[GTER] Auxilio com ip alias + iptables

Thu Jul 5 11:39:10 -03 2007

Alexandre,

Rodei:
[root at lua ~]# tcpdump -i eth1:0 port 22
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1:0, link-type EN10MB (Ethernet), capture size 96 bytes

Depois disso rodei um ssh para o ip 200.xxx.xxx.56 apartir de uma rede
diferente e não tive resposta da chegada do pacote ali!!!

*Segue tables de rotas local e main...não sei se ajuda na resolução!!!
[root at lua ~]# ip route show table local
local 200.xxx.xxx.56 dev eth1  proto kernel  scope host  src 200.xxx.xxx.58
broadcast 172.18.0.0 dev eth0.18  proto kernel  scope link  src 172.18.0.22
broadcast 127.255.255.255 dev lo  proto kernel  scope link  src 127.0.0.1
local 200.xxx.xxx.58 dev eth1  proto kernel  scope host  src 200.xxx.xxx.58
broadcast 200.xxx.xxx.63 dev eth1  proto kernel  scope link  src
200.xxx.xxx.58
local 172.18.0.22 dev eth0.18  proto kernel  scope host  src 172.18.0.22
broadcast 192.168.0.0 dev eth0.2  proto kernel  scope link  src 192.168.0.22
broadcast 192.168.3.255 dev eth0.2  proto kernel  scope link  src
192.168.0.22
broadcast 172.18.0.255 dev eth0.18  proto kernel  scope link  src
172.18.0.22
broadcast 127.0.0.0 dev lo  proto kernel  scope link  src 127.0.0.1
local 192.168.0.22 dev eth0.2  proto kernel  scope host  src 192.168.0.22
local 127.0.0.1 dev lo  proto kernel  scope host  src 127.0.0.1
local 127.0.0.0/8 dev lo  proto kernel  scope host  src 127.0.0.1

[root at lua ~]# ip route show table main
200.xxx.xxx.32/27 dev eth1  proto kernel  scope link  src 200.xxx.xxx.58
172.18.0.0/24 dev eth0.18  proto kernel  scope link  src 172.18.0.22
192.168.0.0/22 dev eth0.2  proto kernel  scope link  src 192.168.0.22
169.254.0.0/16 dev eth0.2  scope link
default via 200.xxx.xxx.36 dev eth1

Em 05/07/07, Alexandre Gondim <gondim.9hells at gmail.com> escreveu:
>
> Tem como verificar se os pacotes pelo menos chegam no cliente com o
> tcpdump.
>
> Em 05/07/07, Wagner Rodrigues <wagnerodrigues at gmail.com> escreveu:
> >
> > Alexandre,
> > Obrigado pela resposta.
> > Eu tentei fazer ela conforme sugerida, mas não tive efeito nenhum.
> >
> >
> > Mais alguma sugestão?
> >
> > Atenciosamente,
> >
> >
> >
> > Em 05/07/07, Alexandre Gondim <gondim.9hells at gmail.com> escreveu:
> > >
> > > Em 05/07/07, Alexandre Gondim <gondim.9hells at gmail.com> escreveu:
> > > >
> > > > Dê uma olhada nas suas regras de iptables.
> > > >
> > > >
> > > > Depois disso, tentei publicar um serviço de um ip server interno
> > > > utilizando
> > > > o iptables
> > > > *iptables -A FORWARD -p tcp -m tcp -d 172.18.0.100 --dport 22 -j
> > ACCEPT
> > > *
> > > > *iptables -A FORWARD -p tcp -m tcp -d 172.18.0.100 --dport 22 -j
> > ACCEPT
> > > > iptables -A FORWARD -p tcp -m tcp -s 172.18.0.100 --dport 22 -j
> > ACCEPT*
> > > > *iptables -A FORWARD -p tcp -m tcp -s 172.18.0.100 --sport 22 -j
> > ACCEPT
> > > > * iptables -t nat -A PREROUTING -p tcp -m tcp -d
> 200.XXX.XXX.56--dport
> > > 22
> > > > -j
> > > > DNAT --to-destination 172.18.0.100:22
> > > >
> > > >
> > > > Mas quando tento um acesso, não tenho resposta nenhuma.
> > > >
> > > > Sei que to errando em alguma coisa, so não consigo saber aonde.
> > > >
> > > > Alguem pode me ajudar??
> > > >
> > > >
> > > > Em 04/07/07, Christian Lyra <lyra at pop-pr.rnp.br> escreveu:
> > > > >
> > > > > On Wednesday 04 July 2007, Lao DanTong wrote:
> > > > > >  On Wed, 4 Jul 2007, Wagner Rodrigues wrote:
> > > > > >  > Pessoal,
> > > > > >  > estou precisando de uma ajuda com umas regras no iptables.
> > > > > >  > Bom, sei que o iptables não trabalha com ip alias, e que a
> > > solução
> > > > > >  > é não colocar a interface na regra de prerouting.
> > > > > >  > Certo, isso ja fiz, mas mesmo assim não funcionou.
> > > > > >  > Ai pesquisei e descobri que tenho que utilizar o iproute2,
> mas
> > > não
> > > > > >  > estou conseguindo.
> > > > > >  > Alguem ai pode me ajudar com isso?
> > > > > >
> > > > > >  explica o que você quer.
> > > > > >
> > > > >
> > > > >        A resposta para o que vc perguntou é:
> > > > >
> > > > >        # ip addr add <ip> dev <iface>
> > > > >
> > > > >        Se isso é o que vc realmente quer, dai são outros 500...
> > > > >
> > > > >
> > > > > --
> > > > > Christian Lyra
> > > > > POP-PR - RNP
> > > > >
> > > > > http://lyra.soueu.com.br
> > > > >
> > > > > ``Without the wind, the grass does not move. Without software,
> > > > > hardware is useless.''
> > > > >                                                The Tao Of
> Programing
> > > > > --
> > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > >
> > > >
> > > >
> > > > --
> > > > Atenciosamente,
> > > >
> > > > Wagner R.
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > >
> > > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> >
> >
> > --
> > Atenciosamente,
> >
> > Wagner R.
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

-- 
Atenciosamente,

Wagner R.