No eso no causaba ningun tipo de problema, pues toda la red tiene la misma mascara de red /22 por lo tanto todos los pcs se ven sin problema, ya pude solucionar un poco el caso, pues era problema de los switches que estaban cacheando el error y no mostraban el redireccionamiento, ya redirecciona con esa misma regla pero tengo un inconveniente al cual no le veo una solucion obvia.
si tengo el servidor el cual va a redireccionar por ejempli es de ip 10.0.0.1/8 que redireccione los paquetes que van al puerto 8100 tcp por ejemplo, hacia una ip digamos 11.0.0.20/8 digamos (obvio con dos interfaces de red una para la wan y otra para la lan 10.0.0.0/8 y 11.0.0.0/8respectivamente) el trafico es redireccionado efectivamente pero, al hacer el redireccionamiento con nat PREROUTING si hago una peticion desde ese servidor al mismo puerto me va a rehuzar la conexion pues supongo que el paquete al salir del mismo servidor no va a pasar por la tabla nat antes que la tabla filter INPUT.. y me va a rechazar cualquier tipo de conexion.. la pregunta es: si redirecciono desde un servidor un puerto a una maquina interna con nat prerouting, como podria hacer que las peticiones de ese mismo servidor a ese puerto redirecicionado TAMBIEN sean redireccionadas y n osean rehuzadas? un saludo y gracias por responder =). El día 8/11/07, José Arcángel Salazar Delgado <[EMAIL PROTECTED]> escribió: > > xpeed . escribió: > > Buen dia a todos, > > > > resulta que tengo una particular situación acerca del direccionamiento > > de servicios mediante iptables y DNAT.. he intentado resolver durante > > exactamente 5 dias durante todo el dia y no doy con la posible causa y > > esto es por lo siguiente: > > > > como esta en internet en infinidad de sitios para redireccionar un > > servicio como el de un servidor web hacia una red interna (lan) se > > debe hacer mediante DNAT, y si es cierto que hay mucha informacion > > acerca de las reglas que se deben emplear de tipo: > > > > iptables -t nat -A PREROUTING -i Interfaz_wan -p tcp --dport 80 -j > > DNAT --to 192.168.0.X:80 > > > > no he podido encontrar mucha info acerca de los requisitos previos > > para poder hacer el DNAT, tipo modulos y configuracion de procfs > > aparte de > > > > echo 1 > /proc/sys/net/ipv4/ip_forward > > > > ok, dada esa introducción paso a exponer mi problema, a ver si alguien > > me podria hechar el cable por favor, tengo dos redes en un edificio, > > una lan de 24 pcs (clase c 192.168.0.0/24 <http://192.168.0.0/24>) y > > acceso a internet mediante ADSL pero no es enlace ppp.. > > > > y otra red un poco mas grande clase B 172.16.4.0/22 > > <http://172.16.4.0/22> que tiene dos puntos a internet que son > > independientes, uno es para una dependecia de la red y otro para otra > > aparte. > > > > las tres tienen servidores debian 4.0 que he montado y que > > particularmente son casi idenrticos con pocas diferencias, no son > > clones, pero los montea mano todos e instale cada cosa que iba > > necesitando. > > > > mi problema es, que por ejemplo en la red pequeña clase C tengo > > servidores internos tipo web, y ftp etc.. y mediante las reglas de > > redireccionamiento DNAT todo me va perfecto todo funciona a la > > perfección y es bastante eficiente.. PERO en los servidores de la red > > clase B esa regla no funciona para redireccionar a servidores internos > > (que es donde mas se necesitaria al ser mas grande) y no encuentro la > > razon o sea tecniacmente es hacer lo mismo que se hace en la red clase > > C, reireccionar un puerto mediante la regla: > > > > iptables -t nat -A PREROUTING -i Interfaz_wan -p tcp --dport 80 -j > > DNAT --to 192.168.0.X:80 > > > > NO tengo reglas de filtrado y la cadena FORWARD en ambos servidores de > > la red B las tengo en ACCEPT solo para poder testear de que no se > > aproblema de que se filtren los paquetes por otras reglas, pero no se > > que pueda ser.. porque no redirecciona, se queda en timeout > > > > > > vale aclarar que los GW estan correctamente seteados, es decir si voy > > a redirigir con un servidor por ejemplo 172.16.4.1 <http://172.16.4.1> > > hacia una maquina 172.16.4.149 <http://172.16.4.149> al puerto 8100 > > tcp, el GW de la maquina 172.16.4.149 <http://172.16.4.149> es el > > servidor 172.16.4.1 <http://172.16.4.1> ,, o sea pienso yo el gw n oes > > tampoco.. > > > > un saludo y gracias. > A mi se me hace que la bronca la tienes por que la red está subneteada, > pero no estoy seguro. Por otra parte te recomendaria que usaras un > analizador de tráfico para ver exactamente que está sucediendo con los > paquetes (te recomiendo snort). > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] > >
