Olá,
Supondo que vocês esteja na máquina 172.16.1.99 tentando acessar
um IP público roteado no seu firewall, porta 8038, as regras que casam
no firewall (um tanto quanto poluído) serão:
*mangle
:PREROUTING ACCEPT [8957926:6393226099]
*nat
-A PREROUTING -d 200.xxx.xxx.xxx/xx -p tcp -m tcp --dport 8038 -j DNAT
--to-destination 172.16.1.14:80
*router
*mangle
:FORWARD ACCEPT [8776565:6369676686]
*filter
-A FORWARD -p tcp -m limit --limit 1/sec -j ACCEPT
*mangle
:POSTROUTING ACCEPT [8881505:6392747276]
*nat
:POSTROUTING ACCEPT [60126:3626055]
Pelo final, não ocorre a tradução de endereço como deveria de ser
(MASQUERADE ou SNAT) e creio que aí mora o problema.
Veja que a regra "-t nat -A POSTROUTING -s 172.16.1.0/24 -d !
172.16.1.0/24 -j MASQUERADE" não será mais válida, pois está com o IP da
rede interna e destinado para a rede interna, no meu entender. Veja
também que a regra "-A FORWARD -p tcp -m limit --limit 1/sec -j ACCEPT"
diminui a performance da sua rede e aceita tudo o que for TCP, anulando
as outra regras que a seguem.
Minha sugestão, dê uma limpada e organizada nessas regras e tire "-d !
172.16.1.0/24" da regra supra citada primeiramente e tire a segunda
regra citada acima.
[]'s
Junior Polegato
--
To UNSUBSCRIBE, email to [email protected]
with a subject of "unsubscribe". Trouble? Contact [email protected]
