Direcionamento [RESOLVIDO]

maycolino
(usa Debian)

Enviado em 11/09/2010 - 11:54h

Ola amigos,
tenho um servidor que estou tendo dificuldade para fazer direcionamento com o iptables,
meu servidor ta assim:
eth0: 187.45.xxx.xxx
e tenho uma vpn que esta assim
192.168.xxx.1 para 192.168.xxx.2
o que eu fiz foi assim, tudo que entra no eth0 na porta 4096 eu direciono para o ip 192.168.xxx.1 mas do ip 192.168.xxx.1 nao consigo direcionar para o ip 192.168.xxx.2

korvoman
(usa Debian)

Enviado em 11/09/2010 - 12:03h

Pelo que entendi, este destino para a porta 4096 é para o ip para a vpn (192.168.xxx.2) ?

Esta vpn está no proprio gateway ?

maycolino
(usa Debian)

Enviado em 11/09/2010 - 12:09h

isso mesmo do proprio gateway

korvoman
(usa Debian)

Enviado em 11/09/2010 - 13:20h

porque não direciona direto para o host ?

a regra seria esta.
iptables -t nat -I PREROUTING -p protocolo --dport 4096 -d 187.45.xxx.zzz -j DNAT --to dest 192.168.XXX.2:porta_real_destino

maycolino
(usa Debian)

Enviado em 11/09/2010 - 13:26h

entao fiz um parecido com isso,
mas dai o q acontece e o seguinte, eu peguei tudo que chega na porta 4096 do ip 187.45.xxx.xxx
e direcionei para o ip 192.168.xxx.1 mas agora preciso pegar o mesmo pacote e jogar para o ip 192.168.xxx.2, porque direto do 187 para o 192.168.xxx.2 nao vai

korvoman
(usa Debian)

Enviado em 11/09/2010 - 13:30h

Verifique se o forward está liberado para a vpn

iptables -A FORWARD -o tun0 -j ACCEPT


e também se o host destino está aceitando conexões a partir do servidor 192.168.xxx.1

korvoman
(usa Debian)

Enviado em 11/09/2010 - 13:40h

para facilitar apoia-se no tcpdump nas duas pontas, para debug.

tcpdump -i tun0 host 192.168.xxx and dst port yyy -vvvv

maycolino
(usa Debian)

Enviado em 11/09/2010 - 13:50h

vou te passa a unica regra que eu tenho no meu iptables
iptables -t nat -A PREROUTING -p tcp -i eth0 -d 187.45.224.125 --dport 4096 -j DNAT --to 192.168.42.38:4096
o que aconte ai e o seguinte tudo que chega no 187.... na porta 4096 ele direciona para o ip 192...38 na porta 4096
mas minha vpn esta assim 192.168.42.38 e acessa a outra maquina no ip 192.168.42.50
o que eu precisava fazer tudo que entra no ip 187 na porta 4096 chega no 192...50 na porta 4096

korvoman
(usa Debian)

Enviado em 11/09/2010 - 14:03h

ok, compreendi a sua necessidade, mas devemos avaliar se este host esta aceitando conexoes nesta vpn, e se o servidor 187 permite repassar esta requisição para a vpn.

servidor 187 ---> PREROUTING 4096 com DNAT--> FORWARD vpn0 --->192.168.42.50

ao entrar a conexao será "pre selecionada" e direcionada para o vpn0. logo será consultado para a tabela forward,

para fins de Troubleshooting ative o repasse de pacotes

echo 1 > proc/sys/net/ipv4/ip_forward

e acompanhe no tcpdump ou iptraf as requisções.

korvoman
(usa Debian)

Enviado em 11/09/2010 - 14:35h

verifique se realmente o que descrevi, se é o que tem hoje.

faça conferência do firewall da segunda ponta, e teste se aceita a conexão a partir do segundo servidor : telnet 192.168.42.50 4096

ping vpns, testa se aceitam conectar a outros serviços também.

maycolino
(usa Debian)

Enviado em 11/09/2010 - 15:12h

Entao, a vpn esta ok
eu consigo pinga no 192.168.42.50 e fazer o telnet tambem na porta 4096
unico problema mesmo e o direcionamento q nao estou conseguindo fazer.
verifiquei nos log eu consigo chegar ate o 192.168.42.38 na porta 4096 mas nao to sabendo fazer
para ele ir ate o 192.168.42.50
Existe alguma regra que consiga colocar os 3 ip numa regra so por exemplo
entra no 187.45.224.125 direciona para o 192.168.42.38 e redireciona para o 192.168.42.50

korvoman
(usa Debian)

Enviado em 11/09/2010 - 15:22h

Desculpe mas não faz sentido, ficar nesta tentativa, se realmente não poder avaliar este redirecionamento com o tcpdump , verificar o forward. e afins.

Limpe a regra antiga :

iptables -t nat -D PREROUTING -p tcp -i eth0 -d 187.45.224.125 --dport 4096 -j DNAT --to 192.168.42.38:4096

e troque para o destino real.

iptables -t nat -A PREROUTING -p tcp -i eth0 -d 187.45.224.125 --dport 4096 -j DNAT --to 192.168.42.50:4096

verifique o forward, e tudo que pude lhe sugeri nos posts anteriores. Poste as requisições do tcpdump das duas pontas.