[LUG.ro] Iptables y frowarding

Mey mey en mey-online.com.ar
Vie Dic 17 10:40:36 ART 2010 


El vie, 17-12-2010 a las 10:06 -0300, Mario Oroz escribió:

> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
> 
> Hola gente;
> 
> Estoy probando un servicio que esta escuchando en el puerto tcp 23999
> en una pc con IP 192.168.1.222 dentro de mi LAN, la cual tiene un
> gateway/firewall con IP 192.168.1.254 haciendo NAT.
> 
> Lo que estoy intentando es forwardear las conexiones que llegan al firewall
> desde internet hacia el servicio escuchando en la PC 192.168.1.222:23999.
> 
> Con la lineas siguientes logro atender peticiones desde INETRNET.
> 
> $IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp --dport 23999 -j DNAT
> - --to-destination 192.168.1.22:23999
> $IPTABLES -A FORWARD -i ppp0 -o eth0 -p tcp --dport 23999 -j ACCEPT
> 
> ppp0 -> iface de INETRNET del firewall
> eth0 -> iface de la LAN del firewall
> 
> 
> PERO; las peticiones desde una IP dentro de la LAN distinta o igual a la del PC
> con el servicio en 192.168.1.222:23999, invocando la IP del firewall
> 222.145.2.66:23999 no son contestadas!.


Con el DNAT haces el forwardeo, entonces en la iface local del servicio
(192.168.1.222) deberias ver las conexiones:

x.x.x.x:yyyyyy -> 192.168.1.222:23999

donde x.x.x.x es la IP ruteable del cliente e yyyyy un puerto cualquiera
entre 1024-65535

Inmediatamente deverias ver la respuesta

192.168.1.222:23999 -> x.x.x.x:yyyyyy

Si no ves esto es porque la opilación no esta respondiendo. Si lo ves,
deberías hacer un trace a x.x.x.x para ver que salga por el mismo
gateway que esta nateando (me imagino que si)



> 
> Buscando vi que se debe revertirse con SNAT la conexión que se estableció con
> DNAT. Pongo la linea debajo de las otras 2:


Nunca hice eso... donde lo leiste? Para revertir el NAT el sistema
utiliza PAT pero de manera transparente a los mortales.

> 
> $IPTABLES -t nat -A POSTROUTING -o eth0 -p tcp -s 192.168.1.222 -j SNAT
> - --to-source 222.154.2.66
> 
> Pero igualmente no puedo conectarme al servicio desde dentro de mi LAN!.


Si no te podes conectar ni desde la lan tas frito. Primero revisa eso.
Cuando tengas el sistema andando fijate de forwardear y entrar desde
inet.


Saludos

MEY

Más información sobre la lista de distribución Lugro