[MASOCH-L] Iptables - redirecionamento para Terminal Server

Eduardo Júnior ihtraum18 at gmail.com
Tue Jun 15 18:46:35 BRT 2010 

oLÁ,



2010/6/15 Rodrigo Trevisaneli <rodrigo.trevisaneli at gmail.com>:
> Ola,
>
> Tenho um novo servidor de Terminal Server na rede, e ele
> nao tem saida para a Internet, somente acesso local.
> Porem precisava que ele fosse acessado pela Internet, mas
> usando a conhecida regra:
>
> -A PREROUTING -t nat -p tcp --dport 3389 -j DNAT --to-dest 192.168.1.3:3389


Creio que o correto seria:

-A PREROUTING -t nat -p tcp --dport 3389 -j DNAT --to 192.168.1.3


A porta de destino é man, apenas uma tradução no endereço de destino é feita.


>
> nao funcionou, claro, porque pelo gateway dele ele nao tem saida para a
> Internet.
>
> Ok, so que adicionado esta regra, funciona:
>
> -A POSTROUTING -t nat -p tcp --dport 3389 -j MASQUERADE
>
> Pergunto, isso ocorre porque quando o iptables faz nat dessa forma, ele
> entrega os pacotes na porta 3389 do TS como se estivesem vindo do
> proprio iptables, ou seja, 192.168.1.1, e o TS devolve os pacotes para ele?
> Entao para o TS, é como se a conexao viesse de dentro da rede local?
> O que nao entendo é que ja tinha essa regra:
>
> -A POSTROUTING -t nat -o eth1 -j MASQUERADE
>
> Mas tive que criar esta mais especifica, para o TS.


O uso do alvo MASQUERADE, pelo que sei, é feito para criar um relacionamento
com uma interface em específico, como quando temos um interface ligada
a uma conexão
ADSL, cujo o IP varia dinamicamente. Se fizessemos um SNAT
convencional, teríamos
que refazê-lo sempre que o IP mudasse. Com o MASQUERADE isso é feito
automaticamente.

Mas não sei explicar porque a regra acima funcionou para o caso que
citou no início do e-mail.




>
> Outra questao, tenho outro TS na rede, este com acesso
> a Internet, porem só é acessado por 1 IP externo, entao ficou:
>
> -A PREROUTING -t nat -p tcp --dport 3389 -j DNAT --to-dest 192.168.1.3:3389(TS1)
> -A PREROUTING -t nat -i eth1 -p tcp --dport 3389 -s 200.X.X.X -j DNAT
> --to-dest 192.168.1.2:3389 (TS2)
>
> Isso é possivel? A mesma porta redirecionada duas vezes? O Iptables sabe
> que, se
> a conexao vier do IP 200.X.X.X, vai para o TS2 e se for outro IP vai para o
> TS1?
> Aparentemente esta funcionando. Se isso estiver correto, há uma ordem
> correta
> para estas duas ultimas regras, ou tanto faz? Seria a mais especifica
> primeiro?


As regras são avaliadas sequencialmente nas CHAINs.
Assim, a regra mais específica deve vir antes.


[]'s

-- 
Eduardo Júnior
GNU/Linux user #423272

:wq

More information about the masoch-l mailing list