Re: Sigo peleando con iptables+redirecciones

To: <debian-user-spanish@lists.debian.org>
Subject: Re: Sigo peleando con iptables+redirecciones
From: <velkrox@yahoo.com.ar>
Date: Thu, 13 Oct 2005 12:09:06 -0300
Message-id: <[🔎] 00e101c5d008$218c5d50$c10b0a82@MOSISA02PC>
References: <200509282010.35680.hademon@gmail.com> <7891c89d050928165311245128@mail.gmail.com> <200509282131.14499.hademon@gmail.com> <200509291401.24621.hademon@gmail.com> <1128112802.936359.164350@g43g2000cwa.googlegroups.com>

solo unos comentarios:

<pariguayo>
Creo... si no estoy equivocado que la cosa es un poco más compleja:

$IPTABLES -A INPUT -i eth0 -s $EEMNET -p TCP --dport 83 -m state
--state NEW   -j ACCEPT

$IPTABLES -t nat -A PREROUTING -i eth0 -s ! $DBSERVER -p tcp --dport 83
-j DNAT --to $DBSERVER:5432

$IPTABLES -A FORWARD -s $EEMNET -d $DBSERVER -i eth0 -o eth1 -p tcp
--dport 5432 -j ACCEPT

dbserver=un equipo en la red interna
eemnet= una ubicación exterior (Intenet)
</pariguayo>

me parece que en algo si estas equivocado. la tabla input, nunca se deberia 
aplicar debido a que los paquetes con dest port 83, serian interceptados por 
la regla '$IPTABLES -t nat -A PREROUTING...', luego de esto va a [route], y 
debido a que le estas cambiando el destino el cual no se corresponde con una 
interfaz local, serian enviados a la tabla forward. para chequear esto que 
te digo, deberias hacer un: '# iptables -L -v -t nat' y ver si los 
contadores aumentan.

pegale una leida a este hwoto que esta super explicado. puntualmente hable 
de esto:
http://netfilter.org/documentation/HOWTO//netfilter-hacking-HOWTO-3.html#ss3.2

una cosa: tenes nat activado? ej en mi caso:
# iptables -t nat -A POSTROUTING -m state --state NEW -o eth0 -j MASQUERADE

otra cosa para comentar que quizas te puede ayudar es:
fijate que solamente estas haciendo dnat, y no snat. por lo cual, si tenes 
configurado un default gateway en etch como la ip con sarge, deberia 
funcionar. ahora, si NO tenes configurado un default gateway , a este le 
estaria llegando (luego del dnat) un paquete como por ej: 'srcip: 
200.50.51.237, dstip: 192.168.1.5', al cual no sabe como responder, porque 
no conoce la ruta para llegar a la ip 200.50.51.237.

si quisieras hacer snat, para que tambien modifique la ip origen del 
paquete, te paso un ej de como seria:
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 192.168.1.1

saludos, velkro.


	

	
		
___________________________________________________________ 
1GB gratis, Antivirus y Antispam 
Correo Yahoo!, el mejor correo web del mundo 
http://correo.yahoo.com.ar

Reply to:

Prev by Date: Re: skype -- Dispositivo o recurso ocupado
Next by Date: knoppix vs Ubuntu
Previous by thread: Re: Sigo peleando con iptables+redirecciones
Next by thread: Re: Sigo peleando con iptables+redirecciones
Index(es):
- Date
- Thread