[MASOCH-L] Servidor com 2 dois links (1 dedicado p/ email)

Fabio Catunda fcatunda at lightcomm.com.br
Mon Sep 3 07:27:40 -03 2012


Fabricio,

Se não é o link default, o jeito é marcar a conexão e criar outra rule, 
mais ou menos assim:

# iptables -t mangle -A PREROUTING -i eth3 -j CONNMARK --set-mark 2 # 
OBS: esse "2" não é obrigatório, você pode escolher outro número se quiser
# iptables -t mangle -A PREROUTING -m connmark --mark 2 -j MARK --set-mark 2

Isso vai fazer com todas as conexões que entrem pela eth3 sejam marcadas 
com um "2", dessa forma você pode criar uma "ip rule" para forçar que 
isso seja tratado pela table "oi" que você criou:
# ip rule add fwmark 2 lookup oi

Dai pra frente é só criar as regras de iptables normalmente,

# iptables -t nat -A PREROUTING -i eth3 -p udp --dport 5060 -j DNAT 
--to-destination 192.168.0.30
# iptables -t nat -A POSTROUTING -o eth3 -s 192.168.0.30 -j SNAT 
--to-source <ip externo>

Deve funcionar...

Att,

Catunda.

On 31-08-2012 16:06, Fabricio Veiga wrote:
> Fabio,
>
> O link da OI nao eh o link default. Este link esta servindo para o servidor
> de email.
> As regras do iproute sao essas:
>
> Ip route add 10.2.1.0/24 dev eth3 via 192.168.0.9 table oi
>
> Ip route add default via 10.2.1.1 dev eth3 table oi
>
> Ip rule add from 192.168.0.9 table oi
>
> Nao sei se estao correto mas seguir conforme suas orientacoes.
>
> Att,
>
> Fabricio
> On Aug 31, 2012 1:08 PM, "Fabio Catunda"<fcatunda at lightcomm.com.br>  wrote:
>
>    
>> Fabricio,
>>
>> Se é para a conexão entrar pelo link da Oi que é o default fica fácil:
>>
>> # iptables -t nat -A PREROUTING -i eth0 -p udp --dport 5060 -j DNAT
>> --to-destination 192.168.0.30
>>
>> Dessa forma tudo que entrar pela eth0 e tiver como destino a porta 5060 do
>> protocolo UDP vai parar no 192.168.0.30.
>>
>> Imagino que você já tenha uma regra na chain POSTROUTING para o tráfego
>> que provêm da rede interna e tem destino à Internet, mas se não tiver crie
>> algo assim:
>>
>> # iptables -t nat -A POSTROUTING -o eth0 -s 192.168.5.30 -j SNAT
>> --to-source<ip externo>
>>
>> Mais uma dica... não use o target MASQUERADE por ai, pode dar confusão
>> pois você já tem mais de um link.
>>
>> Lembre-se de sempre usar o "-i" e "-o" nas regras para as regras darem
>> match de forma correta.
>>
>> Att,
>>
>> Catunda.
>>
>> On 31-08-2012 12:50, Fabricio Veiga wrote:
>>
>>      
>>> Fabio boa tarde!
>>>
>>> Primeiramente gostaria de agradecer o auxilio neste problema (aos demais
>>> tambem pela contribuicao).
>>> Preciso apenas de uma ajuda: eu tenho alguns redirecionamento de algumas
>>> portas (5060, 8080, 3389, ...) para alguns outros endereco da rede
>>> 192.168.0.x. A entrada destas conexoes e a mesma do link citado na thread
>>> inicial ( link oi 10.2.1.100). Como poderia criar regras de
>>> redirecionamento pel iptables?
>>>
>>> Att.
>>>
>>> Fabricio
>>> On Aug 24, 2012 2:43 PM, "Fabio Catunda"<fcatunda at lightcomm.**com.br<fcatunda at lightcomm.com.br>>
>>>   wrote:
>>>
>>>
>>>
>>>        
>>>> Fabrício,
>>>>
>>>> A forma correta seria ter duas tabelas de roteamento, a principal e uma
>>>> extra, vou tentar descrever de forma rápida aqui como fazer imaginando um
>>>> Debian:
>>>> # apt-get install iproute
>>>> # echo "200     gvt">>    /etc/iptoute2/rt_tables
>>>> # ip route add 127.0.0.0/8 dev lo table gvt
>>>> - ATENÇÃO: você não passou as máscaras, acerte isso antes de criar as
>>>> regras abaixo
>>>> # ip route add 10.1.1.0/24 dev eth0 table gvt
>>>> # ip route add 192.168.0.0/24 dev eth1 table gvt
>>>> # ip route add 172.16.0.0/24 dev eth2 table gvt
>>>> # ip route add 10.2.1.0/24 dev eth3 table gvt
>>>> # ip route add default dev eth3 via 10.2.1.1 table gvt
>>>>
>>>> Até aqui você só criou uma outra tabela de roteamento, nada vai acontecer
>>>> se deixar assim.
>>>>
>>>> A grande "mágica" vem agora, você ordena que o sistema use essa sua nova
>>>> tabela de roteamento conforme um determinado critério:
>>>>
>>>> # ip rule add from 192.168.0.10 lookup gvt
>>>>
>>>> Desta forma tudo que vier do servidor 192.168.0.10 passará a ser tratado
>>>> pela tabela de roteamento "gvt" que acabamos de criar.
>>>>
>>>> Não esqueça de criar as regras de NAT para os pacotes não serem enviados
>>>> para a operadora com IP interno:
>>>>
>>>> # iptables -t nat -A POSTROUTING -s 192.168.0.10 -o eth3 -j SNAT
>>>> --to-source 200.200.200.200
>>>>
>>>> CUIDADO: se você já tiver alguma regra de NAT que não tenha o "-o" como
>>>> critério, ela pode dar match antes desta e ai ferra tudo.
>>>>
>>>> Enfim, acho que isso resolve seu problema... se ficar com alguma dúvida
>>>> basta dizer que eu posso tentar dar uma ajuda.
>>>>
>>>> Att,
>>>>
>>>> Catunda.
>>>>
>>>>
>>>>
>>>>
>>>> On 24-08-2012 13:46, Fabricio Veiga wrote:
>>>>
>>>>
>>>>
>>>>          
>>>>> Boa tarde senhores!
>>>>>
>>>>> Estou com uma certa dificuldade em realizar um NAT para uma determinado
>>>>> maquina na rede interna. Atualmente tenho um servidor firewall com as
>>>>> seguintes interfaces (Nas interfaces eth0 e eth3 possuem link de
>>>>> internet
>>>>> (GVT e OI):
>>>>>
>>>>> eth0 (10.1.1.100) - (Modem 10.1.1.1)
>>>>> eth1 (192.168.0.1)
>>>>> eth2 (172.16.0.1)
>>>>> eth3 (10.2.1.100) - (Modem 10.2.1.1)
>>>>> Gateway padrão: 10.1.1.1.
>>>>>
>>>>> A rede 172.16.0.X e 192.168.0.X devem sair pela eth0 (OI), porém apenas
>>>>> uma
>>>>> máquina específica da rede 192.168.0.X deve sair pela interface eth3
>>>>> (GTV). Pelo que andei pesquisando, não é possível ter dois default
>>>>> gateway
>>>>> no servidor.
>>>>>
>>>>> Existe alguma solução para este caso utilizando os recursos disponíveis
>>>>> ?
>>>>>
>>>>>
>>>>> Grato!
>>>>>
>>>>> Att,
>>>>>
>>>>> Fabrício Veiga
>>>>> __
>>>>> masoch-l list
>>>>> https://eng.registro.br/****mailman/listinfo/masoch-l<https://eng.registro.br/**mailman/listinfo/masoch-l>
>>>>> <http**s://eng.registro.br/mailman/**listinfo/masoch-l<https://eng.registro.br/mailman/listinfo/masoch-l>
>>>>>            
>>>>>>              
>>>>>
>>>>>
>>>>>
>>>>>            
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/****mailman/listinfo/masoch-l<https://eng.registro.br/**mailman/listinfo/masoch-l>
>>>> <http**s://eng.registro.br/mailman/**listinfo/masoch-l<https://eng.registro.br/mailman/listinfo/masoch-l>
>>>>          
>>>>>            
>>>>
>>>>
>>>>          
>>> __
>>> masoch-l list
>>> https://eng.registro.br/**mailman/listinfo/masoch-l<https://eng.registro.br/mailman/listinfo/masoch-l>
>>>
>>>
>>>        
>> __
>> masoch-l list
>> https://eng.registro.br/**mailman/listinfo/masoch-l<https://eng.registro.br/mailman/listinfo/masoch-l>
>>
>>      
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>    




More information about the masoch-l mailing list