[Fedora-users-br] Iptables
Rodrigo Menezes
rodrigomenezes12 em yahoo.com.br
Qua Dez 7 11:22:45 UTC 2005
Se é uma rede só, pra que alterar a rede de origem?
--- Alejandro Flores <alejandrorflores em gmail.com>
escreveu:
> Opa,
>
> Pra funcionar, além de vc fazer o DNAT, tem que
> fazer o SNAT dessa conexão:
>
> # iptables -t nat -A PREROUTING -i eth0 -p tcp
> --dport <porta X> -j
> DNAT --to-destination <IP_B>:<porta Y>
>
> # iptables -t nat -A POSTROUTING -o eth0 -p tcp
> --dport <porta X> -s
> <REDE_LOCAL> -d <maq_2> -j SNAT --to-source
> <ip_maq_a>
>
> Sem falar que precisa ter uma regra de forward pra
> isso, caso sua politica
> seja restritiva.
> # iptables -A FORWARD -i eth0 -o eth0 -s REDE_LOCAL
> -d ip_maq_b -j ACCEPT
>
> O que foi feito:
> 1 - Quando vc faz um DNAT, você está alterando o
> endereço de destino da
> conexão.
> 2 - Quando vc faz um SNAT, você está alterando o
> endereço de origem da
> conexão.
>
> Nesse caso o que vai acontecer é que você quer
> conectar em IP_A, vai ser
> redirecionado para IP_B. Porém, com isso, a conexão
> pro IP_B sai a partir de
> IP_A, porém com o IP de uma terceira máquina. Ou
> seja, IP_C conecta em IP_A
> que origina uma nova conexão pra IP_B com ip de
> IP_C. 192.168.0.3, conecta
> em 192.168.0.1 que cria uma nova conexão pra
> 192.168.0.2, com ip de origem
> 192.168.0.3. Porém, 192.168.0.3 originou a conexão
> pra 192.168.0.1 e não pra
> 192.168.0.2 então eles não vão se entender. Por isso
> tem que fazer o SNAT
> também. Putz, que rolo. hahaha
>
> Espero que você tenha entendido.
>
>
> > Alguém já utilizou o iptables para fazer um
> DNAT para uma máquina na
> > mesma rede? Vou tentar explicar o cenário:
> >
> > Máquina 1: IP_A
> > Máquina 2: IP_B
> > Máquina 3: IP_C
> >
> > Máquina 1
> > # iptables -t nat -A PREROUTING -i eth0 -p tcp
> --dport <porta X> -j
> > DNAT --to-destination <IP_B>:<porta Y>
> >
> > Máquina 2 - Ela está aceitando todas as
> conexões na '<porta Y>'.
> >
> > Máquina 3
> > # telnet <IP_A> <porta X>
> >
> > Sendo que não retorna o telnet. Coloquei para
> logar tudo e vi que ele
> > recebe a conexão e faz um FORWARD (liberei o
> forward) para o <IP_B> na
> > <porta Y>. Depois ele faz um POSTROUTING de <IP_C>
> para <IP_B> na <porta
> > Y>. Alguém já precisou fazer algo parecido?
> Agradeço a todos.
> >
> > Abraços,
> > Aldrey
> >
>
>
> --
> Abraço!
> Alejandro Flores
> http://www.triforsec.com.br/
> > --
> Fedora-users-br mailing list
> Fedora-users-br em redhat.com
>
https://www.redhat.com/mailman/listinfo/fedora-users-br
>
_______________________________________________________
Yahoo! doce lar. Faça do Yahoo! sua homepage.
http://br.yahoo.com/homepageset.html
Mais detalhes sobre a lista de discussão Fedora-users-br