Re: IPTABLES

[Junior Polegato - Linux <linux@juniorpolegato.com.br>]

Eduardo Lopes escreveu:
> 2009/5/14 Miguel Da Silva - URI <mdasilva@fing.edu.uy>:
>   
> > Eduardo Lopes escribió:
> >     
> > > eth0 -> Rede Local
> > > eth1 -> Link1
> > > eth2 -> Link2
> > > eth3 -> Link3
> > >
> > > for links in `echo $LINK1 $LINK2`
> > >        do
> > >        $IPTABLES -t nat -A PREROUTING -p tcp -d $links --dport 8038 -j
> > > DNAT
> > > --to 172.16.1.14:80
> > >        done
> > >        $IPTABLES -t filter -A FORWARD -p tcp -d 172.16.1.14 --dport 80 -j
> > > ACCEPT
> > >        $IPTABLES -t mangle -A PREROUTING -s 172.16.1.14 -j MARK --set-mark
> > > 49
> > >        $IPTABLES -t nat -A POSTROUTING -s 172.16.1.14 -j SNAT --to
> > > $INET_LINK1
> > >        ip rule add fwmark 49 lookup 49 prio 49
> > >        ip route add default table 49 nexthop dev eth3 via $GW_LINK1 weight
> > > 49
> > >
> > >       
> O que não está
> funcionando é o seguinte, minha rede (172.16.1.0/24) não consegue
> acessar o meu ip externo, nem por browser, nem mesmo um telnet
> <ip-externo> 8038 funciona. Preciso que minha rede consiga acessar
> essa aplicação.
>   

Olá,

      A primeira regra PREROUTING está roteando os IP externos, porta 
8038 para a porta 80 do IP 172.16.1.14, se for isso, está correto. Agora 
tente acessar de dentro da rede 172.16.1.0/24 o IP 172.16.1.14, porta 
80, se conseguir, legal, é possível de um IP da rede local acessá-lo, 
implicando numa barreira no firewall. Mas se não conseguir, deve haver 
alguma regra no IP 172.16.1.14 bloqueando a rede local.

      Se for bloqueio no firewall, verifique a regra FORWARD, que pelo 
visto está com política DROP, se está descartando pacotes enquanto tenta 
acessar um IP externo, porta 8038, da rede interna com:

watch -n 1 'iptables -L -v|sed -n /FORWARD/,/^$/p'

      Também vale uma monitorada no firewall com wireshark para ver o 
que chega e o que sai filtrando pelos IPs em teste.

[]'s
          Junior Polegato