Usando IPTABLES para hacer NAT

2008-11-03 Thread Alex JP 
Hola.

He leido el mensaje
http://lists.debian.org/debian-user-spanish/2005/03/msg01140.html,
pero el email del autor parece estar caído.

Llevo "unas cuantas horas" tratando de hacer nating con una Red Hat
entre dos redes.
Mi configuración de red es la siguiente:

EQUIPO A
192.168.X.100
   ^
   |
   v
192.168.X.101  (eth0)
EQUIPO B
192.168.Y.200  (eth1)
   ^
   |
   v
192.168.Y.201
EQUIPO C


Es decir, Equipo C tiene dos tarjetas de red, una en la red
192.168.X.* y otra en la red 192.168.Y.*

Lo que quiero hacer es conectarme por SSH al equipo B desde el A, pero
que la conexión se realice de forma transparente en el C.


Mi script es el siguiente:


#!/bin/sh
## SCRIPT de IPTABLES

echo -n Aplicando Reglas de Firewall...

# Reiniciamos las reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

# Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

# Permitimos hacer forward
echo 1 > /proc/sys/net/ipv4/ip_forward

# Tenemos conexiones entrantes al puerto 22 de eth0
# La conexion se origina en el puerto 1024:65535
# Nos llevamos la conexion a la maquina 192.168.Y.201, puerto 22
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 --sport
1024:65535 -j DNAT --to 192.168.Y.201:22

# Ahora pasamos la conexion de la tarjeta eth0 a la eth1
# La maquina de destino sigue siendo la 192.168.Y.201
iptables -A FORWARD -p tcp -i eth0 -o eth1 -d 192.168.Y.201 --dport 22
--sport 1024:65535 -m state --state NEW -j ACCEPT

echo "Verificando las reglas de NAT..."
iptables -t nat -L -n


Según lo leído debería funcionar, sin embargo la hacer SSH desde la
Máquina A a la Máquina B sólo obtengo una bonita conexión sin
respuesta por parte del destino.

¿Alguna idea?

Gracias.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Usando IPTABLES para hacer NAT

2008-11-03 Thread angel 
El lun, 03-11-2008 a las 19:07 +0100, Alex JP escribió:
> Hola.
> 
> He leido el mensaje
> http://lists.debian.org/debian-user-spanish/2005/03/msg01140.html,
> pero el email del autor parece estar caído.
> 
> Llevo "unas cuantas horas" tratando de hacer nating con una Red Hat
> entre dos redes.

Te equivocaste de lista


> Mi configuración de red es la siguiente:
> 
> EQUIPO A
> 192.168.X.100
>^
>|
>v
> 192.168.X.101  (eth0)
> EQUIPO B
> 192.168.Y.200  (eth1)
>^
>|
>v
> 192.168.Y.201
> EQUIPO C
> 
> 
> Es decir, Equipo C tiene dos tarjetas de red, una en la red
> 192.168.X.* y otra en la red 192.168.Y.*
> 
Estas seguro ?

> Lo que quiero hacer es conectarme por SSH al equipo B desde el A, pero
> que la conexión se realice de forma transparente en el C.
> 
> 
> Mi script es el siguiente:
> 
> 
> #!/bin/sh
> ## SCRIPT de IPTABLES
> 
> echo -n Aplicando Reglas de Firewall...
> 
> # Reiniciamos las reglas
> iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
> 
> # Establecemos politica por defecto
> iptables -P INPUT ACCEPT
> iptables -P OUTPUT ACCEPT
> iptables -P FORWARD ACCEPT
> iptables -t nat -P PREROUTING ACCEPT
> iptables -t nat -P POSTROUTING ACCEPT
> 
> # Permitimos hacer forward
> echo 1 > /proc/sys/net/ipv4/ip_forward
> 
> # Tenemos conexiones entrantes al puerto 22 de eth0
> # La conexion se origina en el puerto 1024:65535
> # Nos llevamos la conexion a la maquina 192.168.Y.201, puerto 22
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 --sport
> 1024:65535 -j DNAT --to 192.168.Y.201:22
> 
> # Ahora pasamos la conexion de la tarjeta eth0 a la eth1
> # La maquina de destino sigue siendo la 192.168.Y.201
> iptables -A FORWARD -p tcp -i eth0 -o eth1 -d 192.168.Y.201 --dport 22
> --sport 1024:65535 -m state --state NEW -j ACCEPT
> 
> echo "Verificando las reglas de NAT..."
> iptables -t nat -L -n
> 
> 
> Según lo leído debería funcionar, sin embargo la hacer SSH desde la
> Máquina A a la Máquina B sólo obtengo una bonita conexión sin
> respuesta por parte del destino.
> 
> ¿Alguna idea?
> 
Si,redefini tu diseño, porque de acuerdo a lo que pones el que tiene 2
placas es el equipo B
En todo caso, que te dijeron en las listas de RedHat??

> Gracias.
> 
> 


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]