[LUG.ro] Iptables y frowarding
Mario Oroz
jmoroz en uol.com.ar
Lun Dic 20 15:08:57 ART 2010
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
El 17/12/2010 10:40 a.m., Mey escribió:
>
>
> El vie, 17-12-2010 a las 10:06 -0300, Mario Oroz escribió:
>
>> -----BEGIN PGP SIGNED MESSAGE-----
>> Hash: SHA1
>>
>> Hola gente;
>>
>> Estoy probando un servicio que esta escuchando en el puerto tcp 23999
>> en una pc con IP 192.168.1.222 dentro de mi LAN, la cual tiene un
>> gateway/firewall con IP 192.168.1.254 haciendo NAT.
>>
>> Lo que estoy intentando es forwardear las conexiones que llegan al firewall
>> desde internet hacia el servicio escuchando en la PC 192.168.1.222:23999.
>>
>> Con la lineas siguientes logro atender peticiones desde INETRNET.
>>
>> $IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp --dport 23999 -j DNAT
>> - --to-destination 192.168.1.22:23999
>> $IPTABLES -A FORWARD -i ppp0 -o eth0 -p tcp --dport 23999 -j ACCEPT
>>
>> ppp0 -> iface de INETRNET del firewall
>> eth0 -> iface de la LAN del firewall
>>
>>
>> PERO; las peticiones desde una IP dentro de la LAN distinta o igual a la del PC
>> con el servicio en 192.168.1.222:23999, invocando la IP del firewall
>> 222.145.2.66:23999 no son contestadas!.
>
>
> Con el DNAT haces el forwardeo, entonces en la iface local del servicio
> (192.168.1.222) deberias ver las conexiones:
>
> x.x.x.x:yyyyyy -> 192.168.1.222:23999
>
> donde x.x.x.x es la IP ruteable del cliente e yyyyy un puerto cualquiera
> entre 1024-65535
>
> Inmediatamente deverias ver la respuesta
>
> 192.168.1.222:23999 -> x.x.x.x:yyyyyy
>
> Si no ves esto es porque la opilación no esta respondiendo. Si lo ves,
> deberías hacer un trace a x.x.x.x para ver que salga por el mismo
> gateway que esta nateando (me imagino que si)
>
>
>
>>
>> Buscando vi que se debe revertirse con SNAT la conexión que se estableció con
>> DNAT. Pongo la linea debajo de las otras 2:
>
>
> Nunca hice eso... donde lo leiste? Para revertir el NAT el sistema
> utiliza PAT pero de manera transparente a los mortales.
>
Mey:
me refiero a este caso:
http://www.frozentux.net/iptables-tutorial/iptables-tutorial.html#DNATTARGET
Ya se que la rebusque al querer acceder a un servicio dentro de mi lan pasando
por el firewall primero, pero se me presento esa duda así que lo comento.
Desde internet se accede bien.
Mario
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iEYEARECAAYFAk0Pm7kACgkQYT+KMx1V+VyFtgCfbmB1juwZbPJXL7MX7HobJe5t
OgsAn131EEsxvwyzmMF4INOXFcR1ta0N
=ZRTm
-----END PGP SIGNATURE-----
Más información sobre la lista de distribución Lugro