Ejecuta primero Iptables -F Y despues los comandos que te envie cambiando por los valores reales de tu red
Enviado desde mi dispositivo android. -----Original Message----- From: Ariel Alvarez <ar...@cncc.cult.cu> To: debian-user-spanish@lists.debian.org Sent: mar, 23 sep 2014 11:47 Subject: Re: redireccionar ip y puertos mediante iptables gracias colega por tu ayuda, yo cambie como es logico las numeraciones de las direcciones ip, en este caso cuando me refiero a: 10.0.0.10 seria la ip real que en la realidad no es esa 192.168.0.3 seria la ip que estaria en mi segmento de la red lan, pero en el mismo servidor que la 10.0.0.10 son dos interfaces de red fisicas 192.168.0.2 seria la direccion ip del otro servidor al que debo redireccionar todo el trafico que venga por el puerto 80 desde la 10.0.0.10 esto fue lo que hice, cambiando (MI.DIRECCION.IP.REAL) por los datos reales: arp -Ds MI.DIRECCION.IP.REAL eth0 pub route add MI.DIRECCION.IP.REAL dev eth1 iptables -A PREROUTING -t nat -i eth0 -p tcp -d MI.DIRECCION.IP.REAL --dport 80 -j DNAT --to-destination 192.168.0.2:80 iptables -A FORWARD -i eth0 -p tcp -d 192.168.0.2 --dport 80 -j ACCEPT Al crear la regla de enmascaramiento (iptables -t nat -A POSTROUTING -s eth1 -o eth0 -j MASQUERADE**) me da el siguiente error iptables v1.4.14: host/network `eth1' not found Try `iptables -h' or 'iptables --help' for more information. por tanto la cree de la siguiente forma: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE al hacer todo esto obtengo los mismos resultados, cuando pido la url en cuestion al servidor web la interface que aparece es la del servidor relay El 23/09/2014 10:11, Lic. Domingo Varela Yahuitl escribió: > Ariel, segun el correo que has enviado, tus interfaces tanto externas > e internas son las siguientes: > > eth0= 10.0.0.0/24 > donde 10.0.0.10 es una ip cualquiera del sergmento mencionado > eth1= 192.168.0.0/24 > donde 192.168.0.2 <-- Este es tu servidor web > > > > *Teniendo en cuenta todo lo anterior, vamos a crear NAT, DNAT y SNAT.* > Haremos uso de los comandos *arp* y*route* > > #arp -Ds NN.NN.NN.NN eth0 pub > #route add NN.NN.NN.NN dev eth1 > Donde: > > eth0 es la interfaz externa (Publica / internet) > eth1 es la interfaz interna (Lan) > NN es la ip homologada del segmento 111.222.333.444/27 > > > Ejemplo: > #Servidor de Correo/Http > arp -Ds 10.0.0.10 eth0 pub > route add 10.0.0.10 dev eth1 > > > *DNAT* > #HTTP > iptables -A PREROUTING -t nat -i eth0 -p tcp -d 10.0.0.10 --dport 80 \ > -j DNAT --to-destination 192.168.0.2:80 > > iptables -A FORWARD -i eth0 -p tcp -d 192.168.0.2 --dport 80 -j ACCEPT > > ----------------------------------------------------------------------------------------------- > Hasta aqui debera de funcionar tu DNAT > ----------------------------------------------------------------------------------------------- > > > y el enmascaramiento (Masquerade-NAT) > iptables -t nat -A POSTROUTING -s eth1 -o eth0 -j MASQUERADE* > * > > > Suerte .. > > Saludos cordiales. > -- > Lic. Domingo Varela Yahuitl. > IT/Specialist -- Linux/Unix/Win. > System Administrator and Technical Support. > Web Site: http://www.linuxsc.net > Twitter: http://www.twitter.com/linuxsc > > Móvil: 044 - 2224 397162 > Móvil: +521 - 2224 397162 > > > > > > ------------------------------------------------------------------------ > Date: Tue, 23 Sep 2014 08:50:36 -0400 > From: ar...@cncc.cult.cu > To: debian-user-spanish@lists.debian.org > Subject: Re: redireccionar ip y puertos mediante iptables > > ahi van las reglas que me pides colega: > > Chain INPUT (policy ACCEPT 5782 packets, 3862K bytes) > pkts bytes target prot opt in out source > destination > > Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) > pkts bytes target prot opt in out source > destination > 0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 > 192.168.0.2 tcp dpt:80 > > Chain OUTPUT (policy ACCEPT 5307 packets, 815K bytes) > pkts bytes target prot opt in out source > destination > > > ademas por webmin esto es lo que aparece cuando accedo al apartado de > iptables, no se si sirva de algo: > > # Generated by iptables-save v1.4.14 on Tue Sep 23 08:40:17 2014 > *mangle > :PREROUTING ACCEPT [1:40] > :INPUT ACCEPT [1:40] > :FORWARD ACCEPT [0:0] > :OUTPUT ACCEPT [2:2064] > :POSTROUTING ACCEPT [2:2064] > COMMIT > # Completed on Tue Sep 23 08:40:17 2014 > # Generated by iptables-save v1.4.14 on Tue Sep 23 08:40:17 2014 > *filter > :INPUT ACCEPT [1674:689151] > :FORWARD ACCEPT [0:0] > :OUTPUT ACCEPT [1785:430942] > -A FORWARD -d 192.168.0.2/32 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT > COMMIT > # Completed on Tue Sep 23 08:40:17 2014 > # Generated by iptables-save v1.4.14 on Tue Sep 23 08:40:17 2014 > *nat > :PREROUTING ACCEPT [24:1461] > :INPUT ACCEPT [24:1461] > :OUTPUT ACCEPT [124:7876] > :POSTROUTING ACCEPT [0:0] > -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination > 192.168.0.2:80 > -A POSTROUTING -j MASQUERADE > COMMIT > # Completed on Tue Sep 23 08:40:17 2014 > > > > El 22/09/2014 17:29, Domingo Varela Yahuitl escribió: > > Puedes enviar las reglas del iptables > > Iptables -n -L -v > > > Enviado desde mi dispositivo android. > > -----Original Message----- > From: "Andres M. Giribaldi" <andres2...@gmail.com> > <mailto:andres2...@gmail.com> > To: debian-user-spanish@lists.debian.org > <mailto:debian-user-spanish@lists.debian.org> > Sent: lun, 22 sep 2014 16:19 > Subject: Re: redireccionar ip y puertos mediante iptables > > Hola Ariel > > El 22/09/2014 a las 13:19, Ariel Alvarez escibió: > > Hola lista tengo un problema y ya he probado varias soluciones sin > > ningun resultado, se trata sobre redireccionar el trafico que venga > > hacia una ip o interface de red espesifica por un puerto espesifico > > para otra direccion ip el mismo puerto, les esplico en concreto: > > > > todo esto esta sobre debian7.1 > > > > tengo dos servidores de correo uno funciona como correo relay > el cual > > no contiene ningun buzon de usuarios y se encuentra en un > servidor que > > tiene dos interfaces de red una de cara a la wan y otra de cara > a la lan: > > > > ej: > > > > 10.0.0.10 <http://10.0.0.10> ip de cara a la wan y soportada en > eth0 > > > > 192.168.0.3 <http://192.168.0.3> ip de cara a la lan y esta > soportada en eth1 > > > > > > el segundo servidor de correo el cual si tiene las cuentas o > buzones > > de cada usuario solamente tiene una interface de red de cara a > la lan: > > > > ej: > > > > 192.168.0.2 <http://192.168.0.2> ip de cara a la lan y esta > soportada en eth0 > > > > > > la idea es que mis usuarios puedan accedar a su correo desde > afuera, > > es decir al poner en su navegador ej: (correo.midominio.com > <http://correo.midominio.com>) abre la > > interface web y puedan loguearse a su cuenta. > > > > el asunto es que cuando acceden al correo mediante la interface web > > acceden al primer servidor el cual no contiene ninguna cuenta de > > usuario por tanto la validacion falla diciendo que el usuario o > > contraseña estan mal. > > > > se que se puede redireccionar el trafico, ya he probado las > siguientes > > variantes: > > > > > > DECLARO IP FORWARD > > echo "1" > /proc/sys/net/ipv4/ip_forward > > > > ESTAS SON LAS VARIANTES DE REDIRECCIONADO QUE HE PROBADO: > > > > DIRECCIONO TODO LO QUE VENGA DESDE eth0 por puerto 80 al segundo > > servidor que su ip es 192.168.0.2 <http://192.168.0.2> por el > puerto 80, donde en este cas > > se encuentra escuchando la interface web que da acceso a los > usuarios > > a sus cuentas de correo. > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT > > --to-destination 192.168.0.2:80 <http://192.168.0.2:80> > Esta linea no la veo mal, yo solo tengo intercambiado el -p tcp > delante > del -i eth0 pero eso no deberia afectar. > Fijate si no te estaria faltando agregar en el FORWARD CHAIN algo > asi. > iptables -A FORWARD -p tcp -i eth0 --destination-port 80 > --destination > 192.168.0.2 <http://192.168.0.2> -j ACCEPT > Donde permitis el forward por ese port > > > > DIRECCIONO TODO LO QUE VENGA por puerto 80 al segundo servidor > que su > > ip es 192.168.0.2 <http://192.168.0.2> por el puerto 80, donde > en este cas se encuentra > > escuchando la interface web que da acceso a los usuarios a sus > cuentas > > de correo. > > iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT > > --to-destination 192.168.0.2:80 <http://192.168.0.2:80> > > > > DIRECCIONO TODO LO QUE VENGA desde la ip 10.0.0.10 > <http://10.0.0.10> por puerto 80 al > > segundo servidor que su ip es 192.168.0.2 <http://192.168.0.2> > por el puerto 80, donde en > > este cas se encuentra escuchando la interface web que da acceso > a los > > usuarios a sus cuentas de correo. > > iptables -t nat -A PREROUTING -s 10.0.0.10 <http://10.0.0.10> -p > tcp --dport 80 -j DNAT > > --to-destination 192.168.8.2:80 <http://192.168.8.2:80> > > > > > > estas son las variantes que he probado, luego enmascaro la ip: > > > > iptables -t nat -A POSTROUTING -j MASQUERADE > > > > nada de esto me funciona > > > > agradeceria cualqueir ayuda. > > > > gracias de antemano. > > > > > Saludos > > > > -- > To UNSUBSCRIBE, email to > debian-user-spanish-requ...@lists.debian.org > <mailto:debian-user-spanish-requ...@lists.debian.org> > with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org <mailto:listmas...@lists.debian.org> > Archive: https://lists.debian.org/54209230.4000...@gmail.com > <https://lists.debian.org/54209230.4000007%40gmail.com> > >
