Re: Trabalhando com interfaces lógicas e NAT com o Netfilter
Boa tarde Sérgio,
Eu já tinha a regra de FORWARD.
Encontrei o problema aqui nas regras..
Era o nome de uma variável que estava errado.
De qualquer forma, notei que nas idas e vindas de alterações nas regras, em alguns momentos as regras de PREROUTING aplicadas nas subinterfaces funcionaram e em outros momentos não.
Estou começando a desconfiar também das interfaces de rede.
Mas tirando a informação passada aqui no fórum, eu não encontrei em nenhum outro lugar, alguma confirmação de que o iptables/netfilter não trabalha (ou não trabalha direito) com subinterfaces.
Nem mesmo no site netfilter.org encontrei algo sobre esse assunto (se alguém encontrar eu agradeceria pelo link).
No momento as regras estão funcionando com NAT na PREROUTING, subinterfaces (três subinterfaces) e tudo mais.
Qualquer novidade eu informarei aqui.
Agradeço a ajuda de todos e vamos que vamos... :-D
Atenciosamente,
Ricardo Tweeg
Novell Certified Linux Administrator - NCLA
Linux Professional Institute - LPIC-1
SUSE 11 Tech Spec Certified
CompTia Linux+ / Security+ | ce
DC Tech Spec Certified
+55 021 9291-0584
Em Quarta-feira, 20 de Agosto de 2014 11:10, Sérgio Abrantes Junior <sergioabrantes@gmail.com> escreveu:
>
>
>Olá Ricardo,
>
>
>Está faltando a regra de forward.
>Tente essas regra (replique depois para os outros IPs):
>
>
>iptables -A FORWARD -d IP_INTERNO -i eth1:3 -p tcp -m tcp --dport XX -j ACCEPT
>
>iptables -t nat -A PREROUTING -d IP_EXTERNO -p tcp -m tcp --dport XX -j DNAT --to-destination IP_INTERNO:PORTA
>
>
>
>Até!
>
>
>Sérgio Abrantes
>
>
>
>Em 19 de agosto de 2014 11:30, Ricardo Tweeg <rtweeg@yahoo.com.br> escreveu:
>
>Bom dia pessoal,
>>
>>
>>Pessoal, tenho algumas regras de NAT na PREROUTING que estou percebendo que não funcionam.
>>
>>
>>
>>A interface de rede em1 está com algums subinterfaces lógicas (em1:1, em1:2 e em1:3).
>>Cada uma destas interfaces lógicas possui um determinado IP.
>>Partindo deste ponto, eu criei algumas regras na tabela nat, chain PREROUTING falando o seguinte:
>>
>>
>>iptables -t nat -A PREROUTING -i em1:1 -d XXX.XXX.1 -p tcp --dport XXX -j DNAT --to-dest 192.168.0.1
>>iptables -t nat -A PREROUTING -i em1:2 -d XXX.XXX.2 -p tcp --dport XXX -j DNAT --to-dest 192.168.0.2
>>iptables -t nat -A PREROUTING -1 em1:3 -d XXX.XXX.3 -p tcp --dport XXX -j DNAT --to-dest 192.168.0.3
>>
>>
>>
>>
>>Ou seja, pacotes entrando pela em1:1,2 ou 3 que tiverem como destino um determinado IP, serão nateados para um dos IPs do final da regra.
>>O que estou percebendo nas análises é que quando a regra de NAT é aplicada a uma interface lógica, o iptables/netfilter não faz o NAT. Ou seja, não trata.
>>Quando eu removi as interfaces lógicas deixando somente a física "em1" e fiz um nat da mesma forma em cima dela, o nat aconteceu.
>>Ou seja, o NAT funcionou quando foi aplicado na interface física e não funcionou quando foi aplicado nas interfaces lógicas construídas em cima da física.
>>
>>
>>Alguma dica?
>>Alguém já passou por isso?
>>
>>
>>Abraços
>>
>>
>>Ricardo Tweeg
>>
>>Atenciosamente,
>>
>>
>>Ricardo Tweeg
>>Novell Certified Linux Administrator - NCLA
>>Linux Professional Institute - LPIC-1
>>SUSE 11 Tech Spec Certified
>>CompTia Linux+ / Security+ | ce
>>DC Tech Spec Certified
>>+55 021 9291-0584
>
>
>
Reply to: