Re: Roteamento avançado ip route
Você precisa do conceito do BINAT, vindo do PF do OpenBSD....
Tem que realizar o DNAT de fora para dentro e um SNAT do servidor para
a rede interna (SNAT de um IP exclusivo interno para o link WAN2). A
volta, pacotes destinados ao IP de NAT da WAN2 saem pelo link correto,
pela marcação de pacotes.
Ida do pacote:
WAN2 -> IP PUBLICO FIREWALL -> DNAT p/ REDE INTERNA -> SNAT p/ REDE
INTERNA -> IP INTERNO
Volta do pacote
IP INTERNO -> IP DE SNAT do FIREWALL -> SNAT p/ IP PUBLICO ->
MARCACAO DE PACOTES -> WAN2
O grande problema disto é que você perde a rastreabilidade dos
acessos, pois no seu servidor interno todas as requisições chegam como
sendo o IP interno do firewall.
Em 17/03/08, Fabio Passari<fpassari@grupoamper.com.br> escreveu:
> Caros Colegas,
>
> Tenho uma rede com a seguinte sitação:
>
> WAN 1 |------------| WAN 2
> =======| Servidor |=======
> |------------|
> ||
> ||LAN
>
>
> WAN 1 e WAN 2 saidas distintas para internet
>
> Default Gateway WAN 1
> Na WAN 2 faço IPTABLES PREROUTING DNAT para servidores dentro da minha lan de algumas portas;
> O IPRoute esta funcionanado 100% através de marcaçao de pacote ou seja os pacotes com uma determinada marca esta saindo pela WAN 2.
> Acontece que eu nao estou conseguindo marcar o pacote de retorno do NAT para dentro da minha rede.
> Ja tentei marcar os pacotes (POSTROUTING, OUTPUT) e até diremente pelo IP ROUTE FROM nao acontece isso.
> Gostaria de uma ajuda para fazer com que os pacotes que entram na WAN 2 e façam NAT para a LAN retornem pela WAN2 e nao pelo Defalt Gateway.
> Grato,
> Fábio Pássari
>
>
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
>
Reply to: