Iptables + Mysql [RESOLVIDO]

uesleisouza
(usa Debian)

Enviado em 16/02/2009 - 10:54h

A minha situacao é a seguinte, possuo 2 servidores em uma empresa, um deles com internet e firewall, outro para backup e banco de dados mysql, nesse com banco de dados mysql preciso q seja possivel acessar direto pelo ip da internet, pois faço conexoes diretas com ele, para isso utilizo a seguinte regra no iptables:

iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 3306 -j DNAT --to-destination 192.168.0.2
Teoricamente essa regra funciona, mas ai surge um grande problema, ela funciona apenas para acessos externos ou seja, fora da rede da empresa consigo acessar o mysql direto pelo ip da empresa, mas local tenho q entrar pelo ip 192.168.0.2, mas preciso q mesmo local possa acessar pelo ip da internet, aguardo a ajuda de voces, obrigado

richardandrade
(usa Debian)

Enviado em 16/02/2009 - 11:06h

Amigo NAT interno não funciona vou tentar explicar de um modo simples:

supondo que exista 3 máquinas:

máquina A = 192.168.0.1
máquina B = 192.168.0.2
máquina C = 192.168.0.3

a máquina A manda um pacote 1 pela porta (supondo) 6000 e a máquina B redireciona para máquina C modificando esse pacote (pacote 2).

Vendo a origem e Destino dos pacotes.

Pacote 1 =
192.168.0.1(origem máquina A)
192.168.0.2(destino máquina B)

Pacote 2 =
192.168.0.1(origem máquina A)
192.168.0.3(destino máquina C)

logo a máquina C irá responder para máquina A, só que a máquina A está esperando resposta da máquina B e não da máquina C, então irá jogar fora os pacotes da máquina C e continuará esperando a resposta da máquina B.

Por isso NAT interno não funciona.

Pode fazer um duplo NAT... trocando também a origem do pacote... mas isso é marretada!

valeu e abraço.

uesleisouza
(usa Debian)

Enviado em 16/02/2009 - 17:53h

Certo, obrigado, mas então existe alguma coisa q possa fazer para minha rede interna responda o IP da internet como sendo do servidor com o BD, alguem ja passou por isso tambem ?

Obrigado.

Bezerk
(usa Slackware)

Enviado em 15/01/2010 - 09:33h

Eu tava com um problema semelhante e consegui ajuda aqui no site.
Tenta isso;
modprobe nf_nat_ftp
modprobe nf_conntrack_ftp
iptables -t nat -I POSTROUTING -s 192.168.0.2 -j MASQUERADE.

Se quiser ver o tópico, acesse;

http://www.vivaolinux.com.br/topico/Squid-Iptables/Conexao-direta-pelo-iptables

elgio
(usa OpenSuSE)

Enviado em 16/01/2010 - 11:04h

Nat Interno tem certos problemas, como expliquei em 2007 neste post: http://www.vivaolinux.com.br/topico/netfilter-iptables/Redirecionamento-de-portas-2/