Re: IPTABLES
Eduardo Lopes escreveu:
> 2009/5/14 Junior Polegato - Linux <linux@juniorpolegato.com.br>:
>> Eduardo Lopes escreveu:
>>> 2009/5/14 Miguel Da Silva - URI <mdasilva@fing.edu.uy>:
>>>
>>>> Eduardo Lopes escribió:
>>>>
>>>>> eth0 -> Rede Local
>>>>> eth1 -> Link1
>>>>> eth2 -> Link2
>>>>> eth3 -> Link3
>>>>>
>>>>> for links in `echo $LINK1 $LINK2`
>>>>> do
>>>>> $IPTABLES -t nat -A PREROUTING -p tcp -d $links --dport 8038 -j
>>>>> DNAT
>>>>> --to 172.16.1.14:80
>>>>> done
>>>>> $IPTABLES -t filter -A FORWARD -p tcp -d 172.16.1.14 --dport 80 -j
>>>>> ACCEPT
>>>>> $IPTABLES -t mangle -A PREROUTING -s 172.16.1.14 -j MARK
>>>>> --set-mark
>>>>> 49
>>>>> $IPTABLES -t nat -A POSTROUTING -s 172.16.1.14 -j SNAT --to
>>>>> $INET_LINK1
>>>>> ip rule add fwmark 49 lookup 49 prio 49
>>>>> ip route add default table 49 nexthop dev eth3 via $GW_LINK1
>>>>> weight
>>>>> 49
>>>>>
>>>>>
>>> O que não está
>>> funcionando é o seguinte, minha rede (172.16.1.0/24) não consegue
>>> acessar o meu ip externo, nem por browser, nem mesmo um telnet
>>> <ip-externo> 8038 funciona. Preciso que minha rede consiga acessar
>>> essa aplicação.
>>>
>> Olá,
>>
>> A primeira regra PREROUTING está roteando os IP externos, porta 8038
>> para a porta 80 do IP 172.16.1.14, se for isso, está correto. Agora tente
>> acessar de dentro da rede 172.16.1.0/24 o IP 172.16.1.14, porta 80, se
>> conseguir, legal, é possível de um IP da rede local acessá-lo, implicando
>> numa barreira no firewall. Mas se não conseguir, deve haver alguma regra no
>> IP 172.16.1.14 bloqueando a rede local.
>
> Opa,
> Acesso normalmente da minha rede local para o servidor.
>
>> Se for bloqueio no firewall, verifique a regra FORWARD, que pelo visto
>> está com política DROP, se está descartando pacotes enquanto tenta acessar
>> um IP externo, porta 8038, da rede interna com:
>>
>> watch -n 1 'iptables -L -v|sed -n /FORWARD/,/^$/p'
>
> Então o problema é que a maquina que estou fazendo o teste está toda
> liberada no firewall. Eu acesso tudo por ela, menos o meu ip externo.
>
>> Também vale uma monitorada no firewall com wireshark para ver o que
>> chega e o que sai filtrando pelos IPs em teste.
>
> Já tinha monitorado com o tcpdump mas não achei nada.
>
>> []'s
>> Junior Polegato
>>
>>
>
>
Falta uma regra para fazer NAT e dessa maneira, ter acesso à internet
desde as máquinas locais. Ou seja, um computador na rede 172.16.1.0/24
acessa um computador na internet atraves de NAT.
O acesso ao servidor, usando alguma máquina local, não será afetado
porque nem mesmo passará pelo firewall; a conexão vai ser direta entre
um cliente na rede 172.16.1.0/24 e o servidor 172.16.1.14.
Até.
--
Miguel Da Silva
Unidad de Recursos Informáticos
Facultad de Ingeniería - http://www.fing.edu.uy
Universidad de la República - http://www.rau.edu.uy
Reply to:
- References:
- IPTABLES
- From: Eduardo Lopes <du.lopes@gmail.com>
- Re: IPTABLES
- From: Miguel Da Silva - URI <mdasilva@fing.edu.uy>
- Re: IPTABLES
- From: Eduardo Lopes <du.lopes@gmail.com>
- Re: IPTABLES
- From: Junior Polegato - Linux <linux@juniorpolegato.com.br>
- Re: IPTABLES
- From: Eduardo Lopes <du.lopes@gmail.com>