[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Problemas de enmascaramiento de una Lan usando SNAT con iptables, sin poder navegar



El 10 de octubre de 2014, 19:56, Lic. Domingo Varela Yahuitl <dovay@hotmail.com> escribió:

> >
> > Que tal a todos.. buen dia... nuevamente recurro a la comunidad para saber
> > si alguien de uds me da un norte ya que le he buscado las patas al gato y no
> > los encuentro, esta vez se trata de que tengo una caja con debian y un
> > segmento de ips publicas /23 y de la lan se trata de un segmento 10/8
> >
> > El problema se trata de que mi lan (10.0.0.0/8 <-- eth1 ) tenga internet
> > (eth0) usando PREROUTING - SNAT y no MASQUERADE, ya que cuento con dos
> > segmentos de ips homologadas /24 o una /23 y quiero que mi LAN al tratar de
> > salir a internet tenga obviamente una ip homologada, obviamente eso ya lo
> > tengo realizado, aqui el detalle es que no puedo realizar consultas de DNS,
> > unicamente veo las ips de google o yahoo usando ping, y las consultas via
> > dns (nslookup o dig) no me esta funcionando...
> >
> >
> > Anexo mi script para ver si alguien me dice en que estoy fallando
> >
> >
> > NET="eth5"
> > LAN_IN="eth3"
> >
> > iptables -F
> > iptables -X
> > iptables -t nat -F
> > iptables -t nat -X
> > iptables -t mangle -F
> > iptables -t mangle -X
> >
> > #
> > modprobe ip_conntrack
> > modprobe ip_conntrack_ftp
> > modprobe ip_conntrack_irc
> > modprobe ip_nat_ftp
> >
> > echo 1 > /proc/sys/net/ipv4/ip_forward
> >
> > iptables -P INPUT DROP
> > iptables -P OUTPUT ACCEPT
> >
> > iptables -A INPUT -i lo -j ACCEPT
> > iptables -A OUTPUT -o lo -j ACCEPT
> > iptables -A INPUT -i $NET -m state --state ESTABLISHED,RELATED -j ACCEPT
> >
> > #iptables --table nat --append POSTROUTING --out-interface $NET -j
> > MASQUERADE
> > iptables --t nat -A POSTROUTING -s 10.0.0.0/8 -o $NET -j SNAT --to-source
> > 201.111.222.254-201.111.223.254
> >
> > iptables --append FORWARD -j ACCEPT
> >
> > iptables -A INPUT -i $LAN_IN -j ACCEPT
> > iptables -A OUTPUT -o $LAN_IN -j ACCEPT
> > iptables -A INPUT -s 111.222.333.4/32 -j ACCEPT
> >
> > iptables -A INPUT -j DROP
> >
> >
> > Con este script yo puedo conectarme a servers usando la ip, pero si uso el
> > nombre del server, o hago una consulta via dns, este simplemente no lo
> > realiza porque no esta saliendo sus peticiones.. la verdad no tengo idea de
> > donde rayos colocar la regla
>

Hola me he mirado un poco tus reglas y no veo una regla que permita el trafico entrante en eth5 desde eth3, no se tal vez mirando por ahi encuetres algo. 

Reply to: