El 20 de octubre de 2011 11:34, Juan Antonio <push...@limbo.ari.es>escribió:
> El 20/10/11 18:27, Jorge Toro escribió: > > Cordial saludo lista, > > Tengo el siguiente problema: > > Resulta que tengo un Firewall/Proxy con la IP publica 190.28.122.250(eth0) > y la 10.0.4.150 (eth1), dentro de mi red tengo dos equipos 10.0.4.17 donde > funciona mi servidor mail y en 10.0.4.19 donde tengo un servidor con dos > aplicativos web uno por el puerto 80 y otro por el puerto 8890. Para que los > aplicativos fueran publicos cree una interfaz de red virtual con la IP > publica 190.28.122.253(eth0:0), pero cuando redirijo los paquetes con > iptables: > > iptables -A PREROUTING -d 190.28.122.253 -p tcp -m tcp --dport 80 -j DNAT > --to-destination *10.0.4.19*:80 > > No me funciona me dice que el host remoto no contesta. Pero si hago pruebas > cambiando el PC de destino a el *.17* si funciona, si me redirige los > paquetes. > > iptables -A PREROUTING -d 190.28.122.253 -p tcp -m tcp --dport 80 -j DNAT > --to-destination *10.0.4.17*:80 > > El PC 10.0.4.19 esta accesible y funciona desde la LAN. > > Alguien tiene alguna idea de que pueda ser el problema, de antemano muchas > gracias. > > -- > Jolth > http://jolthgs.wordpress.com/ > devmicrosystem.com > -------------------------------------------------------------- > Powered By Debian. > Developer Bullix GNU/Linux. > -------------------------------------------------------------- > -----BEGIN PGP SIGNATURE----- > Version: GnuPG v1.4.6 (GNU/Linux) > > iD8DBQBIWWH6q7mzdgTzI5ARAkX5AJ9TR6hL2ocLMOUDRfhts8DlVl+jpwCeNw5x > p4+4FNUHPDUx1lU9F8WSKCA= > =zRhQ > -----END PGP SIGNATURE----- > Este correo esta protegido bajo los términos de la Licencia > Atribución-Compartir Obras Derivadas Igual a 2.5 Colombia de Creative > Commons. Observé la licencia visitando este sitio > http://creativecommons.org/licenses/by-sa/2.5/co/. > > > > ummm > > ¿Que tienes en filter FORWARD? En 10.0.4.19:80 ¿Hay algo escuchando? ¿Las > puertas de enlace por defecto de ambos servidores son la misma? En caso que > no sea el cortafuegos la puerta de enlace ¿Enmascaras el tráfico que llega a > los servidores? > > En todo caso puedes usar tcpdump, por ejemplo, para confirmar si el tráfico > se queda en el cortafuegos o si llega al servidor final y si este vuelve por > donde debe. > > Un saludo. > > > Hola Juan Antonio: ¿Que tienes en filter FORWARD? -A FORWARD -s 10.0.4.17 -j ACCEPT -A FORWARD -s 10.0.4.19 -j ACCEPT ¿Hay algo escuchando? # netstat -punta | grep :80 tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN - tcp 0 0 10.0.4.19:8093 0.0.0.0:* LISTEN - tcp 0 0 10.0.4.19:80 10.0.4.137:2215 ESTABLISHED - tcp 0 0 10.0.4.19:80 10.0.4.150:35463 TIME_WAIT - tcp 0 0 10.0.4.19:80 10.0.4.160:49928 FIN_WAIT2 - tcp 0 0 10.0.4.19:80 10.0.4.150:35387 TIME_WAIT - tcp 0 0 10.0.4.19:80 10.0.4.138:3665 FIN_WAIT2 - tcp 0 0 10.0.4.19:80 10.0.4.136:54091 ESTABLISHED - tcp 0 0 10.0.4.19:80 10.0.4.136:54089 ESTABLISHED - tcp 0 0 10.0.4.19:80 10.0.4.136:54086 TIME_WAIT - tcp 0 0 10.0.4.19:80 10.0.4.136:54084 TIME_WAIT - ¿Las puertas de enlace por defecto de ambos servidores son la misma? [root@mail ~]# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.0.4.0 * 255.255.255.0 U 0 0 0 eth0 10.0.4.0 * 255.255.255.0 U 0 0 0 eth1 169.254.0.0 * 255.255.0.0 U 0 0 0 eth1 default enlinea.coopcaf 0.0.0.0 UG 0 0 0 eth0 [root@web ~]# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.0.4.0 * 255.255.255.0 U 0 0 0 eth0 link-local * 255.255.0.0 U 0 0 0 eth0 loopback * 255.0.0.0 U 0 0 0 lo default 10.0.4.30 0.0.0.0 UG 0 0 0 eth0 el 10.0.4.30 es un router. Como puede en mascarar el trafico que llega a los servidores? ya he realizado algo como: iptables -A POSTROUTING -s 10.0.4.19 -j MASQUERADE Como puedo usar: "tcpdump, por ejemplo, para confirmar si el tráfico se queda en el cortafuegos o si llega al servidor final y si este vuelve por donde debe"? Saludos, -- Jolth http://jolthgs.wordpress.com/ devmicrosystem.com -------------------------------------------------------------- Powered By Debian. Developer Bullix GNU/Linux. -------------------------------------------------------------- -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) iD8DBQBIWWH6q7mzdgTzI5ARAkX5AJ9TR6hL2ocLMOUDRfhts8DlVl+jpwCeNw5x p4+4FNUHPDUx1lU9F8WSKCA= =zRhQ -----END PGP SIGNATURE----- Este correo esta protegido bajo los términos de la Licencia Atribución-Compartir Obras Derivadas Igual a 2.5 Colombia de Creative Commons. Observé la licencia visitando este sitio http://creativecommons.org/licenses/by-sa/2.5/co/.
