Re: Iptables -j SNAT

To: dup <debian-user-portuguese@lists.debian.org>
Subject: Re: Iptables -j SNAT
From: Denis <denismpa@gmail.com>
Date: Wed, 29 Nov 2006 10:29:38 -0300
Message-id: <[🔎] e9aeeef80611290529q348a3cc7ib20d68d5f2b9eeba@mail.gmail.com>
In-reply-to: <[🔎] 456D7F88.8070804@ctech.srv.br>
References: <[🔎] e9aeeef80611280850s34a3f8ecnc05d62170c45622@mail.gmail.com> <[🔎] 456C83C1.8060909@ctech.srv.br> <[🔎] e9aeeef80611281100u6de00c88u55762ed6a9b80c1c@mail.gmail.com> <[🔎] 456D7F88.8070804@ctech.srv.br>

Então Wendel, eu não tentei sem limitar, pq como eu quero fazer este
nat a partir de duas máquinas se eu não limitar é capaz que alguma
hora as duas saiam pela mesma porta...

uma coisa que descobri, é que seu eu deixar apenas uma máquina ativa e
colocar o ip para o qual eu estou mascarando a conexão na placa dele,
aí funciona...

Em 29/11/06, Wendell A. Silva<wendell@ctech.srv.br> escreveu:

Já tentou sem limitar as portas de origem?
iptables -t nat -A POSTROUTING -p tcp --dport 443 -j SNAT --to-source
202.181.94.68

Se não funcionar tira o balanceamento para conexões SSL iniciando e
terminando a conexão com o mesmo IP.

[]'s

Denis escreveu:
> Mas no caso, a máquina Z não existe... seria para devolver a conexão
> para a mesma máquina que originou....
>
>
> Deixe-me esclarecer melhor:
>
> é o seguinte: Eu tenho um proxy balanceado em duas máquinas.
>
> Daí qdo os usuários vão acessar sites ssl como bancos por exemplo, e a
> conexão alterna entre as dois nodos do cluster o servidor do banco
> derruba a conxão pq detecta que houve uma troca de ip.
>
>
> então eu pensei em fazer com que as duas máquinas (66 e 65) saissem
> com um único IP qdo fosse SSL (67)
>
> fiz uma regra em cada uma:
>
> (66)
>
>> > iptables -t nat -A POSTROUTING -p tcp --dport 443 -j SNAT --to-source
>> > 202.181.94.68:6001-7000
>
> e
>
> (65)
>> > iptables -t nat -A POSTROUTING -p tcp --dport 443 -j SNAT --to-source
>> > 202.181.94.68:7001-8000
>
>
>
> Em 28/11/06, Wendell A. Silva<wendell@ctech.srv.br> escreveu:
>> A serviço da máquina 202.181.94.67 pode não estar aceitando a conexão.
>> A máquina Y ( 202.181.94.66) estabelece conexão com a máquina X.
>> A máquina X vai responder para a máquina Z ( 202.181.94.67). O protocolo
>> de comunicação entre X e Z deve estar no mesmo ponto anterior, ou seja,
>> a máquina Z deve estar esperando uma resposta de Y.
>>
>> Talvez esse seja o problema.
>>
>> Denis escreveu:
>> > galera... alguém pode me dar um help com SNAT?
>> >
>> >
>> > O ip real da minha máquina é 202.181.94.66 eu estou tentando fazer uma
>> > regra que quando for sair para a porta 443 de destino ele não saia com
>> > o ip real, mas sim com o ip 202.181.94.67 ( por que é uma otra
>> > história, se interessar posso descrever) que é do mesma rede do meu
>> > range de ips válidos.
>> >
>> >
>> > Quando eu checo na máquina de destino, o pacote chega lá mascarado
>> > direitinho (como se a origem fosse 202.181.94.67:6100 por exemplo)mas
>> > conexão não consegue ser estabelecida...
>> >
>> > é como se o host de destino não conseguisse devolver o pacote. Alguém
>> > sabe o que pode estar acontecendo, e como resolvo?
>> >
>> > A regra é a seguinte:
>> >
>> > iptables -t nat -A POSTROUTING -p tcp --dport 443 -j SNAT --to-source
>> > 202.181.94.68:6001-7000
>>
>>


--
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Reply to:

References:
- Iptables -j SNAT
  - From: Denis <denismpa@gmail.com>
- Re: Iptables -j SNAT
  - From: "Wendell A. Silva" <wendell@ctech.srv.br>
- Re: Iptables -j SNAT
  - From: Denis <denismpa@gmail.com>
- Re: Iptables -j SNAT
  - From: "Wendell A. Silva" <wendell@ctech.srv.br>

Prev by Date: processo events/0 estranho
Next by Date: Mozilla Firefox2.0 no Debian
Previous by thread: Re: Iptables -j SNAT
Next by thread: windows messenger passando pela politica DROP do FORWARD
Index(es):
- Date
- Thread