On 22/10/14 05:10, Fernando Vicios wrote:
Fernando, aquí va nat (fijate que en la última línea de PREROUTING está mi regla):El 21/10/14 17:59, Camaleón escribió:No me queda claro del todo la configuración pero yo revisaría con tcpdump a ver en qué punto se filtra la conexión.El Tue, 21 Oct 2014 11:21:47 -0300, leos.listas@gmail.com escribió:On 21/10/14 11:19, Camaleón wrote:(...)Para hacer esto debo solamente manejarme con la cadena Forward? Desde ya muchas gracias!NAT y enmascaramiento.Gracias Camaleon, estoy buscando! Tengo la cadena FORWARD con la POLICY por default en ACCEPT y he ejecutado este línea:iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 2222 -j DNAT --to 192.168.0.1:22Si pones la salida de "iptables -L" mejor (recuerda que el orden de las reglas de iptables es relevante). Suponiendo que tienes habilitado el reenvío de paquetes, prueba permitiendo expresamente el tráfico hacia la interfaz interna: # añadir después iptables -A FORWARD -p tcp -d 192.168.0.1 --dport 2222 -j ACCEPTTe recuerdo que mi eth2 es la WAN, pero cuando quiero hacer un ssh desdela WAN: # ssh -vv -p 2222 192.168.10.100 Me arroja un conexión time out. Si le hago un nmap desde el mismo host de la wan al router al puerto 2222 me arroja filtered (osea no me pone open). Alguna otra pista? Como me olvidé de todo esto!Dos cosas: 1/ ¿Ese ssh lo haces desde el exterior o desde un equipo interno? 2/ Haz la prueba desde un equipo externo que no pase por el router que conecta con la WAN. Saludos,Por otro lado, manda la salida completa de iptables, tabla filter y tabla nat, para ver si hay alguna regla que falte o sea errónea.Saludos!
Por otro lado, OUTPUT y FORWARD estan con Policy ACCEPT (no lo paso ahora para no complicar su lectura).
# iptables -t nat -nvL Chain PREROUTING (policy ACCEPT 102K packets, 7155K bytes)pkts bytes target prot opt in out source destination 7403 366K REDIRECT tcp -- eth0 * 192.168.0.0/24 0.0.0.0/0 tcp dpt:80 redir ports 3128 17920 942K REDIRECT tcp -- eth2 * 192.168.3.0/24 0.0.0.0/0 tcp dpt:80 redir ports 3128 2 120 ACCEPT icmp -- eth0 * 0.0.0.0/0 0.0.0.0/0 icmp type 255 limit: avg 2/sec burst 5 91278 19M ACCEPT all -- eth0 * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 794 79783 ACCEPT all -- eth1 * 0.0.0.0/0 192.168.1.254 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 9 464 DNAT tcp -- eth2 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2222 to:192.168.0.100:22
Chain POSTROUTING (policy ACCEPT 166 packets, 52852 bytes)pkts bytes target prot opt in out source destination 8628 490K MASQUERADE all -- * eth1 192.168.0.0/24 0.0.0.0/0 87485 5620K MASQUERADE all -- * eth1 192.168.3.0/24 0.0.0.0/0 24819 1529K ACCEPT all -- * lo 127.0.0.0/8 0.0.0.0/0 0 0 ACCEPT icmp -- * eth0 0.0.0.0/0 0.0.0.0/0 icmp type 255 limit: avg 2/sec burst 5 17181 1034K ACCEPT all -- * eth1 192.168.1.254 0.0.0.0/0 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT all -- * eth0 192.168.0.0/24 0.0.0.0/0
Muchas Gracias! Saludos.