NAT não funciona

cleberdecarvalho
(usa Suse)

Enviado em 22/05/2012 - 22:33h

Amigos,

Por favor, preciso de um auxilios dos expert de plantão para uma NAT.

Tenho dois servidores envolvidos, conforme abaixo:

- Servidor Linux Suse (Firewall de Borda)
Iptables e squid
eth1:
IP 187.x.x.x
IP 10.224.5.102
eth0:
10.0.1.132

- Servidor de Aplicação (Windows 2003)
IP 10.0.1.67


A placa eth0-10.0.1.132 é o gateway da minha rede interna.

POis bem, estou fechando uma conexão com um cliente e a rede dele reconhece apenas o IP 10.224.5.102 da minha rede.
Portanto preciso fazer um NAT onde todo conteúdo que entrar pela 10.224.5.102 seja direcionado para o 10.0.1.67 e todo conteúdo que sair do 10.0.1.67 saia com o IP 10.224.5.102.

Tentei as regras abaixo:
iptables -I FORMARD -s 10.0.1.0/24 -d 10.224.5.0/24 -j ACCEPT
iptables -I FORWARD -d 10.0.1.0/24 -s 10.224.5.0/24 -j ACCEPT

iptables -t nat -I PREROUTING -s 10.224.5.102 -j DNAT –-to 10.0.1.67
iptables -t nat -I POSTROUTING -s 10.0.1.67 -j SNAT -–to 10.224.5.102

Porem não esta funcionando,os pacote que entram não são redirecionados e os que estão saindo tambem não estão funcionando..

Alguem poderia me ajudar?

Valeu pessoal.

CLeber

removido
(usa Nenhuma)

Enviado em 22/05/2012 - 22:46h

Tem alguma porta especifica ou não ?

o ip 187.x.x.x é de alguma outra interface ou é de eth1 mesmo pois o mesmo tem duas interfaces ?

Caso a interface de internet seja eth1 mesmo, então faça:

iptables -t nat -A POSTROUTING -i eth1 -j DNAT --to 10.0.1.67

iptables -t nat -A PREROUTING -d 10.0.1.67 -j SNAT --to 10.0.1.132

 

retire essas duas regras abaixo:

iptables -t nat -I PREROUTING -s 10.224.5.102 -j DNAT –-to 10.0.1.67
iptables -t nat -I POSTROUTING -s 10.0.1.67 -j SNAT -–to 10.224.5.102

removido
(usa Nenhuma)

Enviado em 23/05/2012 - 10:32h

Dá um retorno ai.

cleberdecarvalho
(usa Suse)

Enviado em 23/05/2012 - 12:12h

Opa...
Estou tentando colocar a primeira regra..

iptables -t nat -A POSTROUTING -i eth1 -j DNAT --to 10.0.1.67

Mas esta retornando o erro abaixo:

"iptables v.1.4.4: Can´t use -i with POSTROUTING."



Cleber

removido
(usa Nenhuma)

Enviado em 23/05/2012 - 12:18h

e se continuar assim vai dá erro mesmo, não é POSTROUTING é PREROUTING.desculpe pelo erro.

correção:

iptables -t nat -A PREROUTING -i eth1 -j DNAT --to 10.0.1.67

iptables -t nat -A POSTROUTING -d 10.0.1.67 -j SNAT --to 10.0.1.132

 

cleberdecarvalho
(usa Suse)

Enviado em 23/05/2012 - 12:40h

rs..

Opa..entendi..

Vou executar agora.

Esse firewall é o meu proxy na rede.

Essa regra pode parar o proxy para as estações?

removido
(usa Nenhuma)

Enviado em 23/05/2012 - 12:44h

Não, mas me responde :

Tem alguma porta especifica ou não ?

o ip 187.x.x.x é de alguma outra interface ou é de eth1 mesmo pois o mesmo tem duas interfaces ou eth1 tem dois endereços o local e o 187.x.x.x ?

cleberdecarvalho
(usa Suse)

Enviado em 23/05/2012 - 12:52h

Não, mas me responde :

Tem alguma porta especifica ou não ?

o ip 187.x.x.x é de alguma outra interface ou é de eth1 mesmo pois o mesmo tem duas interfaces ou eth1 tem dois endereços o local e o 187.x.x.x ?




Desculpe a demora,
Entrei em contato com o fornecedor, a acesso será feito através da porta 1364, mas queria deixar uma regra em aberto sem porta especifica, pois a porta pode ser trocada no futuro.


O meu firewall de borda tem duas placas de rede, sendo:
ETH1 - 187.x.x.x. - IP FIXO - INTERNET
10.224.5.102 - Esse ip foi acrescentado na ETH1 para realizar o trafego com a rede do parceiro de negocios (VPN) que é 10.224.5/24

Eth0 - 10.0.1.32 - Rede interna, proxy das estações.


O parceiro de negocios permite a comunicao apenas atrav´s do IP 10.224.5.102, como a minha rede interna é no range 10.0.1.0/24, instalamos a aplicação no servidor 10.0.1.67 e a idéia é um NAT do 10.224.5.102 para o 10.0.1.67.

Como faco testes?
Eu tento pingar o IP do parceiro, através da estação 10.0.1.67.

removido
(usa Nenhuma)

Enviado em 23/05/2012 - 13:02h

Perguntei qual porta, por que desta forma tudo que entrar pela eth1 que é por onde se comunica com a internet e com seu parceiro de negocios, vai ser redirecionado para 10.0.1.67.

Mas já que tem uma porta especifica então a regra muda, retire as regras colocadas anteriormente e coloque as que estão abaixo:

iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 1364 -j DNAT --to 10.0.1.67

iptables -t nat -A PREROUTING -p udp -i eth1 --dport 1364 -j DNAT --to 10.0.1.67

iptables -t nat -A POSTROUTING -d 10.0.1.67 -j SNAT --to 10.0.1.132

 

Dessa forma só o trafego com destino a porta 1364 que entrar por eth1 vai ser redirecionado para 10.0.1.67.

Depois de aplicar as regras comece testando pelo ping.

cleberdecarvalho
(usa Suse)

Enviado em 23/05/2012 - 13:09h

Cara,

muito obrigado,

vou testar agora..

E como fica o caso dos pacotes que forem enviados com origem 10.0.1.67?

Tudo que sair pela porta 1364 do 10.0.1.67, deve sair como se fosse do IP 10.224.5.102, dessa forma, chegara no servidor do parceiro.

Se os pacotes sairem com o IP 10.0.1.67 serão rejeitados pela aplicacao do parceiro, pois ela só reconhece o IP 10.224.5.102

removido
(usa Nenhuma)

Enviado em 23/05/2012 - 13:23h

*** Obrigado pela observação feita, nem tinha verificado isso.

Nesse caso acrescente mais uma regra para fazer snat:

iptables -t nat -A POSTROUTING -p tcp -s 10.0.1.67 --sport 1364 -j SNAT --to 10.224.5.102

iptables -t nat -A POSTROUTING -p udp -s 10.0.1.67 --sport 1364 -j SNAT --to 10.224.5.102

 

Então com mais essa duas regras vai ficar assim :

iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 1364 -j DNAT --to 10.0.1.67

iptables -t nat -A PREROUTING -p udp -i eth1 --dport 1364 -j DNAT --to 10.0.1.67

iptables -t nat -A POSTROUTING -d 10.0.1.67 -j SNAT --to 10.0.1.132

iptables -t nat -A POSTROUTING -p tcp -s 10.0.1.67 --sport 1364 -j SNAT --to 10.224.5.102

iptables -t nat -A POSTROUTING -p udp -s 10.0.1.67 --sport 1364 -j SNAT --to 10.224.5.102

 

Faça os testes e dá um retorno.

cleberdecarvalho
(usa Suse)

Enviado em 23/05/2012 - 13:31h

Amigo,
voltei..

estou aplicando agora..

ja te informo..

CLeber