Re: Problemas haciendo snat con iptables.

[Federico Alberto Sayd <fsayd@uncu.edu.ar>]

El 19/01/11 17:46, Juan Antonio escribió:
> El 19/01/11 21:23, Ernesto Crespo escribió:
>    
> > Saludos a todos.
> > Estoy creando un firewall para un equipo que tiene 3 interfaces de red, la
> > primera es la dirección pública, la segunda es la interfaz de la dmz y la
> > 3era el de la LAN; está LAN consta de varias redes que llegan por esa
> > interfaz.
> >
> > Tengo un Servidor proxy en el mismo equipo como proxy transparente, el
> > funciona pero cuando reviso en whatismyip.com para ver que IP estoy usando
> > me muestra la IP de la interfaz que va a la LAN. En el archivo access.log de
> > squid aparecen las peticiones de páginas web pero sale la IP de la interfaz
> > de la red LAN.
> >
> > Hago ping desde  un equipo de la red local a la IP pública del firewall y le
> > llego pero le doy ping al gateway del firewall y no le llego, pero si le
> > llego desde el firewall al gateway.
> >
> > Y desde la DMZ le hago ping al equipo que hace de de servidor de DNS y no le
> > llego.
> >
> > El servidor de Nombres se encuentra en la red LAN el cual el firewall y los
> > equipos de la DMZ consultan a dicho servidor de nombres.
> > Todo indica que el problema es que no está haciendo NAT el firewall.
> > A continuación la regla de proxy transparente y la de NAT.
> >
> > red lan:10.60.0.0/24
> > eth lan:eth3
> >
> > eth publica:eth1
> >
> > red dmz: 10.60.50.0/24
> > eth dmz: eth2
> >
> > La regla de proxy transparente es la siguiente:
> > iptables -t nat -A PREROUTING -i eth3 -s 10.60.0.0/24 -d 0.0.0.0/0.0.0.0  -p
> > tcp -m tcp --dport 80 -j REDIRECT --to-port 8080
> >
> > Regla de NAT:
> > iptables -t nat -A POSTROUTING -s 10.60.0.0/24 -o eth1 -j SNAT  --to
> > ipinicial-ipfinal
> >
> > Gracias por cualquier ayuda que puedan dar...
> >
> > El problema que tengo es que no logro
> > Ernesto Crespo
> > Linux User No. 100996
> > Usando Debian squeeze-  Kernel 2.6.26-2
> > http://ernesto-ecrespo.blogspot.com/
> > Finger Print = 66CB 6BF4 7C7C EC0E DA60  06C8 87E8 9061 C97E 7015
> > Por la no monopolización del conocimiento y del Software Libre.
> >
> >      
> Hola,
>
> no creo que la web de whatismyip.com pueda mostrarte una dirección de un
> rango reservado, cualquier encaminador descartará ese tráfico por no
> hablar de que sería imposible devolverlo si por un casual llegara al
> destino.
>    
Sí puede, en las cabeceras de las peticiones http de Squid se reporta la 
ip de origen incluso si pertenece a un rango privado (a menos que lo 
deshabilites en la configuración de Squid). Pero en cualquier caso se 
reportarán las dos direcciones, la del servidor proxy y la del equipo 
que origina la petición. Otra cosa es que un host con ip privada (rango 
reservado) pueda salir hacia internet sin problemas, ahí sí que de 
seguro no podrá.
> Para asegurarte que estas enmascarando el tráfico correctamente usa
> iptables -t nat -vnL POSTROUTING y asi verás si la regla que usas esta
> sumando tráfico, o bien usa tcpdump y confirma que ves el tráfico
> original y el enmascarado.
>
> La regla parece correcta excepto por lo de ipinicial-ipfinal que no se
> que significa, sería --to-source ip-pública o mas facil en tu caso tan
> solo enmascaralo todo con -j MASQUERDAE.
>
> Un saludo.
>
>
>