Redirecionando conexões via IPTABLES

1. Redirecionando conexões via IPTABLES

apesjunior
(usa Debian)

Enviado em 24/09/2013 - 12:51h

Olá a todos da comunidade Viva o linux.

Hoje me surgiu uma duvida e gostaria de saber se alguém já realizou a façanha e como o fez?

Há possibilidade (logico que há), de quando meu hosting receber uma conexão de entrada (INPUT) - ex - ssh, ele encaminhar ou fazer a ponte entre o cliente e o servidor.

Fazendo com que a conexão pareça ser do servidor firewall e não do cliente.

___________ ___________
| | | |
===SSH==> | INPUT FW | | |
| | | INPUT SRV |
| OUTPUT FW | <===Port2222===> | |
|___________| |___________|

A conexão vem da nuvem, acessa o FW, o firewall - teoricamente, acessa o servidor.

É como se as conexões fossem originadas do firewall.

Isso seria na tabela mangle?

0 0

Quote

2. Re: Redirecionando conexões via IPTABLES

souzacarlos
(usa Outra)

Enviado em 22/12/2013 - 18:56h

Boa tarde, tira uma dúvida, aplicação disto como seria? qual seria o cenário para uso?

0 0

Quote

3. Re: Redirecionando conexões via IPTABLES

Buckminster
(usa Debian)

Enviado em 22/12/2013 - 19:15h

"snat :: Este alvo só é válido na tabela nat na chain postrouting. Ele especifica que o endereço de origem do pacote deve ser modificado (e todos os outros pacotes, neste contexto, também serão modificados), e as regras deixam de ser examinadas. É preciso um tipo de opção: --to-source ipaddr[-ipaddr][:port[-port]] :: Que pode especificar um novo endereço IP de origem único, um range abrangente de endereços IP e, opcionalmente, um range de portas (que só é válido se a regra também especifica -p tcp ou -p udp).

Se nenhum intervalo de porta for especificado, então as portas de origem abaixo de 512 serão mapeadas para outras portas abaixo de 512; aquelas entre 512 e 1023, inclusive, serão mapeadas para portas abaixo de 1024, e outras portas serão mapeadas para portas acima de 1024, inclusive.

Sempre que possível, nenhuma alteração de porta será feita em kernels até 2.6.10, você pode adicionar várias opções "--to-source". Para esses kernels, se você especificar mais de um endereço de origem, quer através de um intervalo de endereços ou múltiplas opções "--to-source", um simples round-robin (um após o outro no ciclo) ocorre entre esses endereços. kernels posteriores (>= 2.6.11-rc1) não têm mais a capacidade de nat para vários intervalos.

--random :: Se a opção "--random" for usada, então os mapeamentos de portas serão randomizados (kernel >= 2.6.21).
--persistent :: Dá a um cliente o mesmo "source-/destination-address" para cada conexão. Substitui o alvo same. O suporte para mapeamentos persistentes está disponível a partir de 2.6.29-rc2.

Nota do tradutor: Com o snat ( source nat ) é possível alterar o endereço de origem no cabeçalho (header) dos pacotes que combinam com a regra criada.

# iptables -t nat -a postrouting -o eth0 -j snat --to 172.16.1.123

Nesta regra, todos os pacotes que saírem pela interface de rede eth0 terão os endereços de origem alterados para 172.16.1.123."

Veja aqui:
http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/?pagina=5

Mas se você não está querendo isso (simplesmente alterar o endereço de origem), mas transferir a conexão de lugar, daí aconselho a utilizar o Squid.
O Iptables até faz, mas é mais custoso.

1 0

Quote