Re: RES: Roteamento avançado ip route
Daniel Ribeiro escreveu:
> Boa tarde Fábio,
>
> O seu servidor interno que recebe esse DNAT está saindo mascarado para a
> internet através do ip da wan2? Caso não, tente adicionar um SNAT para que
> esse servidor saia pela wan2, e procure não utilizar a opção MASQUERADE do
> iptables, tente fazer direto pelo SNAT pois pode estar ocorrendo da
> requisição chegar pela wan2 e sair pela wan1, daí não vai mesmo.
>
pelo que entendi, wan2 é por onde entra (e conseq. deve sair)
a conexão que deve ser enviada ao sevidor interno.
Ao se fazer um DNAT, não precisa depois fazer um SNAT (ou
maquerade), pois o netfilter consulta sua tabela de conexões
nat/pat ativas e automaticamente re-escreve os pacotes de saida
com IP e portas originais.
O problema é justamente esse que vc mencionou (os pacotes de
retorno estão saindo pela interface errada), no entanto a solução
é usar CONMARK, já que dnat, snat, dpat e spat lidam apenas
com traduções de IPs e portas, e não com decisões de
roteamento do kernel.
Tom Lobato
www.tinecon.com.br
Reply to: