[Fedora-users-br] Iptables

Alejandro Flores alejandrorflores em gmail.com
Terça Dezembro 6 18:19:10 UTC 2005 

Opa,

Pra funcionar, além de vc fazer o DNAT, tem que fazer o SNAT dessa conexão:

# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport <porta X> -j
DNAT --to-destination <IP_B>:<porta Y>

# iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport <porta X> -s
<REDE_LOCAL> -d  <maq_2> -j SNAT --to-source <ip_maq_a>

Sem falar que precisa ter uma regra de forward pra isso, caso sua politica
seja restritiva.
# iptables -A FORWARD -i eth0 -o eth0 -s REDE_LOCAL -d ip_maq_b -j ACCEPT

O que foi feito:
1 - Quando vc faz um DNAT, você está alterando o endereço de destino da
conexão.
2 - Quando vc faz um SNAT, você está alterando o endereço de origem da
conexão.

Nesse caso o que vai acontecer é que você quer conectar em IP_A, vai ser
redirecionado para IP_B. Porém, com isso, a conexão pro IP_B sai a partir de
IP_A, porém com o IP de uma terceira máquina. Ou seja, IP_C conecta em IP_A
que origina uma nova conexão pra IP_B com ip de IP_C. 192.168.0.3, conecta
em 192.168.0.1 que cria uma nova conexão pra 192.168.0.2, com ip de origem
192.168.0.3. Porém, 192.168.0.3 originou a conexão pra 192.168.0.1 e não pra
192.168.0.2 então eles não vão se entender. Por isso tem que fazer o SNAT
também. Putz, que rolo. hahaha

Espero que você tenha entendido.


>    Alguém já utilizou o iptables para fazer um DNAT para uma máquina na
> mesma rede? Vou tentar explicar o cenário:
>
> Máquina 1: IP_A
> Máquina 2: IP_B
> Máquina 3: IP_C
>
>    Máquina 1
>    # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport <porta X> -j
> DNAT --to-destination <IP_B>:<porta Y>
>
>    Máquina 2 - Ela está aceitando todas as conexões na '<porta Y>'.
>
>    Máquina 3
>    # telnet <IP_A> <porta X>
>
>    Sendo que não retorna o telnet. Coloquei para logar tudo e vi que ele
> recebe a conexão e faz um FORWARD (liberei o forward) para o <IP_B> na
> <porta Y>. Depois ele faz um POSTROUTING de <IP_C> para <IP_B> na <porta
> Y>. Alguém já precisou fazer algo parecido? Agradeço a todos.
>
> Abraços,
> Aldrey
>


--
Abraço!
Alejandro Flores
http://www.triforsec.com.br/
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://lists.fedoraproject.org/pipermail/br-users/attachments/20051206/3e4c1f21/attachment.html

Mais detalhes sobre a lista de discussão br-users