Re: duda iptables

To: debian-user-spanish@lists.debian.org
Subject: Re: duda iptables
From: "Gonzalo Rivero" <fishfromsalta@gmail.com>
Date: Thu, 17 Jan 2008 10:34:51 -0300
Message-id: <[🔎] 30ec90ba0801170534x3b0f81apce7c722cd43f0882@mail.gmail.com>
In-reply-to: <[🔎] 30ec90ba0801100332udcbfcdftece8d3b1f3703f14@mail.gmail.com>
References: <[🔎] 30ec90ba0801100332udcbfcdftece8d3b1f3703f14@mail.gmail.com>

El 10/01/08, Gonzalo Rivero <fishfromsalta@gmail.com> escribió:
> Hola, quiero redireccionar un webserver que tengo en mi red local con ip privada
> iptables -t nat -A PREROUTING -d x.y.z.w -p tcp -m tcp --dport 80 -j
> LOG --log-prefix "lalala DNAT lalala"
> iptables -t nat -A PREROUTING -d x.y.z.w -p tcp -m tcp --dport 80 -j
> DNAT --to-destination a.b.c.d
>
> x.y.z.w es la ip con la que me ve el mundo, a.b.c.d es el webserver
> que está en otra computadora.
> La primera línea es para hacer un log y ver si funciona. Pero no
> funciona, aunque hace el log. No funciona significa que solo obtengo
> timeouts en el navegador.
> Se me ocurrió agregar otra linea igual, pero con OUTPUT (para los
> paquetes generados en esa computadora) y cuando pongo en el navegador
> x.y.z.w me reenvía correctamente a a.b.c.d, la pregunta es: ¿que estoy
> haciendo mal en lo anterior?
>
> pd: tail /var/log/syslog
> Jan 10 08:44:51 localhost kernel: lalala DNAT lalala IN=eth2 OUT=
> MAC=00:08:54:45:8f:fd:00:1b:d5:0f:42:93:08:00 SRC=e.f.g.h DST=x.y.z.w
> LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=47944 DF PROTO=TCP SPT=3682
> DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
> Jan 10 08:44:57 localhost kernel: lalala DNAT lalala IN=eth2 OUT=
> MAC=00:08:54:45:8f:fd:00:1b:d5:0f:42:93:08:00 SRC=e.f.g.h 0
> DST=x.y.z.w LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=47945 DF PROTO=TCP
> SPT=3682 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0[/code]
>
> ¿eso significa que al menos lot está intentando?
>

yo de vuelta. Se me ocurrió capturar los paquetes con wireshark para
ver las direcciones de origen y destino y cuando hago los pedidos en
la computadora local hace la redirección correctamente, pero cuando lo
intento desde otra computadora no se genera ni un solo paquete. En el
log veo que siguen ejecutandose, pero por alguna causa no funciona el
preruteo. Por otra parte, para que ninguna otra cosa me estorbe, solo
dejé las siguientes reglas:
-A PREROUTING -d 172.20.2.9 -p tcp -m tcp --dport 80 -j LOG
--log-prefix "### DNAT afuera 172 --->>"
-A PREROUTING -d 172.20.2.9 -p tcp -m tcp --dport 80 -j DNAT
--to-destination 192.168.1.5:80

-A OUTPUT -d 172.20.2.9 -p tcp -m tcp --dport 80 -j LOG --log-prefix
"DNAT 172 --->>"
-A OUTPUT -d 172.20.2.9 -p tcp -m tcp --dport 80 -j DNAT
--to-destination 192.168.1.5:80

mis ip son 172.20.2.9 que es la que va a escuchar las conexiones de
"afuera" y 192.168.1.13 que va a la otra subred.
Para mas datos:
iptables v1.3.6
uname -r: 2.6.18-5-686
y es el debian stable
-- 
http://fishblues.blogspot.com/
http://gonzalor.blogspot.com/
Nacemos desnudos, húmedos, hambrientos y con frío. ¡Y eso es sólo el principio!

Reply to:

Follow-Ups:
- Re: duda iptables
  - From: "Gonzalo Rivero" <fishfromsalta@gmail.com>

References:
- duda iptables
  - From: "Gonzalo Rivero" <fishfromsalta@gmail.com>

Prev by Date: Re: LVM2 redimensionar
Next by Date: Re: LVM2 redimensionar
Previous by thread: Re: duda iptables
Next by thread: Re: duda iptables
Index(es):
- Date
- Thread