RE: Problemas haciendo snat con iptables.

To: "'Federico Alberto Sayd'" <fsayd@uncu.edu.ar>, <debian-user-spanish@lists.debian.org>
Subject: RE: Problemas haciendo snat con iptables.
From: "Carlos Valderrama" <cvalde@perucam.com>
Date: Thu, 20 Jan 2011 08:25:13 -0500
Message-id: <[🔎] 002a01cbb8a5$78d85830$6a890890$@perucam.com>
In-reply-to: <[🔎] 4D38305E.1070208@uncu.edu.ar>
References: <[🔎] AANLkTi=ZJ2-GNrOY9XmkV-4jyMSpwHnHXFgPGV1ThBH_@mail.gmail.com> <[🔎] 4D374DB0.6020606@limbo.ari.es> <[🔎] 4D38305E.1070208@uncu.edu.ar>

Hola has probado esto

red lan:10.60.0.0/24
eth lan:eth3

eth publica:eth1

red dmz: 10.60.50.0/24
eth dmz: eth2

La regla de proxy transparente es la siguiente:
iptables -A PREROUTING -s 10.60.0.0/24 -p tcp -m tcp --dport 80 -j DNAT --to-destination ipproxy:puertoproxy

Regla de NAT:
iptables -A POSTROUTING -s 10.60.0.0/24 -j MASQUERADE -t nat
iptables -A POSTROUTING -s 10.60.0.0/24 -j SNAT --to-source ippublica -t nat

Saludos
Carlos Valderrama

-----Mensaje original-----
De: Federico Alberto Sayd [mailto:fsayd@uncu.edu.ar] 
Enviado el: jueves, 20 de enero de 2011 07:54 a.m.
Para: debian-user-spanish@lists.debian.org
Asunto: Re: Problemas haciendo snat con iptables.

El 19/01/11 17:46, Juan Antonio escribió:
> El 19/01/11 21:23, Ernesto Crespo escribió:
>    
>> Saludos a todos.
>> Estoy creando un firewall para un equipo que tiene 3 interfaces de 
>> red, la primera es la dirección pública, la segunda es la interfaz de 
>> la dmz y la 3era el de la LAN; está LAN consta de varias redes que 
>> llegan por esa interfaz.
>>
>> Tengo un Servidor proxy en el mismo equipo como proxy transparente, 
>> el funciona pero cuando reviso en whatismyip.com para ver que IP 
>> estoy usando me muestra la IP de la interfaz que va a la LAN. En el 
>> archivo access.log de squid aparecen las peticiones de páginas web 
>> pero sale la IP de la interfaz de la red LAN.
>>
>> Hago ping desde  un equipo de la red local a la IP pública del 
>> firewall y le llego pero le doy ping al gateway del firewall y no le 
>> llego, pero si le llego desde el firewall al gateway.
>>
>> Y desde la DMZ le hago ping al equipo que hace de de servidor de DNS 
>> y no le llego.
>>
>> El servidor de Nombres se encuentra en la red LAN el cual el firewall 
>> y los equipos de la DMZ consultan a dicho servidor de nombres.
>> Todo indica que el problema es que no está haciendo NAT el firewall.
>> A continuación la regla de proxy transparente y la de NAT.
>>
>> red lan:10.60.0.0/24
>> eth lan:eth3
>>
>> eth publica:eth1
>>
>> red dmz: 10.60.50.0/24
>> eth dmz: eth2
>>
>> La regla de proxy transparente es la siguiente:
>> iptables -t nat -A PREROUTING -i eth3 -s 10.60.0.0/24 -d 
>> 0.0.0.0/0.0.0.0  -p tcp -m tcp --dport 80 -j REDIRECT --to-port 8080
>>
>> Regla de NAT:
>> iptables -t nat -A POSTROUTING -s 10.60.0.0/24 -o eth1 -j SNAT  --to 
>> ipinicial-ipfinal
>>
>> Gracias por cualquier ayuda que puedan dar...
>>
>> El problema que tengo es que no logro Ernesto Crespo Linux User No. 
>> 100996 Usando Debian squeeze-  Kernel 2.6.26-2 
>> http://ernesto-ecrespo.blogspot.com/
>> Finger Print = 66CB 6BF4 7C7C EC0E DA60  06C8 87E8 9061 C97E 7015 Por 
>> la no monopolización del conocimiento y del Software Libre.
>>
>>      
> Hola,
>
> no creo que la web de whatismyip.com pueda mostrarte una dirección de 
> un rango reservado, cualquier encaminador descartará ese tráfico por 
> no hablar de que sería imposible devolverlo si por un casual llegara 
> al destino.
>    
Sí puede, en las cabeceras de las peticiones http de Squid se reporta la ip de origen incluso si pertenece a un rango privado (a menos que lo deshabilites en la configuración de Squid). Pero en cualquier caso se reportarán las dos direcciones, la del servidor proxy y la del equipo que origina la petición. Otra cosa es que un host con ip privada (rango
reservado) pueda salir hacia internet sin problemas, ahí sí que de seguro no podrá.
> Para asegurarte que estas enmascarando el tráfico correctamente usa 
> iptables -t nat -vnL POSTROUTING y asi verás si la regla que usas esta 
> sumando tráfico, o bien usa tcpdump y confirma que ves el tráfico 
> original y el enmascarado.
>
> La regla parece correcta excepto por lo de ipinicial-ipfinal que no se 
> que significa, sería --to-source ip-pública o mas facil en tu caso tan 
> solo enmascaralo todo con -j MASQUERDAE.
>
> Un saludo.
>
>
>    


--
To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Archive: [🔎] 4D38305E.1070208@uncu.edu.ar">http://lists.debian.org/[🔎] 4D38305E.1070208@uncu.edu.ar


__________ Informaci n de ESET NOD32 Antivirus, versi n de la base de firmas de virus 5802 (20110120) __________

ESET NOD32 Antivirus ha comprobado este mensaje.

http://www.eset.com

Reply to:

References:
- Problemas haciendo snat con iptables.
  - From: Ernesto Crespo <ecrespo@gmail.com>
- Re: Problemas haciendo snat con iptables.
  - From: Juan Antonio <pushakk@limbo.ari.es>
- Re: Problemas haciendo snat con iptables.
  - From: Federico Alberto Sayd <fsayd@uncu.edu.ar>

Prev by Date: Acceder a recurso compartido SAMBA en dominio ADS
Next by Date: Re: Problemas haciendo snat con iptables.
Previous by thread: Re: Problemas haciendo snat con iptables.
Next by thread: Re: Problemas haciendo snat con iptables.
Index(es):
- Date
- Thread