[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Problemas haciendo snat con iptables.

Saludos a todos.
Ante todo pido disculpas, falto información y hubo cambios.

tengo 3 redes:
red1=10.60.0.0/255.252.0.0
red2=10.64.0.0/255.252.0.0
red3=10.68.0.0/255.254.0.0


el firewall tiene las siguientes interfaces.
eth1: Conexión a internet.
red1,ip1 red e ip de la conexión pública a internet.
eth3:Red LAN con 10.1.63.0/255.255.255.0.

eth2: red de la DMZ 10.60.50.0/255.255.255.0

En la eth3 se encuentran las redes red1,red2 y red3.
Ya la regla de squid funciona.
iptables -t nat -A PREROUTING -i eth3  -s 10.60.0.0/255.252.0.0 -d 0.0.0.0/0.0.0.0  -p tcp -m tcp --dport 80 -j DNAT --to  ippublica:8080
 iptables -t nat -A PREROUTING -i eth3  -s 10.64.0.0/255.252.0.0 -d 0.0.0.0/0.0.0.0  -p tcp -m tcp --dport 80 -j DNAT --to  ippublica:8080
iptables -t nat -A PREROUTING -i eth3  -s 10.68.0.0/255.254.0.0 -d 0.0.0.0/0.0.0.0  -p tcp -m tcp --dport 80 -j DNAT --to  ippublica:8080

No creo necesario agregar la red 10.1.63.0 en la regla para proxy transparente.

Las reglas de NAT son las siguientes:
iptables -t nat -A POSTROUTING -s 10.60.0.0/255.252.0.0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.64.0.0/255.252.0.0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.68.0.0/255.254.0.0 -j MASQUERADE

iptables -t nat -A POSTROUTING -s 10.60.0.0/255.252.0.0 -o eth1 -j SNAT  --to rangosIPpublcias1
iptables -t nat -A POSTROUTING -s 10.64.0.0/255.252.0.0 -o eth1 -j SNAT  --to rangosIPpublcias2
iptables -t nat -A POSTROUTING -s 10.68.0.0/255.254.0.0 -o eth1 -j SNAT  --to rangosIPpublcias3

Tengo un equipo para probar con IP 10.60.38.25 le llego al firewall pero no a la IP del gateway que tiene el firewall desde mi equipo pero si le llego a ese gateway desde el mismo firewall.

Chain PREROUTING (policy ACCEPT 680 packets, 53230 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   43  2580 DNAT       tcp  --  eth3   *       10.60.0.0/14         0.0.0.0/0           tcp dpt:80 to:200.35.2.230:8080 
    0     0 DNAT       tcp  --  eth3   *       10.64.0.0/14         0.0.0.0/0           tcp dpt:80 to:200.35.2.230:8080 
    0     0 DNAT       tcp  --  eth3   *       10.68.0.0/15         0.0.0.0/0           tcp dpt:80 to:200.35.2.230:8080 
    0     0 DNAT       tcp  --  eth3   *       10.1.63.0/24         0.0.0.0/0           tcp dpt:80 to:200.35.2.230:8080 

Chain POSTROUTING (policy ACCEPT 84 packets, 5040 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  379 27372 MASQUERADE  all  --  *      *       10.60.0.0/14         0.0.0.0/0           
    0     0 MASQUERADE  all  --  *      *       10.64.0.0/14         0.0.0.0/0           
    0     0 MASQUERADE  all  --  *      *       10.68.0.0/15         0.0.0.0/0           
   10   647 MASQUERADE  all  --  *      *       10.1.63.0/24         0.0.0.0/0           
    0     0 SNAT       all  --  *      eth1    10.60.0.0/14         0.0.0.0/0           to:200.35.8.1-200.35.10.254 
    0     0 SNAT       all  --  *      eth1    10.64.0.0/14         0.0.0.0/0           to:200.35.11.1-200.35.13.254 
    0     0 SNAT       all  --  *      eth1    10.68.0.0/15         0.0.0.0/0           to:200.35.14.1-200.35.15.254

 Ya probe con el MASQUERADE y funciona internet pero no se llega a usar el SNAT.

Además se  necesita el SNAT ya  que hacen  una video conferencia por internet, además la voip del messenger, skype, yahoo.


Saludos y disculpas nuevamente.

Reply to: