----- Mensaje Original ----- De: andres brenes <[EMAIL PROTECTED]> Fecha: Martes, Noviembre 6, 2001 9:46 pm Asunto: Port Forwarding + IP Log
> Hasta ahi no hay nada de complicado...el asunto es que en > 10.10.0.1 se guarda un log que es impresindible mantenga el IP > real (publico) de donde el usuario se conecta para efectos de > autenticacion, consumo etc. Para esto ten�s una regla -j DNAT bla bla (supongo). Lo que pod�s hacer es, antes de esto, hacer una regla que simplemente brinque a -j LOG el paquete. Record� que las reglas de ese tipo son por lo general PREROUTING, entonces, hace las reglas de iptables antes del ruteo. Entonces: primero logueas (el paquete sigue evaluando reglas, NO se bota) y luego haces el DNAT. Si la IP p�blica est� virtualmente en el mismo firewall, entonces pon�s la regla de LOG en la cadena INPUT. As� bateando a lo r�pido: -A INPUT -s 0/0 -d $IP_PUBLICA_WEB -p TCP --syn -m state --state NEW -i $INTERF_AFUERA --dport 80 -j LOG --log-prefix "Solicitud_web" lo de --syn -m state NEW es para qeu loguee s�lo los paquetes de inicio de conexi�n, sino, llen�s el log en dos toques. Luego: -t nat -A PREROUTING -p TCP -i $INTERF_AFUERA -d $IP_PUBLICA_WEB -- dport 80 -j DNAT --to-destination $DMZ_IP_WEB no creo que copiando y pegando estas l�neas te sirva al 100%, pero espero te den un aluz. Saludos, lc. -- �Desea desuscribirse? Escriba a [EMAIL PROTECTED] con el tema "unsubscribe".
