(linux-br) NAT no iptables

Mon, 12 Aug 2002 08:08:43 -0700 

Senhores (as),
Estou com o seguinte problema. Tenho o Conectiva instalado com o kernal 2.4. 
Estou montando um firewall utilizando o iptables e, se n�o fossem por duas 
m�quinas estaria tudo certo.
Quero que minha rede tenha um endere�o n�o rote�vel (192.168.1.0/24), mas 
duas das minhas m�quinas precisam ter um endere�o permitido para poderem 
conectar num servidor de um Sistema Interno que existe na rede superior � 
minha. Portanto, estou utilizando o NAT para que todas as vezes que estas 
espec�ficas m�quinas quiserem conectar com este espec�fico servidor os 
pacotes tenho este endere�o permitido.
Sendo:
 -> 1.2.3.4/32 meu endere�o da placa virada para o Internet;
 -> 192.168.1.0/24 minha rede interna;
 -> 192.168.1.57/32 a m�quina que precisa de NAT;
 -> 10.11.12.57/32 o endere�o que quero que esta m�quina tenha na Internet;
 -> 10.11.12.13/32 o n�mero deste servidor do Sistema;
 eis o que estou fazendo.



Primeiro bloqueei todas as portas acima da 1023 s� por seguran�a: 
#iptables -A OUTPUT -o eth0 -p TCP --sport 1024:65535 --dport 1024:65535 -s 
1.2.3.4 -d 0/0 -j DROP
#iptables -A INPUT -i eth0 -p TCP --sport 1024:65535 --dport 1024:65535 -s 
0/0 -d 1.2.3.4 -j DROP
#iptables -A FORWARD -p TCP -s 192.168.1.0/24 --sport 1024:65535 --dport 
1024:65535 -j DROP
#iptables -A FORWARD -p TCP -d 192.168.1.0/24 --sport 1024:65535 --dport 
1024:65535 -j DROP




Para fazer o NAT, preciso liberar as portas acima da 1023 para o TCP e a 
porta 135 para o UDP.

#iptables -A OUTPUT -o eth0 -p TCP --sport 1024:65535 --dport 1024:65535 -s 
1.2.3.4/32   -d 10.11.12.13/32 -j ACCEPT
#iptables -A INPUT  -i eth0 -p TCP --sport 1024:65535 --dport 1024:65535 -s 
10.11.12.13/32 -d 1.2.3.4/32    -j ACCEPT
#iptables -A OUTPUT -o eth0 -p UDP --sport 135 --dport 135 -s 1.2.3.4/32   -d 
10.11.12.13/32 -j ACCEPT
#iptables -A INPUT  -i eth0 -p UDP --sport 135 --dport 135 -s 10.11.12.13/32 
-d 1.2.3.4/24    -j ACCEPT

#iptables -A FORWARD -p TCP -s 192.168.1.57/32   -d 10.11.12.13/32 --sport 
1024:65535 --dport 1024:65535 -j ACCEPT
#iptables -A FORWARD -p TCP -s 10.11.12.13/32 -d 192.168.1.57/32   --sport 
1024:65535 --dport 1024:65535 -j ACCEPT
#iptables -A FORWARD -p UDP -s 192.168.1.57/32   -d 10.11.12.13/32 --sport 
135        --dport 135        -j ACCEPT
#iptables -A FORWARD -p UDP -s 10.11.12.13/32 -d 192.168.1.57/32   --sport 
135        --dport 135        -j ACCEPT

#iptables -A POSTROUTING -t nat -p TCP -o eth0 --sport 1024:65535 --dport 
1024:65535 -s 192.168.1.57/32 -d 10.11.12.13 /32 -j SNAT --to 
10.11.12.57:1024-65535
#iptables -A POSTROUTING -t nat -p UDP -o eth0 --sport 135        --dport 135 
       -s 192.168.1.57/32 -d 10.11.12.13/32 -j SNAT --to 10.11.12.57:135

#iptables -A PREROUTING -t nat -p TCP -i eth0 --sport 1024:65535 --dport 
1024:65535 -s 10.11.12.13/32 -d 10.11.12.57/32 -j DNAT --to 
192.168.1.57:1024-65535
#iptables -A PREROUTING -t nat -p UDP -i eth0 --sport 135        --dport 135  
      -s 10.11.12.13/32 -d 10.11.12.57/32 -j DNAT --to 192.168.1.57:135
------------------------------------------------------------

O  que estou fazendo de errado?
Por que esta configura��o n�o funciona de jeito nenhum??!!!


Grato,

Rodrigo Dias Algarte.


Assinantes em 12/08/2002: 2209
Mensagens recebidas desde 07/01/1999: 178745
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
            mailto:[EMAIL PROTECTED]

Responder a