iptables help needed

[galenogarbe]

Estou enferrujado mesmo, tentei fazer isso por 3 horas e nada.

Tenho uma rede interna com 5 máquinas: 192.168.0.101 até 192.168.1.105

Tenho um Firewall entre a internet e essas máquinas. Nesse firewall IPTABLES tenho os ips internet como o exemplo: 200.1.1.101 e até 200.1.1.105.

Preciso fazer um NAT/Forward do tipo "de --> para" assim:

Tudo que vier para o IP 200.1.1.101 manda pra 192.168.1.101
Tudo que vier para o IP 200.1.1.102 manda pra 192.168.1.102
Tudo que vier para o IP 200.1.1.103 manda pra 192.168.1.103
... e por ai vai.

Desculpem o pedido de "suporte" mais estou precisando mesmo disse e já gastei 3 horas e manuais, quebra-cuca e Google e nada.

Obrigado.

[J.Augusto]

[Source nat) Tradução de endereçamento de origem ???????

Pelo que eu entendi...

[root@eu /]#echo "1" > /proc/sys/net/ipv4/ip_forward

[root@eu /]# iptables -t nat -A POSTROUTING -s 200.1.1.101 -o eth[SeuNic] -J SNAT --to 192.168.1.101

[root@eu /]# iptables -t nat -A POSTROUTING -s [SuaNetMask]/x -o eth[SeuNic] -J SNAT --to 192.168.1.101


Isto aew de tudo que possua como origem [-s 200.1.1.101] deverá possuir o seu endereço de destino alterado para
--to [192.168.1.101]

Ou

[root@eu /]# iptables -t nat -A PREROUTING -s 200.1.1.101 -i eth[SeuNic] -J DNAT --to 192.168.1.101


Note que [ -s 200.1.1.101] é o que possua como origem [host], não entendi, não ficou claro pra mim esse [tudo o que vier de 200.1.1.101]


Espero ter ajudado um pouco.
Povo se eu me equivoquei perdão.

:)

[egbertomonteiro]

Eu não faria isso!
NAT é muito custoso.

Dependendo do trafego dos seus servers o seu firewall abre o bico.

Eu colocaria os ip's validos nos servidores e no firewall regras de FORWARD.

Ex:
iptables -A FORWARD -p tcp -s $NET -d $MEUSERVERX --dport xx -j ACCEPT

[galenogarbe]

Eu não faria isso!
NAT é muito custoso.

Dependendo do trafego dos seus servers o seu firewall abre o bico.

Eu colocaria os ip's validos nos servidores e no firewall regras de FORWARD.

Ex:
iptables -A FORWARD -p tcp -s $NET -d $MEUSERVERX --dport xx -j ACCEPT

A média de acesso é de 2 milhoes de page views/dia.

Temos 8 atendedores no cluster WEB com em média 3.300 usuarios conectados simultaneamente em horário comercial.

[galenogarbe]

Ajudou sim acho que é isso, vou testar mais acho que o comando tá estranho. Vc só se referenciou a um IP na primeira linha do POSTROUTING e na segunda linha informa a mascara é isso mesmo?

Não entendi como é feito o de->para do range inteiro dessa forma. De qualquer forma o SNAT já foi uma luz que posso usar e tentar fazer isso aqui.

obrigado.

[J.Augusto]

Fazendo melhor

[root@eu /]# iptables -t nat -A POSTROUTING -s [Seu_Ip]/x -o eth[SeuNic] -J SNAT --to 192.168.1.101

Ai vamos um pouco mais longe, especificamos que qualquer pacote que possua como origem [SeuIp]/x e sair pela interface -o eth[SeuNic] deverá ter seu endereço alterado [-J SNAT] para --to 192.168.1.101

Ex.:
[root@eu /]# iptables -t nat -A POSTROUTING -s 200.1.1.101/24 -o eth0 -J SNAT --to 192.168.1.101


Era isto que diz dizer :-D

:-)

Ainda bem que ajudei rs.

[Guzpido Krush]

e se não liberar na chain FORWARD não vai dar certo nunca.

[mmachado]

Peraí, gente... Ele tá falando do que vier para o IP público ser direcionado para o IP privado. Nesse caso é um "destination nat", ou DNAT:

Código:

iptables -t nat -A PREROUTING -d ip.publico1 -j DNAT --to-destination ip.interno1
iptables -t nat -A PREROUTING -d ip.publico2 -j DNAT --to-destination ip.interno2
iptables -t nat -A PREROUTING -d ip.publico3 -j DNAT --to-destination ip.interno3

Para as conexões INICIADAS nas máquinas internas ganharem seus respectivos IPs públicos (e não o IP padrão da interface externa do firewall) vai ser preciso, aí sim, criar regras SNAT. Mas isso não é obrigatório.

É claro que é preciso conhecer melhor o firewall e a topologia da rede para poder definir regras menos genéricas do que este exemplo (como especificar a interface por onde a conexão entra). Mas para o que foi perguntado, isso responde.

A propósito, não precisava ir muito longe. O manual do iptables é bem claro nesse ponto.

e se não liberar na chain FORWARD não vai dar certo nunca.

Mesmo se a chain for, por padrão, ACCEPT? (com este tipo de regra de NAT não creio que a política da forward seja muito restritiva)

[]s, MM

[Guzpido Krush]

Mesmo se a chain for, por padrão, ACCEPT?

daí estaria LIBERADO na chain FORWARD ué