Re: IPTABLES
Olá,
Supondo que vocês esteja na máquina 172.16.1.99 tentando acessar
um IP público roteado no seu firewall, porta 8038, as regras que casam
no firewall (um tanto quanto poluído) serão:
*mangle
:PREROUTING ACCEPT [8957926:6393226099]
*nat
-A PREROUTING -d 200.xxx.xxx.xxx/xx -p tcp -m tcp --dport 8038 -j DNAT
--to-destination 172.16.1.14:80
*router
*mangle
:FORWARD ACCEPT [8776565:6369676686]
*filter
-A FORWARD -p tcp -m limit --limit 1/sec -j ACCEPT
*mangle
:POSTROUTING ACCEPT [8881505:6392747276]
*nat
:POSTROUTING ACCEPT [60126:3626055]
Pelo final, não ocorre a tradução de endereço como deveria de ser
(MASQUERADE ou SNAT) e creio que aí mora o problema.
Veja que a regra "-t nat -A POSTROUTING -s 172.16.1.0/24 -d !
172.16.1.0/24 -j MASQUERADE" não será mais válida, pois está com o IP da
rede interna e destinado para a rede interna, no meu entender. Veja
também que a regra "-A FORWARD -p tcp -m limit --limit 1/sec -j ACCEPT"
diminui a performance da sua rede e aceita tudo o que for TCP, anulando
as outra regras que a seguem.
Minha sugestão, dê uma limpada e organizada nessas regras e tire "-d !
172.16.1.0/24" da regra supra citada primeiramente e tire a segunda
regra citada acima.
[]'s
Junior Polegato
Reply to:
- References:
- IPTABLES
- From: Eduardo Lopes <du.lopes@gmail.com>
- Re: IPTABLES
- From: Miguel Da Silva - URI <mdasilva@fing.edu.uy>
- Re: IPTABLES
- From: Eduardo Lopes <du.lopes@gmail.com>
- Re: IPTABLES
- From: Junior Polegato - Linux <linux@juniorpolegato.com.br>
- Re: IPTABLES
- From: Eduardo Lopes <du.lopes@gmail.com>
- Re: IPTABLES
- From: Junior Polegato - Linux <linux@juniorpolegato.com.br>
- Re: IPTABLES
- From: Eduardo Lopes <du.lopes@gmail.com>