Re: duda iptables

To: debian-user-spanish@lists.debian.org
Subject: Re: duda iptables
From: Antonio Trujillo Carmona <trujo@dti2.net>
Date: Fri, 11 Jan 2008 11:43:45 +0100
Message-id: <[🔎] 1200048225.20867.40.camel@puerta.casa>
In-reply-to: <[🔎] 30ec90ba0801100332udcbfcdftece8d3b1f3703f14@mail.gmail.com>
References: <[🔎] 30ec90ba0801100332udcbfcdftece8d3b1f3703f14@mail.gmail.com>

El jue, 10-01-2008 a las 08:32 -0300, Gonzalo Rivero escribió:
> Hola, quiero redireccionar un webserver que tengo en mi red local con ip privada
> iptables -t nat -A PREROUTING -d x.y.z.w -p tcp -m tcp --dport 80 -j
> LOG --log-prefix "lalala DNAT lalala"
> iptables -t nat -A PREROUTING -d x.y.z.w -p tcp -m tcp --dport 80 -j
> DNAT --to-destination a.b.c.d
> 
> x.y.z.w es la ip con la que me ve el mundo, a.b.c.d es el webserver
> que está en otra computadora.
> La primera línea es para hacer un log y ver si funciona. Pero no
> funciona, aunque hace el log. No funciona significa que solo obtengo
> timeouts en el navegador.
> Se me ocurrió agregar otra linea igual, pero con OUTPUT (para los
> paquetes generados en esa computadora) y cuando pongo en el navegador
> x.y.z.w me reenvía correctamente a a.b.c.d, la pregunta es: ¿que estoy
> haciendo mal en lo anterior?
> 
> pd: tail /var/log/syslog
> Jan 10 08:44:51 localhost kernel: lalala DNAT lalala IN=eth2 OUT=
> MAC=00:08:54:45:8f:fd:00:1b:d5:0f:42:93:08:00 SRC=e.f.g.h DST=x.y.z.w
> LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=47944 DF PROTO=TCP SPT=3682
> DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
> Jan 10 08:44:57 localhost kernel: lalala DNAT lalala IN=eth2 OUT=
> MAC=00:08:54:45:8f:fd:00:1b:d5:0f:42:93:08:00 SRC=e.f.g.h 0
> DST=x.y.z.w LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=47945 DF PROTO=TCP
> SPT=3682 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0[/code]
> 
> ¿eso significa que al menos lot está intentando?
> 
No estoy muy seguro pero creo que el problema esta en la ruta que siguen
los paquetes, me explico un paquete con dirección A de fuera de tu red
llega al router y este identifica que es una petición para el puerto 80
y lo redirige a la maquina correspondiente esta maquina recibe el
paquete, lo ve como un "marciano" (que no corresponde a la red) y no
sabe como contestarle. cuando la redirección es desde dentro de la red
si funciona porque el paquete no es un marciano.
Prueba a poner un "MASQUERADE" en el "POSTROUTING" para que el paquete
no sea un marciano, seria al así como:
"iptables -t nat -A POSTROUTING -j MASQUERADE -o ethlaqueseainterna".
y nos cuentas

Reply to:

Follow-Ups:
- Re: duda iptables
  - From: "Gonzalo Rivero" <fishfromsalta@gmail.com>

References:
- duda iptables
  - From: "Gonzalo Rivero" <fishfromsalta@gmail.com>

Prev by Date: Re: OT RAID vs LVM
Next by Date: Re: [red LAN]
Previous by thread: Re: duda iptables
Next by thread: Re: duda iptables
Index(es):
- Date
- Thread