2009/5/14 Junior Polegato - Linux <[email protected]>: > Eduardo Lopes escreveu: >> >> 2009/5/14 Miguel Da Silva - URI <[email protected]>: >> >>> >>> Eduardo Lopes escribió: >>> >>>> >>>> eth0 -> Rede Local >>>> eth1 -> Link1 >>>> eth2 -> Link2 >>>> eth3 -> Link3 >>>> >>>> for links in `echo $LINK1 $LINK2` >>>> do >>>> $IPTABLES -t nat -A PREROUTING -p tcp -d $links --dport 8038 -j >>>> DNAT >>>> --to 172.16.1.14:80 >>>> done >>>> $IPTABLES -t filter -A FORWARD -p tcp -d 172.16.1.14 --dport 80 -j >>>> ACCEPT >>>> $IPTABLES -t mangle -A PREROUTING -s 172.16.1.14 -j MARK >>>> --set-mark >>>> 49 >>>> $IPTABLES -t nat -A POSTROUTING -s 172.16.1.14 -j SNAT --to >>>> $INET_LINK1 >>>> ip rule add fwmark 49 lookup 49 prio 49 >>>> ip route add default table 49 nexthop dev eth3 via $GW_LINK1 >>>> weight >>>> 49 >>>> >>>> >> >> O que não está >> funcionando é o seguinte, minha rede (172.16.1.0/24) não consegue >> acessar o meu ip externo, nem por browser, nem mesmo um telnet >> <ip-externo> 8038 funciona. Preciso que minha rede consiga acessar >> essa aplicação. >> > > Olá, > > A primeira regra PREROUTING está roteando os IP externos, porta 8038 > para a porta 80 do IP 172.16.1.14, se for isso, está correto. Agora tente > acessar de dentro da rede 172.16.1.0/24 o IP 172.16.1.14, porta 80, se > conseguir, legal, é possível de um IP da rede local acessá-lo, implicando > numa barreira no firewall. Mas se não conseguir, deve haver alguma regra no > IP 172.16.1.14 bloqueando a rede local.
Opa, Acesso normalmente da minha rede local para o servidor. > Se for bloqueio no firewall, verifique a regra FORWARD, que pelo visto > está com política DROP, se está descartando pacotes enquanto tenta acessar > um IP externo, porta 8038, da rede interna com: > > watch -n 1 'iptables -L -v|sed -n /FORWARD/,/^$/p' Então o problema é que a maquina que estou fazendo o teste está toda liberada no firewall. Eu acesso tudo por ela, menos o meu ip externo. > > Também vale uma monitorada no firewall com wireshark para ver o que > chega e o que sai filtrando pelos IPs em teste. Já tinha monitorado com o tcpdump mas não achei nada. > []'s > Junior Polegato > > -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
