Bueno, es que yo soy a veces muy espeso en mis explicaciones....
El Martes, 26 agosto, 2003, a las 02:25 PM, Pere Casta�er escribi�:
On Tue, 26 Aug 2003 13:55:40 +0200
Victor Calzado <[EMAIL PROTECTED]> wrote:
Hola :))
---snip--
Por loque me dices, el problema �s que las reglas de nat est�n en el
sitio equivocado no? Es decir que no dependen de INPUT, sin� de
forwarding, por lo que deberia ser el fichero..como sigue?:
Realmente es una consecuencia del dise�o de la pila TCP/IP y de como se
integra netfilter en ella y de como vemos nosotros las cosas, me
explico:
En nuestro caso resulta bastante com�n llegar a la conclusi�n de que
todo lo que entra por un interface de red pasa primero por el gancho
de INPUT pero a nivel de nucleo el enrutamiento va a seguir caminos
distintos si el paquete es local ( que si ser� tratado por INPUT ) que
si va a ser redirigido a un sistema no local ( una traducci�n algo
libre de FORWARD ) As� la decisi�n de enrutamiento de un paquete
entrante se bifurca si es local sigue un camino (y nosotros podremos
actuar sobre �l con reglas de INPUT) y si est� o va a estar dirigido
(cuando reescribamos la direcci�n con nuestras reglas de Destination
NAT) a un sistema no local seguir� otro y para actuar sobre �l
deberemos aplicar nuestros filtros sobre el "gancho" o "cadena" de
FORWARD.
Si le echas un ojo al howto de netfilter ver�s un grafiquillo ascii muy
explicativo
(http://www.netfilter.org/documentation/HOWTO/es/packet-filtering-
HOWTO.txt)
De esta forma si no permites (como ocurre en tu configuraci�n) reenvio
de paquetes est�s actuando sobre todas las reglas de PREROUTING que
utilices impidiendo que puedan aplicarse (ya que dependen de la
capacidad del sistema para reenviar paquetes) �c�mo lo corriges? una
vez que has visto el error de concepto es sencillo piensa sin m�s que
lo que tu considerabas INPUT en el caso del DNAT es FORWARD ya que
realmente los paquetes son reenviados, tendr�as que rehacer tu
configuraci�n para permitir el reenvio de paquetes en vez de su
entrada, como conceptualmente los paquetes que se env�an entran y salen
por el interface necesitar�as permitir esto tanto en la entrada como en
la salida de los interfaces implicados ( en tu caso que no permites
reenv�o de paquetes que tengan como entrada eth0 deber�as permitirlo
para los puertos de los que quieras hacer DNAT, lo que es posible que
s�lo te suponga sustituir en esas reglas INPUT por FORWARD )
Espero haberme explicado algo mejor pero es evidente que al mejor
manera de aclararse con todas estas cosas es pasarse por netfilter.org
y aprovechar la gran cantidad de informaci�n (desde mi punto de vista
de una categor�a excepcional) que tienen.
un saludo
Victor
