[GTER] Ajuda com Iptables NAT/Postrouting/Prerouting

Carlos André candrecn at hotmail.com
Wed Dec 29 19:18:01 -02 2010 

Considerando que não existem outras regras de iptables em nenhuma desses equipamentos (e todas as policies default em ACCEPT), basicamente vai precisar desses 3 comandos:

1) iptables -t nat -I PREROUTING -d 200.200.200.201 -j DNAT --to 6.6.6.2
2) iptables -t nat -I POSTROUTING -d 6.6.6.2 -j SNAT --to 6.6.6.1
3) echo 1 > /proc/sys/net/ipv4/ip_forward

1 = Faz o que você quer, quando for para o 200.200.200.1 redirecione para o 6.6.6.2
2 = É necessário, caso o lado B, não conheça todas as redes do lado A (não tem rota de volta).
Ex.: Uma estação 192.168.0.10 "sabe" que quer ir para o 200.200.200.201, mas na verdade vai para o 6.6.6.2 (sem saber), chegando no 6.6.6.2, a origem é 192.168.0.10, e o 6.6.6.2 deve saber para quem mandar, se não houver rota para 192.168.0.10, ele jogará para a rota default, e não sendo esta a 6.6.6.1, não irá funcionar :P 
Essa regra "Resolve" esse problema, pois mascara a origem, então quando chegar no 6.6.6.2, para todos os efeitos, a origem será o 6.6.6.1 (192.168.0.10 NATeado)
3 = Ativa o encaminhamento/roteamento, mas isso provavelmente você já terá feito.

Atenciosamente,

Carlos André

LPIC-2 / CCNP / Security+



cand...... at hotmail.com



> Date: Sun, 26 Dec 2010 00:25:31 -0200
> From: kolt at frag.com.br
> To: gter at eng.registro.br
> Subject: [GTER] Ajuda com Iptables NAT/Postrouting/Prerouting
> 
> Caros,
> 
> Tenho o seguinte cenário:
> 
> servidor[A] - interface eth0 com ip válido 200.200.200.200
> servidor[A] - interface eth0:1 com ip válido 200.200.200.201
> servidor[A] - interface tun0, openvpn entre meu servidor [A] e [B], ip
> 6.6.6.1 ([A]) e 6.6.6.2 ([B])
> 
> servidor[B] - interface eth0 com ip invalido 10.0.0.1 (lan)
> servidor[B] - interface tun0, openvpn ip 6.6.6.2.
> 
> Quero fazer o seguinte. Todo o trafego destinado ao servidor[A], na
> interface eth0, mais precisamente somente para o ALIAS 1 (ip
> 200.200.200.201), seja redirecionado para o ip 6.6.6.2 (servidor B) na
> interface tun0, resumindo, 200.200.200.201(eth0:1) -> 6.6.6.2 (via tun0).
> É possível fazer isso ?
> Alguém com vontade de ajudar ? Heheh.
> 
> Agradeço.
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list