Bom dia Ronaldo, É, o que está acontecendo é exatamente isso. Os pacotes saem do smtp2, passam pelo firewall, chegam no ldap2 e saem desse último em direção ao smtp2, só que então eles não passam de volta pelo firewall.
Eu já tentei fazer um SNAT que "transforma" o pacote de retorno como se ele voltasse direto do 100.100.100.1, só que os pacotes nem estão chegando no firewall mesmo assim. Também fiz assim: iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 100.100.100.1 -j SNAT --to-source 192.168.0.254 ### (esse é o IP privado do firewall) Também não rolou. Mas vou dar uma relida no que tu disseste e vou testar o mais rápido possível. Valeu 2010/12/24 Ronaldo Toledo <[email protected]> > Cara, pensei noutra saída. > > No firewall 100.100.100.1 crie uma regra fazendo SNAT para pacotes oriundos > de 192.168.0.1 com porta de destino x(LDAP?) trocando o host de origem para > 10.0.0.1, por exemplo. Faça outra regra no mesmo firewall trocando o > destino dos pacotes que estão indo para 10.0.0.1(e porta source x(LDAP) para > o destino 192.168.0.1 > > > Em 24 de dezembro de 2010 03:27, Ronaldo Toledo <[email protected]>escreveu: > > Bem, não sei se entendi bem a questão. Se a conexão tem que passar pelo >> firewall ao invés de seguir direto até o host na mesma rede, troque então o >> endereco 192.168.0.2 para 192.168.0.5 e crie em 192.168.0.1 uma rota para a >> rede 192.168.0.4/255.255.255.252 via 100.100.100.1 e, vice-versa, crie >> no 192.168.0.5 uma rota para 192.168.0.0/255.255.255.252 via >> 100.100.100.1 >> Outra saída é fazer com que o 192.168.0.1 inicie a conversa com >> 192.168.0.2 diretamente, sem o 100.100.100.1 >> >> >> Mas acho que o problema real é entender o que está acontecendo quando o >> smtp 192.168.0.1 tenta falar diretamente com 192.168.0.2. Acredito que a >> comunicação saia do 192.168.0.1 e vá até o 100.100.100.1 e, daí, ao >> 192.168.0.2, o problema é quando o pacote vai voltar ao 192.168.0.1, a volta >> é direta e a conexão tcp deste contexto não existe neste momento. >> >> Boa sorte! >> Ronaldo >> >> Em 24 de dezembro de 2010 02:32, Yucatan "Kenjiro" Costa < >> [email protected]> escreveu: >> >> Boa noite a todos. >>> >>> Depois de passar o dia todo fuçando nisso, ter queimado algum fosfato e >>> não ter chegado onde queria, resolvi apelar pra lista. >>> >>> Minha situação é a seguinte: >>> >>> Tenho um server dois servers SMTP (1 e 2) e dois servers LDAP (1 e 2) >>> >>> Estamos querendo fazer algo como um load balance deles via DNS. Essa >>> parte (DNS) é a mais facil e já está funcionando. >>> >>> A questão é que os servers "1" ficam fora de nossa rede e usam IPs >>> publicos; os servers "2" ficam dentro de nossa rede E usam IPs privados. >>> >>> Então digamos que o que temos seja: >>> >>> smtp1 = 200.200.200.1 >>> ldap1 = 200.200.200.2 >>> >>> smtp2 = 192.168.0.1 >>> ldap2 = 192.168.0.2 >>> >>> E sendo que os IPs do firewall aqui sejam 100.100.100.1 (publico) e >>> 192.168.0.254 (privado) >>> >>> OK, até aqui? >>> >>> Qual a dificuldade? Bom, tanto o smtp1 quando smtp2 precisam fazer >>> conexao com o LDAP para verificar as contas e então fazer a entrega das >>> mensagens. Com o esquema de "load balance" os SMTPs vão acabar conectando >>> hora num LDAP, hora noutro, certo? >>> >>> O smtp1 está funcionando OK, pois ele consegue conectar tanto num quanto >>> no outro ldap. O problema está no smtp2. Como a conexao pro ldap2 é NATeada >>> (lembrando que o IP publico fica no firewall, nao no ldap2), o smtp2 nao >>> consegue chegar nele. >>> >>> Entao pra simplificar o que deveria acontecer é: >>> >>> smtp2 (192.168.0.1 -> 100.100.100.1) <-----> Firewall <------> ldap2 >>> (192.168.0.2) >>> >>> Ou seja, smtp2 teria de fazer a conexao com 100.100.100.1, mas na verdade >>> ela é feita com o 192.168.0.2. >>> >>> Só que isso não está rolando. Alguém tem alguma sugestão de como >>> resolver? >>> >>> O Nat do 100.100.100.1 para 192.168.0.2 está OK, tanto é que de fora da >>> rede eu chego no LDAP. O problema é quando um server da rede >>> 192.168.0.0/24 tenta chegar no 100.100.100.1 (que deveria entao ser >>> "jogada" pro 192.168.0.2) >>> >>> Ja tentei SNAT (192.168.0.2 para 100.100.100.1), mas nao adiantou. >>> >>> Ah, acredito que as regras de FORWARD estejam OK, pois do smtp2 eu >>> consigo pingar o 100.100.100.1 e quem me responde é o ldap2. >>> >>> Bom, já estou tão cansado que devo estar enrolando, enrolando, >>> enrolando... nesta mensagem. >>> >>> Se alguém puder dar uma luz, agradeço. >>> >>> -- >>> May the Force be with you! >>> >>> Yucatan "Kenjiro" Costa >>> >>> -- >>> GUS-BR - Grupo de Usuários de Slackware Brasil >>> http://www.slackwarebrasil.org/ >>> http://groups.google.com/group/slack-users-br >>> >>> Antes de perguntar: >>> http://www.istf.com.br/perguntas/ >>> >>> Para sair da lista envie um e-mail para: >>> [email protected]<slack-users-br%[email protected]> >> >> >> >> >> -- >> Livro "O Chefe" de Ivo Patarra. Ainda não leu? Leia em >> http://www.escandalodomensalao.com.br/indice.php >> >> > > > -- > Livro "O Chefe" de Ivo Patarra. Ainda não leu? Leia em > http://www.escandalodomensalao.com.br/indice.php > > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.org/ > http://groups.google.com/group/slack-users-br > > Antes de perguntar: > http://www.istf.com.br/perguntas/ > > Para sair da lista envie um e-mail para: > [email protected]<slack-users-br%[email protected]> > -- May the Force be with you! Yucatan "Kenjiro" Costa -- GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected]
