Re: Problemas haciendo snat con iptables.
El 20/01/11 13:53, Federico Alberto Sayd escribió:
> El 19/01/11 17:46, Juan Antonio escribió:
>> El 19/01/11 21:23, Ernesto Crespo escribió:
>>
>>> Saludos a todos.
>>> Estoy creando un firewall para un equipo que tiene 3 interfaces de
>>> red, la
>>> primera es la dirección pública, la segunda es la interfaz de la dmz
>>> y la
>>> 3era el de la LAN; está LAN consta de varias redes que llegan por esa
>>> interfaz.
>>>
>>> Tengo un Servidor proxy en el mismo equipo como proxy transparente, el
>>> funciona pero cuando reviso en whatismyip.com para ver que IP estoy
>>> usando
>>> me muestra la IP de la interfaz que va a la LAN. En el archivo
>>> access.log de
>>> squid aparecen las peticiones de páginas web pero sale la IP de la
>>> interfaz
>>> de la red LAN.
>>>
>>> Hago ping desde un equipo de la red local a la IP pública del
>>> firewall y le
>>> llego pero le doy ping al gateway del firewall y no le llego, pero
>>> si le
>>> llego desde el firewall al gateway.
>>>
>>> Y desde la DMZ le hago ping al equipo que hace de de servidor de DNS
>>> y no le
>>> llego.
>>>
>>> El servidor de Nombres se encuentra en la red LAN el cual el
>>> firewall y los
>>> equipos de la DMZ consultan a dicho servidor de nombres.
>>> Todo indica que el problema es que no está haciendo NAT el firewall.
>>> A continuación la regla de proxy transparente y la de NAT.
>>>
>>> red lan:10.60.0.0/24
>>> eth lan:eth3
>>>
>>> eth publica:eth1
>>>
>>> red dmz: 10.60.50.0/24
>>> eth dmz: eth2
>>>
>>> La regla de proxy transparente es la siguiente:
>>> iptables -t nat -A PREROUTING -i eth3 -s 10.60.0.0/24 -d
>>> 0.0.0.0/0.0.0.0 -p
>>> tcp -m tcp --dport 80 -j REDIRECT --to-port 8080
>>>
>>> Regla de NAT:
>>> iptables -t nat -A POSTROUTING -s 10.60.0.0/24 -o eth1 -j SNAT --to
>>> ipinicial-ipfinal
>>>
>>> Gracias por cualquier ayuda que puedan dar...
>>>
>>> El problema que tengo es que no logro
>>> Ernesto Crespo
>>> Linux User No. 100996
>>> Usando Debian squeeze- Kernel 2.6.26-2
>>> http://ernesto-ecrespo.blogspot.com/
>>> Finger Print = 66CB 6BF4 7C7C EC0E DA60 06C8 87E8 9061 C97E 7015
>>> Por la no monopolización del conocimiento y del Software Libre.
>>>
>>>
>> Hola,
>>
>> no creo que la web de whatismyip.com pueda mostrarte una dirección de un
>> rango reservado, cualquier encaminador descartará ese tráfico por no
>> hablar de que sería imposible devolverlo si por un casual llegara al
>> destino.
>>
> Sí puede, en las cabeceras de las peticiones http de Squid se reporta
> la ip de origen incluso si pertenece a un rango privado (a menos que
> lo deshabilites en la configuración de Squid). Pero en cualquier caso
> se reportarán las dos direcciones, la del servidor proxy y la del
> equipo que origina la petición. Otra cosa es que un host con ip
> privada (rango reservado) pueda salir hacia internet sin problemas,
> ahí sí que de seguro no podrá.
>> Para asegurarte que estas enmascarando el tráfico correctamente usa
>> iptables -t nat -vnL POSTROUTING y asi verás si la regla que usas esta
>> sumando tráfico, o bien usa tcpdump y confirma que ves el tráfico
>> original y el enmascarado.
>>
>> La regla parece correcta excepto por lo de ipinicial-ipfinal que no se
>> que significa, sería --to-source ip-pública o mas facil en tu caso tan
>> solo enmascaralo todo con -j MASQUERDAE.
>>
>> Un saludo.
>>
>>
>>
>
>
A eso me referia, pensè que con whatismyip.com se refería precisamente a
una página web publicada en internet.
Un saludo.
Reply to: