Redirecionar conexão com IPTABLES

coranderson
(usa CentOS)

Enviado em 15/08/2013 - 20:05h

Boa tarde galera... Devido aos recentes problemas com DDoS eu estou querendo usar uma maquina só para filtrar os packets, ai no caso de derrubarem só cai esse servidor de "filtro"... Porem estou com alguns probleminhas na hora de redirecionar... Eu acesso o servidor sem as regras de redirecionar e aparece a menssagem padrao do apache (Its works!), até agora normal, mas quando eu coloco as regras, o site não carrega... Quando eu entro direto no servidor principal funciona :S

Estou usando as seguintes regras:
No filtro:
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -d 192.211.55.162 -p tcp --dport 80 -j DNAT --to 192.184.82.149

No principal:
iptables -A FORWARD -s 192.211.55.162 -p tcp --dport 80 -j ACCEPT


IP do filtro: 192.184.82.149
IP do principal: 192.211.55.162

Essas regras funcionaram para redirecionamente interno... Não sei se funcionam para redirecionar para outras maquinas...
Obrigado

Olha oque eu estou tentando fazer com tudo isso:
Eu estou usando a porta 80 somente para teste, quando der certo eu vou usar a porta de login do jogo tambem, então se o filtro cair, ninguem vai fazer login, e ninguem vai entrar no site, mas os que ja estiverem online, permanecerão conectado(quando faz login você e redirecionado para o IP de outro filtro, eu ja testei e funciono)... Entenderam?

Buckminster
(usa Debian)

Enviado em 16/08/2013 - 04:08h

iptables -A FORWARD -p tcp --dport 80 -j ACCEPT <<< aqui você está liberando o tráfego que passa (FORWARD) pelo servidor na porta 80.

iptables -t nat -A PREROUTING -d 192.211.55.162 -p tcp --dport 80 -j DNAT --to 192.184.82.149 <<< aqui você está dizendo que qualquer pacote destinado ao IP 192.211.55.162 deve ser encaminhado para a máquina com IP 192.184.82.149.

iptables -A FORWARD -s 192.211.55.162 -p tcp --dport 80 -j ACCEPT <<< aqui você está liberando os pacotes originados (-s, source) na máquina com IP 192.211.55.162 para passarem pelo servidor na porta 80.

andrecanhadas
(usa Debian)

Enviado em 16/08/2013 - 10:23h

Bom acredito que não vai funcionar como espera, se esta direcionando o trafego quem vai cair é o destino final e não quem direciona.

coranderson
(usa CentOS)

Enviado em 16/08/2013 - 10:59h

Eu coloquei as 3 regras na maquina com ip 192.211.55.162 ... Porém não funcionou! Antes de por as regras carrega a pagina default do apache(its works!)... Mas quando coloco as regras, retorna um erro dizendo que não foi possível localizar... E quando entro direto no IP 192.184.82.149 funciona normalmente...
Oque pode ser?

coranderson
(usa CentOS)

Enviado em 16/08/2013 - 11:00h

Mas eu vou adicionar regras de portflood, connlimit, e syn flood... Essas regras filtram os pacotes antes de redirecionar, pelo que eu sei... Estou correto?