Re: duda iptables

Fri, 11 Jan 2008 02:44:22 -0800 

El jue, 10-01-2008 a las 08:32 -0300, Gonzalo Rivero escribió:
> Hola, quiero redireccionar un webserver que tengo en mi red local con ip 
> privada
> iptables -t nat -A PREROUTING -d x.y.z.w -p tcp -m tcp --dport 80 -j
> LOG --log-prefix "lalala DNAT lalala"
> iptables -t nat -A PREROUTING -d x.y.z.w -p tcp -m tcp --dport 80 -j
> DNAT --to-destination a.b.c.d
> 
> x.y.z.w es la ip con la que me ve el mundo, a.b.c.d es el webserver
> que está en otra computadora.
> La primera línea es para hacer un log y ver si funciona. Pero no
> funciona, aunque hace el log. No funciona significa que solo obtengo
> timeouts en el navegador.
> Se me ocurrió agregar otra linea igual, pero con OUTPUT (para los
> paquetes generados en esa computadora) y cuando pongo en el navegador
> x.y.z.w me reenvía correctamente a a.b.c.d, la pregunta es: ¿que estoy
> haciendo mal en lo anterior?
> 
> pd: tail /var/log/syslog
> Jan 10 08:44:51 localhost kernel: lalala DNAT lalala IN=eth2 OUT=
> MAC=00:08:54:45:8f:fd:00:1b:d5:0f:42:93:08:00 SRC=e.f.g.h DST=x.y.z.w
> LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=47944 DF PROTO=TCP SPT=3682
> DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
> Jan 10 08:44:57 localhost kernel: lalala DNAT lalala IN=eth2 OUT=
> MAC=00:08:54:45:8f:fd:00:1b:d5:0f:42:93:08:00 SRC=e.f.g.h 0
> DST=x.y.z.w LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=47945 DF PROTO=TCP
> SPT=3682 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0[/code]
> 
> ¿eso significa que al menos lot está intentando?
> 
No estoy muy seguro pero creo que el problema esta en la ruta que siguen
los paquetes, me explico un paquete con dirección A de fuera de tu red
llega al router y este identifica que es una petición para el puerto 80
y lo redirige a la maquina correspondiente esta maquina recibe el
paquete, lo ve como un "marciano" (que no corresponde a la red) y no
sabe como contestarle. cuando la redirección es desde dentro de la red
si funciona porque el paquete no es un marciano.
Prueba a poner un "MASQUERADE" en el "POSTROUTING" para que el paquete
no sea un marciano, seria al así como:
"iptables -t nat -A POSTROUTING -j MASQUERADE -o ethlaqueseainterna".
y nos cuentas



-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Responder a