Hola has probado esto red lan:10.60.0.0/24 eth lan:eth3
eth publica:eth1 red dmz: 10.60.50.0/24 eth dmz: eth2 La regla de proxy transparente es la siguiente: iptables -A PREROUTING -s 10.60.0.0/24 -p tcp -m tcp --dport 80 -j DNAT --to-destination ipproxy:puertoproxy Regla de NAT: iptables -A POSTROUTING -s 10.60.0.0/24 -j MASQUERADE -t nat iptables -A POSTROUTING -s 10.60.0.0/24 -j SNAT --to-source ippublica -t nat Saludos Carlos Valderrama -----Mensaje original----- De: Federico Alberto Sayd [mailto:[email protected]] Enviado el: jueves, 20 de enero de 2011 07:54 a.m. Para: [email protected] Asunto: Re: Problemas haciendo snat con iptables. El 19/01/11 17:46, Juan Antonio escribió: > El 19/01/11 21:23, Ernesto Crespo escribió: > >> Saludos a todos. >> Estoy creando un firewall para un equipo que tiene 3 interfaces de >> red, la primera es la dirección pública, la segunda es la interfaz de >> la dmz y la 3era el de la LAN; está LAN consta de varias redes que >> llegan por esa interfaz. >> >> Tengo un Servidor proxy en el mismo equipo como proxy transparente, >> el funciona pero cuando reviso en whatismyip.com para ver que IP >> estoy usando me muestra la IP de la interfaz que va a la LAN. En el >> archivo access.log de squid aparecen las peticiones de páginas web >> pero sale la IP de la interfaz de la red LAN. >> >> Hago ping desde un equipo de la red local a la IP pública del >> firewall y le llego pero le doy ping al gateway del firewall y no le >> llego, pero si le llego desde el firewall al gateway. >> >> Y desde la DMZ le hago ping al equipo que hace de de servidor de DNS >> y no le llego. >> >> El servidor de Nombres se encuentra en la red LAN el cual el firewall >> y los equipos de la DMZ consultan a dicho servidor de nombres. >> Todo indica que el problema es que no está haciendo NAT el firewall. >> A continuación la regla de proxy transparente y la de NAT. >> >> red lan:10.60.0.0/24 >> eth lan:eth3 >> >> eth publica:eth1 >> >> red dmz: 10.60.50.0/24 >> eth dmz: eth2 >> >> La regla de proxy transparente es la siguiente: >> iptables -t nat -A PREROUTING -i eth3 -s 10.60.0.0/24 -d >> 0.0.0.0/0.0.0.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 8080 >> >> Regla de NAT: >> iptables -t nat -A POSTROUTING -s 10.60.0.0/24 -o eth1 -j SNAT --to >> ipinicial-ipfinal >> >> Gracias por cualquier ayuda que puedan dar... >> >> El problema que tengo es que no logro Ernesto Crespo Linux User No. >> 100996 Usando Debian squeeze- Kernel 2.6.26-2 >> http://ernesto-ecrespo.blogspot.com/ >> Finger Print = 66CB 6BF4 7C7C EC0E DA60 06C8 87E8 9061 C97E 7015 Por >> la no monopolización del conocimiento y del Software Libre. >> >> > Hola, > > no creo que la web de whatismyip.com pueda mostrarte una dirección de > un rango reservado, cualquier encaminador descartará ese tráfico por > no hablar de que sería imposible devolverlo si por un casual llegara > al destino. > Sí puede, en las cabeceras de las peticiones http de Squid se reporta la ip de origen incluso si pertenece a un rango privado (a menos que lo deshabilites en la configuración de Squid). Pero en cualquier caso se reportarán las dos direcciones, la del servidor proxy y la del equipo que origina la petición. Otra cosa es que un host con ip privada (rango reservado) pueda salir hacia internet sin problemas, ahí sí que de seguro no podrá. > Para asegurarte que estas enmascarando el tráfico correctamente usa > iptables -t nat -vnL POSTROUTING y asi verás si la regla que usas esta > sumando tráfico, o bien usa tcpdump y confirma que ves el tráfico > original y el enmascarado. > > La regla parece correcta excepto por lo de ipinicial-ipfinal que no se > que significa, sería --to-source ip-pública o mas facil en tu caso tan > solo enmascaralo todo con -j MASQUERDAE. > > Un saludo. > > > -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected] __________ Informaci n de ESET NOD32 Antivirus, versi n de la base de firmas de virus 5802 (20110120) __________ ESET NOD32 Antivirus ha comprobado este mensaje. http://www.eset.com -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
