Eduardo Lopes escreveu: > 2009/5/14 Junior Polegato - Linux <[email protected]>: >> Eduardo Lopes escreveu: >>> 2009/5/14 Miguel Da Silva - URI <[email protected]>: >>> >>>> Eduardo Lopes escribió: >>>> >>>>> eth0 -> Rede Local >>>>> eth1 -> Link1 >>>>> eth2 -> Link2 >>>>> eth3 -> Link3 >>>>> >>>>> for links in `echo $LINK1 $LINK2` >>>>> do >>>>> $IPTABLES -t nat -A PREROUTING -p tcp -d $links --dport 8038 -j >>>>> DNAT >>>>> --to 172.16.1.14:80 >>>>> done >>>>> $IPTABLES -t filter -A FORWARD -p tcp -d 172.16.1.14 --dport 80 -j >>>>> ACCEPT >>>>> $IPTABLES -t mangle -A PREROUTING -s 172.16.1.14 -j MARK >>>>> --set-mark >>>>> 49 >>>>> $IPTABLES -t nat -A POSTROUTING -s 172.16.1.14 -j SNAT --to >>>>> $INET_LINK1 >>>>> ip rule add fwmark 49 lookup 49 prio 49 >>>>> ip route add default table 49 nexthop dev eth3 via $GW_LINK1 >>>>> weight >>>>> 49 >>>>> >>>>> >>> O que não está >>> funcionando é o seguinte, minha rede (172.16.1.0/24) não consegue >>> acessar o meu ip externo, nem por browser, nem mesmo um telnet >>> <ip-externo> 8038 funciona. Preciso que minha rede consiga acessar >>> essa aplicação. >>> >> Olá, >> >> A primeira regra PREROUTING está roteando os IP externos, porta 8038 >> para a porta 80 do IP 172.16.1.14, se for isso, está correto. Agora tente >> acessar de dentro da rede 172.16.1.0/24 o IP 172.16.1.14, porta 80, se >> conseguir, legal, é possível de um IP da rede local acessá-lo, implicando >> numa barreira no firewall. Mas se não conseguir, deve haver alguma regra no >> IP 172.16.1.14 bloqueando a rede local. > > Opa, > Acesso normalmente da minha rede local para o servidor. > >> Se for bloqueio no firewall, verifique a regra FORWARD, que pelo visto >> está com política DROP, se está descartando pacotes enquanto tenta acessar >> um IP externo, porta 8038, da rede interna com: >> >> watch -n 1 'iptables -L -v|sed -n /FORWARD/,/^$/p' > > Então o problema é que a maquina que estou fazendo o teste está toda > liberada no firewall. Eu acesso tudo por ela, menos o meu ip externo. > >> Também vale uma monitorada no firewall com wireshark para ver o que >> chega e o que sai filtrando pelos IPs em teste. > > Já tinha monitorado com o tcpdump mas não achei nada. > >> []'s >> Junior Polegato >> >> > >
Falta uma regra para fazer NAT e dessa maneira, ter acesso à internet desde as máquinas locais. Ou seja, um computador na rede 172.16.1.0/24 acessa um computador na internet atraves de NAT. O acesso ao servidor, usando alguma máquina local, não será afetado porque nem mesmo passará pelo firewall; a conexão vai ser direta entre um cliente na rede 172.16.1.0/24 e o servidor 172.16.1.14. Até. -- Miguel Da Silva Unidad de Recursos Informáticos Facultad de Ingeniería - http://www.fing.edu.uy Universidad de la República - http://www.rau.edu.uy -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
