NAT com iptables [RESOLVIDO]

rodfer
(usa Debian)

Enviado em 08/09/2011 - 22:52h

A internet chega diretamente para o host firewall... na outra placa de rede, ele se conecta com o roteador...
Não conheço a distribuição do roteador, mas seu que ele tem uma faixa de IP 10.232.16.0 a 10.232.23.255, porém, com duas redes distintas:
10.232.16.0, com gw 10.232.16.200
10.232.22.0, com gw 10.232.22.200

removido
(usa Nenhuma)

Enviado em 08/09/2011 - 22:54h

amigo poderia esclarecer mais sobre o esquema de rede, voce passou este esquema:

Firewall:
IP de internet: 189.x.x.x
Interface externa: eth0
IP da rede interna: 10.232.16.1
Interface interna: eth1
Servidor com Webmin:
IP do servidor: 10.232.22.1
Interface de rede: eth0
Porta do Webmin: 20000

mas com os roteadores como está o esquema, ou seja o esquema de rede copleto com roteadores e tudo?

rodfer
(usa Debian)

Enviado em 08/09/2011 - 23:01h

Desculpe, mas como disse, não conheço o restante da rede a partir do roteador... é uma rede muito grande, onde estou limitado ao acesso às redes 10.232.16.0 e 10.232.22.0.
Pelo que estou começando a perceber, isso parece estar influenciando no retorno dos pacotes...
Não sei se uma NAT na saída do 10.232.22.1 resolveria o problema da volta ou se teria que unificar as 2 redes...

removido
(usa Nenhuma)

Enviado em 08/09/2011 - 23:04h

seus dois servidores se comunicam, trocam pacotes porém não consigo redirecionar os pacotes (regras no iptables aplicadas corretamente) para o outro servidor então vamos fazer o seguinte, adicionar uma rota para servidor webmin e vice-versa:

no servidor webmin adicione a seguinte rota:

route add -host 10.232.22.1 gw 10.232.22.200 dev eth0

no servidor com firewall adicione a seguinte rota:

route add -host 10.232.16.1 gw 10.232.16.200 dev eth1

em seguida aplique as regras de firewall descritas abaixo:

iptables -I INPUT -i eth0 -p tcp --dport 20000 -j ACCEPT
iptables -I INPUT -i eth0 -p udp --dport 20000 -j ACCEPT
iptables -A FORWARD -s 189.x.x.x -d 10.232.22.1 -j ACCEPT
# redireciona os pacotes tcp e udp da porta 20000 do servidor de firewall para o host interno 10.232.22.1:20000
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20000 -j DNAT --to 10.232.22.1:20000
iptables -t nat -A PREROUTING -p udp -i eth0 --dport 20000 -j DNAT --to 10.232.22.1:20000

aguardo sua resposta

removido
(usa Nenhuma)

Enviado em 08/09/2011 - 23:39h

rodfer Resolveu o problema ou não?

até mais depois tentamos resolver este problema

rodfer
(usa Debian)

Enviado em 08/09/2011 - 23:43h

Fiz como você disse. Adicionei as rotas nos dois servidores.

O que tenho de retorno é o seguinte:

# traceroute 10.232.16.1
traceroute to 10.232.16.1 (10.232.16.1), 30 hops max, 60 byte packets
1 10.232.16.200 (10.232.16.200) 2.516 ms 2.631 ms 2.848 ms
2 10.232.16.1 (10.232.16.1) 3.705 ms 3.883 ms 4.037 ms

# traceroute 10.232.22.1
traceroute to 10.232.22.1 (10.232.22.1), 30 hops max, 40 byte packets
1 10.232.16.200 (10.232.16.200) 0.557 ms 0.385 ms 0.366 ms
2 10.232.22.1 (10.232.22.1) 0.691 ms 0.664 ms 0.655 ms

Porém, continua não funcionando...

No servidor do webmin, tenho as rotas:
10.232.16.1 10.232.22.200 255.255.255.255 UGH 0 0 0 eth2
10.232.22.0 * 255.255.255.0 U 0 0 0 eth2
10.0.0.0 * 255.0.0.0 U 0 0 0 eth2
default 10.232.22.200 0.0.0.0 UG 0 0 0 eth2

No servidor do firewall, tenho as rotas:
10.232.16.200 * 255.255.255.255 UH 0 0 0 eth1
10.232.16.1 10.232.16.200 255.255.255.255 UGH 0 0 0 eth1
10.232.22.1 10.232.16.200 255.255.255.255 UGH 0 0 0 eth1
10.232.16.0 * 255.255.252.0 U 0 0 0 eth1
10.0.0.0 10.232.16.200 255.0.0.0 UG 0 0 0 eth1

(apenas as que estão na rede 10)

Se estou no 10.232.22.1 e tento pingar direto um IP na internet, retorna "Destination Host Unreachable"

removido
(usa Nenhuma)

Enviado em 08/09/2011 - 23:50h

desculpe verifica acima adicionei a rota errado para para servidor webmin

route add -host 10.232.16.1 gw 10.232.22.200 dev eth0

Porém, está tentando apenas testar ou precisa realmente disso?

caso precise tem como unificar a rede?

deixar toda 10.232.16.0 ou 10.232.22.0

rodfer
(usa Debian)

Enviado em 08/09/2011 - 23:54h

Estou fazendo para testar... Unificar as redes seria um processo complicado e demorado...
Já tinha feito dessa forma...

removido
(usa Nenhuma)

Enviado em 08/09/2011 - 23:58h

posta a resposta caso consiga ótimo blz caso não continuamos amanhã, boa noite desculpe se não consegui ajudar como esperava.

rodfer
(usa Debian)

Enviado em 09/09/2011 - 00:02h

Infelizmente, não consegui.
Boa noite!
Muito obrigado pela ajuda!
Abraço!

removido
(usa Nenhuma)

Enviado em 09/09/2011 - 11:40h

Bom dia amigo, vamos continuar tentando.

Dessa vez vou utilizar de outra forma pra tentar resolver este problema.

no servidor webmin aplique as seguintes regras:

iptables -P INPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 10.232.16.0/24 -j ACCEPT

no servidor gateway de cada servidor inclua:

echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -P FORWARD ACCEPT

no servidor de firewall inclua as seguintes regras:

iptables -I INPUT -i eth0 -p tcp --dport 20000 -j ACCEPT
iptables -I INPUT -i eth0 -p udp --dport 20000 -j ACCEPT
iptables -A FORWARD -s 189.x.x.x -d 10.232.22.1 -j ACCEPT
# redireciona os pacotes tcp e udp da porta 20000 do servidor de firewall para o host interno 10.232.22.1:20000
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20000 -j DNAT --to 10.232.22.1:20000
iptables -t nat -A PREROUTING -p udp -i eth0 --dport 20000 -j DNAT --to 10.232.22.1:20000

iptables -t nat -A POSTROUTING -s 189.x.x.x -o eth1 -j SNAT --to ip válido na 10.232.16.0 (exemplo 10.232.16.1 ou outro)

aguardo sua resposta..

rodfer
(usa Debian)

Enviado em 09/09/2011 - 17:13h

Boa tarde!
Segui as orientações mas não funcionou. Apenas uma ressalva: não tenho acesso aos roteadores para inserir regras neles, mas até onde sei, todos os tráfegos que passam por eles estão liberados.

De ontem pra hoje, pensando no assunto, tive uma ideia diferente:
No servidor 10.232.22.1, acrescentei o IP 10.232.16.250, com gw 10.232.16.1, da seguinte forma:
ifconfig eth2:3 10.232.16.250
route add -host 10.232.16.250 gw 10.232.16.1 eth2

O traceroute e o ping entre o 10.232.16.1 e o 10.232.16.250 estão funcionando e ocorrendo diretamente de um para outro, sem passar por outros roteadores.

As rotas do 10.232.22.1 ficaram assim:
# route
Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
10.232.16.250 10.232.16.1 255.255.255.255 UGH 0 0 0 eth2
10.232.22.0 * 255.255.255.0 U 0 0 0 eth2
10.0.0.0 * 255.0.0.0 U 0 0 0 eth2
default 10.232.22.200 0.0.0.0 UG 0 0 0 eth2

Essa linha de raciocínio está correta?
Caso esteja, acredito que ficará mais fácil a solução...

Obrigado!