2009/5/15 Junior Polegato - Linux <[email protected]>: > Olá, > > Supondo que vocês esteja na máquina 172.16.1.99 tentando acessar um IP > público roteado no seu firewall, porta 8038, as regras que casam no firewall > (um tanto quanto poluído) serão: > > > *mangle > :PREROUTING ACCEPT [8957926:6393226099] > > *nat > -A PREROUTING -d 200.xxx.xxx.xxx/xx -p tcp -m tcp --dport 8038 -j DNAT > --to-destination 172.16.1.14:80 > > *router > > *mangle > :FORWARD ACCEPT [8776565:6369676686] > > *filter > -A FORWARD -p tcp -m limit --limit 1/sec -j ACCEPT > > *mangle > :POSTROUTING ACCEPT [8881505:6392747276] > > *nat > :POSTROUTING ACCEPT [60126:3626055] > > > Pelo final, não ocorre a tradução de endereço como deveria de ser > (MASQUERADE ou SNAT) e creio que aí mora o problema. > > Veja que a regra "-t nat -A POSTROUTING -s 172.16.1.0/24 -d ! 172.16.1.0/24 > -j MASQUERADE" não será mais válida, pois está com o IP da rede interna e > destinado para a rede interna, no meu entender. Veja também que a regra "-A > FORWARD -p tcp -m limit --limit 1/sec -j ACCEPT" diminui a performance da > sua rede e aceita tudo o que for TCP, anulando as outra regras que a seguem. > > Minha sugestão, dê uma limpada e organizada nessas regras e tire "-d ! > 172.16.1.0/24" da regra supra citada primeiramente e tire a segunda regra > citada acima.
Opá, Fiz as alterações e agora consegui alguma coisa na saída do tcpdump, testei fazendo um telnet no ip externo na porta 8088: tcpdump | grep 172.16.1.156 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes 15:12:31.063332 IP 172.16.1.156.2129 > tecnico.jotec.com.br.omniorb: S 2582386495:2582386495(0) win 5840 <mss 1460,sackOK,timestamp 545352926 0,nop,wscale 3> 15:12:33.120348 arp who-has 172.16.1.156 tell 172.16.1.94 15:12:37.064438 IP 172.16.1.156.2129 > tecnico.jotec.com.br.omniorb: S 2582386495:2582386495(0) win 5840 <mss 1460,sackOK,timestamp 545354426 0,nop,wscale 3> 15:12:42.065307 arp who-has 172.16.1.254 tell 172.16.1.156 15:12:45.223288 arp who-has 172.16.1.156 tell 172.16.1.103 15:12:45.702267 IP 172.16.1.156.ipp > 172.16.1.255.ipp: UDP, length 115 15:13:13.349152 IP 172.16.1.156.3966 > 189-039-011-037.static.spo.ctbc.com.br.omniorb: S 2617773432:2617773432(0) win 5840 <mss 1460,sackOK,timestamp 545363495 0,nop,wscale 3> 15:13:16.347584 IP 172.16.1.156.3966 > 189-039-011-037.static.spo.ctbc.com.br.omniorb: S 2617773432:2617773432(0) win 5840 <mss 1460,sackOK,timestamp 545364245 0,nop,wscale 3> 15:13:17.420482 IP 172.16.1.156.ipp > 172.16.1.255.ipp: UDP, length 115 15:13:22.348654 IP 172.16.1.156.3966 > 189-039-011-037.static.spo.ctbc.com.br.omniorb: S 2617773432:2617773432(0) win 5840 <mss 1460,sackOK,timestamp 545365745 0,nop,wscale 3> 15:13:34.350858 IP 172.16.1.156.3966 > 189-039-011-037.static.spo.ctbc.com.br.omniorb: S 2617773432:2617773432(0) win 5840 <mss 1460,sackOK,timestamp 545368745 0,nop,wscale 3> ^C16349 packets captured 20004 packets received by filter 3651 packets dropped by kernel Mas ainda nada de funcionar. > []'s > Junior Polegato > > -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
