Re: Roteamento avançado ip route
É uma opção, e na verdade não haveria o problema da
rastreabilidade pois o binat não traduz a conexão entrante.
O servidor interno "vê" a conexão vindo do IP válido que a
originou.
No entanto, um simples DNAT usado com CONMARK bem
configurados resolve o problema, e dentro do Linux/Iptables.
Fábio, por favor poste aqui as regras iptables relevantes que está
usando para sabermos o que está errado.
Tom Lobato
www.tinecon.com.br
Rafael Ganascim escreveu:
> Você precisa do conceito do BINAT, vindo do PF do OpenBSD....
>
> Tem que realizar o DNAT de fora para dentro e um SNAT do servidor para
> a rede interna (SNAT de um IP exclusivo interno para o link WAN2). A
> volta, pacotes destinados ao IP de NAT da WAN2 saem pelo link correto,
> pela marcação de pacotes.
>
> Ida do pacote:
> WAN2 -> IP PUBLICO FIREWALL -> DNAT p/ REDE INTERNA -> SNAT p/ REDE
> INTERNA -> IP INTERNO
>
> Volta do pacote
> IP INTERNO -> IP DE SNAT do FIREWALL -> SNAT p/ IP PUBLICO ->
> MARCACAO DE PACOTES -> WAN2
>
> O grande problema disto é que você perde a rastreabilidade dos
> acessos, pois no seu servidor interno todas as requisições chegam como
> sendo o IP interno do firewall.
>
Reply to: