[MASOCH-L] Iptables - redirecionamento para Terminal Server

Fabio Catunda fcatunda at lightcomm.com.br
Wed Jun 16 10:49:40 BRT 2010


Ok, eu fui simplista e imaginei algumas coisas. Pelo que parece ele tem 
nat e a máquina Windows tem um gw, deduzi isso lendo o seguinte: 
"...porque pelo gateway dele ele nao tem saida para a Internet".

Então me parece que a máquina tem um gateway. Talvez o problema seja 
justamente a parte do "... não tem acesso a Internet", afinal, os 
pacotes de resposta devem estar sendo direcionados a este "outro" gateway.

Acho que faltou dizer que não é muito legal deixar o setup da forma que 
está, afinal, todas as conexões de TS serão provenientes do mesmo IP, 
pode calhar de alguém se conectar, desconectar e depois de um tempo 
alguém tentar reconectar e acabar pegando o TS de outra pessoa, dentre 
outros pequenos problemas que podem ocorrer.

Esqueci de comentar também sobre as regras com MASQUERADE. No próprio 
man do iptables é recomendado usar SNAT quando possível, não sei se 
nosso colega tem IP fixo de saída para a Internet, mas se tiver vale 
seguir as recomendações do man: "...It should only be used with 
dynamically assigned IP (dialup) connections: if you have a static IP 
address, you should use the SNAT target....".

Att,

Catunda.

Bruno L F Cabral wrote:
> Ola
>
> só uma pequena correção
>
> Em Qua, Junho 16, 2010 10:08 am, Fabio Catunda escreveu:
>   
>> 4 - A máquina Windows responde, mas não sabe como chegar ao IP
>> 200.0.0.5, então ela manda o pacote para o default gateway dela, que eu
>> não sei qual é
>> 5 - O default gw da máquina windows manda o pacote para a internet com
>> destino ao 200.0.0.5, porém, com outro IP de origem
>>     
>
> um default gateway não muda o IP de source do pacote, a não ser
> que faça o NAT. pelo que o rapaz falou essa maquina windows
> "para não ficar desprotegida" (suponho) NAO TEM rota default
> portanto ela não sabe para onde mandar a resposta
>
> se o default gateway da maquina windows fizer NAT ai o que você
> escreveu está correto
>
>   
>> A regra de MASQUERADE que você criou muda o cenário no passo 2, que
>> passaria a ser:
>> 2 - O iptables muda o IP de DESTINO quando o pacote passa no PREROUTING,
>> quando o pacote passa no POSTROUTING o IP de ORIGEM é alterado para o IP
>> do próprio firewall.
>> Isso implica que ao chegar na máquina Windows a máquina tem como origem
>> o IP do firewall, que provavelmente está na mesma rede, talvez seja
>> 192.168.1.1.
>> Quando a máquina Windows vai responder, ela não precisa mandar o pacote
>> para o default gw dela e sim para o 192.168.1.1, que recebe este pacote
>> e então manda para a Internet pois você tem uma regra de masquerade com
>> -o eth1 que provavelmente está antes da outra regra de masquerade que
>> fez as coisas funcionarem.
>>     
>
> é isso ai mesmo!
>
> !3runo
>
>   


More information about the masoch-l mailing list