Re: IPTABLES
2009/5/15 Junior Polegato - Linux <linux@juniorpolegato.com.br>:
> Olá,
>
> Supondo que vocês esteja na máquina 172.16.1.99 tentando acessar um IP
> público roteado no seu firewall, porta 8038, as regras que casam no firewall
> (um tanto quanto poluído) serão:
>
>
> *mangle
> :PREROUTING ACCEPT [8957926:6393226099]
>
> *nat
> -A PREROUTING -d 200.xxx.xxx.xxx/xx -p tcp -m tcp --dport 8038 -j DNAT
> --to-destination 172.16.1.14:80
>
> *router
>
> *mangle
> :FORWARD ACCEPT [8776565:6369676686]
>
> *filter
> -A FORWARD -p tcp -m limit --limit 1/sec -j ACCEPT
>
> *mangle
> :POSTROUTING ACCEPT [8881505:6392747276]
>
> *nat
> :POSTROUTING ACCEPT [60126:3626055]
>
>
> Pelo final, não ocorre a tradução de endereço como deveria de ser
> (MASQUERADE ou SNAT) e creio que aí mora o problema.
>
> Veja que a regra "-t nat -A POSTROUTING -s 172.16.1.0/24 -d ! 172.16.1.0/24
> -j MASQUERADE" não será mais válida, pois está com o IP da rede interna e
> destinado para a rede interna, no meu entender. Veja também que a regra "-A
> FORWARD -p tcp -m limit --limit 1/sec -j ACCEPT" diminui a performance da
> sua rede e aceita tudo o que for TCP, anulando as outra regras que a seguem.
>
> Minha sugestão, dê uma limpada e organizada nessas regras e tire "-d !
> 172.16.1.0/24" da regra supra citada primeiramente e tire a segunda regra
> citada acima.
Opá,
Fiz as alterações e agora consegui alguma coisa na saída do tcpdump,
testei fazendo um telnet no ip externo na porta 8088:
tcpdump | grep 172.16.1.156
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
15:12:31.063332 IP 172.16.1.156.2129 > tecnico.jotec.com.br.omniorb: S
2582386495:2582386495(0) win 5840 <mss 1460,sackOK,timestamp 545352926
0,nop,wscale 3>
15:12:33.120348 arp who-has 172.16.1.156 tell 172.16.1.94
15:12:37.064438 IP 172.16.1.156.2129 > tecnico.jotec.com.br.omniorb: S
2582386495:2582386495(0) win 5840 <mss 1460,sackOK,timestamp 545354426
0,nop,wscale 3>
15:12:42.065307 arp who-has 172.16.1.254 tell 172.16.1.156
15:12:45.223288 arp who-has 172.16.1.156 tell 172.16.1.103
15:12:45.702267 IP 172.16.1.156.ipp > 172.16.1.255.ipp: UDP, length 115
15:13:13.349152 IP 172.16.1.156.3966 >
189-039-011-037.static.spo.ctbc.com.br.omniorb: S
2617773432:2617773432(0) win 5840 <mss 1460,sackOK,timestamp 545363495
0,nop,wscale 3>
15:13:16.347584 IP 172.16.1.156.3966 >
189-039-011-037.static.spo.ctbc.com.br.omniorb: S
2617773432:2617773432(0) win 5840 <mss 1460,sackOK,timestamp 545364245
0,nop,wscale 3>
15:13:17.420482 IP 172.16.1.156.ipp > 172.16.1.255.ipp: UDP, length 115
15:13:22.348654 IP 172.16.1.156.3966 >
189-039-011-037.static.spo.ctbc.com.br.omniorb: S
2617773432:2617773432(0) win 5840 <mss 1460,sackOK,timestamp 545365745
0,nop,wscale 3>
15:13:34.350858 IP 172.16.1.156.3966 >
189-039-011-037.static.spo.ctbc.com.br.omniorb: S
2617773432:2617773432(0) win 5840 <mss 1460,sackOK,timestamp 545368745
0,nop,wscale 3>
^C16349 packets captured
20004 packets received by filter
3651 packets dropped by kernel
Mas ainda nada de funcionar.
> []'s
> Junior Polegato
>
>
Reply to:
- Follow-Ups:
- Re: IPTABLES
- From: Junior Polegato - Linux <linux@juniorpolegato.com.br>
- References:
- IPTABLES
- From: Eduardo Lopes <du.lopes@gmail.com>
- Re: IPTABLES
- From: Miguel Da Silva - URI <mdasilva@fing.edu.uy>
- Re: IPTABLES
- From: Eduardo Lopes <du.lopes@gmail.com>
- Re: IPTABLES
- From: Junior Polegato - Linux <linux@juniorpolegato.com.br>
- Re: IPTABLES
- From: Eduardo Lopes <du.lopes@gmail.com>
- Re: IPTABLES
- From: Junior Polegato - Linux <linux@juniorpolegato.com.br>
- Re: IPTABLES
- From: Eduardo Lopes <du.lopes@gmail.com>
- Re: IPTABLES
- From: Junior Polegato - Linux <linux@juniorpolegato.com.br>