Re: [Off topic]:Ayuda con iptables

To: Pere Castañer <XaRz69@terra.es>
Cc: debian-user-spanish@lists.debian.org
Subject: Re: [Off topic]:Ayuda con iptables
From: Victor Calzado <vcalzado@cnio.es>
Date: Tue, 26 Aug 2003 16:45:19 +0200
Message-id: <[🔎] EA1A5C26-D7D3-11D7-8377-00039301DBAC@cnio.es>
In-reply-to: <[🔎] 20030826142507.6f2325cd.XaRz69@terra.es>

Bueno, es que yo soy a veces muy espeso en mis explicaciones....
El Martes, 26 agosto, 2003, a las 02:25 PM, Pere Castañer escribió:

On Tue, 26 Aug 2003 13:55:40 +0200
Victor Calzado <vcalzado@cnio.es> wrote:
Hola :))
---snip--
Por loque me dices, el problema és que las reglas de nat están en elsitio equivocado no? Es decir que no dependen de INPUT, sinó deforwarding, por lo que deberia ser el fichero..como sigue?:

Realmente es una consecuencia del diseño de la pila TCP/IP y de como seintegra netfilter en ella y de como vemos nosotros las cosas, meexplico:

En nuestro caso resulta bastante común llegar a la conclusión de quetodo lo que entra por un interface de red pasa primero por el ganchode INPUT pero a nivel de nucleo el enrutamiento va a seguir caminosdistintos si el paquete es local ( que si será tratado por INPUT ) quesi va a ser redirigido a un sistema no local ( una traducción algolibre de FORWARD ) Así la decisión de enrutamiento de un paqueteentrante se bifurca si es local sigue un camino (y nosotros podremosactuar sobre él con reglas de INPUT) y si está o va a estar dirigido(cuando reescribamos la dirección con nuestras reglas de DestinationNAT) a un sistema no local seguirá otro y para actuar sobre éldeberemos aplicar nuestros filtros sobre el "gancho" o "cadena" deFORWARD.

Si le echas un ojo al howto de netfilter verás un grafiquillo ascii muyexplicativo(http://www.netfilter.org/documentation/HOWTO/es/packet-filtering-HOWTO.txt)

De esta forma si no permites (como ocurre en tu configuración) reenviode paquetes estás actuando sobre todas las reglas de PREROUTING queutilices impidiendo que puedan aplicarse (ya que dependen de lacapacidad del sistema para reenviar paquetes) ¿cómo lo corriges? unavez que has visto el error de concepto es sencillo piensa sin más quelo que tu considerabas INPUT en el caso del DNAT es FORWARD ya querealmente los paquetes son reenviados, tendrías que rehacer tuconfiguración para permitir el reenvio de paquetes en vez de suentrada, como conceptualmente los paquetes que se envían entran y salenpor el interface necesitarías permitir esto tanto en la entrada como enla salida de los interfaces implicados ( en tu caso que no permitesreenvío de paquetes que tengan como entrada eth0 deberías permitirlopara los puertos de los que quieras hacer DNAT, lo que es posible quesólo te suponga sustituir en esas reglas INPUT por FORWARD )

Espero haberme explicado algo mejor pero es evidente que al mejormanera de aclararse con todas estas cosas es pasarse por netfilter.orgy aprovechar la gran cantidad de información (desde mi punto de vistade una categoría excepcional) que tienen.


un saludo
Victor

Reply to:

Follow-Ups:
- Re: [Off topic]:Ayuda con iptables
  - From: Pere Castañer <XaRz69@terra.es>

References:
- Re: [Off topic]:Ayuda con iptables
  - From: Pere Castañer <XaRz69@terra.es>

Prev by Date: ADSL y 2 Ethernet
Next by Date: RE: recuperar datos!!
Previous by thread: Re: [Off topic]:Ayuda con iptables
Next by thread: Re: [Off topic]:Ayuda con iptables
Index(es):
- Date
- Thread