[MASOCH-L] Iptables - redirecionamento para Terminal Server
Fabio Catunda
fcatunda at lightcomm.com.br
Wed Jun 16 10:49:40 -03 2010
Ok, eu fui simplista e imaginei algumas coisas. Pelo que parece ele tem
nat e a máquina Windows tem um gw, deduzi isso lendo o seguinte:
"...porque pelo gateway dele ele nao tem saida para a Internet".
Então me parece que a máquina tem um gateway. Talvez o problema seja
justamente a parte do "... não tem acesso a Internet", afinal, os
pacotes de resposta devem estar sendo direcionados a este "outro" gateway.
Acho que faltou dizer que não é muito legal deixar o setup da forma que
está, afinal, todas as conexões de TS serão provenientes do mesmo IP,
pode calhar de alguém se conectar, desconectar e depois de um tempo
alguém tentar reconectar e acabar pegando o TS de outra pessoa, dentre
outros pequenos problemas que podem ocorrer.
Esqueci de comentar também sobre as regras com MASQUERADE. No próprio
man do iptables é recomendado usar SNAT quando possível, não sei se
nosso colega tem IP fixo de saída para a Internet, mas se tiver vale
seguir as recomendações do man: "...It should only be used with
dynamically assigned IP (dialup) connections: if you have a static IP
address, you should use the SNAT target....".
Att,
Catunda.
Bruno L F Cabral wrote:
> Ola
>
> só uma pequena correção
>
> Em Qua, Junho 16, 2010 10:08 am, Fabio Catunda escreveu:
>
>> 4 - A máquina Windows responde, mas não sabe como chegar ao IP
>> 200.0.0.5, então ela manda o pacote para o default gateway dela, que eu
>> não sei qual é
>> 5 - O default gw da máquina windows manda o pacote para a internet com
>> destino ao 200.0.0.5, porém, com outro IP de origem
>>
>
> um default gateway não muda o IP de source do pacote, a não ser
> que faça o NAT. pelo que o rapaz falou essa maquina windows
> "para não ficar desprotegida" (suponho) NAO TEM rota default
> portanto ela não sabe para onde mandar a resposta
>
> se o default gateway da maquina windows fizer NAT ai o que você
> escreveu está correto
>
>
>> A regra de MASQUERADE que você criou muda o cenário no passo 2, que
>> passaria a ser:
>> 2 - O iptables muda o IP de DESTINO quando o pacote passa no PREROUTING,
>> quando o pacote passa no POSTROUTING o IP de ORIGEM é alterado para o IP
>> do próprio firewall.
>> Isso implica que ao chegar na máquina Windows a máquina tem como origem
>> o IP do firewall, que provavelmente está na mesma rede, talvez seja
>> 192.168.1.1.
>> Quando a máquina Windows vai responder, ela não precisa mandar o pacote
>> para o default gw dela e sim para o 192.168.1.1, que recebe este pacote
>> e então manda para a Internet pois você tem uma regra de masquerade com
>> -o eth1 que provavelmente está antes da outra regra de masquerade que
>> fez as coisas funcionarem.
>>
>
> é isso ai mesmo!
>
> !3runo
>
>
More information about the masoch-l
mailing list