Daniel Ribeiro escreveu: > Boa tarde Fábio, > > O seu servidor interno que recebe esse DNAT está saindo mascarado para a > internet através do ip da wan2? Caso não, tente adicionar um SNAT para que > esse servidor saia pela wan2, e procure não utilizar a opção MASQUERADE do > iptables, tente fazer direto pelo SNAT pois pode estar ocorrendo da > requisição chegar pela wan2 e sair pela wan1, daí não vai mesmo. >
pelo que entendi, wan2 é por onde entra (e conseq. deve sair) a conexão que deve ser enviada ao sevidor interno. Ao se fazer um DNAT, não precisa depois fazer um SNAT (ou maquerade), pois o netfilter consulta sua tabela de conexões nat/pat ativas e automaticamente re-escreve os pacotes de saida com IP e portas originais. O problema é justamente esse que vc mencionou (os pacotes de retorno estão saindo pela interface errada), no entanto a solução é usar CONMARK, já que dnat, snat, dpat e spat lidam apenas com traduções de IPs e portas, e não com decisões de roteamento do kernel. Tom Lobato www.tinecon.com.br -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
