Redirecionamento [RESOLVIDO]

1. Redirecionamento [RESOLVIDO]

michelrbc
(usa Red Hat)

Enviado em 16/03/2009 - 16:05h

Boa tarde a todos,

Realizei a configuração de um Red Hat9 com redirecionamento de portas e NAT.

Meu cenário é o seguinte:

Minha interface eth0 é para a rede local e a eth1 para internet. Possuo redirecionamentos para diversas portas funcionando sem problemas, porém tive um problema com o redirecionamento com a porta 80.
Preciso que algumas máquinas naveguem via NAT, porém preciso de um redirecionamento da porta 80 para um servidor WEB que está dentro da empresa.
Para que pudesse contornar a situação, realizei a seguinte configuração.

- Criei um redirecionamento para a porta 80 para meu servidor interno somente quando solicitado pela eth1, pois se colocasse um PREROUTING para as suas interfaces, mataria meu NAT. O problema agora é o seguinte:

- De fora consigo acessar o servidor WEB (Portal) sem problemas através do meu dominio, porém quando estou dentro da empresa, somente consigo acessá-lo através do endereço ip, mas quando mando pingar o nome é resolvido sem problemas.

Para ficar mais claro:

Se eu digitar www.meudominio.com.br de fora, acesso normalmente meu portal, porém quando tento acessar da mesma maneira através da minha rede interna não acesso, sendo necessário digitar o ip da minha rede interna. (quando mando pingar da minha rede interna resolve normalmente o domínio)

Segue abaixo meu script para que possam analisar:

#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.

touch /var/lock/subsys/local

iptables -X
iptables -F
iptables -t nat -F

# Limpa arquivos messages
echo > /var/log/messages

modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

### FTP TIPROD2
iptables -t nat -I PREROUTING -p tcp --dport 21 -j DNAT --to-destination 192.168.1.7:21
iptables -t nat -I PREROUTING -p tcp --dport 20 -j DNAT --to-destination 192.168.1.7:21

## Acesso Portal
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.7:80

## Acesso TS
iptables -t nat -I PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 192.168.1.2:3389

## Acesso Vortex
iptables -t nat -I PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 192.168.1.37:80

## Acesso TS TIPROD
iptables -t nat -I PREROUTING -p tcp --dport 5800 -j DNAT --to-destination 192.168.1.5:3389

## Acesso TS CPDPROD
iptables -t nat -I PREROUTING -p tcp --dport 5801 -j DNAT --to-destination 192.168.1.6:3389

Desde já agradeço a ajuda de todos.

0 0

Quote

2. MELHOR RESPOSTA

elgio
(usa OpenSuSE)

Enviado em 17/03/2009 - 10:56h

http://www.vivaolinux.com.br/topico/netfilter-iptables/Redirecionamento-de-portas-2/

(veja meu comentário, de número 2)

Supondo que queira fazer funcionar para a rede interna este redirecionamento:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.7:80

você terá que mascará-lo também, devido ao problema que demonstro do tópico citado. Podes fazer assim:

iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -j MASQUERADE

Ou seja, se estiver indo para a rede 192.168.1.0/24 tendo VINDO DELA mesmo, mascara para que saia com o IP do firewall. Isto porque se não for assim, a resposta não voltará via firewall para que o NAT seja desfeito.

Outros tópicos que explicam o cenário, inclusive com outras soluções:
http://www.vivaolinux.com.br/topico/netfilter-iptables/Redirecionamento-da-porta-23/
http://www.vivaolinux.com.br/topico/Squid-Iptables/Problema-com-redirect-em-Iptables/

0 0

Quote