Re: Redirigir ports amb IPTABLES

To: debian-user-catalan@lists.debian.org
Subject: Re: Redirigir ports amb IPTABLES
From: Marc Olive <marc.olive@grupblau.com>
Date: Tue, 16 Mar 2010 09:28:00 +0100
Message-id: <[🔎] 201003160928.00928.marc.olive@grupblau.com>
In-reply-to: <[🔎] 201003151409.56225.marc.olive@grupblau.com>
References: <[🔎] 201003151409.56225.marc.olive@grupblau.com>

Bones, ja ho he solventat (de moment)! No hi ha res com un descans i 
posar-s'hi amb aires renovats. Moltes gràcies a tots per les pistes.

El problema finalment era el pas del router<-->tallafocs, el router adsl té 
també una IP local (192.168.x.y) i les peticions venen amb aquesta, així quan 
el servidor intern al que intentava redirigir rebia la connexió contestava a 
la IP del router enlloc de fer-ho a la IP del tallafocs/NAT, i per tant 
aquest no podia redirigir les connexions cap el router i com el router no en 
sabia res de la connexió del servidor intern la descartava (suposo).
És molt probable, tal com deia el Jordi, que separant realment les dues xarxes 
(router<->tallafocs, i tallafocs<->switch) això no passi, quan vaig crear les 
dues xarxes per provar-ho devia posar altres regles iptables malament.

No estic massa convençut que sigui segur, però el que he fet es afegir una 
regla per fer SNAT de fora cap a _dins_, i ara el servidor intern contesta la 
petició al tallafocs que finalment la reenvia al router adsl. He canviat el 
MASQUERADE per SNAT, però bàsicament fan la mateixa feina, les redireccions 
NAT queden:

$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j SNAT --to-source 192.168.1.10
$IPTABLES -t nat -A POSTROUTING -o $INTIF -j SNAT --to-source 192.168.1.2

I per redirigir el port extern 8480 cap el 8280 d'una màquina intern faig:

$IPTABLES -t nat -A PREROUTING -p tcp -i $EXTIF --dport 8480 -j DNAT --to 
192.168.1.11:8280
$IPTABLES -A FORWARD -p tcp -i $EXTIF -d 192.168.1.11 --dport 8280 -o 
$INTIF -j ACCEPT

Ara almenys puc canviar el router adsl sense interrompre (massa) el servei, un 
cop tingui les dues xarxes separades provaré de treure el SNAT de fora a 
dins, la segona de les regles.
Encara que si el tallafocs no redirigeix algun port cap a una màquina interna 
cap d'elles no rep les peticions de connexió externa, no estic conveçut que 
sigui massa segur fer SNAT en els dos sentits.
Si algú amb més coneixements sobre iptables hi te res a dir, jo encantat de 
llegir-lo.


Salut,

-- 

Marc Olivé
Grup Blau

www.grupblau.com

Reply to:

Follow-Ups:
- Re: Redirigir ports amb IPTABLES
  - From: Jordi Funollet <jordi.f@ati.es>
- Re: Redirigir TOT amb IPTABLES
  - From: Leopold Palomo-Avellaneda <leo@alaxarxa.net>

References:
- Redirigir ports amb IPTABLES
  - From: Marc Olive <marc.olive@grupblau.com>

Prev by Date: Re: Redirigir ports amb IPTABLES
Next by Date: problemes amb el teclat
Previous by thread: Re: Redirigir ports amb IPTABLES
Next by thread: Re: Redirigir ports amb IPTABLES
Index(es):
- Date
- Thread