Re: iptables 1.2.11 + NAT = virtual interface?

To: Marcos Vinicius Lazarini <lazarini@nics.unicamp.br>
Cc: debian-user-portuguese@lists.debian.org
Subject: Re: iptables 1.2.11 + NAT = virtual interface?
From: Sergio Luz <sluz@uneb.br>
Date: Mon, 06 Dec 2004 18:54:35 -0300
Message-id: <[🔎] 41B4D51B.3050800@uneb.br>
In-reply-to: <Pine.LNX.4.58.0411301842300.2815@agogo.nics.unicamp.br>
References: <20041124132030.7576cc09@Testa> <41A50D54.1070504@yahoo.com.br> <41A5270C.5010502@uneb.br> <Pine.LNX.4.58.0411301842300.2815@agogo.nics.unicamp.br>

Oi Marcos;

Na verdade criar a interface virtual resolveu o problema, o que eu precisava era de umaexplicação para o fato.

Em http://www.linuxquestions.org/questions/archive/4/2004/07/1/201220 encontrei a seguintereferência: "iptables doesn't support virtual ip aliasing. So you really have two ways todo this. First you can buy new NICs for the additional IPs. Alternatively, you can setupvirtual IPs like you've explained. (...)"

Isto até que esclareceu minhas dúvidas, o que me deixou encafifado foi não encontrar estainformação em nenhuma documentação oficial do Netfilter/Iptables.

Os dois endereços utilizados na mesma interface, 172.16.8.32 e 172.16.8.254, foramnecessários exatamente para permitir fazer NAT (sem masquerade e sem PAT) em umadeterminada máquina. O primeiro IP é o IP "natural" da interface (eth0) e o segundo é o IPvirtual (eth0:0) utilizado no referido NAT.


[]'s,

   Sergio Luz

Marcos Vinicius Lazarini wrote:

Sergio, talvez esse problema jah esteja resolvido, mas uma pergunta:
nao entendi pq vc usa dois enderecos IPs diferentes (172.16.8.32 e172.16.8.254). Qual eh qual?como estah configurada a maquina que interliga as duas redes? ips, rotas,etc?
--
Marcos Lazarini


On Wed, 24 Nov 2004, Sergio Luz wrote:
Pessoal;
Estou preparando material sobre firewall com iptables e montei um lab pra isto. Disponhoduas redes: 172.16.8.0/255.255.248.0 (minha rede externa) e 192.168.254.0/255.255.255.0(minha rede privada).
Estou utilizando o kernel 2.4.27 devidamente configurado e com quase todas op��es doNetfilter habilitadas como parte do kernel, algumas como m�dulo e apenas as experimentaisforam deixadas de fora. A distribui��o � um Debian sarge (testing).
A vers�o do iptables � a 1.2.11 instalada atrav�s de compila��o e a pol�tica padr�o daschains de todas as tabelas � ACCEPT. Comecei fazendo MASQUERADE da minha rede interna(192.168.254.0/24) pra tudo que passasse por eth0 (que est� na rede externa) e funcionoubeleza.
Segundo todas as refer�ncias que li, para fazer um NAT est�tico bastaria utilizar oseguinte par de regras:
#iptables -t nat -A POSTROUTING -s 192.168.254.32 -j SNAT �to-source 172.16.8.32
#iptables -t nat -A PREROUTING -d 172.16.8.32 -j DNAT �to-destination 192.168.254.32
Lembrando que o IP utilizado para fazer este NAT (172.16.8.32) n�o � o mesmo da interfaceeth0 (172.16.8.254).
Como n�o funcionou, continuei a pesquisa e em todo lugar encontrava sempre o mesmo par decomandos, as vezes cita��es da necessidade de apenas o primeiro comando. Como s�encontrava refer�ncias de NAT utilizando redirecionamento de porta, o que n�o � meu caso,editei o arquivo /etc/network/interfaces e adicionei a seguinte interface virtual:
auto eth0:1
iface eth0:1 inet static
address 172.16.8.32
netmask 255.255.248.0
gateway 172.16.15.254
Quando reinicialize a interface, o NAT passou a funcionar. Continuei buscando umaexplica��o e n�o encontrei qualquer refer�ncia a este comportamento. A pergunta que fa�o�: isto � assim mesmo, ou deixei de fazer alguma outra coisa e improvisei (mesmo semquerer) uma solu��o? Se o procedimento � este mesmo, por que nem na NAT-HOWTO est� descrito?
Valeu!

Reply to:

Prev by Date: Re: Resp.: Iptables
Next by Date: Re: Consideraçoes na hora de montar um firewall.
Previous by thread: Re: Resp.: Iptables
Next by thread: Configurarar fila e impressora netware
Index(es):
- Date
- Thread