[Fedora-users-br] Iptables
Alejandro Flores
alejandrorflores em gmail.com
Terça Dezembro 6 18:19:10 UTC 2005
Opa,
Pra funcionar, além de vc fazer o DNAT, tem que fazer o SNAT dessa conexão:
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport <porta X> -j
DNAT --to-destination <IP_B>:<porta Y>
# iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport <porta X> -s
<REDE_LOCAL> -d <maq_2> -j SNAT --to-source <ip_maq_a>
Sem falar que precisa ter uma regra de forward pra isso, caso sua politica
seja restritiva.
# iptables -A FORWARD -i eth0 -o eth0 -s REDE_LOCAL -d ip_maq_b -j ACCEPT
O que foi feito:
1 - Quando vc faz um DNAT, você está alterando o endereço de destino da
conexão.
2 - Quando vc faz um SNAT, você está alterando o endereço de origem da
conexão.
Nesse caso o que vai acontecer é que você quer conectar em IP_A, vai ser
redirecionado para IP_B. Porém, com isso, a conexão pro IP_B sai a partir de
IP_A, porém com o IP de uma terceira máquina. Ou seja, IP_C conecta em IP_A
que origina uma nova conexão pra IP_B com ip de IP_C. 192.168.0.3, conecta
em 192.168.0.1 que cria uma nova conexão pra 192.168.0.2, com ip de origem
192.168.0.3. Porém, 192.168.0.3 originou a conexão pra 192.168.0.1 e não pra
192.168.0.2 então eles não vão se entender. Por isso tem que fazer o SNAT
também. Putz, que rolo. hahaha
Espero que você tenha entendido.
> Alguém já utilizou o iptables para fazer um DNAT para uma máquina na
> mesma rede? Vou tentar explicar o cenário:
>
> Máquina 1: IP_A
> Máquina 2: IP_B
> Máquina 3: IP_C
>
> Máquina 1
> # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport <porta X> -j
> DNAT --to-destination <IP_B>:<porta Y>
>
> Máquina 2 - Ela está aceitando todas as conexões na '<porta Y>'.
>
> Máquina 3
> # telnet <IP_A> <porta X>
>
> Sendo que não retorna o telnet. Coloquei para logar tudo e vi que ele
> recebe a conexão e faz um FORWARD (liberei o forward) para o <IP_B> na
> <porta Y>. Depois ele faz um POSTROUTING de <IP_C> para <IP_B> na <porta
> Y>. Alguém já precisou fazer algo parecido? Agradeço a todos.
>
> Abraços,
> Aldrey
>
--
Abraço!
Alejandro Flores
http://www.triforsec.com.br/
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://lists.fedoraproject.org/pipermail/br-users/attachments/20051206/3e4c1f21/attachment.html
Mais detalhes sobre a lista de discussão br-users