O MASQUERADE é "equivalente" ao SNAT, só que ele mapeia de forma dinamica e não para um endereço fixo. Não vejo relação alguma disso com o teu problema (porque tu não precisa fazer MASQUERADE ou SNAT dentro de uma LAN,pois não é feito roteamento).
Tu quer que o que entra na porta tcp/3389 da eth1 seja redirecionado para a máquina "$win2003". Isso se resolve com um DNAT no chain PREROUTING da tabela nat e dependendo da policy do FORWARD, uma regra que libera lá também (e pelas mensagens anteriores, tu ja fez as duas coisas). Quando tu carrega as regras, o redirect funciona, como deveria, mas as conexões da LAN também são redirecionadas. Aqui que vem toda a parte dizarra: A regra diz explicitamente que o que entra na eth1 deve ser jogado para o $win2003, porque a LAN (que entra na eth0) casa nessa regra? Tu tem certeza absoluta que as rotas (do roteador e das estações) estão em ordem e que as placas de rede não estão invertidas? Há algumas semanas eu vi um Debian que resolveu reconfigurar as regras de rede do udev e trocou a ordem de duas das 4 placas de rede, os mac addresses conferem? (tu pode ver o mac address com o ip link show ou ifconfig) Não tem mais nenhuma regra na tabela nat desse roteador? (iptables -t nat -S ou iptables -t nat -L) 2009/12/29 "Flávio R. Lopes" <[email protected]>: > Leandro, supondo então que eu só queira liberar o acesso através da eth1 > (que é minha interface para a internet), como ficariam estas regras, com > o MASQUERADE que você diz? > > > Leandro Vicente escreveu: >> Bom dia amigo. >> >> vamos lá, se vc especificar a interface ele so vai liberar aquela >> interface. No caso na primeira regra vc libera tanto pra interface de >> internet quanto na interface da rede local. Por isso que funciona. Na >> segunda regra vc libera somente pra uma dessas duas interfaces. pra >> funcionar isso assim vc tem que ter um MASQUERADE antes dessa regra. >> Acho que é só isso mesmo. >> >> Atencisamente, >> >> >> Leandro Vicente >> :wq >> >> 2009/12/28 "Flávio R. Lopes" <[email protected] >> <mailto:[email protected]>> >> >> Oi Max >> então....nada de diferente. Está apontando, até onde eu ví para >> onde tem >> que apontar. >> Mas o q vc sugere especificamente? >> >> max escreveu: >> > 2009/12/24 Flavio Lopes <[email protected] >> <mailto:[email protected]>>: >> > >> >> Olá lista! >> >> >> >> Atualmente tenho estas regras funcionando perfeitamente para >> liberar o >> >> acesso via Terminal Service para um servidor com Windows 2003 >> Server: >> >> $iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT >> >> $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT >> --to-destination >> >> $win2003:3389 >> >> >> >> >> >> Mas se eu substituir a segunda linha por: >> >> $iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT >> >> --to-destination $win2003:3389 >> >> >> >> eu não consigo mais acessar o Win-Server-2003, ou seja, não é >> possível mais >> >> fazer a conexão!!! >> >> Qual a diferença entre estas duas linhas?...no caso da segunda, >> não era só >> >> pra especificar qual interface ("-i eth1") eu quero que fique >> "escutando" >> >> ??? >> >> >> >> Em resumo, se eu substituir: >> >> $iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT >> >> $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT >> --to-destination >> >> $win2003:3389 >> >> >> >> por: >> >> $iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT >> >> $iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT >> >> --to-destination $win2003:3389 >> >> >> >> pára de funcionar o acesso! >> >> >> >> Alguém sabe me dizer porque acontece isso? >> >> >> >> >> > >> > Provavelmente é um problema nas rotas do teu roteador. O que o >> route -n diz? >> > >> > >> >> -- >> GUS-BR - Grupo de Usuários de Slackware Brasil >> http://www.slackwarebrasil.org/ >> http://groups.google.com/group/slack-users-br >> >> Antes de perguntar: >> http://www.istf.com.br/perguntas/ >> >> Para sair da lista envie um e-mail para: >> [email protected] >> <mailto:slack-users-br%[email protected]> >> >> >> -- >> GUS-BR - Grupo de Usuários de Slackware Brasil >> http://www.slackwarebrasil.org/ >> http://groups.google.com/group/slack-users-br >> >> Antes de perguntar: >> http://www.istf.com.br/perguntas/ >> >> Para sair da lista envie um e-mail para: >> [email protected] > > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.org/ > http://groups.google.com/group/slack-users-br > > Antes de perguntar: > http://www.istf.com.br/perguntas/ > > Para sair da lista envie um e-mail para: > [email protected] -- GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected]
