Re: RES: Roteamento avançado ip route

To: Daniel Ribeiro <silva.danielribeiro@gmail.com>, Debian <debian-user-portuguese@lists.debian.org>
Subject: Re: RES: Roteamento avançado ip route
From: Antonio Lobato <lobato@tinecon.com.br>
Date: Wed, 19 Mar 2008 12:28:27 -0300
Message-id: <[🔎] 47E1311B.7010602@tinecon.com.br>
In-reply-to: <[🔎] 47debbf0.2486460a.5004.3603@mx.google.com>
References: <[🔎] 47debbf0.2486460a.5004.3603@mx.google.com>

Daniel Ribeiro escreveu:
> Boa tarde Fábio,
>
>    O seu servidor interno que recebe esse DNAT está saindo mascarado para a
> internet através do ip da wan2? Caso não, tente adicionar um SNAT para que
> esse servidor saia pela wan2, e procure não utilizar a opção MASQUERADE do
> iptables, tente fazer direto pelo SNAT pois pode estar ocorrendo da
> requisição chegar pela wan2 e sair pela wan1, daí não vai mesmo.
>   

pelo que entendi, wan2 é por onde entra (e conseq. deve sair)
a conexão que deve ser enviada ao sevidor interno.
Ao se fazer um DNAT, não precisa depois fazer um SNAT (ou
maquerade), pois o netfilter consulta sua tabela de conexões
nat/pat ativas e automaticamente re-escreve os pacotes de saida
com IP e portas originais.

O problema é justamente esse que vc mencionou (os pacotes de
retorno estão saindo pela interface errada), no entanto a solução
é usar CONMARK, já que dnat, snat, dpat e spat lidam apenas
com traduções de IPs e portas, e não com decisões de
roteamento do kernel.



Tom Lobato
www.tinecon.com.br

Reply to:

Follow-Ups:
- Re: RES: Roteamento avançado ip route
  - From: edmarcos <edmarcos.souza@gmail.com>

References:
- RES: Roteamento avançado ip route
  - From: "Daniel Ribeiro" <silva.danielribeiro@gmail.com>

Prev by Date: Re: Problema com login
Next by Date: Re: dois links
Previous by thread: RES: Roteamento avançado ip route
Next by thread: Re: RES: Roteamento avançado ip route
Index(es):
- Date
- Thread