Re: IPTABLES

To: Junior Polegato - Linux <linux@juniorpolegato.com.br>
Cc: dup <debian-user-portuguese@lists.debian.org>
Subject: Re: IPTABLES
From: Eduardo Lopes <du.lopes@gmail.com>
Date: Thu, 14 May 2009 17:13:40 -0300
Message-id: <[🔎] 4ebf98f0905141313t4dfa6977wff528b21f6a0a140@mail.gmail.com>
In-reply-to: <[🔎] 4A0C739E.3080701@juniorpolegato.com.br>
References: <[🔎] 4ebf98f0905140454m33efcf21ue77257b59d887b43@mail.gmail.com> <[🔎] 4A0C6309.8030408@fing.edu.uy> <[🔎] 4ebf98f0905141159p5bad8f01u718be2606572adb9@mail.gmail.com> <[🔎] 4A0C739E.3080701@juniorpolegato.com.br>

2009/5/14 Junior Polegato - Linux <linux@juniorpolegato.com.br>:
> Eduardo Lopes escreveu:
>>
>> 2009/5/14 Miguel Da Silva - URI <mdasilva@fing.edu.uy>:
>>
>>>
>>> Eduardo Lopes escribió:
>>>
>>>>
>>>> eth0 -> Rede Local
>>>> eth1 -> Link1
>>>> eth2 -> Link2
>>>> eth3 -> Link3
>>>>
>>>> for links in `echo $LINK1 $LINK2`
>>>>       do
>>>>       $IPTABLES -t nat -A PREROUTING -p tcp -d $links --dport 8038 -j
>>>> DNAT
>>>> --to 172.16.1.14:80
>>>>       done
>>>>       $IPTABLES -t filter -A FORWARD -p tcp -d 172.16.1.14 --dport 80 -j
>>>> ACCEPT
>>>>       $IPTABLES -t mangle -A PREROUTING -s 172.16.1.14 -j MARK
>>>> --set-mark
>>>> 49
>>>>       $IPTABLES -t nat -A POSTROUTING -s 172.16.1.14 -j SNAT --to
>>>> $INET_LINK1
>>>>       ip rule add fwmark 49 lookup 49 prio 49
>>>>       ip route add default table 49 nexthop dev eth3 via $GW_LINK1
>>>> weight
>>>> 49
>>>>
>>>>
>>
>> O que não está
>> funcionando é o seguinte, minha rede (172.16.1.0/24) não consegue
>> acessar o meu ip externo, nem por browser, nem mesmo um telnet
>> <ip-externo> 8038 funciona. Preciso que minha rede consiga acessar
>> essa aplicação.
>>
>
> Olá,
>
>      A primeira regra PREROUTING está roteando os IP externos, porta 8038
> para a porta 80 do IP 172.16.1.14, se for isso, está correto. Agora tente
> acessar de dentro da rede 172.16.1.0/24 o IP 172.16.1.14, porta 80, se
> conseguir, legal, é possível de um IP da rede local acessá-lo, implicando
> numa barreira no firewall. Mas se não conseguir, deve haver alguma regra no
> IP 172.16.1.14 bloqueando a rede local.

Opa,
Acesso normalmente da minha rede local para o servidor.

>      Se for bloqueio no firewall, verifique a regra FORWARD, que pelo visto
> está com política DROP, se está descartando pacotes enquanto tenta acessar
> um IP externo, porta 8038, da rede interna com:
>
> watch -n 1 'iptables -L -v|sed -n /FORWARD/,/^$/p'

Então o problema é que a maquina que estou fazendo o teste está toda
liberada no firewall. Eu acesso tudo por ela, menos o meu ip externo.

>
>      Também vale uma monitorada no firewall com wireshark para ver o que
> chega e o que sai filtrando pelos IPs em teste.

Já tinha monitorado com o tcpdump mas não achei nada.

> []'s
>          Junior Polegato
>
>

Reply to:

Follow-Ups:
- Re: IPTABLES
  - From: Junior Polegato - Linux <linux@juniorpolegato.com.br>
- Re: IPTABLES
  - From: Miguel Da Silva - URI <mdasilva@fing.edu.uy>

References:
- IPTABLES
  - From: Eduardo Lopes <du.lopes@gmail.com>
- Re: IPTABLES
  - From: Miguel Da Silva - URI <mdasilva@fing.edu.uy>
- Re: IPTABLES
  - From: Eduardo Lopes <du.lopes@gmail.com>
- Re: IPTABLES
  - From: Junior Polegato - Linux <linux@juniorpolegato.com.br>

Prev by Date: Re: IPTABLES
Next by Date: Re: IPTABLES
Previous by thread: Re: IPTABLES
Next by thread: Re: IPTABLES
Index(es):
- Date
- Thread