Regra de retorno - iptables

thiagosc
(usa Mandrake)

Enviado em 30/05/2011 - 20:14h

Olá amigos boa noite,
Tenho em minha rede dois segmentos ex: 192.168.0.x e 192.168.2.x e um firewall na rede 192.168.0.x com dois roteadores fazendo a ligação entre essas redes. Consigo dar um traceroute de uma estação da rede 192.168.0.x para a rede 192.168.2.x, mas quando preciso acessar via vnc vejo que o pacote sai mas não volta, coloquei a seguinte regra no firewall:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Porém mesmo assim não funcionou, alguém ai tem alguma dica???

[]'s
Thiago

korvoman
(usa Debian)

Enviado em 30/05/2011 - 21:18h

Thiago, o traceroute chega no destino, ou seja completa até o último host ?

Os gateways destas redes "sabem" destas rotas ? e máquina do lado b também ?

Será que o firewall não esta barrando alguma coisa antes de você liberar o forward ?

Se for possivel baixe o firewall e teste.
E verifique também o ip_forward: cat /proc/sys/net/ipv4/ip_forward

thiagosc
(usa Mandrake)

Enviado em 31/05/2011 - 07:54h

Olá amigo, o traceroute vai e volta numa boa. O gateways estão se falando e "enxergam" as redes sim.
Baixar o firewall vc diz dar um iptables -F ?

Agradeço sua ajuda.

korvoman
(usa Debian)

Enviado em 31/05/2011 - 19:46h

Thiago, antes de limpar as regras, era bom conferir se há alguma regra realizando drop no forward:

iptables -L FORWARD -n -v

Pode ser que o firewall da estação ou restrição do proprio serviço de vnc, para a faixa de rede local.

Para realizar teste, no proprio servidor linux voce pode fazer nat para o serviço vnc:

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 192.168.2.0/24 -p tcp --dport 5800 -j MASQUERADE

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 192.168.2.0/24 -p tcp --dport 5900 -j MASQUERADE

Funcionando, verifique o firewall e o serviço vnc do desktop.

korvoman
(usa Debian)

Enviado em 07/06/2011 - 20:33h

Thiago, funcionou meu caro ?

De retorno.