Re: iptables SNAT,DNAT y caso extraño que no funciona
El Tue, 21 Apr 2015 18:31:30 +0200, José Miguel (sio2) escribió:
> Un saludo a la lista:
>
> He estado jugueteando con iptables y me he encontrado con un caso en el
> que no funciona como yo me esperaba. De hecho, me parece que no debería
> funcionar así, pero me gustaría que alguien opinara al respecto.
(...)
Es un poco lioso, pero me da la nariz que el problema está con alguna
regla de iptables que además (y para el ejemplo que pones) me parece que
no serían necesarias ya que si todas las máquinas están en la misma red
física, para asegurarte la salida por el cortafuegos con un esquema de
enrutado sería suficiente (route/ip).
(...)
> Pues bien si en M1 hago:
>
> $ ping -c1 192.168.255.1
Es decir, ejecutas un ping desde la máquina 1 al cortafuegos.
> Se obtiene respuesta perfectamente en el caso A) y B), pero no en el C).
En el caso C) tenemos dos interfaces de red (eth0 + eth1) configuradas
como br0 ¿no? ¿Tienes activado en el cortafuegos el reenvío de IP?
> Pero lo más curioso del asunto, es que si en el caso C), me pongo a
> escuchar con tcpdump la interfaz br0 del cortafuegos a ver si saco algo
> en claro, śí funciona. :/
(...)
Hum... que el ping al cortafuegos no obtenga respuesta en la máquina 1
pero que éste (cortafuegos) sí escuche el tráfico parece indicar que los
paquetes llegan pero se rechazan, quizá por alguna regla de iptables.
> Caso C)
> # tcpdump -ni eth1 icmp 18:27:36.902663 IP 192.168.255.2 >
> 192.168.255.1: ICMP echo request, etc.
>
> #tcpdump -ni br0 icmp 18:28:23.735113 IP 192.168.255.2 > 192.168.255.3:
> ICMP echo request, etc. 18:28:23.735171 IP 192.168.255.1 >
> 192.168.255.3: ICMP echo request, etc. 18:28:23.735536 IP 192.168.255.3
> > 192.168.255.2: ICMP echo reply, etc. 18:28:23.735547 IP 192.168.255.1
> > 192.168.255.2: ICMP echo reply, etc.
>
> Esta última monitorizacióm no sé cómo interpretarla. La lógica sería la
> del caso A.
Puedes añadir más verbosidad a tcpdump (-vvv) a ver si te da alguna pista.
Saludos,
--
Camaleón
Reply to: