Re: Problema con redirección en IPTABLES
El 20/10/11 18:27, Jorge Toro escribió: Cordial saludo lista, Tengo el siguiente problema: Resulta que tengo un Firewall/Proxy con la IP publica 190.28.122.250(eth0) y la 10.0.4.150 (eth1), dentro de mi red tengo dos equipos 10.0.4.17 donde funciona mi servidor mail y en 10.0.4.19 donde tengo un servidor con dos aplicativos web uno por el puerto 80 y otro por el puerto 8890. Para que los aplicativos fueran publicos cree una interfaz de red virtual con la IP publica 190.28.122.253(eth0:0), pero cuando redirijo los paquetes con iptables: iptables -A PREROUTING -d 190.28.122.253 -p tcp -m tcp --dport 80 -j DNAT --to-destination *10.0.4.19*:80 No me funciona me dice que el host remoto no contesta. Pero si hago pruebas cambiando el PC de destino a el *.17* si funciona, si me redirige los paquetes. iptables -A PREROUTING -d 190.28.122.253 -p tcp -m tcp --dport 80 -j DNAT --to-destination *10.0.4.17*:80 El PC 10.0.4.19 esta accesible y funciona desde la LAN. Alguien tiene alguna idea de que pueda ser el problema, de antemano muchas gracias. -- Jolth http://jolthgs.wordpress.com/ devmicrosystem.com http://devmicrosystem.com/ -- Powered By Debian. Developer Bullix GNU/Linux. -- -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) iD8DBQBIWWH6q7mzdgTzI5ARAkX5AJ9TR6hL2ocLMOUDRfhts8DlVl+jpwCeNw5x p4+4FNUHPDUx1lU9F8WSKCA= =zRhQ -END PGP SIGNATURE- Este correo esta protegido bajo los términos de la Licencia Atribución-Compartir Obras Derivadas Igual a 2.5 Colombia de Creative Commons. Observé la licencia visitando este sitio http://creativecommons.org/licenses/by-sa/2.5/co/. ummm ¿Que tienes en filter FORWARD? En 10.0.4.19:80 ¿Hay algo escuchando? ¿Las puertas de enlace por defecto de ambos servidores son la misma? En caso que no sea el cortafuegos la puerta de enlace ¿Enmascaras el tráfico que llega a los servidores? En todo caso puedes usar tcpdump, por ejemplo, para confirmar si el tráfico se queda en el cortafuegos o si llega al servidor final y si este vuelve por donde debe. Un saludo.
RE: Problema con redirección en IPTABLES
Bien puedes hacer esto: Haremos uso de los comandos arp y route #arp -Ds NN.NN.NN.NN eth0 pub #route add NN.NN.NN.NN dev eth1Donde: eth0 es la interfaz externa (Publica / internet) eth1 es la interfaz interna (Lan) NN es la ip homologada del segmento 111.222.333.444/27 Ejemplo: #Servidor de Correo/Http arp -Ds 111.222.333.444 eth0 pub route add 111.222.333.444 dev eth1 DNAT #HTTP $IPTABLES -A PREROUTING -t nat -i $EXTERNAL -p tcp -d $CORREO --dport 80 \ -j DNAT --to-destination $CORREO1:80 $IPTABLES -A PREROUTING -t nat -i $EXTERNAL -p udp -d $CORREO --dport 80 \ -j DNAT --to-destination $CORREO1:80 $IPTABLES -A FORWARD -i $EXTERNAL -p tcp -d $CORREO1 --dport 80 -j ACCEPT $IPTABLES -A FORWARD -i $EXTERNAL -p udp -d $CORREO1 --dport 80 -j ACCEPT SNAT $IPTABLES -t nat -A POSTROUTING -s $CORREO1 -o eth0 -j SNAT --to-source $CORREO ICMP/PING $IPTABLES -t nat -A PREROUTING -i $EXTERNAL -p icmp -d $CORREO --icmp-type 8/0 \ -j DNAT --to-destination $CORREO1 $IPTABLES -A FORWARD -i $EXTERNAL -p icmp -d $CORREO1 --icmp-type 8/0 -j ACCEPT NAT $IPT -t nat -A POSTROUTING -s $INNET -o $EXTIF -j MASQUERADE Donde: IPTABLES=`which iptables` EXTIF=eth0 IP=`/sbin/ifconfig $EXTIF| grep inet | cut -d : -f 2 | cut -d \ -f 1` MASK=`/sbin/ifconfig $EXTIF | grep Mas | cut -d : -f 4` NET=$IP/$MASK INTIF=eth1 INIP=`/sbin/ifconfig $INTIF| grep inet | cut -d : -f 2 | cut -d \ -f 1` INMASK=`/sbin/ifconfig $INTIF| grep Mas | cut -d : -f 4` INNET=$INIP/$INMASK CORREO=IP_Publica (del segmento 111.222.333.444/27) CORREO01=Ip Privada de nuestra LAN (Servidor) Saludos cordiales. -- Lic. Domingo Varela Yahuitl. IT/Specialist -- Linux/Unix/Win. System Administrator and Technical Support. Web Site: http://www.linuxsc.net Twitter: http://www.twitter.com/linuxsc Móvil: 044 - 2224 397162 Móvil: +521 - 2224 397162 MSN: domin...@yahoo.com Date: Thu, 20 Oct 2011 11:27:46 -0500 Subject: Problema con redirección en IPTABLES From: jo...@esdebian.org To: debian-user-spanish@lists.debian.org Cordial saludo lista, Tengo el siguiente problema: Resulta que tengo un Firewall/Proxy con la IP publica 190.28.122.250(eth0) y la 10.0.4.150 (eth1), dentro de mi red tengo dos equipos 10.0.4.17 donde funciona mi servidor mail y en 10.0.4.19 donde tengo un servidor con dos aplicativos web uno por el puerto 80 y otro por el puerto 8890. Para que los aplicativos fueran publicos cree una interfaz de red virtual con la IP publica 190.28.122.253(eth0:0), pero cuando redirijo los paquetes con iptables: iptables -A PREROUTING -d 190.28.122.253 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.4.19:80 No me funciona me dice que el host remoto no contesta. Pero si hago pruebas cambiando el PC de destino a el .17 si funciona, si me redirige los paquetes. iptables -A PREROUTING -d 190.28.122.253 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.4.17:80 El PC 10.0.4.19 esta accesible y funciona desde la LAN. Alguien tiene alguna idea de que pueda ser el problema, de antemano muchas gracias. -- Jolth http://jolthgs.wordpress.com/ devmicrosystem.com -- Powered By Debian. Developer Bullix GNU/Linux. -- -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) iD8DBQBIWWH6q7mzdgTzI5ARAkX5AJ9TR6hL2ocLMOUDRfhts8DlVl+jpwCeNw5x p4+4FNUHPDUx1lU9F8WSKCA= =zRhQ -END PGP SIGNATURE- Este correo esta protegido bajo los términos de la Licencia Atribución-Compartir Obras Derivadas Igual a 2.5 Colombia de Creative Commons. Observé la licencia visitando este sitio http://creativecommons.org/licenses/by-sa/2.5/co/.
Re: Problema con redirección en IPTABLES
De: Jorge Toro jo...@esdebian.org Para: Debian User Spanish - Debian.org debian-user-spanish@lists.debian.org Enviado: jueves, 20 de octubre de 2011 13:27 Asunto: Problema con redirección en IPTABLES Cordial saludo lista, Tengo el siguiente problema: Resulta que tengo un Firewall/Proxy con la IP publica 190.28.122.250(eth0) y la 10.0.4.150 (eth1), dentro de mi red tengo dos equipos 10.0.4.17 donde funciona mi servidor mail y en 10.0.4.19 donde tengo un servidor con dos aplicativos web uno por el puerto 80 y otro por el puerto 8890. Para que los aplicativos fueran publicos cree una interfaz de red virtual con la IP publica 190.28.122.253(eth0:0), pero cuando redirijo los paquetes con iptables: iptables -A PREROUTING -d 190.28.122.253 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.4.19:80 No me funciona me dice que el host remoto no contesta. Pero si hago pruebas cambiando el PC de destino a el .17 si funciona, si me redirige los paquetes. iptables -A PREROUTING -d 190.28.122.253 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.4.17:80 El PC 10.0.4.19 esta accesible y funciona desde la LAN. Alguien tiene alguna idea de que pueda ser el problema, de antemano muchas gracias. No hace falta que a sus servidores le cree una interfaz virtual..puede hacer directamente: (si es que 190.28.122.250 no tiene nada en el puerto 80) iptables -A PREROUTING -d 190.28.122.250 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.4.19:80 iptabes -t filter -A FORWARD -p tcp 80 -d 10.0.4.19 -j ACCEPT Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1319129072.29581.yahoomail...@web125404.mail.ne1.yahoo.com
Re: Problema con redirección en IPTABLES
El 20 de octubre de 2011 11:34, Juan Antonio push...@limbo.ari.esescribió: El 20/10/11 18:27, Jorge Toro escribió: Cordial saludo lista, Tengo el siguiente problema: Resulta que tengo un Firewall/Proxy con la IP publica 190.28.122.250(eth0) y la 10.0.4.150 (eth1), dentro de mi red tengo dos equipos 10.0.4.17 donde funciona mi servidor mail y en 10.0.4.19 donde tengo un servidor con dos aplicativos web uno por el puerto 80 y otro por el puerto 8890. Para que los aplicativos fueran publicos cree una interfaz de red virtual con la IP publica 190.28.122.253(eth0:0), pero cuando redirijo los paquetes con iptables: iptables -A PREROUTING -d 190.28.122.253 -p tcp -m tcp --dport 80 -j DNAT --to-destination *10.0.4.19*:80 No me funciona me dice que el host remoto no contesta. Pero si hago pruebas cambiando el PC de destino a el *.17* si funciona, si me redirige los paquetes. iptables -A PREROUTING -d 190.28.122.253 -p tcp -m tcp --dport 80 -j DNAT --to-destination *10.0.4.17*:80 El PC 10.0.4.19 esta accesible y funciona desde la LAN. Alguien tiene alguna idea de que pueda ser el problema, de antemano muchas gracias. -- Jolth http://jolthgs.wordpress.com/ devmicrosystem.com -- Powered By Debian. Developer Bullix GNU/Linux. -- -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) iD8DBQBIWWH6q7mzdgTzI5ARAkX5AJ9TR6hL2ocLMOUDRfhts8DlVl+jpwCeNw5x p4+4FNUHPDUx1lU9F8WSKCA= =zRhQ -END PGP SIGNATURE- Este correo esta protegido bajo los términos de la Licencia Atribución-Compartir Obras Derivadas Igual a 2.5 Colombia de Creative Commons. Observé la licencia visitando este sitio http://creativecommons.org/licenses/by-sa/2.5/co/. ummm ¿Que tienes en filter FORWARD? En 10.0.4.19:80 ¿Hay algo escuchando? ¿Las puertas de enlace por defecto de ambos servidores son la misma? En caso que no sea el cortafuegos la puerta de enlace ¿Enmascaras el tráfico que llega a los servidores? En todo caso puedes usar tcpdump, por ejemplo, para confirmar si el tráfico se queda en el cortafuegos o si llega al servidor final y si este vuelve por donde debe. Un saludo. Hola Juan Antonio: ¿Que tienes en filter FORWARD? -A FORWARD -s 10.0.4.17 -j ACCEPT -A FORWARD -s 10.0.4.19 -j ACCEPT ¿Hay algo escuchando? # netstat -punta | grep :80 tcp0 0 0.0.0.0:80 0.0.0.0:* LISTEN - tcp0 0 10.0.4.19:8093 0.0.0.0:* LISTEN - tcp0 0 10.0.4.19:8010.0.4.137:2215 ESTABLISHED - tcp0 0 10.0.4.19:8010.0.4.150:35463 TIME_WAIT - tcp0 0 10.0.4.19:8010.0.4.160:49928 FIN_WAIT2 - tcp0 0 10.0.4.19:8010.0.4.150:35387 TIME_WAIT - tcp0 0 10.0.4.19:8010.0.4.138:3665 FIN_WAIT2 - tcp0 0 10.0.4.19:8010.0.4.136:54091 ESTABLISHED - tcp0 0 10.0.4.19:8010.0.4.136:54089 ESTABLISHED - tcp0 0 10.0.4.19:8010.0.4.136:54086 TIME_WAIT - tcp0 0 10.0.4.19:8010.0.4.136:54084 TIME_WAIT - ¿Las puertas de enlace por defecto de ambos servidores son la misma? [root@mail ~]# route Kernel IP routing table Destination Gateway Genmask Flags Metric RefUse Iface 10.0.4.0* 255.255.255.0 U 0 00 eth0 10.0.4.0* 255.255.255.0 U 0 00 eth1 169.254.0.0 * 255.255.0.0 U 0 00 eth1 default enlinea.coopcaf 0.0.0.0 UG0 00 eth0 [root@web ~]# route Kernel IP routing table Destination Gateway Genmask Flags Metric RefUse Iface 10.0.4.0* 255.255.255.0 U 0 00 eth0 link-local * 255.255.0.0 U 0 00 eth0 loopback* 255.0.0.0 U 0 00 lo default 10.0.4.30 0.0.0.0 UG0 00 eth0 el 10.0.4.30 es un router. Como puede en mascarar el trafico que llega a los servidores? ya he realizado algo como: iptables -A POSTROUTING -s 10.0.4.19 -j MASQUERADE Como puedo usar: tcpdump, por ejemplo, para confirmar si el tráfico se queda en el cortafuegos o si llega al servidor final y si este vuelve por donde debe? Saludos, -- Jolth http://jolthgs.wordpress.com/ devmicrosystem.com -- Powered By Debian. Developer Bullix GNU/Linux. -- -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) iD8DBQBIWWH6q7mzdgTzI5ARAkX5AJ9TR6hL2ocLMOUDRfhts8DlVl+jpwCeNw5x p4+4FNUHPDUx1lU9F8WSKCA= =zRhQ -END PGP SIGNATURE- Este correo esta protegido bajo los términos de la Licencia
Re: Problema con redirección en IPTABLES
El 20 de octubre de 2011 11:44, Julian Perconti vh1...@yahoo.com.arescribió: De: Jorge Toro jo...@esdebian.org Para: Debian User Spanish - Debian.org debian-user-spanish@lists.debian.org Enviado: jueves, 20 de octubre de 2011 13:27 Asunto: Problema con redirección en IPTABLES Cordial saludo lista, Tengo el siguiente problema: Resulta que tengo un Firewall/Proxy con la IP publica 190.28.122.250(eth0) y la 10.0.4.150 (eth1), dentro de mi red tengo dos equipos 10.0.4.17 donde funciona mi servidor mail y en 10.0.4.19 donde tengo un servidor con dos aplicativos web uno por el puerto 80 y otro por el puerto 8890. Para que los aplicativos fueran publicos cree una interfaz de red virtual con la IP publica 190.28.122.253(eth0:0), pero cuando redirijo los paquetes con iptables: iptables -A PREROUTING -d 190.28.122.253 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.4.19:80 No me funciona me dice que el host remoto no contesta. Pero si hago pruebas cambiando el PC de destino a el .17 si funciona, si me redirige los paquetes. iptables -A PREROUTING -d 190.28.122.253 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.4.17:80 El PC 10.0.4.19 esta accesible y funciona desde la LAN. Alguien tiene alguna idea de que pueda ser el problema, de antemano muchas gracias. No hace falta que a sus servidores le cree una interfaz virtual..puede hacer directamente: (si es que 190.28.122.250 no tiene nada en el puerto 80) iptables -A PREROUTING -d 190.28.122.250 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.4.19:80 iptabes -t filter -A FORWARD -p tcp 80 -d 10.0.4.19 -j ACCEPT Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1319129072.29581.yahoomail...@web125404.mail.ne1.yahoo.com Hola Julian Perconti: El problema es que en el puerto 80 del firewall se usa para redireccionar a el server mail. iptables -A PREROUTING -d 190.28.122.250 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.4.17:80 Y lo que quiero es poder asignarle DNS a la publica .253, por eso cree la virtual. Gracias, -- Jolth http://jolthgs.wordpress.com/ devmicrosystem.com -- Powered By Debian. Developer Bullix GNU/Linux. -- -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) iD8DBQBIWWH6q7mzdgTzI5ARAkX5AJ9TR6hL2ocLMOUDRfhts8DlVl+jpwCeNw5x p4+4FNUHPDUx1lU9F8WSKCA= =zRhQ -END PGP SIGNATURE- Este correo esta protegido bajo los términos de la Licencia Atribución-Compartir Obras Derivadas Igual a 2.5 Colombia de Creative Commons. Observé la licencia visitando este sitio http://creativecommons.org/licenses/by-sa/2.5/co/.
Re: Problema con redirección en IPTABLES
El 20/10/11 18:46, Jorge Toro escribió: El 20 de octubre de 2011 11:34, Juan Antonio push...@limbo.ari.es mailto:push...@limbo.ari.es escribió: El 20/10/11 18:27, Jorge Toro escribió: Cordial saludo lista, Tengo el siguiente problema: Resulta que tengo un Firewall/Proxy con la IP publica 190.28.122.250 tel:190.28.122.250(eth0) y la 10.0.4.150 (eth1), dentro de mi red tengo dos equipos 10.0.4.17 donde funciona mi servidor mail y en 10.0.4.19 donde tengo un servidor con dos aplicativos web uno por el puerto 80 y otro por el puerto 8890. Para que los aplicativos fueran publicos cree una interfaz de red virtual con la IP publica 190.28.122.253 tel:190.28.122.253(eth0:0), pero cuando redirijo los paquetes con iptables: iptables -A PREROUTING -d 190.28.122.253 tel:190.28.122.253 -p tcp -m tcp --dport 80 -j DNAT --to-destination *10.0.4.19*:80 No me funciona me dice que el host remoto no contesta. Pero si hago pruebas cambiando el PC de destino a el *.17* si funciona, si me redirige los paquetes. iptables -A PREROUTING -d 190.28.122.253 tel:190.28.122.253 -p tcp -m tcp --dport 80 -j DNAT --to-destination *10.0.4.17*:80 El PC 10.0.4.19 esta accesible y funciona desde la LAN. Alguien tiene alguna idea de que pueda ser el problema, de antemano muchas gracias. -- Jolth http://jolthgs.wordpress.com/ devmicrosystem.com http://devmicrosystem.com/ -- Powered By Debian. Developer Bullix GNU/Linux. -- -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) iD8DBQBIWWH6q7mzdgTzI5ARAkX5AJ9TR6hL2ocLMOUDRfhts8DlVl+jpwCeNw5x p4+4FNUHPDUx1lU9F8WSKCA= =zRhQ -END PGP SIGNATURE- Este correo esta protegido bajo los términos de la Licencia Atribución-Compartir Obras Derivadas Igual a 2.5 Colombia de Creative Commons. Observé la licencia visitando este sitio http://creativecommons.org/licenses/by-sa/2.5/co/. ummm ¿Que tienes en filter FORWARD? En 10.0.4.19:80 http://10.0.4.19:80 ¿Hay algo escuchando? ¿Las puertas de enlace por defecto de ambos servidores son la misma? En caso que no sea el cortafuegos la puerta de enlace ¿Enmascaras el tráfico que llega a los servidores? En todo caso puedes usar tcpdump, por ejemplo, para confirmar si el tráfico se queda en el cortafuegos o si llega al servidor final y si este vuelve por donde debe. Un saludo. Hola Juan Antonio: ¿Que tienes en filter FORWARD? -A FORWARD -s 10.0.4.17 -j ACCEPT -A FORWARD -s 10.0.4.19 -j ACCEPT ¿Hay algo escuchando? # netstat -punta | grep :80 tcp0 0 0.0.0.0:80 http://0.0.0.0:80 0.0.0.0:* LISTEN - tcp0 0 10.0.4.19:8093 http://10.0.4.19:8093 0.0.0.0:* LISTEN - tcp0 0 10.0.4.19:80 http://10.0.4.19:80 10.0.4.137:2215 http://10.0.4.137:2215 ESTABLISHED - tcp0 0 10.0.4.19:80 http://10.0.4.19:80 10.0.4.150:35463 http://10.0.4.150:35463TIME_WAIT - tcp0 0 10.0.4.19:80 http://10.0.4.19:80 10.0.4.160:49928 http://10.0.4.160:49928FIN_WAIT2 - tcp0 0 10.0.4.19:80 http://10.0.4.19:80 10.0.4.150:35387 http://10.0.4.150:35387TIME_WAIT - tcp0 0 10.0.4.19:80 http://10.0.4.19:80 10.0.4.138:3665 http://10.0.4.138:3665 FIN_WAIT2 - tcp0 0 10.0.4.19:80 http://10.0.4.19:80 10.0.4.136:54091 http://10.0.4.136:54091ESTABLISHED - tcp0 0 10.0.4.19:80 http://10.0.4.19:80 10.0.4.136:54089 http://10.0.4.136:54089ESTABLISHED - tcp0 0 10.0.4.19:80 http://10.0.4.19:80 10.0.4.136:54086 http://10.0.4.136:54086TIME_WAIT - tcp0 0 10.0.4.19:80 http://10.0.4.19:80 10.0.4.136:54084 http://10.0.4.136:54084TIME_WAIT - ¿Las puertas de enlace por defecto de ambos servidores son la misma? [root@mail ~]# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.0.4.0* 255.255.255.0 U 0 0 0 eth0 10.0.4.0* 255.255.255.0 U 0 0 0 eth1 169.254.0.0 * 255.255.0.0 U 0 0 0 eth1 default enlinea.coopcaf 0.0.0.0 UG0 0 0 eth0 [root@web ~]# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.0.4.0* 255.255.255.0 U 0 0 0 eth0 link-local * 255.255.0.0 U 0 0 0
Re: Problema con redirección en IPTABLES
De: Jorge Toro jo...@esdebian.org Para: debian-user-spanish@lists.debian.org debian-user-spanish@lists.debian.org Enviado: jueves, 20 de octubre de 2011 13:52 Asunto: Re: Problema con redirección en IPTABLES El 20 de octubre de 2011 11:44, Julian Perconti vh1...@yahoo.com.ar escribió: De: Jorge Toro jo...@esdebian.org Para: Debian User Spanish - Debian.org debian-user-spanish@lists.debian.org Enviado: jueves, 20 de octubre de 2011 13:27 Asunto: Problema con redirección en IPTABLES Cordial saludo lista, Tengo el siguiente problema: Resulta que tengo un Firewall/Proxy con la IP publica 190.28.122.250(eth0) y la 10.0.4.150 (eth1), dentro de mi red tengo dos equipos 10.0.4.17 donde funciona mi servidor mail y en 10.0.4.19 donde tengo un servidor con dos aplicativos web uno por el puerto 80 y otro por el puerto 8890. Para que los aplicativos fueran publicos cree una interfaz de red virtual con la IP publica 190.28.122.253(eth0:0), pero cuando redirijo los paquetes con iptables: iptables -A PREROUTING -d 190.28.122.253 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.4.19:80 No me funciona me dice que el host remoto no contesta. Pero si hago pruebas cambiando el PC de destino a el .17 si funciona, si me redirige los paquetes. iptables -A PREROUTING -d 190.28.122.253 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.4.17:80 El PC 10.0.4.19 esta accesible y funciona desde la LAN. Alguien tiene alguna idea de que pueda ser el problema, de antemano muchas gracias. No hace falta que a sus servidores le cree una interfaz virtual..puede hacer directamente: (si es que 190.28.122.250 no tiene nada en el puerto 80) iptables -A PREROUTING -d 190.28.122.250 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.4.19:80 iptabes -t filter -A FORWARD -p tcp 80 -d 10.0.4.19 -j ACCEPT Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1319129072.29581.yahoomail...@web125404.mail.ne1.yahoo.com Hola Julian Perconti: El problema es que en el puerto 80 del firewall se usa para redireccionar a el server mail. iptables -A PREROUTING -d 190.28.122.250 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.4.17:80 Y lo que quiero es poder asignarle DNS a la publica .253, por eso cree la virtual. Gracias, -- Entonces yo probaría asignar ips virtuales (siempre y cuando tengas disponible de tu ISP) en el firewall en lugar de los servidores. Y entoces haría iptables -A PREROUTING -d 190.28.122.253 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.4.19:80 iptabes -t filter -A FORWARD -p tcp --dport 80 -d 10.0.4.19 -j ACCEPT Suerte. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1319130480.14771.yahoomail...@web125414.mail.ne1.yahoo.com
RE: Problema con redirección en IPTABLES
Prueba con ejecutar estos comandos # arp -Ds 190.28.122.253 eth0 pub # route add 190.28.122.253 dev eth1 # iptables -A PREROUTING -t nat -i eth0 -p tcp -d 190.28.122.253 --dport 80 -j DNAT --to-destination 10.0.4.19:80 # iptables -A PREROUTING -t nat -i eth0 -p udp -d 190.28.122.253 --dport 80 -j DNAT --to-destination 10.0.4.19:80 # iptables -A FORWARD -i eth0 -p tcp -d 10.0.4.19 --dport 80 -j ACCEPT # iptables -A FORWARD -i eth0 -p udp -d 10.0.4.19 --dport 80 -j ACCEPT #SNAT tu ip privada salga o se mapee con la ip 190.28.122.253 # iptables -t nat -A POSTROUTING -s 10.0.4.19 -o eth0 -j SNAT --to-source 190.28.122.253 #ICMP/PING Para que lo puedas ver desde fuera ... ping 190.28.122.253 # iptables -t nat -A PREROUTING -i eth0 -p icmp -d 190.28.122.253 --icmp-type 8/0 -j DNAT --to-destination 10.0.4.19 # iptables -A FORWARD -i eth0 -p icmp -d 10.0.4.19 --icmp-type 8/0 -j ACCEPT Saludos cordiales. -- Lic. Domingo Varela Yahuitl. IT/Specialist -- Linux/Unix/Win. System Administrator and Technical Support. Web Site: http://www.linuxsc.net Twitter: http://www.twitter.com/linuxsc Móvil: 044 - 2224 397162 Móvil: +521 - 2224 397162 MSN: domin...@yahoo.com Date: Thu, 20 Oct 2011 11:52:22 -0500 Subject: Re: Problema con redirección en IPTABLES From: jo...@esdebian.org To: debian-user-spanish@lists.debian.org El 20 de octubre de 2011 11:44, Julian Perconti vh1...@yahoo.com.ar escribió: De: Jorge Toro jo...@esdebian.org Para: Debian User Spanish - Debian.org debian-user-spanish@lists.debian.org Enviado: jueves, 20 de octubre de 2011 13:27 Asunto: Problema con redirección en IPTABLES Cordial saludo lista, Tengo el siguiente problema: Resulta que tengo un Firewall/Proxy con la IP publica 190.28.122.250(eth0) y la 10.0.4.150 (eth1), dentro de mi red tengo dos equipos 10.0.4.17 donde funciona mi servidor mail y en 10.0.4.19 donde tengo un servidor con dos aplicativos web uno por el puerto 80 y otro por el puerto 8890. Para que los aplicativos fueran publicos cree una interfaz de red virtual con la IP publica 190.28.122.253(eth0:0), pero cuando redirijo los paquetes con iptables: iptables -A PREROUTING -d 190.28.122.253 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.4.19:80 No me funciona me dice que el host remoto no contesta. Pero si hago pruebas cambiando el PC de destino a el .17 si funciona, si me redirige los paquetes. iptables -A PREROUTING -d 190.28.122.253 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.4.17:80 El PC 10.0.4.19 esta accesible y funciona desde la LAN. Alguien tiene alguna idea de que pueda ser el problema, de antemano muchas gracias. No hace falta que a sus servidores le cree una interfaz virtual..puede hacer directamente: (si es que 190.28.122.250 no tiene nada en el puerto 80) iptables -A PREROUTING -d 190.28.122.250 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.4.19:80 iptabes -t filter -A FORWARD -p tcp 80 -d 10.0.4.19 -j ACCEPT Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1319129072.29581.yahoomail...@web125404.mail.ne1.yahoo.com Hola Julian Perconti: El problema es que en el puerto 80 del firewall se usa para redireccionar a el server mail. iptables -A PREROUTING -d 190.28.122.250 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.4.17:80 Y lo que quiero es poder asignarle DNS a la publica .253, por eso cree la virtual. Gracias, -- Jolth http://jolthgs.wordpress.com/ devmicrosystem.com -- Powered By Debian. Developer Bullix GNU/Linux. -- -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) iD8DBQBIWWH6q7mzdgTzI5ARAkX5AJ9TR6hL2ocLMOUDRfhts8DlVl+jpwCeNw5x p4+4FNUHPDUx1lU9F8WSKCA= =zRhQ -END PGP SIGNATURE- Este correo esta protegido bajo los términos de la Licencia Atribución-Compartir Obras Derivadas Igual a 2.5 Colombia de Creative Commons. Observé la licencia visitando este sitio http://creativecommons.org/licenses/by-sa/2.5/co/.
Re: Problema con redirección en IPTABLES
El 20 de octubre de 2011 12:15, Lic. Domingo Varela Yahuitl do...@hotmail.com escribió: Prueba con ejecutar estos comandos # arp -Ds 190.28.122.253 eth0 pub # route add 190.28.122.253 dev eth1 # iptables -A PREROUTING -t nat -i eth0 -p tcp -d 190.28.122.253 --dport 80 -j DNAT --to-destination 10.0.4.19:80 # iptables -A PREROUTING -t nat -i eth0 -p udp -d 190.28.122.253 --dport 80 -j DNAT --to-destination 10.0.4.19:80 # iptables -A FORWARD -i eth0 -p tcp -d 10.0.4.19 --dport 80 -j ACCEPT # iptables -A FORWARD -i eth0 -p udp -d 10.0.4.19 --dport 80 -j ACCEPT #SNAT tu ip privada salga o se mapee con la ip 190.28.122.253 # iptables -t nat -A POSTROUTING -s 10.0.4.19 -o eth0 -j SNAT --to-source 190.28.122.253 #ICMP/PING Para que lo puedas ver desde fuera ... ping 190.28.122.253 # iptables -t nat -A PREROUTING -i eth0 -p icmp -d 190.28.122.253--icmp-type 8/0 -j DNAT --to-destination 10.0.4.19 # iptables -A FORWARD -i eth0 -p icmp -d 10.0.4.19 --icmp-type 8/0 -j ACCEPT Saludos cordiales. -- Lic. Domingo Varela Yahuitl. IT/Specialist -- Linux/Unix/Win. System Administrator and Technical Support. Web Site: http://www.linuxsc.net Twitter: http://www.twitter.com/linuxsc Móvil: 044 - 2224 397162 Móvil: +521 - 2224 397162 MSN: domin...@yahoo.com -- Date: Thu, 20 Oct 2011 11:52:22 -0500 Subject: Re: Problema con redirección en IPTABLES From: jo...@esdebian.org To: debian-user-spanish@lists.debian.org El 20 de octubre de 2011 11:44, Julian Perconti vh1...@yahoo.com.arescribió: De: Jorge Toro jo...@esdebian.org Para: Debian User Spanish - Debian.org debian-user-spanish@lists.debian.org Enviado: jueves, 20 de octubre de 2011 13:27 Asunto: Problema con redirección en IPTABLES Cordial saludo lista, Tengo el siguiente problema: Resulta que tengo un Firewall/Proxy con la IP publica 190.28.122.250(eth0) y la 10.0.4.150 (eth1), dentro de mi red tengo dos equipos 10.0.4.17 donde funciona mi servidor mail y en 10.0.4.19 donde tengo un servidor con dos aplicativos web uno por el puerto 80 y otro por el puerto 8890. Para que los aplicativos fueran publicos cree una interfaz de red virtual con la IP publica 190.28.122.253(eth0:0), pero cuando redirijo los paquetes con iptables: iptables -A PREROUTING -d 190.28.122.253 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.4.19:80 No me funciona me dice que el host remoto no contesta. Pero si hago pruebas cambiando el PC de destino a el .17 si funciona, si me redirige los paquetes. iptables -A PREROUTING -d 190.28.122.253 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.4.17:80 El PC 10.0.4.19 esta accesible y funciona desde la LAN. Alguien tiene alguna idea de que pueda ser el problema, de antemano muchas gracias. No hace falta que a sus servidores le cree una interfaz virtual..puede hacer directamente: (si es que 190.28.122.250 no tiene nada en el puerto 80) iptables -A PREROUTING -d 190.28.122.250 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.4.19:80 iptabes -t filter -A FORWARD -p tcp 80 -d 10.0.4.19 -j ACCEPT Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1319129072.29581.yahoomail...@web125404.mail.ne1.yahoo.com Hola Julian Perconti: El problema es que en el puerto 80 del firewall se usa para redireccionar a el server mail. iptables -A PREROUTING -d 190.28.122.250 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.4.17:80 Y lo que quiero es poder asignarle DNS a la publica .253, por eso cree la virtual. Gracias, -- Jolth http://jolthgs.wordpress.com/ devmicrosystem.com -- Powered By Debian. Developer Bullix GNU/Linux. -- -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) iD8DBQBIWWH6q7mzdgTzI5ARAkX5AJ9TR6hL2ocLMOUDRfhts8DlVl+jpwCeNw5x p4+4FNUHPDUx1lU9F8WSKCA= =zRhQ -END PGP SIGNATURE- Este correo esta protegido bajo los términos de la Licencia Atribución-Compartir Obras Derivadas Igual a 2.5 Colombia de Creative Commons. Observé la licencia visitando este sitio http://creativecommons.org/licenses/by-sa/2.5/co/. Resuelto!!! Hola a todos, Lo que pasaba era que el servidor 10.0.4.19, no tenia como gateway a el firewall. Lo resolví cambiando el gateway en el PC 10.0.4.19: # route -n Kernel IP routing table Destination Gateway Genmask Flags Metric RefUse Iface 10.0.4.00.0.0.0 255.255.255.0 U 0 00 eth0 169.254.0.0 0.0.0.0 255.255.0.0 U 0 00 eth0 127.0.0.0 0.0.0.0 255.0.0.0 U 0 00 lo 0.0.0.0 10.0.4.30 0.0.0.0
