Re: redireccionar ip y puertos mediante iptables

[Ariel Alvarez <ariel@cncc.cult.cu>]

El 23/09/2014 11:21, Andres M. Giribaldi escribió:
> Buenas
>
> El 23/09/2014 a las 09:29, Ariel Alvarez escibió:
> > pues ya probe la variante que me das:
> >
> > iptables -A FORWARD -p tcp -i eth0 --destination-port 80 
> > --destination 192.168.0.2 -j ACCEPT
> >
> > incluso puse el orden del (-p tcp) delante de (-i eth0)  aunque como 
> > dices esto no afecta
> >
> > los resultados son los mismos amigo.
> Por lo que veo en un correo posterior la regla que te mencione no es 
> necesaria porque tu politica es 100% ACCEPT, seria necesaria si 
> tuvieras una potilica FORWARD DROP
>
> > probe estas mismas reglas sin lo que me recomiendas del foward en el 
> > eth1 y todo me funciona a las mil maravillas me hace la redireccion 
> > pienso que se trate de alguna regla que me falte referente a que 
> > cuando se enmascara la ip que se encuentra en eth0 pasa con la msima 
> > ip de cara a la wan en este caso (10.0.0.10) y esta no es capaz de 
> > comunicarse con la (192.168.0.2) que es la ip que se encuentra en el 
> > otro servidor.
> No entiendo que fue lo que hiciste aqui, podrias aclararlo. Que has 
> hecho para que funcione?
Me referia a que probe estas reglas pero en vez de hacerlo para eth0 que 
es mi situacion real lo hice para eth1 (192.168.0.3), ejemplo:

echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j DNAT 
--to-destination 192.168.0.2:80
iptables -t nat -A POSTROUTING -j MASQUERADE

y me funciona la redireccion, es decir cada vez que pido algun alias o 
host virtual contenido en mi dominio interno me redirecciona 
correctamente al servidor web que se encuentra en el otro servidor 
192.168.0.2

ejemplo:

192.168.0.3/mrtg   es un alias que tengo creado en el servidor que tiene 
las dos interfaces (eth0 y eth1), al pedir ese alias o cualquier otro 
como es logico me redirecciona a 192.168.0.2 y me puedo autenticar en mi 
servidor de correo, pero en este caso no son las peticiones desde eth1 
las que deben ser redireccionadas si no las de eth0 que vienen desde el 
exterior al puerto 80
> > El 22/09/2014 17:18, Andres M. Giribaldi escribió:
> > > Hola Ariel
> > >
> > > El 22/09/2014 a las 13:19, Ariel Alvarez escibió:
> > > > Hola lista tengo un problema y ya he probado varias soluciones sin 
> > > > ningun resultado, se trata sobre redireccionar el trafico que venga 
> > > > hacia una ip o interface de red espesifica por un puerto espesifico 
> > > > para otra direccion ip el mismo puerto, les esplico en concreto:
> > > >
> > > > todo esto esta sobre debian7.1
> > > >
> > > > tengo dos servidores de correo uno funciona como correo relay el 
> > > > cual no contiene ningun buzon de usuarios y se encuentra en un 
> > > > servidor que tiene dos interfaces de red una de cara a la wan y 
> > > > otra de cara a la lan:
> > > >
> > > > ej:
> > > >
> > > > 10.0.0.10  ip de cara a la wan y soportada en eth0
> > > >
> > > > 192.168.0.3  ip de cara a la lan y esta soportada en eth1
> > > >
> > > >
> > > > el segundo servidor de correo el cual si tiene las cuentas o 
> > > > buzones de cada usuario solamente tiene una interface de red de 
> > > > cara a la lan:
> > > >
> > > > ej:
> > > >
> > > > 192.168.0.2  ip de cara a la lan y esta soportada en eth0
> > > >
> > > >
> > > > la idea es que mis usuarios puedan accedar a su correo desde 
> > > > afuera, es decir al poner en su navegador ej: 
> > > > (correo.midominio.com) abre la interface web y puedan loguearse a 
> > > > su cuenta.
> > > >
> > > > el asunto es que cuando acceden al correo mediante la interface web 
> > > > acceden al primer servidor el cual no contiene ninguna cuenta de 
> > > > usuario por tanto la validacion falla diciendo que el usuario o 
> > > > contraseña estan mal.
> > > >
> > > > se que se puede redireccionar el trafico, ya he probado las 
> > > > siguientes variantes:
> > > >
> > > >
> > > > DECLARO IP FORWARD
> > > > echo "1" > /proc/sys/net/ipv4/ip_forward
> > > >
> > > > ESTAS SON LAS VARIANTES DE REDIRECCIONADO QUE HE PROBADO:
> > > >
> > > > DIRECCIONO TODO LO QUE VENGA DESDE eth0 por puerto 80 al segundo 
> > > > servidor que su ip es 192.168.0.2 por el puerto 80, donde en este 
> > > > cas se encuentra escuchando la interface web que da acceso a los 
> > > > usuarios a sus cuentas de correo.
> > > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT 
> > > > --to-destination 192.168.0.2:80
> > > Esta linea no la veo mal, yo solo tengo intercambiado el -p tcp 
> > > delante del -i eth0 pero eso no deberia afectar.
> > > Fijate si no te estaria faltando agregar en el FORWARD CHAIN algo asi.
> > > iptables -A FORWARD -p tcp -i eth0 --destination-port 80 
> > > --destination 192.168.0.2 -j ACCEPT
> > > Donde permitis el forward por ese port
> > > > DIRECCIONO TODO LO QUE VENGA por puerto 80 al segundo servidor que 
> > > > su ip es 192.168.0.2 por el puerto 80, donde en este cas se 
> > > > encuentra escuchando la interface web que da acceso a los usuarios 
> > > > a sus cuentas de correo.
> > > > iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT 
> > > > --to-destination 192.168.0.2:80
> > > >
> > > > DIRECCIONO TODO LO QUE VENGA desde la ip 10.0.0.10 por puerto 80 al 
> > > > segundo servidor que su ip es 192.168.0.2 por el puerto 80, donde 
> > > > en este cas se encuentra escuchando la interface web que da acceso 
> > > > a los usuarios a sus cuentas de correo.
> > > > iptables -t nat -A PREROUTING -s 10.0.0.10 -p tcp --dport 80 -j 
> > > > DNAT --to-destination 192.168.8.2:80
> > > >
> > > >
> > > > estas son las variantes que he probado, luego enmascaro la ip:
> > > >
> > > > iptables -t nat -A POSTROUTING -j MASQUERADE
> > > >
> > > > nada de esto me funciona
> > > >
> > > > agradeceria cualqueir ayuda.
> > > >
> > > > gracias de antemano.
> > > Saludos
> Saludos