[LUG.ro] Iptables y frowarding

Mario Oroz jmoroz en uol.com.ar
Lun Dic 20 15:08:57 ART 2010 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

El 17/12/2010 10:40 a.m., Mey escribió:
> 
> 
> El vie, 17-12-2010 a las 10:06 -0300, Mario Oroz escribió:
> 
>> -----BEGIN PGP SIGNED MESSAGE-----
>> Hash: SHA1
>>
>> Hola gente;
>>
>> Estoy probando un servicio que esta escuchando en el puerto tcp 23999
>> en una pc con IP 192.168.1.222 dentro de mi LAN, la cual tiene un
>> gateway/firewall con IP 192.168.1.254 haciendo NAT.
>>
>> Lo que estoy intentando es forwardear las conexiones que llegan al firewall
>> desde internet hacia el servicio escuchando en la PC 192.168.1.222:23999.
>>
>> Con la lineas siguientes logro atender peticiones desde INETRNET.
>>
>> $IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp --dport 23999 -j DNAT
>> - --to-destination 192.168.1.22:23999
>> $IPTABLES -A FORWARD -i ppp0 -o eth0 -p tcp --dport 23999 -j ACCEPT
>>
>> ppp0 -> iface de INETRNET del firewall
>> eth0 -> iface de la LAN del firewall
>>
>>
>> PERO; las peticiones desde una IP dentro de la LAN distinta o igual a la del PC
>> con el servicio en 192.168.1.222:23999, invocando la IP del firewall
>> 222.145.2.66:23999 no son contestadas!.
> 
> 
> Con el DNAT haces el forwardeo, entonces en la iface local del servicio
> (192.168.1.222) deberias ver las conexiones:
> 
> x.x.x.x:yyyyyy -> 192.168.1.222:23999
> 
> donde x.x.x.x es la IP ruteable del cliente e yyyyy un puerto cualquiera
> entre 1024-65535
> 
> Inmediatamente deverias ver la respuesta
> 
> 192.168.1.222:23999 -> x.x.x.x:yyyyyy
> 
> Si no ves esto es porque la opilación no esta respondiendo. Si lo ves,
> deberías hacer un trace a x.x.x.x para ver que salga por el mismo
> gateway que esta nateando (me imagino que si)
> 
> 
> 
>>
>> Buscando vi que se debe revertirse con SNAT la conexión que se estableció con
>> DNAT. Pongo la linea debajo de las otras 2:
> 
> 
> Nunca hice eso... donde lo leiste? Para revertir el NAT el sistema
> utiliza PAT pero de manera transparente a los mortales.
> 

Mey:

me refiero a este caso:
http://www.frozentux.net/iptables-tutorial/iptables-tutorial.html#DNATTARGET

Ya se que la rebusque al querer acceder a un servicio dentro de mi lan pasando
por el firewall primero, pero se me presento esa duda así que lo comento.
Desde internet se accede bien.

Mario
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk0Pm7kACgkQYT+KMx1V+VyFtgCfbmB1juwZbPJXL7MX7HobJe5t
OgsAn131EEsxvwyzmMF4INOXFcR1ta0N
=ZRTm
-----END PGP SIGNATURE-----

Más información sobre la lista de distribución Lugro