Re: Problemas haciendo snat con iptables.

To: debian-user-spanish@lists.debian.org
Subject: Re: Problemas haciendo snat con iptables.
From: Juan Antonio <pushakk@limbo.ari.es>
Date: Wed, 19 Jan 2011 21:46:40 +0100
Message-id: <[🔎] 4D374DB0.6020606@limbo.ari.es>
In-reply-to: <[🔎] AANLkTi=ZJ2-GNrOY9XmkV-4jyMSpwHnHXFgPGV1ThBH_@mail.gmail.com>
References: <[🔎] AANLkTi=ZJ2-GNrOY9XmkV-4jyMSpwHnHXFgPGV1ThBH_@mail.gmail.com>

El 19/01/11 21:23, Ernesto Crespo escribió:
> Saludos a todos.
> Estoy creando un firewall para un equipo que tiene 3 interfaces de red, la
> primera es la dirección pública, la segunda es la interfaz de la dmz y la
> 3era el de la LAN; está LAN consta de varias redes que llegan por esa
> interfaz.
> 
> Tengo un Servidor proxy en el mismo equipo como proxy transparente, el
> funciona pero cuando reviso en whatismyip.com para ver que IP estoy usando
> me muestra la IP de la interfaz que va a la LAN. En el archivo access.log de
> squid aparecen las peticiones de páginas web pero sale la IP de la interfaz
> de la red LAN.
> 
> Hago ping desde  un equipo de la red local a la IP pública del firewall y le
> llego pero le doy ping al gateway del firewall y no le llego, pero si le
> llego desde el firewall al gateway.
> 
> Y desde la DMZ le hago ping al equipo que hace de de servidor de DNS y no le
> llego.
> 
> El servidor de Nombres se encuentra en la red LAN el cual el firewall y los
> equipos de la DMZ consultan a dicho servidor de nombres.
> Todo indica que el problema es que no está haciendo NAT el firewall.
> A continuación la regla de proxy transparente y la de NAT.
> 
> red lan:10.60.0.0/24
> eth lan:eth3
> 
> eth publica:eth1
> 
> red dmz: 10.60.50.0/24
> eth dmz: eth2
> 
> La regla de proxy transparente es la siguiente:
> iptables -t nat -A PREROUTING -i eth3 -s 10.60.0.0/24 -d 0.0.0.0/0.0.0.0  -p
> tcp -m tcp --dport 80 -j REDIRECT --to-port 8080
> 
> Regla de NAT:
> iptables -t nat -A POSTROUTING -s 10.60.0.0/24 -o eth1 -j SNAT  --to
> ipinicial-ipfinal
> 
> Gracias por cualquier ayuda que puedan dar...
> 
> El problema que tengo es que no logro
> Ernesto Crespo
> Linux User No. 100996
> Usando Debian squeeze-  Kernel 2.6.26-2
> http://ernesto-ecrespo.blogspot.com/
> Finger Print = 66CB 6BF4 7C7C EC0E DA60  06C8 87E8 9061 C97E 7015
> Por la no monopolización del conocimiento y del Software Libre.
> 

Hola,

no creo que la web de whatismyip.com pueda mostrarte una dirección de un
rango reservado, cualquier encaminador descartará ese tráfico por no
hablar de que sería imposible devolverlo si por un casual llegara al
destino.

Para asegurarte que estas enmascarando el tráfico correctamente usa
iptables -t nat -vnL POSTROUTING y asi verás si la regla que usas esta
sumando tráfico, o bien usa tcpdump y confirma que ves el tráfico
original y el enmascarado.

La regla parece correcta excepto por lo de ipinicial-ipfinal que no se
que significa, sería --to-source ip-pública o mas facil en tu caso tan
solo enmascaralo todo con -j MASQUERDAE.

Un saludo.

Reply to:

Follow-Ups:
- Re: Problemas haciendo snat con iptables.
  - From: Ernesto Crespo <ecrespo@gmail.com>
- Re: Problemas haciendo snat con iptables.
  - From: Federico Alberto Sayd <fsayd@uncu.edu.ar>

References:
- Problemas haciendo snat con iptables.
  - From: Ernesto Crespo <ecrespo@gmail.com>

Prev by Date: Re: Instalar grub o grub2 squeeze en fakeraid intel
Next by Date: Re: [OT] Detectar causa de lentitud en LAN
Previous by thread: Problemas haciendo snat con iptables.
Next by thread: Re: Problemas haciendo snat con iptables.
Index(es):
- Date
- Thread