Pessoal,
Gostaria da ajuda de voc�s, tem uma coisa que est� acontecendo com o
iptables que n�o sei o porque, tenho um firewall linux, que tamb�m � proxy
transparente e um webmail dentro da rede interna assim, libero o acesso ao
webmail pelo iptables da seguinte forma:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT
10.x.x.5:3000
obs: o servidor de webmail j� est� com o gateway setado para o firewall.
Bom de fora da rede eu acesso normal, aponto www.xyz.com.br e vai beleza,
mas de dentro da rede n�o vai nem com reza braba, bom a nivel de
esclarecimento eu tenho as regras de firewall para barrar os acessos
indevidos mas n�o � isto pois somente com estas duas regras ativadas tamb�m
n�o funciona, n�o sei se � algum problema de logica ou algum parametro que
tenho de passar ao iptables, mas j� tentei imaginar o trajeto do pacote com
estas duas regras somente e n�o achei aparentemente nenhum problema, de
qualquer jeito j� tentei tamb�m especificando na regra de PREROUTING a op��o
! -s 200.x.x.x (ip do firewall valido na net) mas n�o deu, estou imaginando
o caminho do pacote assim.
Requisi��o cliente rede interna para o firewall/proxy:
Proxy recebe a requisi��o processa e descobre que o endere�o do site
requisitado � 200.x.x.x manda a requisi��o que passa pela regra de
postrouting, transformando o source address em 200.x.x.x. entao o pacote sai
assim pela interface ppp0:
s: 200.x.x.x
d: 200.x.x.x:80
Bom o pacote sai e volta de novo e � processado pela regra de prerouting,
ficando assim:
s: 200.x.x.x
d: 10.x.x.5:3000
Dai ele vai para o webmail, o webmail recebe a requisi��o de 200.x.x.x e
processa e manda a resposta para ele pelo firewall.
s: 10.x.x.5
d: 200.x.x.x
o firewall recebe e processa pela regra de postrouting, transformado o
source de 10.x.x.5, para 200.x.x.x , ent�o o pacote sai assim:
s: 200.x.x.x
d: 200.x.x.x
dai o proxy deveria receber a resposta , e mandar para o cliente na rede
interna, mas recebo a mensagem do squid quando chamo no browser este
endere�o assim , conection refused. Se algu�m j� passou por isto ou consegue
ver onde est� o erro d� um help ai. Sei que poderia colocar uma regra no
firewall para mandar tudo direto pela rede interna sem ir para a internet,
mas quero compreender o que est� ocorrendo pois devo estar entendendo algo
errado, e sei que entender o processo todo corretamente ser� util quando
tiver outros problemas e/ou fizer outras intera��es mais avan�adas com o
iptables.
Desde j� agrade�o qualquer ajuda e pe�o desculpas pelo longo email.
Anderson
Assinantes em 21/10/2002: 2223
Mensagens recebidas desde 07/01/1999: 187430
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:linux-br-owner@;bazar.conectiva.com.br
