Não funciona assim... o OUTPUT já está lá na frente do PREROUTING. E vc nao precisa fazer NAT para o Y.Y.Y.Y, vc já é dono desse IP. Basta forçar a rota para sair por essa interface (uma rota X.X.X.X/32 gateway interface <q tem o ip Y.Y.Y.Y>) e vc vai sempre sair com IP Y.Y.Y.Y qdo tentar acessar X.X.X.X a partir do firewall.
sd, Edgar Mário Cardia escreveu: > Para que do proprio fw seja feito o nat tambem. > > se colocar soh no prerouting, o nat nao eh feito se vc estiver acessando > do firewall. > > Edgar Shine escreveu: > >> Pq o NAT do OUTPUT? >> >> sd, >> Edgar >> >> Mário Cardia escreveu: >> >> >>> Olá! >>> >>> Pessoal, tudo bem? >>> >>> Seguinte tenho um link com um único IP válido. Fiz um NAT (pat, na >>> verdade) para direcionar a porta 80 para o servidor web: >>> >>> $IPT -A PREROUTING -t nat -p tcp -d X.X.X.X --dport 80 -j DNAT --to >>> Y.Y.Y.Y:80 >>> $IPT -A POSTROUTING -t nat -p tcp -s Y.Y.Y.Y --sport 80 -j SNAT --to >>> X.X.X.X:80 >>> $IPT -A OUTPUT -t nat -p tcp -d X.X.X.X --dport 80 -j DNAT --to >>> Y.Y.Y.Y:80 >>> $IPT -A MINHACHAIN -p tcp -d Y.Y.Y.Y --dport 80 -j ACCEPT >>> >>> Sendo que MINHACHAIN vale para INPUT e FORWARD. >>> >>> Se acesso de fora da minha rede, tipo, qq lugar na internet. funciona legal. >>> Se acesso da minha rede interna (mesma classe do Y.Y.Y.Y) não acessa. >>> >>> Eu precebi que se eu fizer o nat do IP inteiro e nao apenas de uma >>> porta, este problema não ocorre, tipo, >>> assim funciona: >>> >>> $IPT -A PREROUTING -t nat -d X.X.X.X -j DNAT --to Y.Y.Y.Y >>> $IPT -A POSTROUTING -t nat -s Y.Y.Y.Y -j SNAT --to X.X.X.X >>> $IPT -A OUTPUT -t nat -d X.X.X.X -j DNAT --to Y.Y.Y.Y >>> $IPT -A MINHACHAIN -p tcp -d Y.Y.Y.Y --dport 80 -j ACCEPT >>> >>> Mas eu não posso fazer deste jeito pq tenho outros servicos em outros >>> servidores. >>> >>> Me parece não ser um problema, mas uma caracteristica do tipo de NAT. >>> >>> Alguém sabe como contornar este problema? >>> >>> >>> []'s >>> >>> Mário Cardia >>> >>> >>> _______________________________________________ >>> Linuxchix mailing list >>> [email protected] >>> http://listas.linuxchix.org.br/mailman/listinfo/linuxchix >>> >>> >>> >>> >> _______________________________________________ >> Linuxchix mailing list >> [email protected] >> http://listas.linuxchix.org.br/mailman/listinfo/linuxchix >> >> > _______________________________________________ > Linuxchix mailing list > [email protected] > http://listas.linuxchix.org.br/mailman/listinfo/linuxchix > > _______________________________________________ Linuxchix mailing list [email protected] http://listas.linuxchix.org.br/mailman/listinfo/linuxchix
