NAT com iptables [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 09/09/2011 - 21:19h

Desculpe pela demora na resposta...

Não está errada amigo, apenas adicionou um alias para sua placa de rede para obter um endereço de rede extra, e eu nem pensei nisso, rsrsrsrs.

Porém na configuração que me passou me falou que interface do servidor webmin era eth0 e não eth2, mas enfim...

fica sim mais fácil e o melhor de tudo estão na mesma rede agora, porém o servidor de firewall está com rotas diretas, isto é, sem passar pelos roteadores?

com essa interface virtual podemos acrescentar as regras no servidor firewall e o no webmin.

no servidor webmin:

iptables -P INPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth2 -s 10.232.16.1 -j ACCEPT

no servidor de firewall:
se politica padrão da chain INPUT for ACCEPT então faça:

# redireciona os pacotes tcp e udp da porta 20000 do servidor de firewall para o host interno 10.232.22.1:20000

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20000 -j DNAT --to 10.232.16.250:20000
iptables -t nat -A PREROUTING -p udp -i eth0 --dport 20000 -j DNAT --to 10.232.16.250:20000
iptables -t nat -A POSTROUTING -d 10.232.16.250 -j SNAT --to 10.232.16.1

aguardo seu retorno

rodfer
(usa Debian)

Enviado em 09/09/2011 - 21:49h

Desculpe pela confusão com o eth2...

Fiz como você disse, mas ainda não deu certo...
Recebi esta mensagem de erro:
# iptables -t nat -A PREROUTING -s 189.x.x.x -o eth1 -j DNAT --to 10.232.16.250:20000
iptables v1.3.6: Need TCP or UDP with port specification
Try `iptables -h' or 'iptables --help' for more information.

removido
(usa Nenhuma)

Enviado em 09/09/2011 - 22:01h

Desculpe mais depois que postei fiz umas alterações...

O servidor de firewall está com rotas diretas, isto é, sem passar pelos roteadores?

com essa interface virtual podemos acrescentar as regras no servidor firewall e o no webmin.

no servidor webmin:

iptables -P INPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth2 -s 10.232.16.1 -j ACCEPT

no servidor de firewall:

# redireciona os pacotes tcp e udp da porta 20000 do servidor de firewall para o host interno 10.232.22.1:20000

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20000 -j DNAT --to 10.232.16.250:20000
iptables -t nat -A PREROUTING -p udp -i eth0 --dport 20000 -j DNAT --to 10.232.16.250:20000
iptables -t nat -A POSTROUTING -d 10.232.16.250 -j SNAT --to 10.232.16.1

aguardo seu retorno

rodfer
(usa Debian)

Enviado em 09/09/2011 - 22:13h

Acho que agora foi...
já te confirmo...

rodfer
(usa Debian)

Enviado em 09/09/2011 - 22:22h

Show de bola! Está funcionando 100%!
Depois de apanhar por vários dias tentando resolver, só tenho a lhe agradecer por toda a paciência e ajuda!
Valeu mesmo!
Abraço,
Fernando

removido
(usa Nenhuma)

Enviado em 09/09/2011 - 22:30h

Por nada amigo, não sou um especialista no assunto, porém tentei ajudar usando meus conhecimentos.

porém tenho algumas coisas a acrescentar:

1º - Se esse computador interliga toda rede a internet ou alguns computadores a internet, é bom colocar algumas regras que protejam e não interfiram no redirecionamento de pacotes para o servidor webmin.

2º - Coloque também regras no servidor webmin, é sempre bom evitar dores de cabeça.

3º - OBSERVAÇÂO: achei muito estranho depois de colocar estas regras que coloquei desde o inicio da ajuda e não funcionar, notei também que os dois servidores estavão em uma rede distinta por isso fiquei achando que não estava conseguindo redirecionar os pacotes por conta disso, mas não pensei nessa sua solução bem simples para colocar os dois na mesma rede.

abraço amigo! por nada..

rodfer
(usa Debian)

Enviado em 09/09/2011 - 22:38h

Os dois servidores possuem regras bem restritivas de firewall, ambos com política DROP, liberando somente o necessário.
Apenas o que fiz durante os testes foi desabilitá-los, para não interferir... Mas depois que funcionou, habilitei novamente com as regras que você postou e agora está 100%

Há muito tempo eu quebrava a cabeça com outros redirecionamentos parecidos... Tentei com uma VPN e outros serviços, mas nunca tinha dado certo. Como tenho pouca experiência com firewall, achei que estava fazendo besteira... mas em um momento da nossa conversa, quando você me questionou sobre as 2 redes separadas, foi que me dei conta que os caminhos de ida e volta estavam diferentes, por isso, os pacotes não voltavam à origem.
Mas tenha a certeza que me ajudou demais e que aprendi muito nesses dois dias de luta!

Mais uma vez, muito obrigado pela presteza e paciência!

Abraço,
Fernando

removido
(usa Nenhuma)

Enviado em 09/09/2011 - 23:01h

Não esquece de marcar como resolvido..