Então Wendel, eu não tentei sem limitar, pq como eu quero fazer este nat a partir de duas máquinas se eu não limitar é capaz que alguma hora as duas saiam pela mesma porta...
uma coisa que descobri, é que seu eu deixar apenas uma máquina ativa e colocar o ip para o qual eu estou mascarando a conexão na placa dele, aí funciona... Em 29/11/06, Wendell A. Silva<[EMAIL PROTECTED]> escreveu:
Já tentou sem limitar as portas de origem? iptables -t nat -A POSTROUTING -p tcp --dport 443 -j SNAT --to-source 202.181.94.68 Se não funcionar tira o balanceamento para conexões SSL iniciando e terminando a conexão com o mesmo IP. []'s Denis escreveu: > Mas no caso, a máquina Z não existe... seria para devolver a conexão > para a mesma máquina que originou.... > > > Deixe-me esclarecer melhor: > > é o seguinte: Eu tenho um proxy balanceado em duas máquinas. > > Daí qdo os usuários vão acessar sites ssl como bancos por exemplo, e a > conexão alterna entre as dois nodos do cluster o servidor do banco > derruba a conxão pq detecta que houve uma troca de ip. > > > então eu pensei em fazer com que as duas máquinas (66 e 65) saissem > com um único IP qdo fosse SSL (67) > > fiz uma regra em cada uma: > > (66) > >> > iptables -t nat -A POSTROUTING -p tcp --dport 443 -j SNAT --to-source >> > 202.181.94.68:6001-7000 > > e > > (65) >> > iptables -t nat -A POSTROUTING -p tcp --dport 443 -j SNAT --to-source >> > 202.181.94.68:7001-8000 > > > > Em 28/11/06, Wendell A. Silva<[EMAIL PROTECTED]> escreveu: >> A serviço da máquina 202.181.94.67 pode não estar aceitando a conexão. >> A máquina Y ( 202.181.94.66) estabelece conexão com a máquina X. >> A máquina X vai responder para a máquina Z ( 202.181.94.67). O protocolo >> de comunicação entre X e Z deve estar no mesmo ponto anterior, ou seja, >> a máquina Z deve estar esperando uma resposta de Y. >> >> Talvez esse seja o problema. >> >> Denis escreveu: >> > galera... alguém pode me dar um help com SNAT? >> > >> > >> > O ip real da minha máquina é 202.181.94.66 eu estou tentando fazer uma >> > regra que quando for sair para a porta 443 de destino ele não saia com >> > o ip real, mas sim com o ip 202.181.94.67 ( por que é uma otra >> > história, se interessar posso descrever) que é do mesma rede do meu >> > range de ips válidos. >> > >> > >> > Quando eu checo na máquina de destino, o pacote chega lá mascarado >> > direitinho (como se a origem fosse 202.181.94.67:6100 por exemplo)mas >> > conexão não consegue ser estabelecida... >> > >> > é como se o host de destino não conseguisse devolver o pacote. Alguém >> > sabe o que pode estar acontecendo, e como resolvo? >> > >> > A regra é a seguinte: >> > >> > iptables -t nat -A POSTROUTING -p tcp --dport 443 -j SNAT --to-source >> > 202.181.94.68:6001-7000 >> >> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
