[GTER] RES: Pequeno problema com Nat.

Estevan Alexandre Marchetti Ribeiro Chaves estevan.chaves at terra.com.br
Fri Sep 15 22:13:38 -03 2006 

Fernando,


Por acaso tu não colocou uma linha assim para que as máquinas internas
acessem o site não, né?
iptables -t nat -A POSTROUTING -m tcp -p tcp -d 192.168.6.1 --dport 80 -j
SNAT --to-source 192.168.6.5  

--
Estevan Chaves
Uberlândia / MG 
-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
nome de Fernando Cordeiro
Enviada em: sexta-feira, 15 de setembro de 2006 12:03
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] Pequeno problema com Nat.

Senhores, obrigado pelas respostas. Abaixo vão mais info para melhorar a
situação:

R: Danton:
- Realmente não se trata de uma DMZ propriamente falando, seria uma
"semi-dmz", apenas coloquei o servidor dentro da rede com um IP inválido.
Mas funciona :D

R: Adailton
- O gerador de estatística que estou usando é o awstats, até tem opções pare
excluir alguns endereços IP na hora de gerar o log ou até mesmo uma sub-rede
inteira mas, no log do apache aparece apenas esse endereço do servidor.
- A meu ver, o que estou fazendo não é um REDIRECT, trata-se de um DNAT  a
regra é a seguinte:
$iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j DNAT
--to-destination 192.168.6.1 (com ou sem :80 no final)
- As informações que são mostradas no log do apache são as seguintes:
192.168.6.5 - - [15/Sep/2006:12:00:20 -0300 - O endereço 6.5 trata-se do IP
inválido para rede interna, gateway.

R: Wellington
- Uso Iptables.

Também concordo que o firewall não deveria mudar o endereço de origem,
conforme o funcionamento do NAT ou nesse caso DNAT mas, isso está
acontecendo por algum motivo.
Existiria alguma opção além do iptables, algum módulo a ser carregado no
kernel ou algo assim.
Tudo o que li e o que fiz apontam para a mesma situação, um simples DNAT e
pronto.

Espero que essas informações sejam suficientes para ajudá-los a entender o
meu caso.
Aguardo resposta. obrigado.

Att,
Fernando
"A time open-source, always open-source...!"

2006/9/15, Welington F.J <welingtonfj at gmail.com>:
>
> Fernando,
>    Nós de mais informações, como por exemplo oque você esta usando 
> para redirecionar as conexões, pf,ipfw,iptables,rinetd enfim.
>
>
>
> On 9/14/06, Fernando Cordeiro <fequestions at gmail.com> wrote:
> > Caros senhores, tenho a seguinte situação na empresa que trabalho e
> gostaria
> > de obter ajuda para resolvê-lo.
> >
> > Estou realizando DNAT de todas as conexões com destino a porta 80 
> > que
> chegam
> > no meu servidor de Firewall para o servidor de páginas que se 
> > encontra
> na
> > minha rede interna. Antes meu servidor de páginas era visto 
> > diretamente
> na
> > web, por uma questão lógica de segurança eu movi para dentro da DMZ.
> > O pequeno problema que estou tendo é o seguinte: no momento em que 
> > rodo
> o
> > programa de estatística de acesso aos sites, o único endereço IP que
> aparece
> > é o que está ligado a minha rede DMZ que esta devidamente 
> > configurado no Firewall ou seja, não tenho acesso real a quantidade 
> > de conexões que
> tenho
> > aos sites e, não consigo saber a localização paiz, desses acessos.
> > Alguém saberia como me dizer como contornar essa situação, mantendo 
> > meu servidor de páginas dentro da DMZ com IP inválido mas, 
> > permitindo que os
> IPs
> > válidos das conexões externas seguem até ele para que assim, possa 
> > ser possível visualizá-los quando for gerado o relatório de acesso?
> >
> > Caso alguém tenha alguma experiência nesse sentido, seria muito
> "gradicido"
> > se pude-se me ajudar.
> >
> > Fernando Cordeiro
> > Supervisor de Informática e TI
> > www.acim.com.br
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
> --
> Welington F.J
> BSD User: 51392
> ICQ: 31320518
> MSN: welingtonfj at gmail.com
> Drogas ? Pra que? Já Tenho Meu Windows!!
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
--
gter list    https://eng.registro.br/mailman/listinfo/gter

E-mail classificado pelo Identificador de Spam Inteligente Terra.
Para alterar a categoria classificada, visite
http://mail.terra.com.br/protected_email/imail/imail.cgi?+_u=estevan.chaves&
_l=1,1158357082.582287.12007.mangoro.hst.terra.com.br,6679,Des15,Des15

Esta mensagem foi verificada pelo E-mail Protegido Terra.
Scan engine: McAfee VirusScan / Atualizado em 15/09/2006 / Versão:
4.4.00/4853 Proteja o seu e-mail Terra: http://mail.terra.com.br/

More information about the gter mailing list