ou externa, é tudo na mesma rede.
Abraços,
Aldrey
Veja isso:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport
80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -s rede.interna/16 -o
eth0 -j SNAT --to ip.rede.externa
peguei de um manual sobre iptables que fiz a um tempo
atrás, se quiser dê uma olhada:
http://rodrigomenezes.v10.com.br/firewall.html
Att,
Rodrigo Menezes
--- Aldrey Galindo <aldrey(a)recife.pe.gov.br> escreveu:
> Alguém já utilizou o iptables para fazer um DNAT
>para uma máquina na
>mesma rede? Vou tentar explicar o cenário:
>
>Máquina 1: IP_A
>Máquina 2: IP_B
>Máquina 3: IP_C
>
> Máquina 1
> # iptables -t nat -A PREROUTING -i eth0 -p tcp
>--dport <porta X> -j
>DNAT --to-destination <IP_B>:<porta Y>
>
> Máquina 2 - Ela está aceitando todas as conexões
>na '<porta Y>'.
>
> Máquina 3
> # telnet <IP_A> <porta X>
>
> Sendo que não retorna o telnet. Coloquei para
>logar tudo e vi que ele
>recebe a conexão e faz um FORWARD (liberei o
>forward) para o <IP_B> na
><porta Y>. Depois ele faz um POSTROUTING de <IP_C>
>para <IP_B> na <porta
>Y>. Alguém já precisou fazer algo parecido? Agradeço
>a todos.
>
>Abraços,
>Aldrey
>
>
>
>>begin:vcard
>>
>>
>fn:Aldrey Galindo
>n:Galindo;Aldrey
>org;quoted-printable:Emprel;DIRC - Divis=C3=A3o de
>Internet e Rede Cidad=C3=A3o
>adr:;;Rua Vinte e Um de Abril,
>3370;Recife;Pernambuco;50761350;Brasil
>title;quoted-printable:Emprel - Empresa Municipal de
>Inform=C3=A1tica
>x-mozilla-html:FALSE
>version:2.1
>end:vcard
>
>
>
>>--
>>
>>
>Fedora-users-br mailing list
>Fedora-users-br(a)redhat.com
>
>
>
https://www.redhat.com/mailman/listinfo/fedora-users-br
_______________________________________________________
Yahoo! doce lar. Faça do Yahoo! sua homepage.
http://br.yahoo.com/homepageset.html
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
8:37 a.m.
Então, a regra é a mesma, muda o destino.
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport
80 -j REDIRECT --to-port 3128
Essa regra é na mesma rede, mude o --dport para outro
endereço.
Att,
Rodrigo Menezes
--- Aldrey Galindo <aldrey(a)recife.pe.gov.br> escreveu:
_______________________________________________________
Yahoo! doce lar. Faça do Yahoo! sua homepage.
http://br.yahoo.com/homepageset.html
Rodrigo,
Estou querendo fazer um redirecionamento na mesma
rede, não há rede
interna ou externa, é tudo na mesma rede.
Abraços,
Aldrey
>Veja isso:
>
>iptables -t nat -A PREROUTING -i eth1 -p tcp
--dport
>80 -j REDIRECT --to-port 3128
>
>iptables -t nat -A POSTROUTING -s rede.interna/16
-o
>eth0 -j SNAT --to ip.rede.externa
>
>peguei de um manual sobre iptables que fiz a um
tempo
>atrás, se quiser dê uma olhada:
>http://rodrigomenezes.v10.com.br/firewall.html
>
>Att,
>
>Rodrigo Menezes
>
>--- Aldrey Galindo <aldrey(a)recife.pe.gov.br>
escreveu:
>
>
>
>> Alguém já utilizou o iptables para fazer um
DNAT
>>para uma máquina na
>>mesma rede? Vou tentar explicar o cenário:
>>
>>Máquina 1: IP_A
>>Máquina 2: IP_B
>>Máquina 3: IP_C
>>
>> Máquina 1
>> # iptables -t nat -A PREROUTING -i eth0 -p tcp
>>--dport <porta X> -j
>>DNAT --to-destination <IP_B>:<porta Y>
>>
>> Máquina 2 - Ela está aceitando todas as
conexões
>>na '<porta Y>'.
>>
>> Máquina 3
>> # telnet <IP_A> <porta X>
>>
>> Sendo que não retorna o telnet. Coloquei para
>>logar tudo e vi que ele
>>recebe a conexão e faz um FORWARD (liberei o
>>forward) para o <IP_B> na
>><porta Y>. Depois ele faz um POSTROUTING de <IP_C>
>>para <IP_B> na <porta
>>Y>. Alguém já precisou fazer algo parecido?
Agradeço
>>a todos.
>>
>>Abraços,
>>Aldrey
>>
>>
>>
>>>begin:vcard
>>>
>>>
>>fn:Aldrey Galindo
>>n:Galindo;Aldrey
>>org;quoted-printable:Emprel;DIRC - Divis=C3=A3o de
>>Internet e Rede Cidad=C3=A3o
>>adr:;;Rua Vinte e Um de Abril,
>>3370;Recife;Pernambuco;50761350;Brasil
>>title;quoted-printable:Emprel - Empresa Municipal
de
>>Inform=C3=A1tica
>>x-mozilla-html:FALSE
>>version:2.1
>>end:vcard
>>
>>
>>
>>>--
>>>
>>>
>>Fedora-users-br mailing list
>>Fedora-users-br(a)redhat.com
>>
>>
>>
https://www.redhat.com/mailman/listinfo/fedora-users-br
>
>
>
>
>
>
>
>
>
>
>
_______________________________________________________
>Yahoo! doce lar. Faça do Yahoo! sua homepage.
>http://br.yahoo.com/homepageset.html
>
>--
>Fedora-users-br mailing list
>Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
>
>
>
> begin:vcard
fn:Aldrey Galindo
n:Galindo;Aldrey
org;quoted-printable:Emprel;DIRC - Divis=C3=A3o de
Internet e Rede Cidad=C3=A3o
adr:;;Rua Vinte e Um de Abril,
3370;Recife;Pernambuco;50761350;Brasil
title;quoted-printable:Emprel - Empresa Municipal de
Inform=C3=A1tica
x-mozilla-html:FALSE
version:2.1
end:vcard
> --
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
9:30 a.m.
Rodrigo,
Essa regra vai redirecionar para a mesma máquina, eu preciso
redirecionar para outra máquina.
Abraços,
Aldrey
Então, a regra é a mesma, muda o destino.
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport
80 -j REDIRECT --to-port 3128
Essa regra é na mesma rede, mude o --dport para outro
endereço.
Att,
Rodrigo Menezes
--- Aldrey Galindo <aldrey(a)recife.pe.gov.br> escreveu:
>Rodrigo,
>
> Estou querendo fazer um redirecionamento na mesma
>rede, não há rede
>interna ou externa, é tudo na mesma rede.
>
>Abraços,
>Aldrey
>
>
>
>>Veja isso:
>>
>>iptables -t nat -A PREROUTING -i eth1 -p tcp
>>
>>
>--dport
>
>
>>80 -j REDIRECT --to-port 3128
>>
>>iptables -t nat -A POSTROUTING -s rede.interna/16
>>
>>
>-o
>
>
>>eth0 -j SNAT --to ip.rede.externa
>>
>>peguei de um manual sobre iptables que fiz a um
>>
>>
>tempo
>
>
>>atrás, se quiser dê uma olhada:
>>http://rodrigomenezes.v10.com.br/firewall.html
>>
>>Att,
>>
>>Rodrigo Menezes
>>
>>--- Aldrey Galindo <aldrey(a)recife.pe.gov.br>
>>
>>
>escreveu:
>
>
>>
>>
>>
>>
>>> Alguém já utilizou o iptables para fazer um
>>>
>>>
>DNAT
>
>
>>>para uma máquina na
>>>mesma rede? Vou tentar explicar o cenário:
>>>
>>>Máquina 1: IP_A
>>>Máquina 2: IP_B
>>>Máquina 3: IP_C
>>>
>>> Máquina 1
>>> # iptables -t nat -A PREROUTING -i eth0 -p tcp
>>>--dport <porta X> -j
>>>DNAT --to-destination <IP_B>:<porta Y>
>>>
>>> Máquina 2 - Ela está aceitando todas as
>>>
>>>
>conexões
>
>
>>>na '<porta Y>'.
>>>
>>> Máquina 3
>>> # telnet <IP_A> <porta X>
>>>
>>> Sendo que não retorna o telnet. Coloquei para
>>>logar tudo e vi que ele
>>>recebe a conexão e faz um FORWARD (liberei o
>>>forward) para o <IP_B> na
>>><porta Y>. Depois ele faz um POSTROUTING de <IP_C>
>>>para <IP_B> na <porta
>>>Y>. Alguém já precisou fazer algo parecido?
>>>
>>>
>Agradeço
>
>
>>>a todos.
>>>
>>>Abraços,
>>>Aldrey
>>>
>>>
>>>
>>>
>>>
>>>>begin:vcard
>>>>
>>>>
>>>>
>>>>
>>>fn:Aldrey Galindo
>>>n:Galindo;Aldrey
>>>org;quoted-printable:Emprel;DIRC - Divis=C3=A3o de
>>>Internet e Rede Cidad=C3=A3o
>>>adr:;;Rua Vinte e Um de Abril,
>>>3370;Recife;Pernambuco;50761350;Brasil
>>>title;quoted-printable:Emprel - Empresa Municipal
>>>
>>>
>de
>
>
>>>Inform=C3=A1tica
>>>x-mozilla-html:FALSE
>>>version:2.1
>>>end:vcard
>>>
>>>
>>>
>>>
>>>
>>>>--
>>>>
>>>>
>>>>
>>>>
>>>Fedora-users-br mailing list
>>>Fedora-users-br(a)redhat.com
>>>
>>>
>>>
>>>
>>>
>https://www.redhat.com/mailman/listinfo/fedora-users-br
>
>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>_______________________________________________________
>
>
>
>>Yahoo! doce lar. Faça do Yahoo! sua homepage.
>>http://br.yahoo.com/homepageset.html
>>
>>--
>>Fedora-users-br mailing list
>>Fedora-users-br(a)redhat.com
>>
>>
>https://www.redhat.com/mailman/listinfo/fedora-users-br
>
>
>>
>>
>>
>>
>>begin:vcard
>>
>>
>fn:Aldrey Galindo
>n:Galindo;Aldrey
>org;quoted-printable:Emprel;DIRC - Divis=C3=A3o de
>Internet e Rede Cidad=C3=A3o
>adr:;;Rua Vinte e Um de Abril,
>3370;Recife;Pernambuco;50761350;Brasil
>title;quoted-printable:Emprel - Empresa Municipal de
>Inform=C3=A1tica
>x-mozilla-html:FALSE
>version:2.1
>end:vcard
>
>
>
>>--
>>
>>
>Fedora-users-br mailing list
>Fedora-users-br(a)redhat.com
>
>
>
https://www.redhat.com/mailman/listinfo/fedora-users-br
_______________________________________________________
Yahoo! doce lar. Faça do Yahoo! sua homepage.
http://br.yahoo.com/homepageset.html
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
9:41 a.m.
Acho que não entendeu a minha resposta. Na regra
abaixo:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport
80 -j REDIRECT --to-port 3128
iptables, faça nat, antes de processar o pacote, que
venha da interface eth1, com protocolo tcp, que chegue
na porta 80 (destino), redirecione, para a porta 3128.
Você tem que fazer:
iptables, faça nat, antes de processar o pacote, que
venha da interface eth1, com protocolo tcp, que chegue
na porta 80 (destino), redirecione, para o destino
x.x.x.x.
Dê uma estudada em como fazer isso
(http://www.faqs.org/docs/iptables/).
Att,
Rodrigo Menezes
--- Aldrey Galindo <aldrey(a)recife.pe.gov.br> escreveu:
_______________________________________________________
Yahoo! doce lar. Faça do Yahoo! sua homepage.
http://br.yahoo.com/homepageset.html
Rodrigo,
Essa regra vai redirecionar para a mesma máquina,
eu preciso
redirecionar para outra máquina.
Abraços,
Aldrey
>Então, a regra é a mesma, muda o destino.
>
>iptables -t nat -A PREROUTING -i eth1 -p tcp
--dport
>80 -j REDIRECT --to-port 3128
>
>Essa regra é na mesma rede, mude o --dport para
outro
>endereço.
>
>Att,
>
>Rodrigo Menezes
>
>--- Aldrey Galindo <aldrey(a)recife.pe.gov.br>
escreveu:
>
>
>
>>Rodrigo,
>>
>> Estou querendo fazer um redirecionamento na
mesma
>>rede, não há rede
>>interna ou externa, é tudo na mesma rede.
>>
>>Abraços,
>>Aldrey
>>
>>
>>
>>>Veja isso:
>>>
>>>iptables -t nat -A PREROUTING -i eth1 -p tcp
>>>
>>>
>>--dport
>>
>>
>>>80 -j REDIRECT --to-port 3128
>>>
>>>iptables -t nat -A POSTROUTING -s rede.interna/16
>>>
>>>
>>-o
>>
>>
>>>eth0 -j SNAT --to ip.rede.externa
>>>
>>>peguei de um manual sobre iptables que fiz a um
>>>
>>>
>>tempo
>>
>>
>>>atrás, se quiser dê uma olhada:
>>>http://rodrigomenezes.v10.com.br/firewall.html
>>>
>>>Att,
>>>
>>>Rodrigo Menezes
>>>
>>>--- Aldrey Galindo <aldrey(a)recife.pe.gov.br>
>>>
>>>
>>escreveu:
>>
>>
>> >>>
>>>
>>>
>>>> Alguém já utilizou o iptables para fazer um
>>>>
>>>>
>>DNAT
>>
>>
>>>>para uma máquina na
>>>>mesma rede? Vou tentar explicar o cenário:
>>>>
>>>>Máquina 1: IP_A
>>>>Máquina 2: IP_B
>>>>Máquina 3: IP_C
>>>>
>>>> Máquina 1
>>>> # iptables -t nat -A PREROUTING -i eth0 -p tcp
>>>>--dport <porta X> -j
>>>>DNAT --to-destination <IP_B>:<porta Y>
>>>>
>>>> Máquina 2 - Ela está aceitando todas as
>>>>
>>>>
>>conexões
>>
>>
>>>>na '<porta Y>'.
>>>>
>>>> Máquina 3
>>>> # telnet <IP_A> <porta X>
>>>>
>>>> Sendo que não retorna o telnet. Coloquei para
>>>>logar tudo e vi que ele
>>>>recebe a conexão e faz um FORWARD (liberei o
>>>>forward) para o <IP_B> na
>>>><porta Y>. Depois ele faz um POSTROUTING de
<IP_C>
>>>>para <IP_B> na <porta
>>>>Y>. Alguém já precisou fazer algo parecido?
>>>>
>>>>
>>Agradeço
>>
>>
>>>>a todos.
>>>>
>>>>Abraços,
>>>>Aldrey
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>>begin:vcard
>>>>>
>>>>>
>>>>>
>>>>>
>>>>fn:Aldrey Galindo
>>>>n:Galindo;Aldrey
>>>>org;quoted-printable:Emprel;DIRC - Divis=C3=A3o
de
>>>>Internet e Rede Cidad=C3=A3o
>>>>adr:;;Rua Vinte e Um de Abril,
>>>>3370;Recife;Pernambuco;50761350;Brasil
>>>>title;quoted-printable:Emprel - Empresa
Municipal
>>>>
>>>>
>>de
>>
>>
>>>>Inform=C3=A1tica
>>>>x-mozilla-html:FALSE
>>>>version:2.1
>>>>end:vcard
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>>--
>>>>>
>>>>>
>>>>>
>>>>>
>>>>Fedora-users-br mailing list
>>>>Fedora-users-br(a)redhat.com
>>>>
>>>>
>>>>
>>>>
>>>>
>https://www.redhat.com/mailman/listinfo/fedora-users-br
>>
>>
>> >>>
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>_______________________________________________________
>>
>>
>>
>>>Yahoo! doce lar. Faça do Yahoo! sua homepage.
>>>http://br.yahoo.com/homepageset.html
>>>
>>>--
>>>Fedora-users-br mailing list
>>>Fedora-users-br(a)redhat.com
>>>
>>>
>https://www.redhat.com/mailman/listinfo/fedora-users-br
=== message truncated ===> begin:vcard
fn:Aldrey Galindo
n:Galindo;Aldrey
org;quoted-printable:Emprel;DIRC - Divis=C3=A3o de
Internet e Rede Cidad=C3=A3o
adr:;;Rua Vinte e Um de Abril,
3370;Recife;Pernambuco;50761350;Brasil
title;quoted-printable:Emprel - Empresa Municipal de
Inform=C3=A1tica
x-mozilla-html:FALSE
version:2.1
end:vcard
> --
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
12:19 p.m.
Opa,
Pra funcionar, além de vc fazer o DNAT, tem que fazer o SNAT dessa conexão:
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport <porta X> -j
DNAT --to-destination <IP_B>:<porta Y>
# iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport <porta X> -s
<REDE_LOCAL> -d <maq_2> -j SNAT --to-source <ip_maq_a>
Sem falar que precisa ter uma regra de forward pra isso, caso sua politica
seja restritiva.
# iptables -A FORWARD -i eth0 -o eth0 -s REDE_LOCAL -d ip_maq_b -j ACCEPT
O que foi feito:
1 - Quando vc faz um DNAT, você está alterando o endereço de destino da
conexão.
2 - Quando vc faz um SNAT, você está alterando o endereço de origem da
conexão.
Nesse caso o que vai acontecer é que você quer conectar em IP_A, vai ser
redirecionado para IP_B. Porém, com isso, a conexão pro IP_B sai a partir de
IP_A, porém com o IP de uma terceira máquina. Ou seja, IP_C conecta em IP_A
que origina uma nova conexão pra IP_B com ip de IP_C. 192.168.0.3, conecta
em 192.168.0.1 que cria uma nova conexão pra 192.168.0.2, com ip de origem
192.168.0.3. Porém, 192.168.0.3 originou a conexão pra 192.168.0.1 e não pra
192.168.0.2 então eles não vão se entender. Por isso tem que fazer o SNAT
também. Putz, que rolo. hahaha
Espero que você tenha entendido.
Alguém já utilizou o iptables para fazer um DNAT para uma máquina
na
mesma rede? Vou tentar explicar o cenário:
Máquina 1: IP_A
Máquina 2: IP_B
Máquina 3: IP_C
Máquina 1
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport <porta X> -j
DNAT --to-destination <IP_B>:<porta Y>
Máquina 2 - Ela está aceitando todas as conexões na '<porta Y>'.
Máquina 3
# telnet <IP_A> <porta X>
Sendo que não retorna o telnet. Coloquei para logar tudo e vi que ele
recebe a conexão e faz um FORWARD (liberei o forward) para o <IP_B> na
<porta Y>. Depois ele faz um POSTROUTING de <IP_C> para <IP_B> na
<porta
Y>. Alguém já precisou fazer algo parecido? Agradeço a todos.
Abraços,
Aldrey
--
Abraço!
Alejandro Flores
http://www.triforsec.com.br/
5:22 a.m.
Se é uma rede só, pra que alterar a rede de origem?
--- Alejandro Flores <alejandrorflores(a)gmail.com>
escreveu:
_______________________________________________________
Yahoo! doce lar. Faça do Yahoo! sua homepage.
http://br.yahoo.com/homepageset.html
Opa,
Pra funcionar, além de vc fazer o DNAT, tem que
fazer o SNAT dessa conexão:
# iptables -t nat -A PREROUTING -i eth0 -p tcp
--dport <porta X> -j
DNAT --to-destination <IP_B>:<porta Y>
# iptables -t nat -A POSTROUTING -o eth0 -p tcp
--dport <porta X> -s
<REDE_LOCAL> -d <maq_2> -j SNAT --to-source
<ip_maq_a>
Sem falar que precisa ter uma regra de forward pra
isso, caso sua politica
seja restritiva.
# iptables -A FORWARD -i eth0 -o eth0 -s REDE_LOCAL
-d ip_maq_b -j ACCEPT
O que foi feito:
1 - Quando vc faz um DNAT, você está alterando o
endereço de destino da
conexão.
2 - Quando vc faz um SNAT, você está alterando o
endereço de origem da
conexão.
Nesse caso o que vai acontecer é que você quer
conectar em IP_A, vai ser
redirecionado para IP_B. Porém, com isso, a conexão
pro IP_B sai a partir de
IP_A, porém com o IP de uma terceira máquina. Ou
seja, IP_C conecta em IP_A
que origina uma nova conexão pra IP_B com ip de
IP_C. 192.168.0.3, conecta
em 192.168.0.1 que cria uma nova conexão pra
192.168.0.2, com ip de origem
192.168.0.3. Porém, 192.168.0.3 originou a conexão
pra 192.168.0.1 e não pra
192.168.0.2 então eles não vão se entender. Por isso
tem que fazer o SNAT
também. Putz, que rolo. hahaha
Espero que você tenha entendido.
> Alguém já utilizou o iptables para fazer um
DNAT para uma máquina na
> mesma rede? Vou tentar explicar o cenário:
>
> Máquina 1: IP_A
> Máquina 2: IP_B
> Máquina 3: IP_C
>
> Máquina 1
> # iptables -t nat -A PREROUTING -i eth0 -p tcp
--dport <porta X> -j
> DNAT --to-destination <IP_B>:<porta Y>
>
> Máquina 2 - Ela está aceitando todas as
conexões na '<porta Y>'.
>
> Máquina 3
> # telnet <IP_A> <porta X>
>
> Sendo que não retorna o telnet. Coloquei para
logar tudo e vi que ele
> recebe a conexão e faz um FORWARD (liberei o
forward) para o <IP_B> na
> <porta Y>. Depois ele faz um POSTROUTING de <IP_C>
para <IP_B> na <porta
> Y>. Alguém já precisou fazer algo parecido?
Agradeço a todos.
>
> Abraços,
> Aldrey
>
--
Abraço!
Alejandro Flores
http://www.triforsec.com.br/
> --
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
6712
days inactive
6713
days old
br-users@lists.fedoraproject.org
7 comments
3 participants
participants (3)
-
Aldrey Galindo -
Alejandro Flores -
Rodrigo Menezes